Frage:
Wie kann man feststellen, ob Mitarbeiter Tor verwenden?
Zameer Ansari
2016-09-05 17:03:41 UTC
view on stackexchange narkive permalink

Wir arbeiten in einer Organisation, die HIPAA-konform sein soll. Sicherheit ist uns ein großes Anliegen. Wir wurden beauftragt herauszufinden, ob ein Benutzer einen anonymen Proxy im Netzwerk verwendet.

Gibt es eine Möglichkeit, festzustellen, ob Tor in unserer Unternehmensnetzwerkdomäne verwendet wird? ? Wir verwenden den Symantec-Clientschutz. VPN wird über Cisco bereitgestellt.

Die HIPPA-Konformität erfordert meines Wissens keine Überprüfung, ob einer Ihrer Mitarbeiter Tor verwendet.Ich schlage vor, Sie fragen, wer auch immer Sie damit beauftragt hat, um ihre Anforderung zu rechtfertigen.Sind Sie sicher, dass Sie Ihre Mitarbeiter so überwachen möchten?Vielleicht sollten Sie besser überlegen, was Ihr Bedrohungsmodell ist, was genau Sie erreichen möchten und ob dies wirklich der beste Weg ist, dies zu erreichen.Eine Checklistenmentalität ist selten der beste Weg, um echte Sicherheit zu erreichen.
"* Wir wurden beauftragt herauszufinden, ob ein Benutzer einen anonymen Proxy im Netzwerk verwendet. *" Ich würde vorschlagen, denjenigen zu fragen, der Sie damit beauftragt hat, um Ihnen die genehmigten Methoden dafür mitzuteilen.Wenn sie es nicht wissen, bitten Sie sie, zu fragen, wer ihnen gesagt hat, dass sie dies tun sollen, welche Methoden dafür zugelassen sind.Wenn Sie keine Antwort erhalten, senden Sie eine E-Mail an alle Benutzer, in der sie aufgefordert werden, eine solche Verwendung zu melden.
Denken Sie daran, dass tor aktiv entwickelt wird, um Erkennungsmechanismen auf Staatsebene zu umgehen - dh [die große Firewall Chinas] (https://blog.torproject.org/blog/closer-look-great-firewall-china).Ich weiß nicht, wie hoch Ihr technisches Niveau ist, aber ich würde wetten, dass Sie nicht über die Ressourcen oder technischen Fähigkeiten der chinesischen Regierung verfügen - wenn Tor sie noch umgehen kann ... Nun, ich sage nur gutGlück :)
Ist es einem Benutzer möglich, personenbezogene Daten von Patienten in ein auf einem externen Server gehostetes Webformular zu kopieren und einzufügen?Warum sorgen Sie sich dann um * komplizierte * Methoden für den Zugriff auf externe Ressourcen?
Tor benötigt immer noch Software auf dem Client-Computer, nicht wahr?Ihre Unternehmenscomputer enthalten keine Enterprise-Spyware, mit der der Administrator automatisierte Remote-Scans ausführen kann.
Sechs antworten:
#1
+82
Yorick de Wid
2016-09-05 17:18:52 UTC
view on stackexchange narkive permalink

Sie können eine Liste von Tor-Knoten (Uplink) verwenden, diese zur ausgehenden Firewall hinzufügen, eine Aufgabe einrichten, um diese einmal täglich zu aktualisieren, und Sie werden gut. Tor kann aber auch über einen HTTP (S) -Proxy verwendet werden, sodass Sie auch Proxys erkennen müssen.

Ich bin nicht sicher, ob dies Ihnen dabei helfen wird, etwas zu sichern. Solange eine Verbindung zum Internet besteht, könnten solche Sicherheitsmaßnahmen umgangen werden. Sie könnten endlose Zeit und Energie aufwenden, um alle Arten von Proxys, VPNs, SSL-Tunneln und dergleichen zu verbieten. Der Rat ist, nur sicherzustellen, dass sie keinen Schaden anrichten können, indem Sie das schützen, was für Ihr Unternehmen wichtig ist, und die Benutzer verlassen. Trennen Sie beispielsweise das Netzwerk in Kompartimente, verwenden Sie Subnetze, VLANs und DMZs und benötigen Sie eine Authentifizierung und Autorisierung in privaten Netzwerken. Bewahren Sie die wichtigen Dinge in einer Zone auf, während Sie das Netzwerk ohne Einschränkungen für eine andere Zone zulassen. Und so weiter ...

"Trennen Sie beispielsweise das Netzwerk in Kompartimente, verwenden Sie Subnetze, VLANs und DMZs und benötigen Sie eine Authentifizierung und Autorisierung in privaten Netzwerken."- Eine Funktion von Tor ist das Durchstechen von Firewalls, indem interne Systeme über .onion-URLs erreichbar gemacht werden.Das Blockieren von Tor ist wichtig, um diese Netzwerke zu sichern.
@mgjk So auch ein Site-2-Site-VPN, das über 443 ausgeführt werden kann. Nur Dinge zu blockieren, weil Sie befürchten, dass sie das zugrunde liegende Problem nicht lösen.
Wenn ein Mitarbeiter diese Anstrengungen unternahm, um das interne Netzwerk freizulegen, ist es der Unterschied, ob ich seinen Manager anrufe oder die Polizei einbeziehe.
@mgjk Dies wird ein heiliger Kreuzzug, Tor hat viele Gabeln, die alle unterschiedlich mit ihren eigenen internen Netzwerken und Uplinks arbeiten, und Tor ist sicherlich nicht das einzige anonyme Netzwerk, was ist mit i2p zum Beispiel?
@YorickdeWid - Ich verwende dafür eine kommerzielle Lösung, die gut funktioniert.Es gibt viele solche Lösungen von vielen Anbietern.
Tor hat Brücken, die Relais sind, die nicht als im Tor-Netzwerk befindlich werben und daher möglicherweise nicht in der Liste angezeigt werden, die Sie haben.Sie existieren genau aus diesem Grund: um Menschen den Zugang zu Tor von Orten aus zu ermöglichen, an denen Tor blockiert ist.
@dave +1 ... außerdem, wenn der Benutzer die Verbindung so eingestellt hat, dass eine steckbare Transportschicht verwendet wird, damit Anforderungen über beliebte Websites wie Microsoft oder Amazon weitergeleitet werden.Siehe https://trac.torproject.org/projects/tor/wiki/doc/meek
Ziel ist es, Tor anhand eines Prüfungsstandards zu ermitteln.Wenn unveröffentlichte Eintrittsrelais verwendet werden, müssen sie dies wissen, bevor sie öffentliche versuchen, und * hoffen *, dass infosec die ausgewählten unveröffentlichten Relais oder, selbst wenn private Eintrittsrelais verwendet werden, keine normale Verkehrsanalyse des Benutzersegments (Zeit) kenntof day) und langlebige TCP-Verbindungen wären ein großer Tipp, dass der Mitarbeiter etwas vorhat und der Support seine Workstation überprüfen sollte.Übrigens, für die eiserne Faust kann Sanftmut mit SSL-Intercept (SNI! = Host) herausgesucht werden.
#2
+53
grochmal
2016-09-05 18:35:14 UTC
view on stackexchange narkive permalink

Ich glaube, Ihr Hauptanliegen sollte sein, dass:

die Verwendung eines anonymen Proxys im Netzwerk

eine schlechte Annahme ist . Ich würde sofort fragen:

In welchem ​​Netzwerk?

Yorick hat diesen Punkt bereits angesprochen, aber ich werde offensichtlicher sein .

Bei HIPAA geht es hauptsächlich um den Schutz der Daten in Ihrem Produktionssystem und damit in dem Netzwerk, das für die Verbindung mit dem Produktionssystem verwendet wird. Sie sollten die Kontrolle darüber haben, was alle Computer, die eine Verbindung zu diesem Netzwerk herstellen, tun können. Mit anderen Worten, dies sollten vom Unternehmen verwaltete Unternehmensmaschinen sein und die Software bereitstellen, die für den Umgang mit dem Produktionssystem erforderlich ist. Keine anderen Maschinen sollten eine Verbindung zu diesem Netzwerk herstellen. Dies schließt VPN mit dem Produktionsnetzwerk ein (was nach Möglichkeit am besten vermieden werden sollte).

Ein Netzwerk für Ihre Mitarbeiter, die keine Verbindung zum Produktionssystem herstellen, z. Ein Entwicklungsnetzwerk oder Office-WLAN muss vom Produktionsnetzwerk getrennt sein. Sie müssen nur explizit nachweisen, dass die Netzwerke getrennt sind (vorzugsweise mit separater Hardware sind 802.1Q-VLANs bei schlechter Konfiguration einigen Angriffen ausgesetzt). Die Maschinen in diesen Netzwerken sind für das Produktionssystem nicht von Belang, solange sie sich nie mit ihm verbinden (sollten sie nicht!). Um etwas in die Produktion zu bringen, muss ohnehin ein QA / QC-Verfahren vorhanden sein, bei dem die Sicherheit des Codes / der Konfiguration / einer anderen Änderung bewertet wird.

Es ist anzumerken, dass das Entwicklungsnetzwerk, das die Entwicklungsmaschinen enthält, niemals eines sehen wird Produktionsdaten. Wenn Ihre Produktionsdaten geschützt werden sollen (z. B. zum Schutz der Privatsphäre von Patienten wie in HIPAA), müssen Sie alle Daten in Entwicklungs- / Test-Setups anonymisieren. Eine gesicherte Produktionsumgebung zu haben und dann Produktionsdaten in ein ungesichertes Netzwerk zu kopieren, wäre einfach albern.

Ich wusste, dass jemand die Bemerkung über VLANs machen würde ^^
@YorickdeWid Wir alle hassen VLANs, nicht wahr?:) Ethernet kann einfach nicht repariert werden.
Mit Ausnahme des einen Netzwerkadministrators, der versucht, durch Aufteilen des Kabels Halbduplex auszuführen: P.Trotzdem ein guter Punkt.
In Ihrem letzten Punkt stelle ich mir vor, dass keine Daten aus der Produktion in diese Umgebungen zurück verschoben werden sollten.(Das Zurückversetzen von Produktionsdumps in eine Entwicklungs- / Testumgebung ist schließlich keine Seltenheit. In mancher Hinsicht kann dies als bewährte Methode angesehen werden.) Vielleicht lohnt es sich, dies hinzuzufügen?Ich weiß nicht.
@jpmc26 - Sehr guter Punkt, ich habe die Antwort aktualisiert.
#3
+13
Michael Hampton
2016-09-06 04:11:06 UTC
view on stackexchange narkive permalink

Sie können nur relativ sicher sein, dass Tor nicht im Netzwerk verwendet wird, indem Sie jedes Gerät im Netzwerk überprüfen und sicherstellen, dass Tor auf keinem dieser Geräte installiert ist oder ausgeführt wird. Dies könnte so viele Arbeitsstunden erfordern, dass es genauso gut unmöglich sein könnte. Und Sie könnten es trotzdem verpassen.

Sie können versuchen , die Verwendung von Tor zu erkennen, indem Sie auf Datenverkehr zu einer der fest codierten Verzeichnisbehörden achten, um welche alle Tor-Clients immer verbinden (mit Ausnahme, siehe unten). In der Regel gibt es weniger als ein Dutzend davon.

Sie können auch versuchen, Datenverkehr zu einem der Tausenden von Schutzknoten zu erkennen. Dies kann jedoch Ihr IDS stark belasten. Das Erkennen des Verzeichnisberechtigungsverkehrs erfordert das Überwachen nur einiger IP-Adressen, und es wird auch für ansonsten inaktive Clients Datenverkehr zu diesen Berechtigungen stattfinden.

Die große Ausnahme ist, wenn Tor für die Verwendung einer Bridge konfiguriert wurde. Diese sind explizit so konzipiert, dass Tor nicht direkt mit einem der normalen Tor-Knoten oder Verzeichnisberechtigungen kommuniziert. Stattdessen kommunizieren sie mit einer unveröffentlichten Bridge-Adresse. Nationalstaaten haben Schwierigkeiten, diese Zusammenhänge zu erkennen. Wenn eines in Ihrem Netzwerk verwendet wird, haben Sie so gut wie keine Chance.


Stattdessen sollten Sie den Zugriff auf und vom Netzwerk in genauer kontrollieren Allgemeines. Nur Datenverkehr, der tatsächlich benötigt wird, sollte zu und von einem Gerät zugelassen werden, auf das PHI zugegriffen oder gespeichert werden kann. Dies bedeutet, dass Sie standardmäßig in beide Richtungen (eingehend und ausgehend) verweigern und Netzwerke, in denen PHI vorhanden ist, von anderen Netzwerken trennen müssen. Es hört sich so an, als ob Ihre aktuelle Firewall-Austrittsrichtlinie standardmäßig zulässig ist. Das Blockieren von Elementen in einer standardmäßig zulässigen Konfiguration ist wie das Stanzen von Löchern in den Himmel.

#4
+7
usr-local-ΕΨΗΕΛΩΝ
2016-09-07 21:33:34 UTC
view on stackexchange narkive permalink

Es reicht aus, den Benutzer daran zu hindern, Software zu installieren / zu verwenden, die nicht vom Unternehmen genehmigt wurde, indem Softwarerichtlinien auf dem Computer des Mitarbeiters durchgesetzt werden, kombiniert mit der Netzwerkauthentifizierung, sodass nur die richtlinienkonformen Computer auf das Netzwerk zugreifen können. Dies macht die Workstation fast zu einer einfachen Kiosk -Maschine. In der Finanz- und Gesundheitsbranche sollte es nicht als unangemessen angesehen werden, den operativen Mitarbeitern einen Kioskmodus aufzuzwingen.

Die Unfähigkeit, eine Software auszuführen, die möglicherweise eine Verbindung zu Tor herstellt, ist der Schlüssel, um zu verhindern, dass Benutzer Tor verwenden, wenn Browser (zB onion.to Proxying) ist nicht Teil der Bedrohung. Normalerweise verfügen Sie jedoch über eine Whitelist-Liste von Websites, die in geschützten Umgebungen verfügbar sind.

In der realen Welt kollidiert dies häufig mit den Anforderungen von IT-Mitarbeitern. In den meisten Unternehmen ist die Fähigkeit der IT, die nicht unbedingt Softwareentwickler / -ingenieure sind, erforderlich, Software auszuführen oder benutzerdefinierte Skripte zu schreiben. Nehmen wir zur Diskussion an, dass dies der Fall ist.

Natürlich können Sie Ihren Systemadministrator nicht daran hindern, Tor auszuführen, und Sie können seinen Computer auch nicht für genau diese "Bedrohung" an einen Kiosk sperren Sie verhindern außergewöhnliche außerbetriebliche Aktivitäten wie das Beheben von Problemen mit Maschinen oder im Netzwerk. In diesem Fall würde ich empfehlen, eine Richtlinie zu verwenden, z. B. dass die Sysadmin-Computer mit privilegierter Softwarekonfiguration normalerweise mit einem nicht sensiblen Netzwerk und eventuell mit dem Internet verbunden sind. Wenn ein Systemadministrator auf das vertrauliche Netzwerk zugreifen muss, in dem geschützte Informationen gespeichert sind, muss er seinen Laptop physisch an einen anderen Stecker anschließen und das Ereignis in einem Prüfpfad aufzeichnen. Eine solche Prüfung kann auch durch einen Kommentar zu einem Support-Ticket "Ich erhalte Zugriff auf Maschine 10.100.200.10 , um die Aufgabe abzuschließen" durchgeführt werden.

Kurz gesagt, zu verhindern, dass jemand Tor verwendet, ist eine strenge Anforderung, die schwer durchzusetzen ist. Eine vernünftige Neuinterpretation der Anforderung sollte jedoch jeden Regulierer befriedigen, indem das Sicherheitsprinzip übernommen wird, das Benutzer verwenden muss in der Lage sein, nur die geringste Anzahl von Softwareprogrammen auszuführen, um ihre Aufgaben zu erfüllen (eine Variation des Prinzips der geringsten Mindestberechtigungen).

Und Tor selbst ist sowieso keine Bedrohung, es ist Ein Medium, das entweder von Insiderhändlern oder anderen untreuen Mitarbeitern missbraucht werden kann oder ein Risiko für bestehende ungeschulte Mitarbeiter darstellt.

Dies ist die richtige Lösung. Die Bekämpfung auf Netzwerkebene wird ein vergebliches Unterfangen sein. Richten Sie eine Gruppenrichtlinie ein, um zu verhindern, dass ein Tor installiert oder ein tragbares Gerät ausgeführt wird.
Dies setzt voraus, dass sowohl Ihr Betriebssystem als auch jede von Ihnen genehmigte Anwendung nicht gehackt werden können, um nicht genehmigte Anweisungen auszuführen.Sie haben nicht einmal die Chance, dies zum Laufen zu bringen, es sei denn, Sie sind bereit, Mitarbeitercomputer so weit zu sperren, dass sie wie ein gehärteter Internetkiosk funktionieren (ein minimaler Webbrowser auf einem abgespeckten Linux-Betriebssystem und sonst nichts).mit sämtlicher Hardware in einer Box versiegelt).Sie würden die Produktivität Ihrer Mitarbeiter beeinträchtigen und dennoch das Risiko haben, dass etwas ausgenutzt wird.
Was ist mit Banken?Sollten sie sich der Tatsache ergeben, dass jemand Tor verwenden könnte, um seine privaten Daten zu verlieren?Natürlich kann jedes System gehackt werden, aber ein Systemadministrator sollte sich nicht ergeben.Wir sprechen nur über einige Compliance-Anforderungen, nicht dass wir Tor selbst genehmigen oder ablehnen (ich genehmige und unterstütze es), aber wir müssen verstehen, dass einige Tools nicht an kritischen Arbeitsplätzen verwendet werden sollten, insbesondere nicht von Personen ohne entsprechende Erfahrung und Kenntnisse.
Dies ist in der Tat die richtige Antwort für jede regulierte Branche und für die meisten anderen.Es bietet ein sehr hohes Maß an Sicherheit und ist sowohl im Gesundheits- als auch im Finanzbereich äußerst verbreitet.Es ist auch eine sehr leistungsfähige Methode, um die Angriffsmöglichkeiten von Malware zu reduzieren.
Ich möchte @slang für die Verwendung des Ausdrucks "Internet Kiosk" danken.Dies ist die Antwort in den meisten geschützten Umgebungen.Und es sollte nicht als böse gegen die Produktivität der Mitarbeiter angesehen werden.Operative Mitarbeiter (z. B. Bankkassierer) sollten nur einen minimalen und effizienten Satz von Produkten verwenden, um ihre Aufgaben zu erfüllen.Wenn sie für ihren normalen Betrieb mehr als 35 Software benötigen (wie vor einigen Jahren in der MPS Bank), wird ihre Produktivität meiner Meinung nach stark von der Anzahl der Tools beeinflusst, die sie lernen müssen.Auch wenn Sie während der Geschäftszeiten keine nicht geschäftlichen Aufgaben ausführen sollten, gibt es Tablets für diese
Vielleicht würde ein Kiosk in Bank- / Kassiererjobs, die nur darauf warten, durch Automatisierung ersetzt zu werden, Sinn machen und die Produktivität nicht beeinträchtigen.Ich glaube nicht, dass sie den ganzen Tag über E-Mails abrufen müssen.Für jede Art von Wissensarbeiter ist es jedoch katastrophal für die Produktivität, Einschränkungen in ihrer Computerumgebung zu haben. Am Ende verbringen Sie mehr Zeit mit der Arbeit an "Sicherheitsrichtlinien" als mit produktiver Arbeit.Ich kann mir kaum vorstellen, den Tag ohne meine Python / Bash-Shells oder die Skripte zu überstehen, die ich zur Automatisierung von Aufgaben geschrieben habe.
Zwei Probleme.** Eine ** ist, dass Sie * Python / Bash * benötigen, um Ihre tägliche Arbeit fortzusetzen, vorausgesetzt, Sie arbeiten nicht in der IT.** Zwei ** ist, dass die meisten Mitarbeiter, die nicht direkt in der IT arbeiten (denken Sie an die Kassiererin als Beispiel), nicht einmal wissen, was Shell ist. Warum also geben?Ich kenne viele Computeraffen, die daran gehindert werden sollten, den größten Teil der Software zu verwenden, da sie ihre Workstation (und das IT-Format) nur aufgrund ihrer Inkompetenz beschädigen können.Ich glaube, Sie denken zu viel an Ihren eigenen Arbeitsplatz, der ein IT-Unternehmen sein könnte.Sei aufgeschlossen und schränke ein :)
Ok, es sieht so aus, als würden wir hier gleich loslegen.Wenn jemand das Gleichgewicht zwischen Sicherheit und Produktivität diskutieren möchte, kann er / sie eine neue Frage stellen (aber letztendlich werden meinungsbasierte Diskussionen über SE nicht gut angenommen).
#5
+5
mgjk
2016-09-05 19:10:41 UTC
view on stackexchange narkive permalink

Tor ist von Natur aus schwer zu blockieren. Yoricks Maßnahmen werden die ehrlichen Mitarbeiter ehrlich halten. Ich würde diesen Weg gehen, wenn die HIPAA nicht mehr verlangt. * Wenn Sie den Blockierungsmaßnahmen eine Erkennung hinzufügen, können Sie Tor-Benutzer identifizieren und das Management durchlaufen, um sie zu disziplinieren. Meiner Meinung nach sollte das Verbot dieser Art von Verhalten in der jährlichen Zertifizierung der Geschäftsrichtlinien durch den Mitarbeiter und Teil Ihres Sicherheitsschulungsprogramms enthalten sein.

Wenn Sie mit eiserner Faust regieren müssen, blockieren Sie alles Standardmäßig ist die Installation eines Interception-Proxys eine gängige Methode. Dies bedeutet, dass Sie den gesamten Client-TLS-Verkehr abfangen, entschlüsseln, untersuchen, kategorisieren und neu verschlüsseln. Dies ist bei Banken und sicheren Instituten üblich ... zusammen mit allen Auswirkungen auf den Datenschutz, der Komplexität der Bereitstellung und Leistungsproblemen.

* (Ich weiß nicht ... ich habe keine HIPAA durchgeführt)

Sobald Sie BYOD zulassen, sind alle Wetten ungültig (was in diesem Thema möglicherweise nicht der Fall ist).Die Paketanalyse zum TLS-Verkehr klingt theoretisch gut, hat aber in der Praxis schwerwiegende Konsequenzen.
@YorickdeWid - BYOD funktioniert damit einwandfrei, wenn Ihr MDM die Verteilung privater Zertifizierungsstellen unterstützt.Die Einschränkungen bei TLS-Interception-Proxys sind gut bekannt.
Als würde das auf einem Tablet oder Telefon funktionieren.
Warum sollte ein Telefon in einem gesicherten Netzwerk zugelassen sein?
Ich habe kein HIPPA gemacht (ich bin nicht in den USA), aber ich muss argumentieren, dass dies eine Gesundheitspolitik ist.Daher handelt es sich um eine Sache zum Schutz der Privatsphäre von Patienten.Wenn Sie zulassen, dass Patientendaten auf einen Personalcomputer eines Mitarbeiters heruntergeladen werden (der dann gestohlen werden kann), haften Sie bereits dafür.Ich würde argumentieren, dass BYOD nicht in Frage kommt.
@YorickdeWid - MDM == "Mobile Device Management".Wenn Sie kein sehr, sehr kleines Geschäft sind und mobile Geräte verwenden, benötigen Sie eine Lösung, um Verschlüsselung, Zugriffskontrolle und Remote-Löschung zu erzwingen.Für BYOD müssen Sie die Anforderungen in der Richtlinie zur akzeptablen Nutzung (AUP) erfüllen und sich mit der Tatsache befassen, dass personenbezogene Daten zusammen mit den Unternehmensdaten beim Beenden gelöscht werden (und dass ihre Bilder ihrer Kinder auf den Unternehmensservern gesichert werden...).Bei vielen MDM-Lösungen können Sie dem Gerätezertifikatsspeicher Zertifikate hinzufügen, weshalb ich es erwähne.
@Erbureth - weil in Umgebungen, in denen Benutzer auf persönliche Informationen zugreifen, während sie nicht unbedingt an zugewiesenen Schreibtischen sitzen, Smartphones oder Tablets wahrscheinlich die beste Wahl für ein geeignetes Terminal sind, damit diese Benutzer diesen Zugriff erhalten.
BYOD sollte nicht in HIPPA-Situationen verwendet werden, in denen Benutzer auf vertrauliche Gesundheitsdaten zugreifen.Sie könnten jedoch Ausnahmen machen, wenn Sie ein gutes Kapselungssystem hätten, das vertrauliche Daten / Anwendungen in einem eigenen Container aufbewahrt.
#6
+2
James Snell
2016-09-07 14:34:52 UTC
view on stackexchange narkive permalink

Da sich der Titel auf das Erkennen solcher Aktivitäten bezieht, würde ich eine Firewall-Regel so konfigurieren, dass Verbindungen zu bekannten Anonymisierungsdiensten / -servern verschiedener Typen protokolliert, aber nicht blockiert werden. Dies bedeutet natürlich, dass jemand die Firewall-Protokolle oder ein Flagging-System überwacht.

Es besteht ein geringes Risiko, dass Daten herauskommen, aber wenn jemand auf einen Block stößt, findet er wahrscheinlich andere Methoden / Dienste (für die Sie möglicherweise nicht angemeldet sind), um Daten aus Ihrem System abzurufen.

Wenn Sie eine begrenzte Datenmenge zulassen, erhalten Sie Ziele in Ihrem Netzwerk, die dies ermöglichen Überprüfen Sie den Systemzugriff und finden Sie heraus, was sie tatsächlich tun - beispielsweise den Versuch, auf Material zuzugreifen, das außerhalb ihres Aufgabenbereichs liegt.

Auf diese Weise können Sie auch alle BYOD-Probleme in Umgebungen umgehen, die es ihnen ermöglichen, Informationen zu erhalten Für die vertraulichen Daten benötigen sie weiterhin ihre Authentifizierung (Anmeldungen usw.), damit Sie sehen können, was gefährdet sein könnte.

Der Nachteil dieses Ansatzes besteht darin, dass die Risiken proportional zur Nähe der Firewalls sind überwacht und alle Flags behandelt, so dass es wirklich von den verfügbaren Ressourcen abhängt.

Sobald Sie den Internetzugang zulassen, auch mit nur Port 80, gibt es IMMER Möglichkeiten, Daten zu filtern, es sei denn, Sie blockieren den Zugriff auf ALLE Endpunkte mit Ausnahme der begrenzten bekannten Endpunkte, und dies ist nicht möglich.Die Möglichkeit, dies zu verhindern, besteht darin, nur von Unternehmen verwalteten Geräten den Zugriff auf HIPAA-bezogene Daten zu ermöglichen und zu verhindern, dass auf diesen Geräten Code ausgeführt wird, sofern keine Whitelists aufgeführt sind.Dies ist eine sehr verbreitete und sehr sichere Praxis.
Zulässige Anwendungen können manipuliert werden, um auch Daten herauszuholen, und sogar DNS kann zum Weiterleiten von Daten verwendet werden, sodass Verbindungen nicht einmal direkt sein müssen. Die Diskussion all dieser Möglichkeiten führt uns jedoch aus dem Rahmen der gestellten Frage heraus.Auf die die Antwort wohl nicht blockiert, sondern die Bedrohung durch Ihr Unternehmen erfasst und neutralisiert.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...