Ich betreue eine Firma mit vielen Aussendienstlern. Die nehmen und bringen häufig Daten auf USB-Sticks von und zu Kunden. Erzeit stecken sie diese Sticks jeweils direkt in ihre Abreitsplatz-PCs, mit dem entsprechenden Risiko. Wenn ich die USB-Buchsen per Software lahmlege, ist großes Geschrei - das geht also nicht. Ich stelle mir also vor, dass man einen speziellen Rechner (z.B. unter einem "gehärteten" Linux) im Netz, gut zugänglich (z.B. in der Nähe des zentralen Kopierers) so ausrüstet, dass die (Speicher-) Sticks dort angesteckt werden können. Z.B. an einem robusten Panel mit mehreren nummerierten USB-Buchsen. Die Mitarbeiter haben danach per Netzwerk an ihrem Win-PC unter einer Adresse, die irgendwie mit den Portnummern zusammenhängt (z.B. virtuelle Ordner), schreibenden und lesenden Zugriff auf "ihren" Stick. Durch die Entkopplung vom Win-Netzerk verspreche ich mir einen gewissen Zuwachs an Sicherheit. Programme dürfen die Leute sowieso nicht installieren ... Gibts sowas als Projekt irgendwie fertig?
:
Bearbeitet durch User
Frank E. schrieb: > Ich betreue eine Firma mit vielen Aussendienstlern. Die nehmen und > bringen häufig Daten auf USB-Sticks von und zu Kunden. ?! Und stecken den USB-Stick dann in den Kunden-PC? Würde ich unterbinden und denen einen Laptop mitgeben.
Das Linux müsstest du nichtmal besonders "härten" - m.W. gibt es keine
Attacke, die von normalen USB-Speichersticks aus Linux angreifen könnte.
Ein Stick könnte sich als Tastatur ausgeben und Kommandos eingeben - das
könntest du unterbinden, indem einfach nie jemand eingeloggt ist und das
System "headless" läuft. Gegen solche fiesen Sticks die einfach nur eine
Hochspannung produzieren um den Host Controller zu grillen hilft das
natürlich nicht.
Du sorgst dafür dass Sticks vom Linux automatisch gemountet werden (z.B.
per udev rules, oder über vorgegebene Pakete), und gibst den Zielordner
per HTTP/WebDav frei (Apache kann das). Da kann man dann von Windows per
Explorer drauf zugreifen ("Netzlaufwerk"). Per .htaccess o.ä. verbietest
du den Zugriff auf alle *.exe , *.dll , *.scr , *.inf, *.com, *.cmd,
*.ps1 und "autorun*" Dateien (hab ich welche vergessen?). Dann kann man
sich kaum noch was einfangen. Am besten noch gleich Office-Dokumente
verbieten (wegen Makros) aber da haben die Leute bestimmt was gegen. Und
natürlich automatische Updates auf den Arbeitsplatzrechnern aktivieren,
um immer aktuellen Schutz gegen Sicherheitslücken zu haben. Das ganze
ginge auch auf einem Raspberry-PI, davon kannst du dann einen pro Büro
vorsehen oder so. Es gibt aber auch Software, welche Windows-PC's vor
USB-Attacken schützt - das wäre am Einfachsten (ggf. teuer).
Die Sticks automatisch zu mounten ist eine Sache. Aber kriegst du die Anwender dazu, die Sticks immer explizit zu unmounten, bevor sie sie wieder rausrupfen?
A. K. schrieb: > Aber kriegst du die > Anwender dazu, die Sticks immer explizit zu unmounten, bevor sie sie > wieder rausrupfen? Man könnte was mit SSH oder ner einfachen Web Oberfläche basteln. Oder "Eject"-Knöpfen am "USB-Server" (hier hat der R-PI dank GPIO-Pins einen Vorteil). Und man sollte sowieso immer mit "sync,dirsync" mounten. Ob die Leute jetzt an ihrem PC nicht ordentlich auswerfen oder am Server ist jetzt auch nicht der große Unterschied. Die merken's spätestens, wenn beim Kunden der Stick nicht geht ;-) Man könnte natürlich auch einen übers Internet zugänglichen Fileserver einrichten, über den man sich mit dem Kunden austauscht... USB-Sticks sind ja generell nicht so das beste Medium (gehen kaputt, verloren, gestohlen).
A. K. schrieb: > Die Sticks automatisch zu mounten ist eine Sache. Aber kriegst du > die > Anwender dazu, die Sticks immer explizit zu unmounten, bevor sie sie > wieder rausrupfen? Das wäre ja ein richtiges Hardware-Projekt. Die Sticks irgendwie mechanisch verriegeln (über die Löcher oben im Stecker?) und erst nach Tastendruck am Server unmounten und dann mechan. freigeben ...
Dr. Sommer schrieb: > Man könnte natürlich auch einen übers Internet zugänglichen Fileserver > einrichten, über den man sich mit dem Kunden austauscht... Könnte der sinnvollere Ansatz sein. > USB-Sticks > sind ja generell nicht so das beste Medium (gehen kaputt, verloren, > gestohlen). Oder man gerät an einen Kunden, dessen Sicherheitsbewusstsein mindestens ebenso gut ausgeprägt ist, und der fremde Medien sowieso nicht an seine Rechner lässt.
A. K. schrieb: > Die Sticks automatisch zu mounten ist eine Sache. Aber kriegst du die > Anwender dazu, die Sticks immer explizit zu unmounten, bevor sie sie > wieder rausrupfen? nein. man muss davon ausgehen das die anwender DAU's sind, deswegen sync als option beim mounten. die maulen dann zwar, dass "das system" langsam ist, aber einen tod muss man sterben. Dr. Sommer schrieb: > Per .htaccess o.ä. verbietest > du den Zugriff auf alle *.exe , *.dll , *.scr , *.inf, *.com, *.cmd, > *.ps1 und "autorun*" Dateien (hab ich welche vergessen?). ja hast du. https://hackerone.com/reports/282628 eigentlich sollten anwender gar keine dateien öffnen dürfen ^^
Dr. Sommer schrieb: > ist jetzt auch nicht der große Unterschied. Die merken's spätestens, > wenn beim Kunden der Stick nicht geht ;-) Wetten, dass sie sich dann nicht selbst die Schuld geben, sondern der Firmenlösung? "Wo das doch überall problemlos geht, nur bei uns muss natürlich...".
A. K. schrieb: > Wetten, dass sie sich dann nicht selbst die Schuld geben, sondern der > Firmenlösung? "Wo das doch überall problemlos geht, nur bei uns muss > natürlich...". Das Los der IT. Also, zu mir sind schon Freunde gekommen wegen kaputten USB-Sticks und SD-Karten weil nicht korrekt ausgeworfen (unter Windows, ohne Server-Lösung). Der Lerneffekt scheint sich einzustellen wenn alle Urlaubsfotos weg sind...
c.m. schrieb: > ja hast du. https://hackerone.com/reports/282628 Sicher ist nur der Tod. In Mails werden Schädlinge gerne in ZIPs verpackt, damit man es nicht gleich sieht. Du kannst Daten verteilen und dick und fett "Schädling, nicht öffnen" drauf schreiben und trotzdem werden manche Leute es tun. Sogar ein IT Kollege hat das mal auf seinem Arbeitsplatzrechner mit der Begründung gemacht, er wolle nur mal sehen, was dann passiert (auf einem netzfreien nachher geplätteten PC darf er das gerne machen [*]). *: Seit sich die Löchersucher auf Intels ME eingeschossen haben, müsste man das "plätten" wohl wörtlich nehmen, und auf Hardware in Form einer Hydraulikpresse setzen, statt auf Software.
:
Bearbeitet durch User
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.