Re: warum PnP Dienst über Netzwerk?

Frank Lindner schrieb:

Der nächste Schrit wird Netzwerk-Quarantäne sein. Nur Clients, die
bestimmte Anforderungen erfüllen, dürfen überhaupt ins LAN. Ansonsten wird
der Switchport abgeklemmt.

Was sind Anforderungen?

Zum Beispiel Domänenmitgliedschaft. Oder Zertifikate. Oder Passworte. Da ist eine Menge denkbar.

Symantec-Virenscanner installiert, so daß das Sicherheitscenter nicht mehr
PopUp Unterhaltung macht.


???

Der Vorposter meine es gäbe ein sicheres LAN.
Ich habe eben noch niemand gefunden der das mit Haftung und Bonität
garantieren kann. Deswegen haben ich andere Ziele definiert.
Und aus diesen Zielen werden Maßnahmen abgeleitet.

Um den Kreis zu schliesen: Auch Deine Maßnahmen führen nicht zu einem sicheren LAN (in Deinem Sinne).

Wenn Du meinst, dass man mit Windows keine vernünftigen Netze aufbauen kann und im Gegensatz dazu das mit Linux problemlos funktioniert, dann ist die Diskussion an dieser Stelle schwierig. Vielleicht haben wir da einfach verschiedene Standpunkte.

Ich kann von den Kunden, die ich früher betreut habe, nur sagen, dass diese, wenn Sie meinen Empfehlungen gefolgt sind, von der Viren-, Trojaner- und Malwarepest verschont wurden. Das waren in der Mehrzahl Windows-Netze und ja, man kann auch Windows-Netze sicher administrieren.

Wahrscheinlichkeit, daß ein Linux-Client mit einem Schädling verseucht wird
und der dann auf einen rdp Port eines Terminalservers losgeht vs. eines
XP-Clients.

Es geht hier nicht um Wahrscheinlichkeiten, sondern darum, dass Du, wenn Du den RDP-Port freigibst, diesen auch angreifen kannst.

Darum geht es, man kann eben auch mit einem Linux Client auf einen
MS-Terminalserver zugreifen, Apple geht übrigens auch.

Mhm. Was hat das jetzt mit dem eigentlichen Thema zu tun? Da kann ich auch antworten: Übrigens gibts den RDP-Client für Apple auch von Microsoft. Irgendwie kann ich Dir jetzt nicht richtig folgen.

Nochmal, ich habe 100 % Sicherheit gar nicht in meinem Zielkatalog.
Was besser oder schlechter ist kann man nicht pauschal beantworten. Das
hängt von den Anforderungen und der Umgebung ab.
Man ist bloß eben kein Gefangener seiner Probleme, sondern es gibt
Alternativen.

Genau. Das stimmt. Nur ist die von Dir gezeigte Alternative keine grundsätzliche Lösung des Problems, sondern nur eine Verlagerung auf ein anderes OS. Was man aus Blaster & Co lernen konnte, war die Tatsache, dass der klassische Firewalleinsatz interne Netze nicht gegen Dinge wie verseuchte Privat-Notebooks schützt. Hier muß man weiterdenken und 802.1X mit restriktiver Kontrolle, wer in das Netz darf, sowie Netzwerk-Quarantäne klingen für mich vernünftiger als Dein Vorschlag.

Es ist ein drohendes Problem und dann sitzt man da wie der OP und grübelt
eine Woche nach Erscheinen des Patches und aufgeschreckt durch
Pressemeldungen da und überlegt was man tun soll.
Man macht sich vorher Gedanken.
Eine Lösung hatte ich dazu aufgezeigt und auch darauf hingewiesen, daß es
nicht überall paßt.

Und was macht der OP, wenn Deine Lösung überall benutzt wird? Die Wahrscheinlichkeit, die Du so gern bemühst, steigt mit dem Verbreitungsgrad der Lösung. Deine Lösung läßt ihn dann da aufschrecken, wenn ein Problem in Samba oder OpenVPN auftritt.

Die Frage ist was ein verseuchter Laptop für Schaden anrichten kann.
Er kann z.B. ungepachte FileServer mit Win2000 zerstören.

Genau deswegen sollte der erst LAN-Zugriff erhalten, wenn er geprüft wurde, auf dem aktuellen Patchlevelstand ist und der Virenschutz aktuell ist. Dahin wird die Reise imho zukünftig gehen. Die ersten Ansätze sind ja schon gemacht.

Es ist nicht möglich festzustellen ob ein Laptop verseucht ist oder nicht,
also mache ich mir Gedanken über Schadensminimierung.

Wieso ist das bei dem jetztigen Wurm nicht feststellbar? Du kannst ja auch den Patchlevelstand des Clients prüfen.

MS geht von der falschen Annahme aus, daß es möglich ist festzustellen ob
ein Rechner verseucht ist oder nicht. Das ist aber genauso Quatsch wie 100
% Sicherheit.


Wieso ist das nicht möglich (bei bekannten Viren)?

Wenn das nicht aktuell ist dann soll das nachgeholt werden und dann darf der
evtl. verseuchte Laptop ins Netz, oder wie soll das gehen?

Hat der Virenscanner kein aktuelles Pattern und Scanengine, muß er erst sich updaten. Läuft der Scanner nicht, darf er nicht rein. Ist der Rechner nicht auf dem aktuellen Patchlevel, darf er auch nicht rein. Da fällt mir eine ganze Menge ein.

Das ist dann im Ergebnis wie bei den MdB, die können nicht mal einen Apple
Laptop ans Netz anschließen. Das soll sich jetzt wohl ändern.

Könntest Du das mal etwas näher ausführen? Aus welchen Gründen kann ein MdB das nicht? Links zum Nachlesen?

Ich sehe dieses Produkt als Teil der Strategie von MS die Kundenbindung zu
erhöhen. Kann da aber keine generellen Vorteile entdecken, eher im
Gegenteil. 

Welches Produkt meinst Du jetzt speziell?

Abhängig vom Szenario können sich die Laptops können auch lokal über VPN
einwählen. Es muß nicht zwingend ein Unterschied gemacht werden, nur weil
jetzt der Laptop physikalisch da ist.

Wenn ein verseuchter Laptop eine VPN-Verbindung öffnet, dann kann er genauso darüber das LAN infizieren. VPN schützt Dich ncht dagegen - da hilft nur Netzseparierung und Netzwerk-Quarantäne.

Und mit zertifikatsbasierendem IPSec kannst Du unter Windows über Gruppenrichtlinien ohne Benutzerkonfiguration direkt Server absichern. Daher finde ich Deine OpenVPN-Lösung nicht für *besser geeignet*.

--
..:Daniel Melanchthon:.
Technologieberater - Exchange Server
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.
.

Relevant Pages

  • =?ISO-8859-1?Q?Re=3A_Ping_asynchron_ausf=FChren?=
    ... dadurch kann ich in Erfahrung bringen ob der liebe Kollege am Netz ... notwendig diese anzurufen da ich direkte Verbindung zum Laptop ... auch der Anwender in Reichweite sein dürfte. ... Willst Du vorher per Ping prüfen, ob er im LAN erreichbar ist? ...
    (microsoft.public.de.german.entwickler.dotnet.vb)
  • Re: Frage zum Fernabsatzgesetz
    ... Ich habe zwar nicht mal ein Laptop, aber ich weiß ... Eben, genau das meine ich. ... Routers, und wenn der nicht von einem Dementen installiert wurde, dann ... dass die Verbindung über die Schirmung des LAN ...
    (de.soc.recht.misc)
  • Re: CT1+/CT2 Betriebsverbot und ISM Frequenzen?
    ... Meines und das mehrerer Nachnbarn ist absichtlich und bewußt offen und wenn ich mal eben schnell etwas in der Wikipedia nachschlagen will dann klappe ich, egal wo, das Notebook auf. ... Oft finde ich kein Netz. ... Die Haltung "alles auf meinem Teller ist meins und lieber hole ich mir massive Magenschmerzen als auch nur das kleinste Fisselchen mit einem anderen zu teilen" ist zwar alles andere als selten, aber nicht eben die, die du sonst hier so lautstark vertrittst. ... Ich benutze das LAN beruflich, da kannst Du das nicht offen lassen. ...
    (de.sci.electronics)
  • Re: 1 way remote desktop
    ... I am using the local ip of the desktop as seen on my lan ... laptop = 192.168.0.3 ... also remote access connection mgr is up. ...
    (microsoft.public.windowsxp.work_remotely)
  • Re: NTP settings for machine with irregular, short connections to the Net
    ... systems on the LAN to notice the laptop within ~ 64 seconds after it is ... If the laptop is not configured to use a drift file the initial ... Manually restart ntpd on all of the fixed systems after the laptop is ... frequency for the clock. ...
    (comp.protocols.time.ntp)