Zum Inhalt springen

Internet surfen sicherer machen


Empfohlene Beiträge

Geschrieben (bearbeitet)

Hallo Leute,

bei uns in der Firma nutzen wir mehrere Terminalserver + Citrix Umgebung.

Auf den Terminalservern ist Trend Micro Office Scan 10.6 installiert.

Die User benutzen Thin Clients um unter anderem im Internet zu Surfen.

Wie kann ich das Surfen sicherer machen ?

- Browser in einem Sandbox Modus laufen lassen? (z.B. Sanboxie)

Bin für jeder Idee/Anregung etc. dankbar.

Mit freundlichen Grüßen

Luuk

Bearbeitet von luuk
Geschrieben

Anwenderschulung, in denen man den Leuten durchaus beibringen kann ihr Hirn auch einzuschalten.

Hat bisher auch jedes Unternehmen gemacht fuer das ich gearbeitet habe (ja auch bei technisch fittem Personal).

Geschrieben

Alternativ eine ordentliche Hardware-Firewall (Cisco ASA, Sophos UTM, Watchguard, wasauchimmer) anschaffen, die dann als (transparenter) Proxy fungiert und den Webtraffic filtert. Da kann man sehr viel schon von vornherein komplett blocken, so dass gefährliche Seiten gar nicht erst angesurft werden können.

Da sollte man natürlich Ahnung von haben, also mal eben anschaffen und einrichten ist da nicht. Wenn die Kenntnisse nicht da sind, eben jemanden holen, der sich damit auskennt oder eine entsprechende Schulung machen.

Geschrieben

Wie soll das denn gehen mit der Sandbox? Willst du irgendeine Drittanbieter Sandbox-Lösung in dein Citrix reinwurschteln und hoffen das dann noch alles geht? Imho hat Citrix so etwas schon an Board: AIE (Application Isolation Environment).

  • 4 Wochen später...
Geschrieben
Ich hoffe mal das du das so meinst das die Leute mit Köpfchen anständige Antivirenschutzlösungen verwenden und nicht meinen das sie Schlau genug währen und sowas nicht bräuchten ;)

Leider gibt es keine anständige Antivirenschutzlösungen und keinen Schutz gegen Viren. Gut gecryptete Schadsoftware wird von keinem Anti-Viren-Programm gefunden ... und wenn erst einige Tage zuspät.

Zur eigentlichen Frage: Was verstehst du unter sicher?

Wenn ich dich richtig verstehe meinst du damit, das System gegen Angriffe schützen, die durchs surfen im Netz entstehen können z.b. Drive-Bys, ...

Mein Lösungsvorschlag:

- Wirtsystem Linux (kann auch Windows sein wenn es muss)

- Darauf VirtualBox/VMWare installieren

- Dann dort eine virtuelle Maschine einrichten

- Für die VM nur ein- und ausgehenden Traffic erlauben, der auch gewünscht ist (z.B. Port 80,443,25,...)

- In der VM Sandboxie installieren

- Den Browser in der Sandbox starten und lossurfen :)

Sollte das System dann gehackt werden befindet sich der Angreifer erstmal nur in der Sandbox.

Sollte er es dort rausschaffen hat er nur Zugriff auf die VM.

Ich denke für den "normalen" User ist das Konzept sicher genug und vielleicht schon ein wenig übertrieben.

Geschrieben
Leider gibt es keine anständige Antivirenschutzlösungen und keinen Schutz gegen Viren. Gut gecryptete Schadsoftware wird von keinem Anti-Viren-Programm gefunden ... und wenn erst einige Tage zuspät.

Was auch immer "gut gecryptete Schadsoftware" ist hast du damit recht das keine Antivirensoftware alles findet und vorallem neue Viren erst nach einiger Zeit erkannt werden (richtig professionelle erst nach Jahren oder evtl gar nicht). Das heißt aber trotzdem nicht das man genauso gut auch auf Virenscanner verzichten kann.

Geschrieben (bearbeitet)
Alternativ eine ordentliche Hardware-Firewall (Cisco ASA, Sophos UTM, Watchguard, wasauchimmer) anschaffen, die dann als (transparenter) Proxy fungiert und den Webtraffic filtert. Da kann man sehr viel schon von vornherein komplett blocken, so dass gefährliche Seiten gar nicht erst angesurft werden können.

Da sollte man natürlich Ahnung von haben, also mal eben anschaffen und einrichten ist da nicht. Wenn die Kenntnisse nicht da sind, eben jemanden holen, der sich damit auskennt oder eine entsprechende Schulung machen.

Eben... und wer auch immer das Ding auch konfiguriert, der muss seine Ahnung auch ehrlich einschätzen können. Es handelt sich schließlich nicht um ein Gerät, das nur funktioniert, wenn man alles richtig gemacht hat. Funktionieren tut es immer, nur bringen tut es nichts, wenn man es falsch konfiguriert.

Was spricht gegen einen guten alten Proxy?

Ich habe gerade mit Squid sehr interessante versuche unternommen.

Man kann mit einem Proxy zwar leicht Seiten sperren und bis zu einem gewissen Grad auch fragwürdige Seiten anhand von Schlüsselwörtern oder Javascript-Code-Mustern sperren, jedoch gibt es täglich neue Schad-Software und Skripte auf den Seiten, die sie über Exploits verteilen. Man muss sich ständig informieren, was es für neue Malware gibt und am Proxy herum basteln. Das kann man sich zeitlich wohl eher nicht leisten.

Die einzige wirklich sichere Variante ist es, Internet-Zugang nur über eine virtuelle Maschine zu ermöglichen und dabei bei jedem Start mittels Vorlage den Ursprungszustand wieder herzustellen.

Bearbeitet von GoaSkin
Geschrieben

Die einzige wirklich sichere Variante ist es, Internet-Zugang nur über eine virtuelle Maschine zu ermöglichen und dabei bei jedem Start mittels Vorlage den Ursprungszustand wieder herzustellen.

Wirklich sicher ist das auch nicht da es auch Schadsoftware gibt die aus virtuellen Maschinen ausbrechen kann und wenn man was runterlädt dann muss man es ja auch zum Hauptsystem transferieren wenn man es da verwende will und könnte so auch schadsoftware einschleusen.

Genauso bringt auch ein Proxy der dubiose Seiten ausfiltern wenig wenn man sich Schadsoftware auf bekannten Seiten einfängt die kompromitiert wurden.

Kurz gesagt muss man für sich persönlich das richtige Maß an Aufwand den man bereit ist zu betrieben und Sicherheit die man möchte finden. 100% Sicherheit gibt es leider nicht, es sei denn man lässt den PC aus.

Geschrieben
Man kann mit einem Proxy zwar leicht Seiten sperren und bis zu einem gewissen Grad auch fragwürdige Seiten anhand von Schlüsselwörtern oder Javascript-Code-Mustern sperren, jedoch gibt es täglich neue Schad-Software und Skripte auf den Seiten, die sie über Exploits verteilen. Man muss sich ständig informieren, was es für neue Malware gibt und am Proxy herum basteln. Das kann man sich zeitlich wohl eher nicht leisten.
Mein Proxy lauft unter meinen Benutzer und am Pc lauft eine AV Software. Somit scannt die AV Software alles was über den Proxy lauft.
Geschrieben

Kurz gesagt muss man für sich persönlich das richtige Maß an Aufwand den man bereit ist zu betrieben und Sicherheit die man möchte finden. 100% Sicherheit gibt es leider nicht, es sei denn man lässt den PC aus.

Dazu schließe ich mich mal an mit:

transparenten Proxy inkl Content Filter & AV Lösung

Firewall entsprechend konfigurieren (Ports entsprechend erlauben z.B. Sperrung von Port 25 Outbound verhindert z.B. von Programmen ungefragt Mails aus dem LAN zu senden)

Black- / Whitelisting von IP-Ranges & Domains für Proxy & Firewall

Mailserver so einrichten, dass dieser schon nicht korrekt gesendete Mails bzw verbotene Anhänge abweist

Signatur- und Systemupdates entsprechend aktuell halten

entsprechende Benutzer- & Gruppenstrukturen mit passenden Rechten verwenden

entsprechende Zugriffe auf das System verbieten (z.B. USB Sticks / VLAN mit Accessregeln)

Netze durch entsprechende Routing ACLs absichern

100%igen Schutz gibt es nicht und wenn eben die Gefahr der Anwender besteht, dann muss sich die IT Abteilung ein sinnvolles Konzept zur Absicherung überlegen. Mail, Proxy & Firewall an zentraler Stelle erschlagen sehr viel, sie müssen eben nur richtig konfiguriert sein.

Geschrieben

Cisco IronPort Web Security Appliance (Webproxy). Er filtert ungewünschte Seiten anhand von Kriterien aus (Hacking, Porn etc). Ebenfalls kann man dort Seitenaurufe mit einer schlechten "Reputation" unterbinden. Der Reputationswert wird nicht von dem Admin oder der WSA ermittelt, sondern von einer externen Stelle (senderbase.org). Auf der Seite sieht man dann auch warum die Seite geblockt wird (z.B. wenn die Webseite auf der CBL Block Liste steht). Man kann dort auch recht granular sein. Z.B. Blocke Seite XY nur, wenn Reputationswert unter Wert X ist.

In Verbindung mit einer ASA ist z.B. auch WCCP möglich, dass heisst wenn jemand keine Proxysettings eingestellt hat, wird er durch WCCP trotzdem über den Proxy umgeleitet.

Geschrieben
Naja weit was man meistens für solche Filter zahlt?

Squid

squidGuard

ClamAV

gib es für jede Linuxdistro, d.h. die Kosten die entstehen ist der Rechner & Administration / Installation. Gerade Squid kann durchaus mit anderen Lösungen mithalten. Für Squidguard gibt es auch die entsprechenden Listen frei zugänglich und ggf existiert schon eine AV Lösung, die man dann nur an Squid anbinden muss.

Geschrieben

Ich mach es mal kurz, da ich die Beiträge davor nur überflogen habe ;)

- Proxy erzwingen, der eine Blacklist benutzt

- User ohne Adminrechte ausstatten

- Browser, wenn es die Technik zulässt, in einer Sandbox ausführen lassen

- Je nachdem, wie viel die User surfen "müssen" kansnt du im Browser auch noch den Flashplayer deaktivieren bzw. Firefox bietet, meine ich, eine Methode an, bei der das Plugin für jede Seite per Hand aktiviert werden muss. Sowas wäre zu empfehlen.

Hilft aber alles nicht 100%-ig, ein Kollege hat sich gestern auch den BKA-Trojaner eingefangen, einfach durch Javscript und das anklicken eines bösen links in den google-suchergebnissen (er hat nach nichts bösem gesucht).

Kann also jeden Treffen.

Bei Firewall und Antivirensoftware ..hmm... musst du entscheiden.

Ne Firewall verhindert ja nicht, dass die per Javascript ein Virus untergejubelt wird, weil du dem Webbrowser ja per se die rechte gibts verbindungen zu webseiten aufzubauen.

Solange der Virus nicht versucht mit dem Internet zu kommunizieren, greift die firewall nicht.

Wichtig wäre auf jeden Fall den Usern zu erklären, was sie im Falle eines Befalles tun (also NICHT per UCash bezahlen und NICHTS anklicken) ;)

LG XspYroX

Geschrieben
Ich spreche von den Filter die auf einen Router laufen!

Wie bereits mehrfach erwähnt lass ich meinen Squid mit Beutzerrechten laufen und dann Scannt der Kaspersky auch alles schön brav.

Das teil kostet 29,90€ im Jahr. Man kann die "Virus Gefunden" Seite anpassen weil es "nur" eine HTML Datei ist. Bei mir funktioniert das so gut das man keinen unterschied mehr Sieht ob die Seite vom Squid oder vom Kasperky kommt.

Hilft aber alles nicht 100%-ig, ein Kollege hat sich gestern auch den BKA-Trojaner eingefangen, einfach durch Javscript und das anklicken eines bösen links in den google-suchergebnissen (er hat nach nichts bösem gesucht).
Dann hat er keinen (guten) AV oben gehabt.
Geschrieben
Ich spreche von den Filter die auf einen Router laufen!

Ein Router läuft auf OSI Schicht 3, Squid auf 5-7. Wie kann also ein Router auf Schicht 5-7 arbeiten?

Ich gehe mal davon aus, dass bei einem solchen vorhaben nicht die T-Kom-Billig-Routerbox für 29,90€ eingesetzt wird, ebenso dass eine DMZ und entsprechende Systeme im LAN benutzt werden und nicht der eierlegende Wollmilchserver, der dann AD, Mail, Proxy etc in einem fährt

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...