mikrocontroller.net

Forum: PC Hard- und Software "USB-Server" gesucht sinnvoll?


Autor: Frank Esselbach (Firma: Q3) (qualidat)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich betreue eine Firma mit vielen Aussendienstlern. Die nehmen und 
bringen häufig Daten auf USB-Sticks von und zu Kunden. Erzeit stecken 
sie diese Sticks jeweils direkt in ihre Abreitsplatz-PCs, mit dem 
entsprechenden Risiko. Wenn ich die USB-Buchsen per Software lahmlege, 
ist großes Geschrei - das geht also nicht.

Ich stelle mir also vor, dass man einen speziellen Rechner (z.B. unter 
einem "gehärteten" Linux) im Netz, gut zugänglich (z.B. in der Nähe des 
zentralen Kopierers) so ausrüstet, dass die (Speicher-) Sticks dort 
angesteckt werden können. Z.B. an einem robusten Panel mit mehreren 
nummerierten USB-Buchsen. Die Mitarbeiter haben danach per Netzwerk an 
ihrem Win-PC unter einer Adresse, die irgendwie mit den Portnummern 
zusammenhängt (z.B. virtuelle Ordner), schreibenden und lesenden Zugriff 
auf "ihren" Stick.

Durch die Entkopplung vom Win-Netzerk verspreche ich mir einen gewissen 
Zuwachs an Sicherheit. Programme dürfen die Leute sowieso nicht 
installieren ...

Gibts sowas als Projekt irgendwie fertig?

: Bearbeitet durch User
Autor: Schreiber (Gast)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Frank E. schrieb:
> Ich betreue eine Firma mit vielen Aussendienstlern. Die nehmen und
> bringen häufig Daten auf USB-Sticks von und zu Kunden.

?!
Und stecken den USB-Stick dann in den Kunden-PC?
Würde ich unterbinden und denen einen Laptop mitgeben.

Autor: Dr. Sommer (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Das Linux müsstest du nichtmal besonders "härten" - m.W. gibt es keine 
Attacke, die von normalen USB-Speichersticks aus Linux angreifen könnte. 
Ein Stick könnte sich als Tastatur ausgeben und Kommandos eingeben - das 
könntest du unterbinden, indem einfach nie jemand eingeloggt ist und das 
System "headless" läuft. Gegen solche fiesen Sticks die einfach nur eine 
Hochspannung produzieren um den Host Controller zu grillen hilft das 
natürlich nicht.

Du sorgst dafür dass Sticks vom Linux automatisch gemountet werden (z.B. 
per udev rules, oder über vorgegebene Pakete), und gibst den Zielordner 
per HTTP/WebDav frei (Apache kann das). Da kann man dann von Windows per 
Explorer drauf zugreifen ("Netzlaufwerk"). Per .htaccess o.ä. verbietest 
du den Zugriff auf alle *.exe , *.dll , *.scr , *.inf, *.com, *.cmd, 
*.ps1 und "autorun*" Dateien (hab ich welche vergessen?). Dann kann man 
sich kaum noch was einfangen. Am besten noch gleich Office-Dokumente 
verbieten (wegen Makros) aber da haben die Leute bestimmt was gegen. Und 
natürlich automatische Updates auf den Arbeitsplatzrechnern aktivieren, 
um immer aktuellen Schutz gegen Sicherheitslücken zu haben. Das ganze 
ginge auch auf einem Raspberry-PI, davon kannst du dann einen pro Büro 
vorsehen oder so. Es gibt aber auch Software, welche Windows-PC's vor 
USB-Attacken schützt - das wäre am Einfachsten (ggf. teuer).

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Die Sticks automatisch zu mounten ist eine Sache. Aber kriegst du die 
Anwender dazu, die Sticks immer explizit zu unmounten, bevor sie sie 
wieder rausrupfen?

Autor: Dr. Sommer (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Aber kriegst du die
> Anwender dazu, die Sticks immer explizit zu unmounten, bevor sie sie
> wieder rausrupfen?
Man könnte was mit SSH oder ner einfachen Web Oberfläche basteln. Oder 
"Eject"-Knöpfen am "USB-Server" (hier hat der R-PI dank GPIO-Pins einen 
Vorteil). Und man sollte sowieso immer mit "sync,dirsync" mounten. Ob 
die Leute jetzt an ihrem PC nicht ordentlich auswerfen oder am Server 
ist jetzt auch nicht der große Unterschied. Die merken's spätestens, 
wenn beim Kunden der Stick nicht geht ;-)
Man könnte natürlich auch einen übers Internet zugänglichen Fileserver 
einrichten, über den man sich mit dem Kunden austauscht... USB-Sticks 
sind ja generell nicht so das beste Medium (gehen kaputt, verloren, 
gestohlen).

Autor: Frank Esselbach (Firma: Q3) (qualidat)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
A. K. schrieb:
> Die Sticks automatisch zu mounten ist eine Sache. Aber kriegst du
> die
> Anwender dazu, die Sticks immer explizit zu unmounten, bevor sie sie
> wieder rausrupfen?

Das wäre ja ein richtiges Hardware-Projekt. Die Sticks irgendwie 
mechanisch verriegeln (über die Löcher oben im Stecker?) und erst nach 
Tastendruck am Server unmounten und dann mechan. freigeben ...

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Dr. Sommer schrieb:
> Man könnte natürlich auch einen übers Internet zugänglichen Fileserver
> einrichten, über den man sich mit dem Kunden austauscht...

Könnte der sinnvollere Ansatz sein.

> USB-Sticks
> sind ja generell nicht so das beste Medium (gehen kaputt, verloren,
> gestohlen).

Oder man gerät an einen Kunden, dessen Sicherheitsbewusstsein mindestens 
ebenso gut ausgeprägt ist, und der fremde Medien sowieso nicht an seine 
Rechner lässt.

Autor: c.m. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Die Sticks automatisch zu mounten ist eine Sache. Aber kriegst du die
> Anwender dazu, die Sticks immer explizit zu unmounten, bevor sie sie
> wieder rausrupfen?

nein. man muss davon ausgehen das die anwender DAU's sind, deswegen sync 
als option beim mounten.
die maulen dann zwar, dass "das system" langsam ist, aber einen tod muss 
man sterben.


Dr. Sommer schrieb:
> Per .htaccess o.ä. verbietest
> du den Zugriff auf alle *.exe , *.dll , *.scr , *.inf, *.com, *.cmd,
> *.ps1 und "autorun*" Dateien (hab ich welche vergessen?).

ja hast du.
https://hackerone.com/reports/282628

eigentlich sollten anwender gar keine dateien öffnen dürfen ^^

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Dr. Sommer schrieb:
> ist jetzt auch nicht der große Unterschied. Die merken's spätestens,
> wenn beim Kunden der Stick nicht geht ;-)

Wetten, dass sie sich dann nicht selbst die Schuld geben, sondern der 
Firmenlösung? "Wo das doch überall problemlos geht, nur bei uns muss 
natürlich...".

Autor: Dr. Sommer (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
A. K. schrieb:
> Wetten, dass sie sich dann nicht selbst die Schuld geben, sondern der
> Firmenlösung? "Wo das doch überall problemlos geht, nur bei uns muss
> natürlich...".
Das Los der IT. Also, zu mir sind schon Freunde gekommen wegen 
kaputten USB-Sticks und SD-Karten weil nicht korrekt ausgeworfen (unter 
Windows, ohne Server-Lösung). Der Lerneffekt scheint sich einzustellen 
wenn alle Urlaubsfotos weg sind...

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
c.m. schrieb:
> ja hast du. https://hackerone.com/reports/282628

Sicher ist nur der Tod. In Mails werden Schädlinge gerne in ZIPs 
verpackt, damit man es nicht gleich sieht.

Du kannst Daten verteilen und dick und fett "Schädling, nicht öffnen" 
drauf schreiben und trotzdem werden manche Leute es tun. Sogar ein IT 
Kollege hat das mal auf seinem Arbeitsplatzrechner mit der Begründung 
gemacht, er wolle nur mal sehen, was dann passiert (auf einem netzfreien 
nachher geplätteten PC darf er das gerne machen [*]).

*: Seit sich die Löchersucher auf Intels ME eingeschossen haben, müsste 
man das "plätten" wohl wörtlich nehmen, und auf Hardware in Form einer 
Hydraulikpresse setzen, statt auf Software.

: Bearbeitet durch User

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.