Sonstiges > Infrastruktur
Remote Administration über Internet!
MartinG:
--- Zitat --- Also das sehe ich nicht als Vorteil. Also ich als Netzwerk-Admin würde lieber kontrolliert und protokolliert einen Port aufmachen, als meine Firma über den Port80 für alle zu öffnen.
--- Ende Zitat ---
Du brauchst ja Port 80 gar nicht zu öffnen, sondern das ganze funktioniert sauber über einen Proxy, und das sehe ich widerum als positiv an. Du hast den grossen Vorteil im Gegensatz zu "Deiner" Lösung dass Du der PC welcher Netviewer verwendet kein NAT machen muss, und deshalb von aussen ja nicht sichtbar ist.
Du kannst ja trotzdem am Firewall / Proxy-Log kontrollieren wer, wie, wo Netviewer verwendet. Wir hatten am Anfang im Firewall Regelwerk eingestellt, dass bei jeder Netviewernutzung den Admins eine Mail geschickt wird, was aber grundsätzlich m.e. Quatsch ist.
Davon abgesehen würde ich mich ja zu Tode verwalten wenn ich jeden Monat 65x das Regelwerk von meiner Firewall ändern würde. Dürfen Eure User eigentlich nicht im Internet surfen?
m3:
Nein, weil im Internet kann man nicht surfen. Maximal im WWW, wenn überhaupt. ;)
Wenn Du das Netzwerk für alle auf Port 80 öffnest, damit sie Websurfen können, kannst du mit einer klassischen Firewall nicht kontrollieren, wer sich wann wie über Port 80 in Dein Netz herein verbindet. Mit einer klassischen Firewall kannst Du nicht zwischen WWW, MSN, Skype oder Netviewer, die alle über Port 80 herein kommen, unterscheiden.
Da würde es schon einer IDS-Lösung bedürfen. Und dann geht die Verwaltung der Berechtigungen wieder los, diesmal aber auf einer höheren Ebene.
Aber wie gesagt - ist eine Frage des persönlichen Geschmacks und des individuellen Sicherheitsbedürfnis des Unternehmens.
Und viel sicherer als TightVNC getunnelt über SSH mit PublicKey Authentifizierung kann man meiner bescheidenen Meindung nicht werden. Und schneller müsste man sich dann ansehen, falls das ein Thema ist.
MartinG:
--- Zitat --- Wenn Du das Netzwerk für alle auf Port 80 öffnest, damit sie Websurfen können, kannst du mit einer klassischen Firewall nicht kontrollieren, wer sich wann wie über Port 80 in Dein Netz herein verbindet. Mit einer klassischen Firewall kannst Du nicht zwischen WWW, MSN, Skype oder Netviewer, die alle über Port 80 herein kommen, unterscheiden.
--- Ende Zitat ---
Hierfür braucht man IMHO kein IDS, sondern eine Firewall die auf Layer7 arbeiten (Application Layer). Unsere Checkpoint kann das z.B....
Mir ist ehrlich gesagt Deine Argumentation hier nicht ganz klar. Das ganze hat doch mit Sicherheit nicht viel zu tun?
m3:
--- Zitat von: MartinG am 16.05.07 - 21:03:07 ---
--- Zitat --- Wenn Du das Netzwerk für alle auf Port 80 öffnest, damit sie Websurfen können, kannst du mit einer klassischen Firewall nicht kontrollieren, wer sich wann wie über Port 80 in Dein Netz herein verbindet. Mit einer klassischen Firewall kannst Du nicht zwischen WWW, MSN, Skype oder Netviewer, die alle über Port 80 herein kommen, unterscheiden.
--- Ende Zitat ---
Hierfür braucht man IMHO kein IDS, sondern eine Firewall die auf Layer7 arbeiten (Application Layer). Unsere Checkpoint kann das z.B....
--- Ende Zitat ---
Sorry, mein Fehler. Application Layer FW meinte ich. ;)
--- Zitat ---Mir ist ehrlich gesagt Deine Argumentation hier nicht ganz klar. Das ganze hat doch mit Sicherheit nicht viel zu tun?
--- Ende Zitat ---
Naja, ich PERSÖNLICH seh nicht ein, warum ich für Netviewer und Co. geftig € ausgeben soll, wenn ich mit VNC & SSH ebenso ans Ziel komme. Aber wie gesagt, muss jeder für sich entscheiden.
umi:
Hi Christopher
schon mal das GotoMyPC ausprobiert von Citrix? Funktioniert durch die meisten Firewalls perfekt.
und wenn man ganz Lotus fan ist, würde es auch mit Sametime gehen :-)
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln