Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 13 replies
  • Answers 1 answer
  • Subscribers 4 subscribers
  • Views 2206 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Zugriffe auf definierte Zielnetzwerke protokollieren

Chris69

Hallo,

Wir müssen "aus Gründen" ab sofort alle Zugriffe auf bestimmte Kundensysteme loggen. Und zwar eigentlich so, dass diese Zugriffe bestimmten Mitarbeitern zugeordnet werden können.

Frage 1:

Das soll sowohl für http-Zugriffe über den WebProxy (läuft im transparent-modus) als auch alle anderen Protokolle, insbesondere https und SSH erfolgen.

Kann das die UTM und wenn ja, wie richte ich das ein?

Frage 2:

Perspektivisch hätte ich gerne eine Auflösung von IP-Adressen auf Personen, da ich rückwirkend kaum rekonstruieren kann, wer zu welcher Zeit mit welchem Gerät welche DHCP-Adresse bekommen hat. Es gibt eine extrem lockere BYOD-Policy hier :-(

Gibt es eine Möglichkeit, das Zugriffe auf die Kundennetzwerke erst nach einer Anmeldung an der UTM erlaubt sind?

Das soll sowohl von OSX, iOS, Windows und Android aus funktionieren, aus dem LAN und aus dem VPN heraus.


Vielen Dank für Eure Ideen!

lg - Chris



This thread was automatically locked due to age.
  • 0 in reply to Alan Brand

    Die etwas längere Version:

    Es existiert bei uns ein Zielkonflikt zwischen Wünschen der Großkunden auf der einen (Alles muss protokolliert werden, Kameras vor den Serverracks, Zugangskontrollen, Prozeduren, Auditings, usw. - und dann arbeiten die per Slack, M365 und Googledrive mit uns, kein Kommentar dazu!)  und maximales "laissez fair" des Vorstandes auf der anderen Seite: Gastnetzwerk ohne nennenswerte Authentifizierung, möglichst keine Beschränkungen in den Zugriffen nach draußen, jeder ist auf seinen Geräten Admin und kann dort machen, was er will, jedes blöde IoT-Gerät kann sich per UPNP ausbreiten, usw.

    Und dazwischen sitze seit 25 Jahren ich, der nach der Devise "Nichts wird so heiss gegessen, wie es gekocht wird." versucht, da ein einigermassen gangbaren Weg zu gehen. 

    Und jetzt kommt eine Phase des großen "Mergens" hinzu, es passiert ein Zusammenschluss von mehreren Firmen mit jeweils eigener (Nicht-)IT, eigenen Kunden und Anforderungen einem Zoo von benutzten Tools. Das reicht von "komplett M365-Domain" über "Hybrid-Domain" bis "gar keine Domain" und auch kein zentrales Benutzerverzeichnis. Gleichzeitig muss ich DATEV und Serralla ausrollen und das alles bis gestern.

    Tja, und da würde es mir reichen, wenn ich erst mal den Bestand loggen und wegschreiben kann. Wen irgendwann mal jemand kommt uns fragt "Wer hat am xx.x.2023 auf IP x.y.z.v. zugegeriffen", gibt es dann eben eine kleine "grep"-Session...

  • 0 in reply to Chris69

    Ja, das klingt alles sehr vertraut. Insbesondere technikaffine Firmen (auch große) mit nie abgelegter "Startup-Kultur" oder öffentliche Einrichtungen sind da bisweilen gruselig. Oft denken die Mitarbeiter "das kriege ich schon selber hin" und basteln etwas halbgewalktes - die IT-Abteilung wir dann eher als "Arbeitsverhinderung" gesehen. Führt dann schnell zu einer "Schatten-IT".

    Positiv habe ich es z.B. bei Siemens erlebt. Das fängt schon damit an, daß der Mitarbeiterausweis gleichzeitig Smartcard ist, über die man sich authentifiziert - ohne geht nichts. Auch ansonsten ist da vieles durchdacht und stringent umgesetzt.

    Extremfall sind z.B. unsere externen Wirtschaftsprüfer, die können nicht mal einen Datev-Export direkt in den Laptop einlesen, der muß erst zu deren zentralen IT, die ihn dann importiert und den Mitarbeitern wieder übers VPN zur Verfügung stellt. Ansonsten kann man mit dem Laptop nicht viel mehr machen als arbeiten - alles andere ist gesperrt :-)
    Netterweise brachten sie letztes Jahr eine Sophos RED mit, als sie sich für einen Monat hier einnisteten.

    Wahrscheinlich ist es das Beste, erst mal nur soviel wie möglich Informationen zu sammeln und wegzuschreiben, sollte es dann mal zu einem gravierenden (meldepflichtigen) Vorfall kommen wird meistens sowieso ein externer Forensiker beauftragt, dem man das dann alles vor die Füße werfen kann zur Aufklärung. Weitere Empfehlungen kommen dann automatisch - direkt an die Geschäftsleitung. :-)

    Aufpassen muß man dabei ein wenig mit Datenschutz, das sollte von der Geschäftsleitung (und ggf. Betriebsrat) abgesegnet sein. Bei uns ist es z.B. so, daß ein Mitglied der GL, ein Betriebsrat und die IT gemeinsam dabei sein müssen, wenn Logs ausgewertet werden.

    Das mit dem IPSec hatte ich falsch verstanden - der Tunnelaufbau selbst wird nicht vom Proxy geblockt, nur der "hinten" 'rauskommende SSL-Datenverkehr abgefangen. Das ist ja auch so gewollt, man muß dann im Log schauen, warum es nicht weitergeht (z.B. fehlende Authentifizierung, Firewallregel oder Routing). Wie gesagt wird ja nur Port 80 und 443 transparent gefiltert, andere (z.B.22) nicht.

  • 0 in reply to Alan Brand

    Wir haben leider keine Arbeitnehmervertretung, aber das ist ein ganz anderes Feld. Ansonsten genau so, wie du es beschreibst.
    Nur mit dem IPSEC glaube ich, konnte ich dir noch nicht vermitteln, was das Problem ist:

    Das Problem ist, dass die UTM den Squid bei der Abarbeitung aller Regeln priorisiert, also WENN http(s) Anforderung "nach draußen"  auf der SG ankommt, DANN gehe über Squid direkt nach draussen. In diesem Moment sind die ansonsten für alle anderen Protokolle geltenden Routen leider obsolet.

    Das Benutzen der  von der UTM aufgebauten (nicht: vom Client initiierten!) IPSEC-Tunnel in Kundenzielsysteme (u.a. lustigerweise auch zum einem Siemens-Teil, Siemens healthineers :-) ) ist dann für http (das ist Wurst, da depricated) und https (das ist leider entscheidend) unmöglich, da sich eben die UTM den traffic schnappt und via squid direkt raus schickt - da ist aber natürlich das entsprechende System nicht zu finden.

Unfiltered HTML