Re: warum PnP Dienst über Netzwerk?

Frank Lindner schrieb:

Ich betrachte ein LAN nicht pauschal als sicher. Man kann die Grenze nicht
mehr einfach zwischen WAN/LAN ziehen, sondern man kann die Sicherheit im
LAN auch verbessern, indem man nicht mehr alles einfach in Reihe
zusammenschaltet.

Der nächste Schrit wird Netzwerk-Quarantäne sein. Nur Clients, die bestimmte Anforderungen erfüllen, dürfen überhaupt ins LAN. Ansonsten wird der Switchport abgeklemmt.

Es ist unstrittig, daß es keine 100% Sicherheit gibt.

Na deswegen ist Deine Frage nach einem Dienstleister, der das garantiert, auch rethorischer Art gewesen, oder?

Wie hoch ist heute oder in den nächsten 12 Monaten die Wahrscheinlichkeit,
daß ein Samba-Server im LAN-XP-Client Umfeld zerstört wird, im Vergleich zu
einem Win2003 Rechner?

Das weiß Michaels Kristallkugel. Wobei Du meines Erachtens hier auch Windows 2003 mit Windows 2000 verwechselst. Bei Windows 2003 hast Du das Problem so nicht.

Bewertung bei Zugriff eines LAN-XP-OpenVPN Clients auf einen Linux OpenVPN
Server. Wahrscheinlichkeit?

Auch wieder das gleiche wie oben. Welchen Vorteil hat eigentlich ein Linux-OpenVPN-Server gegenüber IPSec? Für IPSec ist der Client in Windows schon eingebaut. Bei OpenVPN mußt Du Dir Gedanken über den Rollout machen.

Windows Remote Desktop Protocol Denial of Service Vulnerability
http://secunia.com/advisories/16071/


tja, wenn man TS machen will muß man den Port öffnen.
Problemumgehung wäre: Zugriff mit Linux-Client und rdesktop

Lies mal das Advisory richtig. Das Problem ist nicht client- sondern serverseitig gewesen. Da hilft auch kein Linux-Cclient mit rdesktop.

Der Disclaimer beim Registry-Editieren steht in jedem Artikel. Man sollte
wissen, was man da tut und das ganze sorgfältig machen. Mehr hat das nicht
zu bedeuten und das Ändern eines Registry-Keys *ist* deutlich effizienter
als ein kompletter Netz-Nneuaufbau mit den von Dir genannten Komponenten.


Mag sein, aber es geht im Ergebnis nur um Lösungen. IT ist nur ein
Hilfsmittel was funktionieren soll.

Genau. Deswegen ist es doch wirklich einfacher, einen Registrywert auf Systemen zu setzen, bei denen der defaultmäßig noch nicht gesetzt war. Bei Windows 2003 ist das gar niccht nötig gewesen.

Man pickt sich die Rosinen bei den Anbietern raus und schnürt sich ein
passendes Paket. Es gibt keine Verpflichtung die Probleme des Hersteller
mit auszusitzen.

Die freie Wahl der Lösungen hat jeder. Ich denke nur, dass Deine Wahl nicht unbedingt *besser* ist. Sie hat andere Probleme und 100% Sicherheit willst Du für sie auch nicht selbst garantieren.

Es ist ein spezielles, sondern ein grundsätzliches Problem, daß Updates
nicht eingespielt werden können, weil ein Lieferant keine Freigabe erteilt
hat.

Das ist wohl war. Allerdings habe ich mit meinem Zitat darauf hinweissen wollen, dass es in diesem Fall Alternativen zum Patcheinspielen gibt. Deswegen passt Deinne Kritik in diesem speziellen Fall hier nicht.

Ausserdem ist das wieder ein schönes Beispiel für portbasierende Sicherheit. Wenn man im LAN z.B. 802.1x einsetzt, kann niemand mal eben ein privates Notebook in die Firma bringen und einen Virus einschleppen. 802.1x ist auch niccht 100%ig sicher, allerdings erhöht das schon drastsch den Netzwerkschutz.

Dazu eventuell noch Netzwerk-Quarantäne mit Abprüfen des Patchlevelstandes der Clients und/oder des Virenschutzes und Du hast damit einen ziemlich großen Schritt in Richtung sichereres Netz getan.

--
..:Daniel Melanchthon:.
Technologieberater - Exchange Server
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.
.

Relevant Pages

  • Re: reaktion patchday
    ... Fakt ist, dass Sie Windows ... Auch in einem LAN kann es zu ... > wie Microsoft) Sicherheit. ... dann schreiben Sie doch mal welche Eigenschaften des OS Linux ...
    (microsoft.public.de.security.heimanwender)
  • Re: warum PnP Dienst =?ISO-8859-15?Q?=FCber?= Netzwerk?
    ... >> Ich habe noch keinen Dienstleister gefunden, der ein sicheres LAN durch ... >> Windows Terminal-Server, z.B. in ein eigenes Netz und ein OpenVPN Server ... > Windows Remote Desktop Protocol Denial of Service Vulnerability ...
    (microsoft.public.de.german.win2000.networking)
  • Re: WinXP offen wie ein Scheunentor?
    ... Ich meinte damit, dass viele der bei DSL-Zugängen eingesetzten NAT-Router bereits von ihrem Aufbau her unsicher sind, weil die meist vorhandenen NAT-Helper prinzipbedingt die Umgehung einer vermeintlichen "Sicherheit" ermöglichen. ... Deshalb ist der Windows Paketfilter mitnichten "security through obscurity", sondern NAT - wenn man es als "Sicherheitsfeature" betrachtet. ... Netzwerkverbindungen deaktivieren, allerdings erhöhen Sie damit das Risiko, dass die Sicherheit des Computers beeinträchtigt wird." ...
    (de.comp.security.misc)
  • Re: Patch Day November 2005
    ... ich meinte aber mit sicherheit bei hardwarefirewall nicht eine Homewall ... >> dieses Problem mit dem Browser Netcape zu lösen. ... zumal manch ein Router aus dem Consumer ... > Schadsoftware zur Installation per Windows Update bereit. ...
    (microsoft.public.de.security.heimanwender)
  • Re: SP2 erste Sicherheitsmängel- Panikmache von Heise?
    ... bei mir wird sie beim Start automatisch von Windows geladen ... wenn ich im Explorer eine URL in die ... diese dll benötigt. ... Den Kompromiss zwischen Sicherheit und Usability muss jeder ...
    (microsoft.public.de.german.windowsxp.sonstiges)