AW: Aktuelle Themen in der IT

- Verschlüsselung
- Digitale Signaturen
- Nachfolger des E-Mails (was auch immer)

... so auf die Schnelle...

AW: Aktuelle Themen in der IT

Ah, soeben eingetroffen:
Inside-IT: Die sieben grossen Herausforderungen ...

AW: Aktuelle Themen in der IT

Hier noch was von mir.

Microsoft Office Communications Server 2007

Unified Communication

grz zer00

AW: Aktuelle Themen in der IT

Network Admission Control ist auch in aller Munde (aber kaum einer traut sich es einzuführen..)


Ausserdem SSL-VPNs für RemoteAccess.

AW: Aktuelle Themen in der IT

Hehe sowas habe ich schon mal in einem Kurs gemacht, nur unter dem Namen quarantäne-Netzwerk.
Das stimmt doch so oder Spacy?

grz zer00

AW: Aktuelle Themen in der IT

Unter Windows Server 2008 auch als NAP bekannt

AW: Aktuelle Themen in der IT

Vielen Dank für eure Antworten und die Links

Grüße
LeBron

AW: Aktuelle Themen in der IT


Naja ein Quarantäne Netzwerk ist - wie der Name schon sagt - ein abgegrenztes Netzwerk in den Host-PCs gesteckt werden, die entweder "krank" sind, oder die nicht verifizierbar "gesund" sind.

NAC (bzw. in Microsoft-Sprache "NAP") dagegen ist ein Framework das Host-PCs erstmal auf bestimmte Merkmale überprüft (in aller Regel Antivirus-Software, Aktualität der AV-Signaturen, Personal Firewall, Prüfung ob bestimmte Prozesse laufen, z. B. Bittorrent-Clients, Prüfung auf Updatestand / Servicepackstand usw. Erst wenn der client die konfigurierten Regeln befolgt, bekommt er Zugang zum Netz.
Wenn er die Regeln nicht befolgt, bekommt er Hinweise, was er tun muss um die Regeln zu befolgen ("Remediation") oder/und er kommt ins "Quarantäne-Netz" wo Update-Server bereitstehen (können) zu denen er sich verbinden kann um z. B. AV-Signaturen herunterzuladen.

Das ganze wird in aller Regel über 802.1X gemanagt, welches im erwähnten Szenario in der Lage ist, den Switchport an dem der Client hängt in das "Produktiv-VLAN" oder aber in das "Quarantäne-VLAN" zu stecken.

Wenn Du mich fragst - eine recht komplizierte Angelegenheit und sehr fehleranfällig da es einfach zu viele Abhängigkeiten sind die zusammenpassen müssen damit das STABIL (in Worten: S.T.A.B.I.L) einsetzbar ist.

Stabil funktionieren dürfte das nur bei "gemanagten" PCs, wo zentral geregelt wird, dass die Abhängigkeiten auf allen PCs auch Berücksichtigung finden können.
Wenn man jedoch nur gemanagte PCs hat - dann kann man auch zentralisiert managen dass sie aktuelle AV usw haben und muss das nicht aufwendig vor Netzzugang prüfen.

Sinn macht es also aus meiner Sicht nur, wenn man zentral gemanagte PCs einsetzt die alle den gleichen Softwarestand haben. Jeder PC, der nicht gemanagt wird, kommt automatisch ins Quarantäne-Netz, wo er eventuell eingeschränkten Zugriff z. B. aufs Internet hat, aber nicht auf "sensible" Netzbereiche. Somit kann man verhindern dass z. B. "mitgebrachte" PCs von Mitarbeitern oder Gästen das Netz verseuchen oder die Security Policy nicht eingehalten wird. Wenn man in seinem Unternehmen jedoch den Usern lokale Admin-Rechte gibt und die kunterbunt von den Benutzer selbst verunstaltet werden, kann NAC fast nur scheitern. Entweder fehlt JAVA, oder es ist die falsche JAVA Version installiert, oder der Benutzer hat Programme laufen die nicht kompatibel sind zur NAC-Prüfungssoftware oder oder oder. Ein Fass ohne boden. Wenn so ein user nicht ins Netz kommt, ruft er die Hotline an. Wenn der User "wichtig" ist schaltet man ihn frei (umgeht also die eigene Policy) oder man hat ständig Ärger und die Leute können nicht arbeiten. Da "kann" es billiger kommen, zweimal im Jahr nem Wurm hinterherzujagen, als das ganze Jahr 2 Mann nur für "NAC" abzustellen.
Gott was schreib ich wieder...

AW: Aktuelle Themen in der IT

Finde das Thema durchaus interessant. Es soll ja nicht jeder Zugang zum Firmennetz bekommen, der sich an einer freien Netzwerkbuchse einstöpselt.

Ich stimme dir zu, dass es einen grossen Verwaltungsaufwand gibt, wenn man alle möglichen Varianten anschauen muss, wenn ein PC der Richtlinie nicht entspricht.

Nur wie willst du feststellen, ob eine PC gemanagt ist oder nicht? Die IP ist ja kein gutes Erkennungsmerkmal, lässt sich schnell ändern.
Man braucht eine Authentifizierung auf Computer Ebene und nur alle, die sich erfolgreich authentifizieren können, dürfen ins Firmennetz. Es ist also ein Authentifizierungsserver nötig, sehe ich das richtig?

Natürlich darf kein Benutzer auf seinem PC Admin Rechte haben, das macht einem alle Arbeit zur Sau... Schadsoftware kann sich gemütlich einnisten und vorhandene Schutzsoftware ausschalten.


Gruss
blu3ye

AW: Aktuelle Themen in der IT

Ob ein PC zur Firma gehört kann man am sichersten daran erkennen, wenn er ein Computerkonto im Active Directory hat - die SID des Betriebssystems ist eindeutig. Alternativ könnte der Admin bestimmte REgistry-Keys anlegen auf die er dann prüft, oder eine Dummy-Datei unter System32 ablegen auf deren Vorhandensein und Checksum er prüft, oder Client-Zertifikate oder oder oder.

Man kann natürlich eine "Authentisierung" erzwingen für den netzzugang - oder aber nur eine Verifizierung ob Antivirus, Updatestand usw der Firmenpolicy entsprechen. 802.1X setzt jedenfalls immer einen Radius-Server voraus. Der Radiusserver kann je nach Benutzer der sich anmeldet bestimmte Attribut-Werte in die Authentisierungs-Antwort einfügen, um beispielsweise das VLAN zu dem der Benutzer gehört automatisch auf dem Switch zu konfigurieren...
Oh ich glaube ich sollte mal ein Buch schreiben.

AW: Aktuelle Themen in der IT

Hehe, lese dein neues Buch dann gerne mal durch vor der Veröffentlichung ;-)

Aber wie kann erkannt werden, wenn sich nun irgendjemand mit seinem Linux Notebook mit Hackertools ins Netzwerk einstöpselt?

AW: Aktuelle Themen in der IT

Wenn man NAC bzw. 802.1X einsetzt kommt er ja erstmal garnicht rein.
Wenn man es nicht einsetzt, kommt jeder rein der sich in der Lage sieht einen RJ45 Stecker in eine LAN-Dose zu stopfen.

Allerdings hinterlässt jeder Spuren im Netz - logfiles, Firewalls die "ausschlagen". Sinnvoll sind in grossen netzen so genannte "Honey-Pots".
Also spezielle Rechner die nur einen zweck haben - ermitteln was im netz so vor sich geht. Sie protokollieren jede Anfrage, und es gibt richtig tolle Tools die recht eindeutig feststellen können um welche Art von Scan es sich handelt. Die Honey-Pots werden auch in Netze bzw. VLANs gesteckt in denen eventuell garkeine User sind, da ein Scan ja inder Regel eine "Rundum-Diagnose" des Netzes machen will, also auch Pakete an normalerweise nicht vorhandene Ziele sendet. Diese bekommt der Honeypot und meldet je nach Tresholds und Art der Scans die Auslöser-IP-Adresse an den Admin, automatisiert per mail-benachrichtigung.

Honeypots können mit speziellen ARP-Tricks den Angreifer auch an sich "binden" indem sie seinen ARP-Cache vergiften, oder sie spielen gar "Opfer" und simulieren ein begehrtes Ziel, mit dem sich der Angreifer dann freudenvoll beschäftigt, während der Admin schon dabei ist anhand der MAC-Adresse des Angreifers herauszufinden an welchem Switchport er hängt, um ihm den Hausmeister an den hals zu schicken.

Vielleicht mach ich auch ein Hörspiel statt Buch?

AW: Aktuelle Themen in der IT

Wie Wickie.Nur besser!

AW: Aktuelle Themen in der IT

Hehe, die Firma will ich gern mal sehen!
...währ ja ein wahrgewordener Traum! Endlich format C: beim arroganten Kollegen von nebenan ausführen