luuk Geschrieben 26. Januar 2013 Geschrieben 26. Januar 2013 (bearbeitet) Hallo Leute, bei uns in der Firma nutzen wir mehrere Terminalserver + Citrix Umgebung. Auf den Terminalservern ist Trend Micro Office Scan 10.6 installiert. Die User benutzen Thin Clients um unter anderem im Internet zu Surfen. Wie kann ich das Surfen sicherer machen ? - Browser in einem Sandbox Modus laufen lassen? (z.B. Sanboxie) Bin für jeder Idee/Anregung etc. dankbar. Mit freundlichen Grüßen Luuk Bearbeitet 26. Januar 2013 von luuk Zitieren
Wuwu Geschrieben 26. Januar 2013 Geschrieben 26. Januar 2013 Den Usern eintrichtern beim Surfen ihr Hirn einzuschalten ist wohl die effektivste Zusatzmassnahme. Zitieren
luuk Geschrieben 26. Januar 2013 Autor Geschrieben 26. Januar 2013 Ja da hast du vollkommen Recht. In der Praxis sieht das leider anders aus und deswegen wollte ich halt wissen was man noch so machen könnte?! Zitieren
Wuwu Geschrieben 26. Januar 2013 Geschrieben 26. Januar 2013 Anwenderschulung, in denen man den Leuten durchaus beibringen kann ihr Hirn auch einzuschalten. Hat bisher auch jedes Unternehmen gemacht fuer das ich gearbeitet habe (ja auch bei technisch fittem Personal). Zitieren
Eye-Q Geschrieben 26. Januar 2013 Geschrieben 26. Januar 2013 Alternativ eine ordentliche Hardware-Firewall (Cisco ASA, Sophos UTM, Watchguard, wasauchimmer) anschaffen, die dann als (transparenter) Proxy fungiert und den Webtraffic filtert. Da kann man sehr viel schon von vornherein komplett blocken, so dass gefährliche Seiten gar nicht erst angesurft werden können. Da sollte man natürlich Ahnung von haben, also mal eben anschaffen und einrichten ist da nicht. Wenn die Kenntnisse nicht da sind, eben jemanden holen, der sich damit auskennt oder eine entsprechende Schulung machen. Zitieren
luuk Geschrieben 27. Januar 2013 Autor Geschrieben 27. Januar 2013 Danke euch schonmal für die Antworten. Was haltet ihr den davon den Browser in einer Sandbox zu starten ??? Zitieren
uenetz Geschrieben 27. Januar 2013 Geschrieben 27. Januar 2013 oder ... Was haltet Ihr davon Linux zu nutzen beim Zugriff auf Webdienste (www, ftp, mail) ? Zitieren
lupo49 Geschrieben 27. Januar 2013 Geschrieben 27. Januar 2013 Wie soll das denn gehen mit der Sandbox? Willst du irgendeine Drittanbieter Sandbox-Lösung in dein Citrix reinwurschteln und hoffen das dann noch alles geht? Imho hat Citrix so etwas schon an Board: AIE (Application Isolation Environment). Zitieren
Gribok Geschrieben 27. Januar 2013 Geschrieben 27. Januar 2013 Brain.exe - Die Rundumlsung fr viele Probleme Schützt gegen alle Viren und anderen Verbrechern! Zitieren
Guybrush Threepwood Geschrieben 28. Januar 2013 Geschrieben 28. Januar 2013 Brain.exe - Die Rundumlsung fr viele Probleme Schützt gegen alle Viren und anderen Verbrechern! Ich hoffe mal das du das so meinst das die Leute mit Köpfchen anständige Antivirenschutzlösungen verwenden und nicht meinen das sie Schlau genug währen und sowas nicht bräuchten Zitieren
CologneHC Geschrieben 22. Februar 2013 Geschrieben 22. Februar 2013 Ich hoffe mal das du das so meinst das die Leute mit Köpfchen anständige Antivirenschutzlösungen verwenden und nicht meinen das sie Schlau genug währen und sowas nicht bräuchten Leider gibt es keine anständige Antivirenschutzlösungen und keinen Schutz gegen Viren. Gut gecryptete Schadsoftware wird von keinem Anti-Viren-Programm gefunden ... und wenn erst einige Tage zuspät. Zur eigentlichen Frage: Was verstehst du unter sicher? Wenn ich dich richtig verstehe meinst du damit, das System gegen Angriffe schützen, die durchs surfen im Netz entstehen können z.b. Drive-Bys, ... Mein Lösungsvorschlag: - Wirtsystem Linux (kann auch Windows sein wenn es muss) - Darauf VirtualBox/VMWare installieren - Dann dort eine virtuelle Maschine einrichten - Für die VM nur ein- und ausgehenden Traffic erlauben, der auch gewünscht ist (z.B. Port 80,443,25,...) - In der VM Sandboxie installieren - Den Browser in der Sandbox starten und lossurfen Sollte das System dann gehackt werden befindet sich der Angreifer erstmal nur in der Sandbox. Sollte er es dort rausschaffen hat er nur Zugriff auf die VM. Ich denke für den "normalen" User ist das Konzept sicher genug und vielleicht schon ein wenig übertrieben. Zitieren
gewünschter_Benutzername Geschrieben 22. Februar 2013 Geschrieben 22. Februar 2013 Was spricht gegen einen guten alten Proxy? Ich habe gerade mit Squid sehr interessante versuche unternommen. Zitieren
Guybrush Threepwood Geschrieben 26. Februar 2013 Geschrieben 26. Februar 2013 Leider gibt es keine anständige Antivirenschutzlösungen und keinen Schutz gegen Viren. Gut gecryptete Schadsoftware wird von keinem Anti-Viren-Programm gefunden ... und wenn erst einige Tage zuspät. Was auch immer "gut gecryptete Schadsoftware" ist hast du damit recht das keine Antivirensoftware alles findet und vorallem neue Viren erst nach einiger Zeit erkannt werden (richtig professionelle erst nach Jahren oder evtl gar nicht). Das heißt aber trotzdem nicht das man genauso gut auch auf Virenscanner verzichten kann. Zitieren
GoaSkin Geschrieben 26. Februar 2013 Geschrieben 26. Februar 2013 (bearbeitet) Alternativ eine ordentliche Hardware-Firewall (Cisco ASA, Sophos UTM, Watchguard, wasauchimmer) anschaffen, die dann als (transparenter) Proxy fungiert und den Webtraffic filtert. Da kann man sehr viel schon von vornherein komplett blocken, so dass gefährliche Seiten gar nicht erst angesurft werden können. Da sollte man natürlich Ahnung von haben, also mal eben anschaffen und einrichten ist da nicht. Wenn die Kenntnisse nicht da sind, eben jemanden holen, der sich damit auskennt oder eine entsprechende Schulung machen. Eben... und wer auch immer das Ding auch konfiguriert, der muss seine Ahnung auch ehrlich einschätzen können. Es handelt sich schließlich nicht um ein Gerät, das nur funktioniert, wenn man alles richtig gemacht hat. Funktionieren tut es immer, nur bringen tut es nichts, wenn man es falsch konfiguriert. Was spricht gegen einen guten alten Proxy? Ich habe gerade mit Squid sehr interessante versuche unternommen. Man kann mit einem Proxy zwar leicht Seiten sperren und bis zu einem gewissen Grad auch fragwürdige Seiten anhand von Schlüsselwörtern oder Javascript-Code-Mustern sperren, jedoch gibt es täglich neue Schad-Software und Skripte auf den Seiten, die sie über Exploits verteilen. Man muss sich ständig informieren, was es für neue Malware gibt und am Proxy herum basteln. Das kann man sich zeitlich wohl eher nicht leisten. Die einzige wirklich sichere Variante ist es, Internet-Zugang nur über eine virtuelle Maschine zu ermöglichen und dabei bei jedem Start mittels Vorlage den Ursprungszustand wieder herzustellen. Bearbeitet 26. Februar 2013 von GoaSkin Zitieren
Guybrush Threepwood Geschrieben 26. Februar 2013 Geschrieben 26. Februar 2013 Die einzige wirklich sichere Variante ist es, Internet-Zugang nur über eine virtuelle Maschine zu ermöglichen und dabei bei jedem Start mittels Vorlage den Ursprungszustand wieder herzustellen. Wirklich sicher ist das auch nicht da es auch Schadsoftware gibt die aus virtuellen Maschinen ausbrechen kann und wenn man was runterlädt dann muss man es ja auch zum Hauptsystem transferieren wenn man es da verwende will und könnte so auch schadsoftware einschleusen. Genauso bringt auch ein Proxy der dubiose Seiten ausfiltern wenig wenn man sich Schadsoftware auf bekannten Seiten einfängt die kompromitiert wurden. Kurz gesagt muss man für sich persönlich das richtige Maß an Aufwand den man bereit ist zu betrieben und Sicherheit die man möchte finden. 100% Sicherheit gibt es leider nicht, es sei denn man lässt den PC aus. Zitieren
gewünschter_Benutzername Geschrieben 26. Februar 2013 Geschrieben 26. Februar 2013 Man kann mit einem Proxy zwar leicht Seiten sperren und bis zu einem gewissen Grad auch fragwürdige Seiten anhand von Schlüsselwörtern oder Javascript-Code-Mustern sperren, jedoch gibt es täglich neue Schad-Software und Skripte auf den Seiten, die sie über Exploits verteilen. Man muss sich ständig informieren, was es für neue Malware gibt und am Proxy herum basteln. Das kann man sich zeitlich wohl eher nicht leisten.Mein Proxy lauft unter meinen Benutzer und am Pc lauft eine AV Software. Somit scannt die AV Software alles was über den Proxy lauft. Zitieren
flashpixx Geschrieben 26. Februar 2013 Geschrieben 26. Februar 2013 Kurz gesagt muss man für sich persönlich das richtige Maß an Aufwand den man bereit ist zu betrieben und Sicherheit die man möchte finden. 100% Sicherheit gibt es leider nicht, es sei denn man lässt den PC aus. Dazu schließe ich mich mal an mit: transparenten Proxy inkl Content Filter & AV Lösung Firewall entsprechend konfigurieren (Ports entsprechend erlauben z.B. Sperrung von Port 25 Outbound verhindert z.B. von Programmen ungefragt Mails aus dem LAN zu senden) Black- / Whitelisting von IP-Ranges & Domains für Proxy & Firewall Mailserver so einrichten, dass dieser schon nicht korrekt gesendete Mails bzw verbotene Anhänge abweist Signatur- und Systemupdates entsprechend aktuell halten entsprechende Benutzer- & Gruppenstrukturen mit passenden Rechten verwenden entsprechende Zugriffe auf das System verbieten (z.B. USB Sticks / VLAN mit Accessregeln) Netze durch entsprechende Routing ACLs absichern 100%igen Schutz gibt es nicht und wenn eben die Gefahr der Anwender besteht, dann muss sich die IT Abteilung ein sinnvolles Konzept zur Absicherung überlegen. Mail, Proxy & Firewall an zentraler Stelle erschlagen sehr viel, sie müssen eben nur richtig konfiguriert sein. Zitieren
Nukolar Geschrieben 27. Februar 2013 Geschrieben 27. Februar 2013 Cisco IronPort Web Security Appliance (Webproxy). Er filtert ungewünschte Seiten anhand von Kriterien aus (Hacking, Porn etc). Ebenfalls kann man dort Seitenaurufe mit einer schlechten "Reputation" unterbinden. Der Reputationswert wird nicht von dem Admin oder der WSA ermittelt, sondern von einer externen Stelle (senderbase.org). Auf der Seite sieht man dann auch warum die Seite geblockt wird (z.B. wenn die Webseite auf der CBL Block Liste steht). Man kann dort auch recht granular sein. Z.B. Blocke Seite XY nur, wenn Reputationswert unter Wert X ist. In Verbindung mit einer ASA ist z.B. auch WCCP möglich, dass heisst wenn jemand keine Proxysettings eingestellt hat, wird er durch WCCP trotzdem über den Proxy umgeleitet. Zitieren
gewünschter_Benutzername Geschrieben 28. Februar 2013 Geschrieben 28. Februar 2013 Naja weit was man meistens für solche Filter zahlt? Das problem ist wenn man sich ne grosse Kiste hinstellt (zb wegen den VPN Tunnel) brennt man ordentlich für den AV Schutz/ Content Filter da ist es billiger wenn man paar Chinesen anstellt die jedes Bit manuell Checken.... Zitieren
flashpixx Geschrieben 28. Februar 2013 Geschrieben 28. Februar 2013 Naja weit was man meistens für solche Filter zahlt? Squid squidGuard ClamAV gib es für jede Linuxdistro, d.h. die Kosten die entstehen ist der Rechner & Administration / Installation. Gerade Squid kann durchaus mit anderen Lösungen mithalten. Für Squidguard gibt es auch die entsprechenden Listen frei zugänglich und ggf existiert schon eine AV Lösung, die man dann nur an Squid anbinden muss. Zitieren
XspYroX Geschrieben 28. Februar 2013 Geschrieben 28. Februar 2013 Ich mach es mal kurz, da ich die Beiträge davor nur überflogen habe - Proxy erzwingen, der eine Blacklist benutzt - User ohne Adminrechte ausstatten - Browser, wenn es die Technik zulässt, in einer Sandbox ausführen lassen - Je nachdem, wie viel die User surfen "müssen" kansnt du im Browser auch noch den Flashplayer deaktivieren bzw. Firefox bietet, meine ich, eine Methode an, bei der das Plugin für jede Seite per Hand aktiviert werden muss. Sowas wäre zu empfehlen. Hilft aber alles nicht 100%-ig, ein Kollege hat sich gestern auch den BKA-Trojaner eingefangen, einfach durch Javscript und das anklicken eines bösen links in den google-suchergebnissen (er hat nach nichts bösem gesucht). Kann also jeden Treffen. Bei Firewall und Antivirensoftware ..hmm... musst du entscheiden. Ne Firewall verhindert ja nicht, dass die per Javascript ein Virus untergejubelt wird, weil du dem Webbrowser ja per se die rechte gibts verbindungen zu webseiten aufzubauen. Solange der Virus nicht versucht mit dem Internet zu kommunizieren, greift die firewall nicht. Wichtig wäre auf jeden Fall den Usern zu erklären, was sie im Falle eines Befalles tun (also NICHT per UCash bezahlen und NICHTS anklicken) LG XspYroX Zitieren
gewünschter_Benutzername Geschrieben 28. Februar 2013 Geschrieben 28. Februar 2013 Squid squidGuard ClamAVIch spreche von den Filter die auf einen Router laufen! Wie bereits mehrfach erwähnt lass ich meinen Squid mit Beutzerrechten laufen und dann Scannt der Kaspersky auch alles schön brav. Das teil kostet 29,90€ im Jahr. Man kann die "Virus Gefunden" Seite anpassen weil es "nur" eine HTML Datei ist. Bei mir funktioniert das so gut das man keinen unterschied mehr Sieht ob die Seite vom Squid oder vom Kasperky kommt. Hilft aber alles nicht 100%-ig, ein Kollege hat sich gestern auch den BKA-Trojaner eingefangen, einfach durch Javscript und das anklicken eines bösen links in den google-suchergebnissen (er hat nach nichts bösem gesucht).Dann hat er keinen (guten) AV oben gehabt. Zitieren
flashpixx Geschrieben 28. Februar 2013 Geschrieben 28. Februar 2013 Ich spreche von den Filter die auf einen Router laufen! Ein Router läuft auf OSI Schicht 3, Squid auf 5-7. Wie kann also ein Router auf Schicht 5-7 arbeiten? Ich gehe mal davon aus, dass bei einem solchen vorhaben nicht die T-Kom-Billig-Routerbox für 29,90€ eingesetzt wird, ebenso dass eine DMZ und entsprechende Systeme im LAN benutzt werden und nicht der eierlegende Wollmilchserver, der dann AD, Mail, Proxy etc in einem fährt Zitieren
gewünschter_Benutzername Geschrieben 28. Februar 2013 Geschrieben 28. Februar 2013 Ich spreche von den Business Router von den bekannten grossen Herstellern die Contentfilter, AV,.. drinnen haben. Da zahlt man schnell mal für eine Lizenz für 1Jahr mehr als was das Kastl kostet. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.