defcon3 10 Geschrieben 20. März 2003 Melden Teilen Geschrieben 20. März 2003 Guten Morgen, ich brauche heute mal Eure Hilfe in einer sehr delikaten Sache. Angenommen, ein Admin steigt (unfreiwillig) aus einem Unternehmen aus, wie kann man vorbeugen, dass dieser aus Rachegelüsten oder sonstiger Motivation Zugriff von aussen auf das Netz hat um Schaden anzurichten? Dazu muss ich auf jeden Fall erläutern, dass es sich um eine Person handelt, die weit verstreute Aufgabengebiete hat und niemals irgendwelche Dokumentationen gemacht hat. Der Zugriff von aussen auf das Netzwerk ist per RAS- Einwahl möglich. Klar, man kann den Benutzer sperren und ihm somit die Einwahlrechte wegnehmen, aber was ist, wenn eine Hintertür eingebaut wurde? Bei uns in der Firma haben ca. 20 Personen Einwahlrechte, also ist es doch notwendig, alle 20 Passwörter ändern zu lassen, falls die entsprechende Person eines der Passwörter kennt. Ist man dann im System drin, kann man mit Hilfe des Admin- Passwortes alles machen. Daher auch meine andere Frage: was muss ich tun, wenn das Admin- Passwort geändert wird? Viele Dienste etc. greifen bei uns auf diesen account und dieses Passwort zu, wenn ich das nun ändere, starten diese Dienste nicht mehr und wichtige Systeme stehen nicht mehr zur Verfügung. Wie kann ich im voraus feststellen, welche Dienste dies betrifft etc. Dabei geht es hier leider nicht um 1- 2 Server sondern um insgesamt 11, wo Oracle, SQL und sonstiger Kram drauf läuft. Gibt es da tools, die einem helfen? Ich hoffe auf Eure Hilfe. Vielen Dank defcon3 Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 20. März 2003 Melden Teilen Geschrieben 20. März 2003 Da hilft nur das Ändern aller admin Kennwörter. Alternativ könntest du den Benutzer Admin umbenennen in z.B. Besucher und en neues Konto einrichten, welches keine Rechnte hat, aber das gleich eKennwort wie der alte Admin. Jaetz kann sich der ausgeschiedene Admin mit Administrator und seinem alten Kennwort anmelden, wird aber nicht viel machen können. Um eine Änderung der Konten (Kennwort oder Konto) wirst du nicht herumkommen. Das ganze Thema ist aber zu komplex um es hier in einem Forum abzuhandeln. Wenn ihr das korrekt gemacht habt, ist der RAS Einwahl eh eine Firewall vorgeschaltet, dann genügt es den Zugriff des ausgeschiedenen Admins auf der Firewall zu unterbinden. Zitieren Link zu diesem Kommentar
alexstarke 10 Geschrieben 20. März 2003 Melden Teilen Geschrieben 20. März 2003 Hi Herr DR! was meinst du hiermit?? Wenn ihr das korrekt gemacht habt, ist der RAS Einwahl eh eine Firewall vorgeschaltet [/Quote] Wieso muß einer RAS einwahl eine Firewall vorgeschaltet werden?? Außerdem: wie kann man in einer Firewall den Zugriff auf benutzerebene sperren? Der Server müsste doch in der DMZ definiert sein, wo der RAS-Port ankommt?! Wo ist da etwas mit Benutzerebene? Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 20. März 2003 Melden Teilen Geschrieben 20. März 2003 Der RAS Server muss nicht zwingend in der DMZ stehen. Ich würde ihn da nicht reinstellen, da ja nur eine begrenzte Anzahl von Usern darauf zugreifen muss. Die DMZ ist für Server gedacht, die Transparent für jeden von aussen und innen zugänglich sien sollen. Klassisches Beispiel sind Webserver. Ein RAS Server steht bei uns in der trusted Zone hinter der Firewall. Die Leute die drauf zugreifen sollen, müssen sich zu erst an der Firewall authentifizieren, damit die sie durchlässt. Dann kommt erst die Authentifizierung am RAS Server. Wenn ich jetzt auf der Firewall den Zugang abschalte, kann der User gar nicht mehr bis an den Server ran, da die Firewall das verhindert. Dann helfen ihm alle Passwörter für das lokale Netz nichts. Das Kennwort auf der Firewall ist auch ein anderes als auf den Servern. So kannst du mit einem wenig anfangen, da du damit nicht weit kommst. Zitieren Link zu diesem Kommentar
real_tarantoga 11 Geschrieben 21. März 2003 Melden Teilen Geschrieben 21. März 2003 ich möchte dr.melzer da beipflichten - habe nicht viel erfahrung, aber genau so haben wir es für ein projekt gelöst gehabt - erst eine authentifizierung über telnet an der firewall - dann muss in den nächsten 10 minuten die einwahl erfolgen, ansonsten war der user wieder gesperrt. das war nur anfänglich ein stein des anstosses - aber nach 2 wochen fanden die meisten user (waren immerhin fast hundert!) das sogar positiv! edit1: und den telnetaufruf hatte ich vereinfacht, in dem ich auf den userrechner einfach einen desktop link habe kopieren lassen in dem als verknüpfung drin stand "telnet auth.micky.maus.com 4711" - somit war dann auch gleich der richtige port gewählt. Zitieren Link zu diesem Kommentar
alexstarke 10 Geschrieben 21. März 2003 Melden Teilen Geschrieben 21. März 2003 ok! Danke Dr. Melzer! Ich hatte irgendwie noch nie was von einer "trusted zone" gehört/gelesen! habe aber auch erst einmal eine echte Firewall konfiguriert (Borderware Firewall Server) und da saß ich auch nur nen halben Tag dran! (hatte da nur nen bissel dran rumgespielt, die FW war auch für nen Kunden! da war nicht so vielo Zeit dazu!) was gibt es denn für methoden für die authentifizierung an der firewall?? Nur telnet?? haste irgendeinen Link für mich, wo ich genaueres nachlesen kann! Zitieren Link zu diesem Kommentar
real_tarantoga 11 Geschrieben 21. März 2003 Melden Teilen Geschrieben 21. März 2003 da geht's mir wie dir - bin kein spezi für das thema, das einzige, das ich weiss, ist, dass bei uns damals die frage stand, eine kostenpflichtige lösung über SecurID-Cards oder WebLogic (http://edocs.bea.com/wlibc/docs70/admin/cvpadner.html#1032832) zu versuchen oder eine eigene über telnet erreichbare und "getimte" fw einzurichten (die einwahl selbst erfplgte übrigens dann über einen vpn-tunnel und kein direkte telefon-einwahl, aber das nur nebenbei). wir haben dann sowohl securID-Cards als auch eigen fw genommen. frag mal - falls er nicht von selbst auftaucht --> networker31. Zitieren Link zu diesem Kommentar
Nonaminus 10 Geschrieben 21. März 2003 Melden Teilen Geschrieben 21. März 2003 ich brauche heute mal Eure Hilfe in einer sehr delikaten Sache. Angenommen, ein Admin steigt (unfreiwillig) aus einem Unternehmen aus, wie kann man vorbeugen, dass dieser aus Rachegelüsten oder sonstiger Motivation Zugriff von aussen auf das Netz hat um Schaden anzurichten? Also da ist schon das Grundkonzept falsch gewesen (aber dazu später mehr...) Alle Passwörter müssen geändert werden, alle Benutzerkonten überprüft werden. Was nicht zugeordnet werden kann muss deaktiviert werden. Dazu muss ich auf jeden Fall erläutern, dass es sich um eine Person handelt, die weit verstreute Aufgabengebiete hat und niemals irgendwelche Dokumentationen gemacht hat. Tja, da sieht man wieder wie wichtig eine gute Doku ist... Der Zugriff von aussen auf das Netzwerk ist per RAS- Einwahl möglich. Klar, man kann den Benutzer sperren und ihm somit die Einwahlrechte wegnehmen, aber was ist, wenn eine Hintertür eingebaut wurde? Bei uns in der Firma haben ca. 20 Personen Einwahlrechte, also ist es doch notwendig, alle 20 Passwörter ändern zu lassen, falls die entsprechende Person eines der Passwörter kennt. RAS per Telefon? Dann solltet ihr einfach die Telefonnummer ändern. Bei VPN sollten ALLE Zertifikate nue ausgestellt werden. Wenn alle Benutzer noch neue Passwörter erhalten sollte das alles zusammen reichen (wichtig: sichere Passwörter!!) Ist man dann im System drin, kann man mit Hilfe des Admin- Passwortes alles machen. So sollte es ja auch sein :-( Daher auch meine andere Frage: was muss ich tun, wenn das Admin- Passwort geändert wird? Administratorpasswort vergibt der Geschäftsführer geheim und legt dieses versiegelt in einen Safe.... Dann bekommen Administratoren neue Accounts, die in die Gruppe der Admins kommen. Wenn dann einer geht, wird einfach nur das Konto deaktiviert. Viele Dienste etc. greifen bei uns auf diesen account und dieses Passwort zu, wenn ich das nun ändere, starten diese Dienste nicht mehr und wichtige Systeme stehen nicht mehr zur Verfügung. Das ist ein echtes Fehlkonzept. Der Administratoraccount darf niemals für Dienste verwendet werden. Wird zwar gerne gemacht, das macht das Ganze aber nicht besser. Wie kann ich im voraus feststellen, welche Dienste dies betrifft etc. Dabei geht es hier leider nicht um 1- 2 Server sondern um insgesamt 11, wo Oracle, SQL und sonstiger Kram drauf läuft. Gibt es da tools, die einem helfen? Zum Feststellen hilft nur eins: Alle Dienste ansehen und dokumentieren. Dann neue Accounts für diese Dienste erstellen, in die notwendigen Gruppen und dann ändern. Da der alte Account noch existiert kann man ohne grosse Probleme einen Rollback vornehmen. Es ist aber nicht die Anzahl der Server sondern die Anzahl der Dienste entscheidend... NN Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.