Thomas Maggnussen 2 Geschrieben 27. April 2023 Melden Teilen Geschrieben 27. April 2023 Hallo zusammen, ich "streite" mich gerade mit einem externen Dienstleister der Anwendungen auf 3 Server betreut. Habe ihn einen Teamviewer Zugriff geben. Jetzt ist wieder die Diskussion dass er einen VPN Zugriff haben will. Nach meinem Verständnis befindet er sich mit VPN direkt bei uns im Netz. Auch wenn bei denen im Netzwerk ein Client von irgendwas befallen, wird kann der sich doch über das Netz und damit auch in unser Netz einschleppen oder sogar, wenn mitarbeiter vom Homeoffice aus arbeiten. Gab ja genug Schwachstellen die auf RDP usw. los gegangen sind. Per Teamviewer wird ja nur das Bild über bestimmte Ports übertragen wodurch sich doch die Angriffsfläche um einiges verringert. Wie sieht ihr das oder bin ich zu paranoid? Vielen Dank! Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 27. April 2023 Melden Teilen Geschrieben 27. April 2023 vor 3 Stunden schrieb Thomas Maggnussen: Nach meinem Verständnis befindet er sich mit VPN direkt bei uns im Netz. Dann solltest du deinen VPN Admin fragen, wie man das vernünftig regeln kann. Gibt schließlich auch VPN Lösungen die nur bestimmte Ziele und Protokolle zulassen, je nachdem was man braucht. Zitieren Link zu diesem Kommentar
testperson 1.708 Geschrieben 27. April 2023 Melden Teilen Geschrieben 27. April 2023 Hi, man kann einem externen Dienstleister auch durchaus vorschreiben, dass es keinen unbeaufsichtigten Zugriff gibt oder dass seine "unbeaufsichtigten" Sessions eben aufgezeichnet werden. Ansonsten - wie @NorbertFe schon sagt - baue passende Regeln und lasse nur das durch, was gebraucht wird. Gruß Jan Zitieren Link zu diesem Kommentar
Thomas Maggnussen 2 Geschrieben 27. April 2023 Autor Melden Teilen Geschrieben 27. April 2023 Lässt sich schon so machen dass ich sage von dem vpn user nur Zugriff auf Server und nur RDP Port aber genau der RDP port war doch immer wieder so anfällig? Klapperten nicht die Schadprogramme alle IP´s ab und eben dann auch die mit dem Rechner verbundenen VPN Verbindungen? Findet den Server uns ist drin. Die sind eben der Meinung das Teamviewer und VPN das selbe ist: ist es meiner Meinung nach nicht. Neige eh dazu es vorzuschreiben. Es geht einfach um die Haftung. Falls darüber was reinkommt ist das ein Wahnsinniger Aufwand zu "Beweisen" das es von da kommt. Ich kenn auch Spielchen mit gegenseitigen Schuldzuweisungen und schließlich muss ich das dann beheben. Wollte nur sicher gehen dass das nicht das gleiche ist und eben mit Risks verbunden ist. Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 27. April 2023 Melden Teilen Geschrieben 27. April 2023 Man muss ja VPN Einwahlen nicht rund um die Uhr erlauben (würde ich bei Teamviewer ja auch nicht!). Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 27. April 2023 Melden Teilen Geschrieben 27. April 2023 Bei uns ist https://guacamole.apache.org/ im Einsatz. Es wird alles aufgenommen und der Zugang wird zeitlich begrenzt. Personalisierte Zugänge mit 2FA. 1 Zitieren Link zu diesem Kommentar
Thomas Maggnussen 2 Geschrieben 28. April 2023 Autor Melden Teilen Geschrieben 28. April 2023 Also seht ihr das auch ähnlich kritisch wie ich oder? Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 28. April 2023 Melden Teilen Geschrieben 28. April 2023 Es bleibt ja die Frage, ob du teamviewer pauschal weniger kritisch siehst. ;) also da kann man sicher drüber diskutieren, denn am Ende ist teamviewer auch nur eine Art „VPN“. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 28. April 2023 Melden Teilen Geschrieben 28. April 2023 Ich sehe das aus der Betreibersicht wie folgt. Wenn es mehr Projekttätigkeiten sind wird eher Teamviewer o.ä. genutzt, da zum einen der Kunde mitschauen kann, was gemacht wird und das ganze Zeitlich abgestimmt ist. Wenn aber Betrieb übernommen wird ist ein VPN einfacher. Hier möchte man ja u.U. unabhängig arbeiten. Hier muss man dem DL vertrauen und ggf. technische Lösungen einsetzen. Auch das Thema Haftung kann man vertraglich regeln. 1 Zitieren Link zu diesem Kommentar
Beste Lösung Sunny61 807 Geschrieben 28. April 2023 Beste Lösung Melden Teilen Geschrieben 28. April 2023 vor 49 Minuten schrieb Thomas Maggnussen: Also seht ihr das auch ähnlich kritisch wie ich oder? Bei uns wird das so kritisch gesehen und entsprechend gehandelt, falls du mich damit meinst. Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 29. April 2023 Melden Teilen Geschrieben 29. April 2023 Kommt auch etwas aufs interne KnowHow drauf an. Teamviewer ist halt sehr trivial im Management. Aus technischer Sicht gefällt mir nicht, dass die Applikation mittlerweile brutal aufgeblasen ist und somit auch sicher ein paar Löcher aufweist. Mir würde da würklich der primitive Bildschirm-Tastatur-Maus Transfer genügen. Die haben in der Pandemie aber soviel verdient, dass vielleicht auch etwas in die Code-Härtung geflossen ist. ;) Ich machs meistens so: Eine kleine Workstation für den externen DL die im Netz hängt (zum Beispiel mich). Die WS kann je nach Art des DS auch eine VM sein Darauf Teamviewer oder dem DL sein Remotetools installiert Die Workstation kommt entweder übers "normale" Netz oder via eigenem Mobilfunk-Router ins Internet. Letzteres hat den Vorteil, das auch Probleme mit dem Internet gelöst oder zumindest erkannt werden können. Der Kunde kann somit immer schauen was die DL so treiben. Schafft Vertrauen und Transparenz. Egal ob sie es verstehen was getrieben wird oder nicht. Damit die Verbindung eben nur auf Wunsch des Kunden erstellt werden kann und nicht permanent, verwende ich zwei Varianten. Manchmal auch kombiniert. ganz klassisch wie im Maschinenbereich üblich einen Schalter um z.B. die Stromversorgung des Routers oder des Switches zwischen Router und PC zu kappen zwei kleine Scripts (Achtung, keine änderungsrechte für Nicht-Admins!) die per Taskplaner mit höheren Rechten gestartet werden können - auch von Usern - welche die Zulassungsregeln für Teamviewer oder Remote-Tool des Herstellers innerhalb der Windows-Firewall aktivieren oder deaktivieren. Zwei Verknüpfungen auf den Desktop welche die Tasks starten können, fertig. In der Nacht läuft dann automatisch das Trennen-Script wenn es vergessen wurde. Für die elektrische Trennung Schlüsselschalter wenn täglich erlaubt, z.Bsp. ein Zentfenster mit einer 0815 Zeitschaltuhr ein PowerSwitch den man softwaremässig steuern kann (z.B. Net IO) z.Bsp. auch mit Scripts Ein Taster welcher den Schütz mittels Timer-Relay anzieht. Das Relay deaktiviert nach einer bestimmten Zeit dann den Schütz und somit die Stromversorgung. Löst das Problem der Leute, die den Schlüsselschalter aus bequemlichkeit immer auf 1 lassen. Kann man auch mit dem Schlüssel kombinieren. Ist für jeden verständlich, Taster leuchtet = Zugriff erlaubt, Taster leuchtet nicht, Zugriff nicht erlaubt). Die Abneigung gegen VPN ist bei mir ähnlich gross wie gegen WLAN. Wird nur getoppt durch betriebsfremde USB-Sticks. Ist mir schlicht zu komplex in der Absicherung und etwas mehr das ich pflegen müsste, ohne dass ich einen echten Mehrwert in den Umgebungen hätte die ich pflege. Dann mag ich halt einfach keine fremden Arbeitsstationen direkt im Netz mit denen ein DL auch bei anderen Kunden rumschwirrt. Die sollen möglichst mit internen Maschinen arbeiten. Mir fällt da immer die Story unseres Tierarztes ein, der meinte, seine Berufsgattung sei in der Regel hauptschuldig für die Verbreitung von Tierseuchen. Man geht von Stall zu Stall und vernachlässigt oft die Hygiene bewusst- weils mühsam ist - oder unbewusst und verteilt so munter die ganzen Viren, Bakterien und sonstigen Schädlinge. Danach wundert man sich, wie sich eine Seuche so schnell verbreiten konnte. Da war der Vergleich zu unserer Branche nicht weit. Im Maschinenbereich leider nicht ganz so einfach durchzusetzen wegen deren sehr spezifischen und sehr teuren Programmen. ;) Zitieren Link zu diesem Kommentar
MurdocX 954 Geschrieben 30. April 2023 Melden Teilen Geschrieben 30. April 2023 Am 27.4.2023 um 09:20 schrieb Thomas Maggnussen: Nach meinem Verständnis befindet er sich mit VPN direkt bei uns im Netz. Auch wenn bei denen im Netzwerk ein Client von irgendwas befallen, wird kann der sich doch über das Netz und damit auch in unser Netz einschleppen oder sogar, wenn mitarbeiter vom Homeoffice aus arbeiten. Gab ja genug Schwachstellen die auf RDP usw. los gegangen sind. Am 27.4.2023 um 13:02 schrieb NorbertFe: Gibt schließlich auch VPN Lösungen die nur bestimmte Ziele und Protokolle zulassen, je nachdem was man braucht. Sehe ich auch so. Am 27.4.2023 um 14:23 schrieb Thomas Maggnussen: Lässt sich schon so machen dass ich sage von dem vpn user nur Zugriff auf Server und nur RDP Port aber genau der RDP port war doch immer wieder so anfällig? Macht Ihr keine regelmäßigen und zeitnahen Windows Updates Ich persönlich würde mich für VPN aussprechen. Hier gibt es bessere Möglichkeiten die Telemetrie abzugreifen, Kommunikationsports selbst festzulegen und zu analysieren, falls man es denn auch tut ;) Das Risiko eines Dienstleisters auf dem Server hast du so oder so. Die Zeiten das man mit einer externen Firewall geschützt ist, sind rum. Interne Maßnahmen sind alternativlos, außer man möchte es strategisch nutzen, um Geld von der GF für eine Erneuerung der Serverlandschaft zu bekommen 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.