Sicherheit von OSX??

magheinz schrieb:
Ich wäre auch an einem Link interessiert, kann mir nämlich nicht wirklich vortstellen wie man skype blocken soll.

Magnus
Zum Vergrößern anklicken....

Es gibt ja zum Beispiel Geraete, die den SSL Datenstrom auftrennen koennen, analysieren und dann wieder zusammensetzen. Ich meine aber, dass zum Beispiel unsere WatchGuards Skype auch noch nicht wirklich blocken koennen, zumindest nicht die Anmeldung. Aber vielleicht hat er ja noch eine Wunderwaffe im Aermel ;)
 
Ich habe auch schon oft gelesen das Skype aus der Sicht eines Netzwerkadministrators etwas problematisch ist und nur schwer zu kontrollieren bzw. blockieren.

Ich kenne mich in dieser Materie zwar nicht so gut aus, aber ich würde mir als Administrator eher weniger Sorgen um Skype machen, sondern mehr darüber das so etwas überhaupt möglich ist und dann vielleicht auch mal von einem Schadprogramm die gleiche Methode genutzt wird.

Vielleicht stellt es sich am Ende als ganz gut heraus, das Skype so arbeitet, denn dadurch haben viele Administratoren schon Erfahrung im Umgang mit dieser Methode gesammelt und wissen sich vielleicht etwas mehr zu helfen wenn mal ein Schadprogramm so arbeitet.

Wenn Skype eine Firewall so einfach umgehen kann, dann kann das ein Virus oder Wurm sicher auch, wenn da jemand genug kriminelle Energie reinsteckt.
 
Magicq99 schrieb:
Wenn Skype eine Firewall so einfach umgehen kann, dann kann das ein Virus oder Wurm sicher auch, wenn da jemand genug kriminelle Energie reinsteckt.
Zum Vergrößern anklicken....

Darum war Skype bei den grösseren Unternehmen bei denen ich gearbeitet
habe auch verboten. Potentielles Sicherheitsrisiko.
 
Radiohead schrieb:
Es gibt ja zum Beispiel Geraete, die den SSL Datenstrom auftrennen koennen, analysieren und dann wieder zusammensetzen. Ich meine aber, dass zum Beispiel unsere WatchGuards Skype auch noch nicht wirklich blocken koennen, zumindest nicht die Anmeldung. Aber vielleicht hat er ja noch eine Wunderwaffe im Aermel ;)
Zum Vergrößern anklicken....

proxy mit dansguardian contenfilter und gut....
 
ostfriese schrieb:
Darum war Skype bei den grösseren Unternehmen bei denen ich gearbeitet
habe auch verboten. Potentielles Sicherheitsrisiko.
Zum Vergrößern anklicken....
Ja das kann ich mir denken. Aber genau das meine ich ja, durch ein Verbot wird die Technik die Skype verwendet ja nicht technisch unwirksam. Man sollte sich vielleicht eher Gedanken darüber machen wie man mit so etwas wirkungsvoll umgeht, statt es einfach nur zu verbieten.

Skype ist ja nicht das Problem, sondern die Technik des eignen Netzwerks die sich umgehen lässt, ein Virus oder Wurm kann das ja dann auch. In dem man das einfach untersagt ist das Problem doch nicht gelöst. Warum untersagt man dann nicht einfach das ganze Internet, damit wäre das Problem ja dann auch "gelöst", ist ja schließlich ein potentielles Sicherheitsrisiko.
 
Magicq99 schrieb:
Ich kenne mich in dieser Materie zwar nicht so gut aus, aber ich würde mir als Administrator eher weniger Sorgen um Skype machen, sondern mehr darüber das so etwas überhaupt möglich ist und dann vielleicht auch mal von einem Schadprogramm die gleiche Methode genutzt wird.
Zum Vergrößern anklicken....
Ich bin Admin und für ca 50. Server und die Firewall zuständig.
Wobei die Firewall ein Konzept, bestehend aus Paketfilter, IDS, Spam und Virenfiltern ist.
Ich kann dir ja mal meine Sicht zu der Sache darlegen:
Die Tatsche das es möglich ist, ist wenig überraschend.
Das Problem ist aber nicht so ohne weiteres auf Schadprogramme zu übertragen.
Eine Firewall verhindert in den Meisstens Fällen unerlaubte Zugriffe von Aussen nach Innen, Also z.B. vom Internet ins LAN.
Dem eigenen Netz vertraut man meisstens, lässt also Verbindungsaufbauten aus dem LAN ins Internet zu. Das macht Skype.
Eine Schadsoftware muss also erst mal überhaupt auf einem Rechner im LAN installiert sein, damit sie die gleichen Möglichkeiten wie Skype hat.
Im Idealfall ist es den Nutzern einfach verboten selber Software zu installieren. Missachtung des Verbotes kann dann schwerwiegende arbeitsrechtliche Konsequenzen haben.
Bei einem ordentlichen Emailclient, einem auf aktuellem Stand gepachten Betriebssystem ist der Einfallsvektor für Trojaner und co. eher gering.

Das wäre der Idealfall.

Wenn aber natürlich jeder jede Software installieren darf, dann muss man dafür sorgen, dass nur Software aus vertrauenswürdigen Quellen installiert wird. Ob Skype kann sich dann ja jeder selber denken.

Die Technik von Skype setzt aber auch einen zentralen loginserver voraus, bei dem sich jeder skypeclient anmeldet. Das hat soviel ich weiss noch kein Virus, Trojaner oder so gemacht. Damit wäre ja auch eventuell der Urheber ermittelbar.
Es genügt aber wohl nicht connections zu diesen Server zu blockieren, da die Verbindung wohl nicht unbedingt eine direkte sein muss, sondern auch über andere Supernodes gehen kann.

Um Schadsoftware also diese Kommunikationswege zu verbieten, muss also nur verhindert werden dass sie überhaupt installiert wird. Das ist sowieso eins der obersten Ziele womit also keine wirklich neue Gefahr entstanden ist. Skype wird ja schliesslich bewusst installiert. Wer das mit einem Trojaner o.ä. macht, macht sich unter umständen sogar strafbar.

Magnus
 
Danke für die Erläuterungen, ich verstehe vollkommen wie Du das siehst und ich kenne mich ja auch etwas mit Computern aus. Das eine Schadsoftware erstmal auf einen Rechner des Netzwerkes kommen muss ist klar. Aber das kann ja ohne Zutun des Nutzers durch Sicherheitslücken oder Ähnliches geschehen. So etwas gabe es ja schon, auch im großen Stil und zur gleichen Zeit bei vielen Firmen. Ob ein Mitarbeiter sich dann strafbar gemacht hat oder fahrlässig war, spielt dann auch keine Rolle mehr wenn der Schaden schon angerichtet ist.

Ich denke daher das ein einfaches Verbot von Skype das Problem nicht löst, denn es geht ja nicht um Skype an sich, sondern um die Methode die es verwendet. Und da die Virenschreiber ja sicher auch sehr einfallsreich sind, könnte ich mir schon vorstellen das mal ein Virus um die Welt geht der so eine Methode nutzt. Und genau dann sind vielleicht viele Firmen nicht gerüstet, da sie das Problem einfach lösen wollten indem sie Skype verboten haben.

Es mag sein das die Technik von Skype nicht so 1 zu 1 für einen Wurm übertragbar ist, z.B. durch den von Dir genannten zentralen Login-Server der von Skype verwendet wird. Aber ich denke man könnte sich auch ein System konstruieren das ohne diesen auskommt, wenn man nur genug Fachwissen und Aufwand hineinsteckt. Skype benötigt den zentralen Server ja vor allem auch zur Identifizierung der Nutzer und für Abrechnungen von Telefongesprächen und Ähnliches, während ein Wurm eigentlich nur andere infizierte Rechner finden muss. Das geht bestimmt auch ohne Server.

Wie gesagt, ich bin kein Experte, aber ich denke das die zur Zeit in vielen Firmennetzen verwendete Technik viel verwundbarer ist als viele denken. Natürlich gibt es bestimmt viele die von Administratoren verwaltet werden die genau wissen was sie tun. Aber es gibt bestimmt auch sehr viele die es sich einfach machen, in dem sie sagen "Skype wird verboten, weil dessen Technik ein potentielles Risiko ist und unsere Sicherheit umgehen kann" und sich dann keine Gedanken darüber machen wie sie denn nun im Ernstfall mit einem Wurm umgehen wollen der genau diese Technik nutzt. Und auch im Zuge des Cyberterrorismus denke ich das die Verwundbarkeit da viel höher ist als viele denken, Skype kann da als Beispiel dienen was eben alles möglich ist. Und Skype kann man ja eigentlich als eine seriöse Firma ansehen, was würde wohl jemand der wirklich kriminelle oder terroristische Absichten hat mit so einer Technik machen.

Ich hoffe Du kannst nachvollziehen was ich meine.
 
Zuletzt bearbeitet:
Magicq99 schrieb:
Danke für die Erläuterungen, ich verstehe vollkommen wie Du das siehst und ich kenne mich ja auch

etwas mit Computern aus. Das eine Schadsoftware erstmal auf einen Rechner des Netzwerkes kommen muss ist klar.
Aber das kann ja ohne Zutun des Nutzers durch Sicherheitslücken oder Ähnliches geschehen.
Zum Vergrößern anklicken....
Um das zu verhindern hat man ja die Firewall. Wenn die Natürlich Lücken hat, dann hat man ein Problem.
Die größte Lücke dürfte aber der menschliche Faktor sein, und die kann man technisch nicht wirklich schliessen.
Ich behaupte mal, jeder hat seinen Preis.


Magicq99 schrieb:
So etwas gabe es ja schon, auch im großen Stil und zur gleichen Zeit bei vielen Firmen. Ob ein Mitarbeiter sich dann strafbar gemacht hat oder fahrlässig war, spielt dann auch keine Rolle mehr wenn der Schaden schon angerichtet ist.
Zum Vergrößern anklicken....
Wirksam verhindern könnte man das schon indem man den Usern die Möglichkeit Software zu installieren einfach schon durch Userrechte verbietet.
Also Unter Windows einen eingeschränkten user anlegt. Gleiches gilt für OSX, Linux usw.


Magicq99 schrieb:
Ich denke daher das ein einfaches Verbot von Skype das Problem nicht löst, denn es geht ja nicht um Skype an sich, sondern um die Methode die es verwendet. Und da die Virenschreiber ja sicher auch sehr einfallsreich sind, könnte ich mir schon vorstellen das mal ein Virus um die Welt geht der so eine Methode nutzt. Und genau dann sind vielleicht viele Firmen nicht gerüstet, da sie das Problem einfach lösen wollten indem sie Skype verboten haben.
Zum Vergrößern anklicken....
Das Problem kann man technisch nicht wirklich lösen solange man möchte das die User noch Internet verwenden können, Software installieren dürfen und Windows benutzen müssen.
Es kann aber auch nicht Sinn der Sache sein solchen Programmen auf Netzwerkebene Probleme zu machen, man muss schon das installieren verhindern.

Magicq99 schrieb:
während ein Wurm eigentlich nur andere infizierte Rechner finden muss. Das geht bestimmt auch ohne Server.
Zum Vergrößern anklicken....
Die meissten Firewalls verhindern den zugriff von Aussen nach innen ziemlich zuverlässig. Dadurch finden die Rechner auch nicht andere infizierte im LAN einer anderen Firma. Wenn sich aber beide Würmer auf einem zentralen Server treffen, ist es natürlich mit der Fireall vorbei.


Magicq99 schrieb:
Wie gesagt, ich bin kein Experte, aber ich denke das die zur Zeit in vielen Firmennetzen verwendete Technik viel verwundbarer ist als viele denken. Natürlich gibt es bestimmt viele die von Administratoren verwaltet werden die genau wissen was sie tun. Aber es gibt bestimmt auch sehr viele die es sich einfach machen, in dem sie sagen "Skype wird verboten, weil dessen Technik ein potentielles Risiko ist und unsere Sicherheit umgehen kann" und sich dann keine Gedanken darüber machen wie sie denn nun im Ernstfall mit einem Wurm umgehen wollen der genau diese Technik nutzt.
Zum Vergrößern anklicken....
Verwundbar gegen was?
Gegen Angriffe von inenn stimme ich dir zu.
SOlange man Das Netzwerk zur Kommunikation mit anderen Netzwerken nutzen möchte, muss man halt Lücken schaffen. Das liegt in der Natur der Sache. Irgendwas geht immer, und sei es http. Dann spricht mein Skype halt http, tunnelt über DNS oder so.
Ich kann die Netzwerverbindung an sich niemals verhindern, ich muss die Installations der Software schon verhindern. Dann erübrigt sich der Rest nämlich.


Magicq99 schrieb:
Und auch im Zuge des Cyberterrorismus denke ich das die Verwundbarkeit da viel höher ist als viele denken, Skype kann da als Beispiel dienen was eben alles möglich ist. Und Skype kann man ja eigentlich als eine seriöse Firma ansehen, was würde wohl jemand der wirklich kriminelle oder terroristische Absichten hat mit so einer Technik machen.
Zum Vergrößern anklicken....
Ich denke das die IT-Leute in den Firmen ziemlich genau wissen wie Sicher oder Unsicher ihre installationen sind.
Solange aber dann noch irgendwelche nicht-technischen Dinge, wie z.B. Kosten eine Rolle spielen, können die nicht viel machen.

Und ob sykpe eine seriöse Firma ist, darüber kann man streiten.
Wären sie seriös, würden sie ein standardisiertes Protokoll wie z.B. SIP benutzen, oder wenigstens ihr Protokoll offenlegen.
So ist es einfach mal eine Gewinnorientierte Firma welche ich als nicht wirklich seriöser wie z.B. Microsoft oder Apple oder Ähnliche bezeichnen würde.
Nichts davon hat meiner meinung nach etwas im Sicherheitskritischen Bereich verloren.

Magicq99 schrieb:
Ich hoffe Du kannst nachvollziehen was ich meine.
Zum Vergrößern anklicken....
Ich denke schon, stimme auch in vielen Dingen mit dir überein.
Nur meine Grundtendenz ist etwas positiver :)
 
magheinz schrieb:
Und ob sykpe eine seriöse Firma ist, darüber kann man streiten.
Zum Vergrößern anklicken....
Na ich denke Du weisst wie ich das mit seriös gemeint habe. Ich denke nicht das Skype darauf aus ist Schaden anzurichten. Jemand der dies aber zum Ziel hat, kann so eine Technik bestimmt noch viel weiter entwickeln. Seriös ist vielleicht das falsche Wort, ich meinte eher das Skype eben eine legale Firma ist die nach westlichen Gesetzen agiert und keine kriminelle oder terroristische Organisation.

Ich denke schon, stimme auch in vielen Dingen mit dir überein.
Nur meine Grundtendenz ist etwas positiver :)
Zum Vergrößern anklicken....
Na dann sind wir uns ja so weit einig, vielleicht sehe ich das ganze zu negativ, aber ich habe schon die Befürchtung das auf uns irgendwann mal ein großer Wurm oder Virus zukommt der etablierte Sicherheitsvorkehrungen gekonnt umgeht und viel Schaden anrichtet. Dieser DOS Angriff auf Estland vor einigen Wochen (oder was das war), zeigt das es Organisationen gibt die an so einer Technik bestimmt Interesse hätten. In unserer westlichen Welt hängt inzwischen viel an der IT Infrastruktur, da gibt es bestimmt genügend auf der Welt die das gerne angreifen würden. Aber ich denke nicht das Skype da unser Feind ist.
 
MacMännchen schrieb:
Finjan soll's angeblich können. Vielleicht kennt jemand diese Sicherheitslösung hier?
Zum Vergrößern anklicken....

Ja, die koennen wohl den SSL Strom aufbrechen:

"HTTPS traffic has become an increasingly popular avenue of attack into networks. Version 8.5 provides real-time protection against potentially malicious web content in encrypted HTTPS/SSL traffic (e.g., webmail, e-commerce sites) without requiring a dedicated appliance. Finjan decrypts SSL data at the gateway, analyzes the code using patented real-time content inspection and re-encrypts it – all within the appliance. Finjan offers a web security solution capable of truly understanding the intent of encrypted (SSL) traffic, thus delivering unmatched security with end-to-end encryption. HTTPS, HTTP and FTP traffic are managed in a consolidated manner via a unified user interface."

Oh und Fortinet Firewalls koennen das auch. Die setzen wir sohar bei einigen Kunden ein ;)

http://kc.forticare.com/default.asp?id=1036&SID=&Lang=1
 
Radiohead schrieb:
Ja, die koennen wohl den SSL Strom aufbrechen:

"HTTPS traffic has become an increasingly popular avenue of attack into networks. Version 8.5 provides real-time protection against potentially malicious web content in encrypted HTTPS/SSL traffic (e.g., webmail, e-commerce sites) without requiring a dedicated appliance. Finjan decrypts SSL data at the gateway, analyzes the code using patented real-time content inspection and re-encrypts it – all within the appliance. Finjan offers a web security solution capable of truly understanding the intent of encrypted (SSL) traffic, thus delivering unmatched security with end-to-end encryption. HTTPS, HTTP and FTP traffic are managed in a consolidated manner via a unified user interface."

Oh und Fortinet Firewalls koennen das auch. Die setzen wir sohar bei einigen Kunden ein ;)

http://kc.forticare.com/default.asp?id=1036&SID=&Lang=1
Zum Vergrößern anklicken....
Das kenne ich so von cisco.
Allerdings geht das dann nicht transparent und der Nutzer sollte einen Fehler bei den Zertifikaten gemeldet bekommen. Im Prinzip ist die firewall-appliance ja dann "man in the middle".
Kann in meinen Augen nur eine absolute Notlösung sein.

Magnus
 
Turm schrieb:
Ich verstehe unter einer Firewall immer nicht die Kiste sondern ein Sicherheitskonzept dass den Datenverkehr zwischen LAN und WAN reglementiert.
Zum Vergrößern anklicken....
erklär das mal biite in dem "Ip-Adresse blockieren, verstecken"-Thread.
Da schreib ich mir die Finger Wund und keiner kapierts.
 
Hallo zusammen
Seit einiger Zeit habe ich das Phänomen, daß auf meinem Bildschirm ganz kurz ein kleines Fenster aufgeht. Bis jetzt ist mir nicht gelungen, den Text abzulesen. Kann es sein, daß hier eine Übertragung an einen anderen erfolgt? Denn dieses Fenster kommt nur dann häufiger, wenn ich ins Internet gehe und auch die Seiten wechsle. Mit Little Snitch konnte ich nichts aussergewöhnliches feststellen.
Hat jemand eine Idee, was das sein kann und wie man dieses Fenster dazu bringt, nicht sofort zu schließen?
 
magheinz schrieb:
Das kenne ich so von cisco.
Zum Vergrößern anklicken....

Cisco ist doch aber wirklich schlecht im Vergleich zu WatchGuard oder Fortinet Firewalls. Die rettet IMHO nur noch der Name.

Und du hast immer noch nicht gesagt, was du unter einer richtigen Firewall verstehst ;)

Wenn du Cisco meintest, dann hat sich das fuer mich hier erledigt ;)
 
Zurück
Oben Unten