Re: warum PnP Dienst über Netzwerk?

Daniel Melanchthon [MSFT] wrote:

> Frank Lindner schrieb:
>
> > Ich habe noch keinen Dienstleister gefunden, der ein sicheres LAN durch
> > Betreuung von Win-Clients garantieren kann. Nur viel Gequacke und bei
> > nachfragen nach Haftung im Schadenfall betretenes Schweigen.
>
> Vielleicht liegt das auch daran, dass es keine 100%ige Sicherheit gibt?

Ich hatte mich auf folgendes bezogen:
>>So sieht es wohl aus. Allerdings sollte man sich fragen, warum man eine
>>solchen Server im LAN in dieser Form schützen will. Normalerweise macht
>>man das an der Netzwerkgrenze.

Ich betrachte ein LAN nicht pauschal als sicher. Man kann die Grenze nicht
mehr einfach zwischen WAN/LAN ziehen, sondern man kann die Sicherheit im
LAN auch verbessern, indem man nicht mehr alles einfach in Reihe
zusammenschaltet.

Es ist unstrittig, daß es keine 100% Sicherheit gibt. Man sollte sich bloß
über den Trend im klaren sein und da macht es Sinn über intensivere
Datensicherung, Verkürzung der Wiederherstellungszeit der Rechner und
Alternativen sich der Probleme zu entziehen.

Der Kampf gegen die Schädlinge ist nicht zu gewinnen. Sieger werden die
sein, die intensive Datensicherung betreiben und die Wahrscheinlichkeit
erfolgreiches Ziel eines Angriffs zu werden minimiert haben. Dazu muß man
sich über Maßnahmen Gedanken machen.

Das sieht natürlich in jeder Firma anders aus, was ich geschrieben hatte war
nur ein Beispiel für Maßnahmen zur Zielerreichung.


>> Ein Samba-Server als FileServer interessiert ein Angriff auf TCP 445 und
>> TCP 139 nicht.
>
> Auch Samba schützt nicht gegen Softwarefehler. Ein kurzer Blick auf
> Secunia fürdert sieben Schwachstellen zu Tage:

Das trifft auf jede Art von Software zu. Zu einer Entscheidung über
Maßnahmen kommt man aber nur wenn man eine Bewertung durchführt.

> http://secunia.com/advisories/13453/
> http://secunia.com/advisories/13189/
> http://secunia.com/advisories/13139/
> http://secunia.com/advisories/12696/
> http://secunia.com/advisories/12516/
> http://secunia.com/advisories/12130/
> http://secunia.com/advisories/10842/


Wie hoch ist heute oder in den nächsten 12 Monaten die Wahrscheinlichkeit,
daß ein Samba-Server im LAN-XP-Client Umfeld zerstört wird, im Vergleich zu
einem Win2003 Rechner?


> Klar, die sind gefixed. Nur heißt das gerade, dass auch Samba kein 100%
> sicheres LAN ermöglicht. Von dem Linux untendrunter ganz zu schweigen.

100 % Sicherheit ist nicht das Ziel.
Die Ziele heißen Schadensminmierung und Kostenoptmierung.
Maßnahmen dazu siehe oben. Datensicherung steht ganz oben auf der Zielliste.


>> Windows Terminal-Server, z.B. in ein eigenes Netz und ein OpenVPN Server
>> als Bridge oder Router dazwischen sichert sensible Bereiche optimal ab.
>> Einzig 3389 für rdp Zugriff wird noch geroutet, der Rest bleibt draußen.
>
> Wie war das noch gleich mit den letzten Patches für OpenVPN und den
> RDP-Port?
>
> OpenVPN Multiple DoS Vulnerabilities
> http://secunia.com/advisories/16463/

Bewertung bei Zugriff eines LAN-XP-OpenVPN Clients auf einen Linux OpenVPN
Server. Wahrscheinlichkeit?

> Windows Remote Desktop Protocol Denial of Service Vulnerability
> http://secunia.com/advisories/16071/
>

tja, wenn man TS machen will muß man den Port öffnen.
Problemumgehung wäre: Zugriff mit Linux-Client und rdesktop


>> Das ist deutlich effizienter als die MS-Beschreibungen über das fummeln
>> an registry Einträgen zu lesen, wo dann steht, dass MS auch nicht weiß
>> was in produktiven Umgebungen passiert.
>
> Der Disclaimer beim Registry-Editieren steht in jedem Artikel. Man sollte
> wissen, was man da tut und das ganze sorgfältig machen. Mehr hat das nicht
> zu bedeuten und das Ändern eines Registry-Keys *ist* deutlich effizienter
> als ein kompletter Netz-Nneuaufbau mit den von Dir genannten Komponenten.

Mag sein, aber es geht im Ergebnis nur um Lösungen. IT ist nur ein
Hilfsmittel was funktionieren soll.


Man pickt sich die Rosinen bei den Anbietern raus und schnürt sich ein
passendes Paket. Es gibt keine Verpflichtung die Probleme des Hersteller
mit auszusitzen.


> > Es gibt auch Server, die nicht auf SP1 gepatched werden können, weil da
> > Software drauf läuft wo der Hersteller 8 Monate für eine Freigabe
> > läuft.
>
> While not the current target of these attacks, it?s important to note that
> on Windows XP Service Pack 2 and Windows Server 2003 an attacker must have
> valid logon credentials and be able to log on locally to exploit this
> vulnerability. The vulnerability could not be exploited remotely by
> anonymous users or by users who have standard user accounts on Windows XP
> Service Pack 2 or Windows Server 2003. This is because of enhanced
> security built directly into the affected component. Even if an
> administrator has enabled anonymous connections by changing the default
> setting of the RestrictAnonymous registry key, Windows XP Service Pack 2
> and Windows Server 2003 are not vulnerable remotely by anonymous users or
> by users who have standard user accounts.

Es ist ein spezielles, sondern ein grundsätzliches Problem, daß Updates
nicht eingespielt werden können, weil ein Lieferant keine Freigabe erteilt
hat.

Die alleinige Maßnahme: "Es wird schon gutgehen und ich verlasse mich auf
den Hersteller" ist nicht hinreichend, zumal er ja auch für nichts haftet
und man auf dem Schaden sitzen bleibt.







.

Relevant Pages