Re: warum PnP Dienst über Netzwerk?

Frank Lindner schrieb:

Nicht anders bei meinem Vorschlag. Was ist an Netzwerkquarantäne/NAP
"zufällig"?


Das Prüfungsergbnis durch Verwendung eines unzuverlässigen Virenscanners,
wie von Dir vorgeschlagen.

Vielleicht können wir die Diskussion um Virenscanner an der Stelle beenden, da wir gegensätzlicher Meinung sind. Wenn Virenscanner nur 10%-30% Prozent der Viren finden würden, müßte nach Deiner Wahrscheinlichkeitsrechnung nahezu jeder Windowsrechner verseucht sein. Dass das nicht der Fall ist, solltest Dir auch bekannt sein. Deswegen halte ich es für sinnfrei, dieses Thema weiter zu diskutieren.

Das was Du mit NAP meinst gibt es ja wohl nur auf dem Papier.

Es ist in der Entwicklung, auch das habe ich bereits gesagt. Für RAS- und VPN gibt es Netzwerkquarantäne - für LAN-Zugriff ist es im ersten Betatest zu sehen.

Es wurde behauptet:

Außer das Hotelzimmer hat einen Proxy, der NTLM-Authentifizierung will.

Das stammt nicht von mir und es wäre höflicher, wenn Du das nicht so zitieren würdest, als würde es von mir stammen.

Das mit zwangsweise und unnötig wird spätestens dann interessant, wenn Du
hinter einer Anbindung bist, die HTTPS filtert und selbst ausgestellte
Zertifikate blockiert. Findet sich in vielen großen Unternehmen
mittlerweile.

Du meinst wenn ich mir für ein paar Dollar ein Zertifikat kaufe, komme ich
dann da durch. So eine Billig Prüfung kann man auch mit Linux iptables
machen.

Langsam habe ich das Gefühl, dass Dir PKI, Zertifikate und Linux nicht so sehr liegen. Zeige mir doch mal, wie Du mit iptables HTTPS aufbrichst und die Gültigkeit und Vertrauenswürdigkeit von Zertifikaten eines HTTPS-Stroms untersuchst.

Wenn Du in einem Unternehmen, das HTTPS filtert, zum Beispiel als Dienstleister auf Dein Webmail zugreifen willst, dass Du mit selbssignierten Zertifikaten versehen hast, dann kann der Zugriff daran scheitern, dass Dein Kunde Dein Zertifikat nicht als vertrauenswürdig einstuft.

BTW: Heißt die Firewall bei Linux nicht mittlerweile Netfilter?

Anderen Lösungen die funktionieren, arbeiten noch etwas anders. Das aber nur
am Rande bemerkt.


Andere Lösungen arbeiten anders. Aha. Was sagt uns das jetzt?

Du nimmst dafür ein VPN. Wie erzielst Du damit mehr Sicherheit, wenn die
nächste Sicherheitslücke gerade in einem Protokoll ist, dass Du per
Portfilter erlaubst?


Du nimmst in einer nachträglichen Prüfung Hilfsmittel wie Virenscanner, die
mit 10 bis 30 % Erkennungsrate ans LAN gelassen werden.

Es geht nicht um "nachträglich", sondern um Prüfung, bevor der Client überhaupt in das Netz gelassen wird. Clients, die die Prüfungen nicht bestehen, wird der Netzwerkzugriff verboten. Davon rede ich die ganze Zeit.

Auswaärtige Laptops werden bei Netzzugang mittels OpenVPN ans Firmennetz
verbunden und dabei wird laufend ihr Status überprüft, insbesondere
sichergestellt, daß Updates eingespielt worden sind, usw.

Was heißt beim Netzzugang? Erfolgt der Test, bevor die Verbindung steht und wenn ja, wie? Oder erst nach der VPN-Verbindung? Wie verweigert Du Clients den VPN-Zugang, die nicht auf dem aktuellen Patchlevel sind? Was testest Du alles, bevor die Clients in das VPN dürfen?

Ja, das geht auch mit Linux. 

Das interessiert mich. Wie genau machst Du das und was setzt Du da ein?

Dennoch sehe ich keinen Grund sie ins LAN zu lassen.

Ich betreibe eine laufende Pflege und Wartung des Betriebssystems nach den
gleichen Regeln wie sie auch für Clients im LAN gelten.


Warum soll genau das nicht auch mit Windows möglich sein?

Du propagierst eine nachträgliche Prüfung auf Sicherheit, wenn denn das
Gerät mal da ist, und dann mit schlechten Prüfmitteln.

Siehe oben. Das tue ich nicht. Lies ansonsten einfach mal die Links nach, die ich gepostet habe.

Im übrigen hatte ich Dir schon mal geschrieben, wenn XP-Clients zu
gefährlich sind, dann fliegen Sie raus und werden durch Linux Clients
ersetzt. Kann man auf einen XP-Client nicht verzichten kann man noch
Linux-Terminalserver dazwsichenschalten.

Wie ich Dir schon geschrieben habe, rede ich vom Gefährdungspotential des Servers, unabhängig von den Clients.

--
..:Daniel Melanchthon:.
Technologieberater - Exchange Server
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.
.

Relevant Pages

  • Re: Join Vista client to SBS 2003 - error when copying Client Setu
    ... is not a built-in web site of SBS. ... Do you install any customize web site on ... be accessed both thru http and https from internal clients. ...
    (microsoft.public.windows.server.sbs)
  • Re: X509 and SSL
    ... When you enable SSL / HTTPS on a particular folder, ... If you need to authenticate your clients via signatures, ... >>> must i buy one certificate for sign response messages and one ...
    (microsoft.public.dotnet.framework.webservices.enhancements)
  • Re: RPC over HTTPS Performance issue
    ... My experience is that regardless of how you set those checkboxes Outlook ... will try a TCP connection in preference to an HTTPS one. ... All clients are running outlook 2007 sp1, ... connection becomes available then Outlook will switch to the TCP/IP ...
    (microsoft.public.exchange.admin)
  • Is this Possible?
    ... clients including new applications that as of yet do not have any web ... One of our concerns using HTTPS to secure our transactions is ... gets the public key of the server's certificate to encrypt the data ... The server then uses its private key to decrypt ...
    (microsoft.public.dotnet.framework.webservices.enhancements)
  • RE: Exchange 2007: Connect Anywhere
    ... is it possible that any kind of firewall is between your clients and the CAS? ... RPC over HTTPS. ... I have disconnected the VPN to the server, ... first of all check whether Outlook really tries to connect over HTTPS ...
    (microsoft.public.exchange.admin)