|
| VPN og sikkerhed Fra : Karsten |
Dato : 29-03-07 13:35 |
|
Hej Alle
Hvordan er sikkerheden på et VPN netværk?
Vi bruger VPN når vi f.eks. er ude i marken. Men hvad nu hvis en af vores
brugere får virus på sin computer og han kobler op til VPN er der så risko
for at vi får virus på netværket?
Computeren får jo et lokalt ip nr hvis vira så kan sprede sig via netværket
så har vi et problem ikke?
mvh
Karsten
| |
Bjarke Andersen (29-03-2007)
| Kommentar Fra : Bjarke Andersen |
Dato : 29-03-07 13:52 |
|
"Karsten" <kaa@poly-tech.dk> crashed Echelon writing
news:460bb285$0$896$edfadb0f@dread12.news.tele.dk:
> Hvordan er sikkerheden på et VPN netværk?
Sikker i form af sniffing af data, men stadig afhængig af den krypterings
algoritme I anvender.
> Vi bruger VPN når vi f.eks. er ude i marken. Men hvad nu hvis en af
> vores brugere får virus på sin computer og han kobler op til VPN er
> der så risko for at vi får virus på netværket?
Nej da, for I kører vel med antivirus. Men ja, computeren bliver en del af
det netværk den kobler op på, så I er lige så følsomme overfor vira,
trojaner, spyware og keyloggers akkurat som hvis personen sad inde i huset.
> Computeren får jo et lokalt ip nr hvis vira så kan sprede sig via
> netværket så har vi et problem ikke?
Alt efter hvordan virussen er designet, så jow.
--
Bjarke Andersen
| |
Andreas Lorensen (29-03-2007)
| Kommentar Fra : Andreas Lorensen |
Dato : 29-03-07 13:53 |
|
Karsten skrev:
> Hvordan er sikkerheden på et VPN netværk?
> Vi bruger VPN når vi f.eks. er ude i marken. Men hvad nu hvis en af vores
> brugere får virus på sin computer og han kobler op til VPN er der så risko
> for at vi får virus på netværket?
> Computeren får jo et lokalt ip nr hvis vira så kan sprede sig via netværket
> så har vi et problem ikke?
Ja - hvis din VPN kobler ind på firma-netværket på lige fod med de andre
maskiner på lokal-nettet, så har du ret. Virus eller andet snask kan så
sprede sig på lokal-nettet.
Men det er jo ikke anderledes end hvis de udearbejdende kommer ind i
firmaet, og kobler sig på netværket. Så har du samme problem - virus og
andet snask kan sprede sig.
Der er nogle VPN-systemer der understøtter kontrol af Antivirus version
og den slags inden den tillader adgang.
/Andreas.
| |
Karsten (29-03-2007)
| Kommentar Fra : Karsten |
Dato : 29-03-07 14:33 |
|
Hej
Tak for svarende.
I har ret i at det vil være det samme hvis en af brugerne kommer hjem fra en
tur og har noget snavs på computeren og sætter den til netværket.
Jeg tror jeg vil arbejde videre med Citrix og få den op at kører så de kan
koble på via webinterface.
/Karsten
"Andreas Lorensen" <andlo@sodemark.dk> skrev i en meddelelse
news:460bb69b$0$13998$edfadb0f@dread15.news.tele.dk...
> Karsten skrev:
>> Hvordan er sikkerheden på et VPN netværk?
>> Vi bruger VPN når vi f.eks. er ude i marken. Men hvad nu hvis en af vores
>> brugere får virus på sin computer og han kobler op til VPN er der så
>> risko for at vi får virus på netværket?
>> Computeren får jo et lokalt ip nr hvis vira så kan sprede sig via
>> netværket så har vi et problem ikke?
>
> Ja - hvis din VPN kobler ind på firma-netværket på lige fod med de andre
> maskiner på lokal-nettet, så har du ret. Virus eller andet snask kan så
> sprede sig på lokal-nettet.
> Men det er jo ikke anderledes end hvis de udearbejdende kommer ind i
> firmaet, og kobler sig på netværket. Så har du samme problem - virus og
> andet snask kan sprede sig.
>
> Der er nogle VPN-systemer der understøtter kontrol af Antivirus version og
> den slags inden den tillader adgang.
>
> /Andreas.
| |
Andreas Lorensen (29-03-2007)
| Kommentar Fra : Andreas Lorensen |
Dato : 29-03-07 14:44 |
|
Karsten skrev:
> Jeg tror jeg vil arbejde videre med Citrix og få den op at kører så de kan
> koble på via webinterface.
Ja Citrix eller Terminal servere er bare en god løsning og fjerner mange
problemer.
/Andreas
| |
Christian E. Lysel (29-03-2007)
| Kommentar Fra : Christian E. Lysel |
Dato : 29-03-07 16:48 |
|
On Thu, 2007-03-29 at 15:33 +0200, Karsten wrote:
> Hej
>
> Tak for svarende.
> I har ret i at det vil være det samme hvis en af brugerne kommer hjem fra en
> tur og har noget snavs på computeren og sætter den til netværket.
Vores brugere havde for over et år siden, meget snavs på deres
maskiner...."det virker ikke og jeg har ikke pillet", hørte man dagligt.
Jeg forslog at fjernede deres administrator rettigheder, og efter dette
er der nu kun hardware problemer tilbage!!
> Jeg tror jeg vil arbejde videre med Citrix og få den op at kører så de kan
> koble på via webinterface.
Du flytter problemstillingen ind på dit Citrix miljø.
Hvad nu hvis en bruger får virus på Citrix serveren?
| |
Christian E. Lysel (29-03-2007)
| Kommentar Fra : Christian E. Lysel |
Dato : 29-03-07 16:49 |
|
On Thu, 2007-03-29 at 15:44 +0200, Andreas Lorensen wrote:
> Ja Citrix eller Terminal servere er bare en god løsning og fjerner mange
> problemer.
Hvilke problemer fjerne de?
| |
Christian E. Lysel (30-03-2007)
| Kommentar Fra : Christian E. Lysel |
Dato : 30-03-07 07:27 |
|
On Thu, 2007-03-29 at 20:58 +0200, Andreas Lorensen wrote:
> > Hvilke problemer fjerne de?
> >
>
> Det primære er at afviklingen af applikationer vil ske i et
> forhåbentligt kontrolleret miljø.
En virus der udnytter en fejl i en tilladt applikation, ser vel ingen
forskel i om det er en citrix server eller en PC?
> At opkobling fra fjern-computere kan ske på en let og uproblematisk
> måde, og selv fra computere man ikke har kontrol over.
Jeg kan godt se det letter arbejdet for alle, men også for angriberen.
| |
Christian E. Lysel (30-03-2007)
| Kommentar Fra : Christian E. Lysel |
Dato : 30-03-07 08:00 |
|
On Thu, 2007-03-29 at 21:10 +0200, Andreas Lorensen wrote:
> Christian E. Lysel skrev:
> > Du flytter problemstillingen ind på dit Citrix miljø.
> >
> > Hvad nu hvis en bruger får virus på Citrix serveren?
>
> For det første er det muligt at kontrollere citrixserveren betydeligt
> bedre end en computer der er uden for rækkevide.
Der findes software til at administrere maskiner uden for rækkevide.
Novell ZENWorks gør et godt stykke arbejde, hvor du kan styre
fil/registeringsdatabase/bruger rettigheder, security policies og hvilke
processer der kan køres på maskinen.
> For det andet har brugere på en citrix vil normalt ikke have rettigheder
> til at køre andet end de programmer der er sat til rådighed for ham/hende.
Er det ikke blot en illusion?
Jeg høre argument jeg tit, selv fra Citrix folk.
Men de Citrix server jeg har set, var det intet problem i at køre
programmer udover dem Citrix administratoren tillod.
Endvidere var det ikke svært at finde en kørende sessions profiler, og
bruge disse til at overtage sessioner, inkl. administratorens.
Men tænker du på Windows software restriction policies?
(Vi køre selv med software restriction policies på en terminal server,
men det er trist at se hvor nemt der at bryde ud af den)
(Det kan også være Citrix har lavet deres design bedre end da jeg
arbejdede med det).
> Antivirus, antispyware og overvågning af processer kan lettere
> administreres end hvis det skal gøres på computere uden for rækkevidde.
Det lyder flot...hvor hurtigt kunne i genkende regningen "fra tele2" i
sidste uge? (den var da godt nok en nitte for mange antivirus
producenter)
> Når brugeren surfer (via citrix) sker det altid via firmaets firewall og
> igen er dette lettere at administrere end hvis surfning sker på fjern
> computere hvor forbindelse og firewall ikke kan administreres i samme
> omfang.
Segmentere du Citrix serveren væk fra dit interne netværk i din
firewall, eller har en virus fuld adgang til det interne netværk.
Jeg har firewall regler i vpn routeren til de mobile bruger, der styre
hvilke resourcer de har adgang til. Dette er alt efter hvad de har brug
for adgang til.
> Når der arbejdes på dokumenter m.m. vil der ikke ligge lokale kopier på
> computeren når der logges af.
Vi bruger harddisk kryptering, således at folk kan arbejde når de ikke
er online.
> Jeg oplever helt sikkert at det er lettere at administrere få
> citrixservere end mange pc'ere. Og alene det at det er letter øger vel
> også sikkerheden.
Enig, hvis man ikke har værktøjet til de mange pc'er.
| |
Christian E. Lysel (31-03-2007)
| Kommentar Fra : Christian E. Lysel |
Dato : 31-03-07 08:42 |
|
On Fri, 2007-03-30 at 23:23 +0200, Andreas Lorensen wrote:
> > Men de Citrix server jeg har set, var det intet problem i at køre
> > programmer udover dem Citrix administratoren tillod.
> >
> Korrekt - samme problem som på eksterne computere - eller computere
> generelt.
Gør du noget ekstra for at løse det, eller vælger du at sige at brugerne
ikke har viden til at starte noget de ikke må, og ignorere en angriber?
Har Citrix virkelig ikke løst det problem?
Jeg havde en kunde, der havde en brugers VPN profil, vpn brugernavn, vpn
password, citrix brugernavn og citrix password, liggende på et website
for angribere....sværere er det ikke for mange angriber at få adgang til
en installation når det er lykkes for den første angriber.
Brugeren kunne komme på installationen via sin egen private PC, og
interesserede sig ikke for sikkerhed.
> > Det lyder flot...hvor hurtigt kunne i genkende regningen "fra tele2" i
> > sidste uge? (den var da godt nok en nitte for mange antivirus
> > producenter)
> Den blev frasorteret i spamfilteret længe før den blev nævnt i mdier
> eller på sikkerhedssites. Men den blev ikke sorteret fra pga sikkerhed -
> men pga spam.
:)
> > Jeg har firewall regler i vpn routeren til de mobile bruger, der styre
> > hvilke resourcer de har adgang til. Dette er alt efter hvad de har brug
> > for adgang til.
>
> Citrix serverne har samme adgang som en PC'er har på lokalnetværket til
> lokale resourser.
> > Vi bruger harddisk kryptering, således at folk kan arbejde når de ikke
> > er online.
> Hvilket jo er smart ;) men også giver anledning til fil-forvirring.
Nej, de ligger samme sted, offline folders....de er måske forvirret over
hvordan man syncer offline folders.
> Jeg har brugere der forventer at de efter at have været på en computer
> selvfølgelig kan fortsætte arbejdet fra en anden.
Det skal en Citrix server nok hjælpe på.
| |
|
|