Forum » Informacijska varnost » Home Office uporabniki
Home Office uporabniki
harmony ::
Pri nas v firmi je tako, da pride sef in rece imeli bom en projekt in eden izmed teh je mene doletel in sicer implementacija oziroma organizacija uporabe domace pisarne - torej delo od doma.
Pojma nimam kaj bi tu sploh moral poceti, saj tudi sam ne pove dosti, ampak predvidevam da najvec na nivoju varnosti.
Danes imamo sicer en termin z eksternim, ampak pojma nimam kaj naj bi se tu sploh pogovarjali. VPN imamo ze tako ali tako urejen za nas IT-jevce oziroma za VIP uporabnike, sedaj bi pa radi to razsirili na celo firmo oziroma na dolocene posameznike, ki niso VIP.
Kaksne so vase izkusnje z uporabniki, ki delajo od doma. Na kaj moram biti pazljiv pri npr. postavitvi ene delovne postaje.
Nekako imam v mislih:
1.) VPN povezava
2.) Instaliran antivirus z web protection
3.) Posodobljen z win updates oziroma da posodobitve delujejo avtomatsko
4.) ?
5.) ?
itd...
Lahko tudi kaksen link na to temo ali kaj podobnega.
Pojma nimam kaj bi tu sploh moral poceti, saj tudi sam ne pove dosti, ampak predvidevam da najvec na nivoju varnosti.
Danes imamo sicer en termin z eksternim, ampak pojma nimam kaj naj bi se tu sploh pogovarjali. VPN imamo ze tako ali tako urejen za nas IT-jevce oziroma za VIP uporabnike, sedaj bi pa radi to razsirili na celo firmo oziroma na dolocene posameznike, ki niso VIP.
Kaksne so vase izkusnje z uporabniki, ki delajo od doma. Na kaj moram biti pazljiv pri npr. postavitvi ene delovne postaje.
Nekako imam v mislih:
1.) VPN povezava
2.) Instaliran antivirus z web protection
3.) Posodobljen z win updates oziroma da posodobitve delujejo avtomatsko
4.) ?
5.) ?
itd...
Lahko tudi kaksen link na to temo ali kaj podobnega.
crniangeo ::
obnovitev varnostne politike gesel, nastavitev routing&remote access, kjer lahko definiras marsikaj: od ip naslovov do katerih ipjev vse lahko dostopa (spet sicer odvisno od streznika) itd itd..
Convictions are more dangerous foes of truth than lies.
harmony ::
obnovitev varnostne politike gesel, nastavitev routing&remote access, kjer lahko definiras marsikaj: od ip naslovov do katerih ipjev vse lahko dostopa (spet sicer odvisno od streznika) itd itd..
Super, hvala.
No upam, da se ne bo od mene na razgovoru zahtevalo, da kaj povem na to temo...ponavadi je pri nas tako, da sef se spomni en projekt doloci enega izmed nas, ki je obenem "projektni vodja" in obenem izvajalec. :)
Nisem se pocel nic na tem podrocju, zato tudi ne vem kaj je pri delu od doma potrebno vse upostevati.
SeMiNeSanja ::
Tam, kjer so varnostno bolj striktni, se 'home office' rešuje kar na routerjih (zaposlenim nabavijo router, ki ga inštalirajo doma), tako da se strogo loči omrežje z dostopom do podjetja od omrežja, ki je na voljo ostalim uporabnikom v gospodinjstvu. V tem primeru IT oddelek podjetja upravlja te routerje in VPN povezave, ki so na njih vzpostavljene.
Pri nas je razmeroma malo tako bogatih podjetij, ki bi si to lahko privoščila, poleg tega pa bi to marsikdo lahko tudi razumel kot poseg v zasebnost. Nikomur ni všeč, da ima podjetje možnost (tudi če jo ne zlorabi), da spremlja njegov domači internetni promet. Smo pač nezaupljivi, saj smo v praksi že slišali za vse mogoče zlorabe.
Druga opcija je seveda VPN klient na posameznem uporabnikovem računalniku, s katerim potem dostopa od koderkoli (ne samo od doma) do željenih resursov v podjetju.
Tehnično danes ni več noben problem vzpostaviti VPN povezave. Problemi se začno pri administraciji teh povezav, ko enkrat prekoračijo neko kritično maso odjemalcev.
Kot prvo moraš imeti nek kolikor tolikor preprost mehanizem distribucije klientov in konfiguracij. Ta del je danes povečini že kar obvladljiv, čeprav bi se dalo zadeve izpeljati tudi lepše (npr. kot to rešuje NCP).
Glavni problem pa ostaja zavarovanje VPN povezav. Dokler imaš zgolj VIP uporabnike, se večinoma dovoli kar 'Any-to -Any' komunikacija, po vseh portih. Tudi kadar je ta VIP uporabnik administrator sistemov, tak pristop ni optimalen oz. bi ga lahko označili kot 'varnostno vprašljiv' (nekateri bi celo rekli, da je to katastrofa). Toda v večini primerov je to default, po katerem se zadeve vzpostavijo, naprej pa se stvar ljudem ne da 'optimizirati' (bodisi sami nimajo znanja, ali pa se jim zdi škoda denarja, da bi to komu zunanjemu naložili).
Kar za VIP uporabnika velja za 'varnostno vprašljivo', še toliko bolj velja za 'navadne uporabnike'. Treba je definirati, do katerih resursov določeni uporabnik ali skupina uporabnikov DEJANSKO potrebujejo dostop in kateri porti morajo biti odprti, da lahko nemoteno opravijo svoje delo. VSE ostalo pa mora biti nedostopno preko VPN povezave.
Tako bi rekel, da se predvsem ukvarjaj s tem, kdo rabi dostop do česa, na kakšen način (kateri porti), s katerimi aplikacijami (če sistem podpira prepoznavo aplikacij), kot tudi ob katerih urah (verjetno ni potrebe, da kdo ob 3h zjutraj v nedeljo preverja stanje zalog?).
Bolj, ko boš podrobno razdelal 'pravila igre', toliko lažje bo to tudi potem sprovesti v prakso in nadzirati.
Pri nas je razmeroma malo tako bogatih podjetij, ki bi si to lahko privoščila, poleg tega pa bi to marsikdo lahko tudi razumel kot poseg v zasebnost. Nikomur ni všeč, da ima podjetje možnost (tudi če jo ne zlorabi), da spremlja njegov domači internetni promet. Smo pač nezaupljivi, saj smo v praksi že slišali za vse mogoče zlorabe.
Druga opcija je seveda VPN klient na posameznem uporabnikovem računalniku, s katerim potem dostopa od koderkoli (ne samo od doma) do željenih resursov v podjetju.
Tehnično danes ni več noben problem vzpostaviti VPN povezave. Problemi se začno pri administraciji teh povezav, ko enkrat prekoračijo neko kritično maso odjemalcev.
Kot prvo moraš imeti nek kolikor tolikor preprost mehanizem distribucije klientov in konfiguracij. Ta del je danes povečini že kar obvladljiv, čeprav bi se dalo zadeve izpeljati tudi lepše (npr. kot to rešuje NCP).
Glavni problem pa ostaja zavarovanje VPN povezav. Dokler imaš zgolj VIP uporabnike, se večinoma dovoli kar 'Any-to -Any' komunikacija, po vseh portih. Tudi kadar je ta VIP uporabnik administrator sistemov, tak pristop ni optimalen oz. bi ga lahko označili kot 'varnostno vprašljiv' (nekateri bi celo rekli, da je to katastrofa). Toda v večini primerov je to default, po katerem se zadeve vzpostavijo, naprej pa se stvar ljudem ne da 'optimizirati' (bodisi sami nimajo znanja, ali pa se jim zdi škoda denarja, da bi to komu zunanjemu naložili).
Kar za VIP uporabnika velja za 'varnostno vprašljivo', še toliko bolj velja za 'navadne uporabnike'. Treba je definirati, do katerih resursov določeni uporabnik ali skupina uporabnikov DEJANSKO potrebujejo dostop in kateri porti morajo biti odprti, da lahko nemoteno opravijo svoje delo. VSE ostalo pa mora biti nedostopno preko VPN povezave.
Tako bi rekel, da se predvsem ukvarjaj s tem, kdo rabi dostop do česa, na kakšen način (kateri porti), s katerimi aplikacijami (če sistem podpira prepoznavo aplikacij), kot tudi ob katerih urah (verjetno ni potrebe, da kdo ob 3h zjutraj v nedeljo preverja stanje zalog?).
Bolj, ko boš podrobno razdelal 'pravila igre', toliko lažje bo to tudi potem sprovesti v prakso in nadzirati.
harmony ::
@SeMiNeSanja
Dobro razlozeno. Danes je bilo govora z eksternim izvajalcem, da se vzpostavi sistem One time password. Uporabniki bi tako ali preko app-a (android ali iPhone) dobili dolocen password in se preko vpn povezali v podjetje.
Zaenkrat bo tako, da se bojo lahko povezali le z prenosniki, ki so v lasti firme. Oprmeljeni pa bodo z antivirusom in web filtrom. Pa dostopi bodo omejeni samo na dolocene MAC naslove, tako da se iz "nevarnega" mesta ne bodo mogli povezati.
Dobro razlozeno. Danes je bilo govora z eksternim izvajalcem, da se vzpostavi sistem One time password. Uporabniki bi tako ali preko app-a (android ali iPhone) dobili dolocen password in se preko vpn povezali v podjetje.
@SeMiNeSanja
Dobro razlozeno. Danes je bilo govora z eksternim izvajalcem, da se vzpostavi sistem One time password. Uporabniki bi tako ali preko app-a (android ali iPhone) ali internetne starni dobili dolocen password in se preko vpn povezali v podjetje.
Zaenkrat bo tako, da se bojo lahko povezali le z prenosniki, ki so v lasti firme. Oprmeljeni pa bodo z antivirusom in web filtrom. Pa dostopi bodo omejeni samo na dolocene MAC naslove, tako da se iz "nevarnega" mesta ne bodo mogli povezati.
Zgodovina sprememb…
- spremenil: harmony ()
SeMiNeSanja ::
O koliko uporabnikih pa je sploh govora in kaj za en VPN gateway imaš?
Boš uporabljal SSL VPN ali IPSec?
Boš uporabljal SSL VPN ali IPSec?
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | SI-CERT 2017-04 / Okužbe z izsiljevalskimi virusi preko storitev za oddaljen dostopOddelek: Omrežja in internet | 7573 (5995) | SeMiNeSanja |
» | VPN in legalnost le-tegaOddelek: Pomoč in nasveti | 4039 (3319) | SeMiNeSanja |
» | oddaljen dostop - kateri program?Oddelek: Programska oprema | 5523 (4484) | A_A |
» | Domači Proxy?Oddelek: Omrežja in internet | 5238 (4270) | wungad |
» | Dostop do oddaljenega omrežjaOddelek: Omrežja in internet | 3463 (3109) | mladec |