Unser NETZWERK für Security-Notfälle +43 1 689 29 29-0

The Teleworker Teil 3:

von | Apr 17, 2020 | News

The Teleworker:

Wenn es von zuhause gehen muss …

Wer hätte sich gedacht, dass wir von heute auf morgen unseren Job von zuhause aus machen müssen! Dass so manche Kolleginnen und Kollegen an einem Freitag nicht ins Büro gekommen sind, sondern von zuhause gearbeitet haben, hat es schon gegeben.

Unternehmen hatten meistens auch keinen großen Aufwand getrieben, eine Anbindung für Teleworker zu schaffen. Aber von einem Tag auf den anderen sollen alle von zuhause arbeiten. Da sind gewisse Probleme vorprogrammiert und auf diese wollen wir in unserem Blog/Magazin „The Teleworker“ in mehreren Teilberichten eingehen und werden Lösungen aufzeigen.

Lesen Sie heute über folgende Punkte:

  • Wie sicher sind Remote-Zugriffe ohne starke Authentisierung?
  • Per VPN ins Unternehmen, und worauf dabei zu achten ist
  • Warum EDR (Endpoint Detection and Response)?
  • Warum DNS-Zugriffe am Client überprüfen?
  • Remote Desktop und Virtual Desktop Infrastructure (VDI)

Wie sicher sind Remote-Zugriffe ohne starke Authentisierung?

Naheliegend ist es, die Authentisierung so zu belassen, wie es innerhalb des Unternehmens gemacht wird. In Organisationen arbeiten viele mit dem Login User Name & Password, gemäß einem Eintrag im firmeninternen Benutzerverzeichnis (Active Directory).

Die Alternative, zusätzlich Zertifikate zu verwenden, gibt manchmal vermeintliche Sicherheit. Wo befinden sich die Zertifikate? Werden diese auf einer externen Smartcard generiert oder werden sie auf den Rechner kopiert und „sicher“ im Windows Store abgelegt, wo sie sodann auf jedem Backup wieder zu finden sind?

Eine sichere Alternative: Zwei-Faktor, Multi-Faktor Authentication

Das Password lässt sich nur aus einem Teil, den man wissen muss (PIN) und über etwas, das man besitzen muss, zusammensetzen. Die klassische Lösung dafür ist der persönlichen Password-Token.

Mit der Tatsache, dass fast jeder ein Mobil-Telefon besitzt, wird der 2. Faktor als SMS-Nachricht auf das Handy des Users übertragen. Heutzutage werden spezielle Apps angeboten, die per Push-Technologie eine Benachrichtigung mit der Bitte um Bestätigung als 2. Faktor nutzen. Diese Technologien lassen sich auch gemischt einsetzen und mit einem klassischen Hardware-Token kombinieren, wenn man an einem Ort ohne Handy-Empfang arbeiten muss. Ein zweiter Faktor ist natürlich auch ein Fingerabdruck, Iris-, Gesichts- oder ein Handvenen-Scanner.

Diese Systeme sind intelligenter und benutzerfreundlicher geworden und erfragen je nach Setup einen 2. Faktor nur noch, sobald Anomalien im Anmeldeprozess erkannt worden sind.

So wird man bei Anmeldungen

  • aus dem Ausland (Ausnahmen sind möglich)
  • bei einem Logon über ein fremdes oder neues Device
  • nach einer definierten oder „gelernten“ Uhrzeit
  • bei einem Logon an eine neue Applikation

um einen 2. Faktor gebeten.

Die User-Akzeptanz für diesen wichtigen Security-Prozess wird damit stark erhöht und das Unternehmen ist gegen den gefährlichen Missbrauch von Identitäten geschützt. Außerdem ist der Rollout für eine Authentisierungsmethode via Handy für Hunderte oder Tausende User dank eines E-Mail & Self-User-Service quasi über die Mittagspause realisierbar!

 

Per VPN ins Unternehmen, und worauf dabei zu achten ist

Vorausschickend empfehlen wir dringend, dass der VPN-Client auf einem Firmen-Device installiert wird und wenn es geht nicht am Privat-PC des Mitarbeiters.

Noch vor der Entscheidung des richtigen VPN Clients sollte folgende Fragen technisch beleuchtet werden:

Split Tunneling – Ja oder Nein?

Mit Split Tunneling wird bestimmt, welcher Traffic über den VPN-Tunnel in die Firma geschickt wird und welcher Traffic direkt am Internet-Breakout beim Teleworker zu anderen Zielen wie Google oder zu Cloud-Anwendungen wie Office 365 ins Internet abzweigen soll, ohne das Firmen-VPN zu benutzen.

Da stehen natürlich Bandbreiten-Überlegungen bezüglich der VPN-Dimensionierung dahinter. Aber es ist es vielleicht wert, während der Arbeit alle Zugriffe über das VPN zu leiten, um die in der Zentrale für gutes Geld angeschafften Security-Systeme wie AntiVirus, Anti-Malware, URL-Filtering, Application Control und natürlich ein Port Filtering durch eine Firewall zu nutzen, bevor die Verbindung in das Internet mündet.

Kein Vorteil ohne Nachteil: Die Latenz kann bei einigen Protokollen für eine gewisse Beeinträchtigung der Applikations-Performance sorgen.

Mit Split Tunneling muss man die Security-Maßnahmen am Client deshalb deutlich verstärken.

Fast alle privaten Haushalte betreiben eine Art Router mit einer integrierten Firewall. Wie kann ein IT-Verantwortlicher eines Unternehmens aber der Qualität dieser Lösung oder der Aktualität der implementierten Security-Regeln (Policy) der Teleworker vertrauen?

Daher sollte man die Sicherheit am Client erhöhen. Jeder Aufruf einer Website könnte „der letzte“ sein.

Warum DNS-Zugriffe am Client überprüfen?

Fast jede Malware will „nach Hause“ kommunizieren oder Schadcode nachladen, das geschieht der Einfachheit halber immer über DNS.

Dagegen hilft ein Client-Agent von BlueShield, welcher die Domains und die dahinter verborgenen Services qualifiziert und gegebenenfalls vom Start weg blockiert. Damit lässt sich sehr rasch und einfach ein effizienter Schutz für den Client zu Hause aber auch in der Firma aufbauen. BlueShield ist ein sehr erfolgreicher Anbieter, der innerhalb der EU beheimatet ist.

Weitere Client Security-Funktionen

Als zusätzliche Funktionen am Client darf natürlich eine lokale Firewall nicht fehlen. Die lokale Client-Firewall muss alle nicht benötigten Verbindungen blocken und solche Aktionen idealerweise auch lokal mitprotokollieren.

Diese Funktion bieten einige VPN-Clients, AV-Clients, EDR-Clients, oder notfalls das Betriebssystem von MS Windows oder Mac.

Harddiskverschlüsselung sollte Standard sein

Aus unserer Sicht muss ein Notebook zu 100 % verschlüsselt sein. Bei einem Verlust durch Diebstahl ist meist nicht der Wert des Notebooks ausschlaggebend, sondern der Wert der Daten, die in falsche Hände kommen können. Spätestens seit der Einführung der DSGVO wird der Verlust von Kundendaten meldepflichtig und teuer.

Darüber hinaus gibt es noch weitere Sicherheitsmechanismen wie Sandboxing und Honeypots, aber dazu mehr in einer anderen Ausgabe.

Remote Desktop oder Virtual Desktop Infrastructure (VDI)

Vom security-technischen Gesichtspunkt her sind Virtual-Desktop Konzepte, wie sie von Citrix, MS Remote Desktop, VMware oder anderen geboten werden, eine ausgezeichnete Lösung für das Arbeiten von zuhause. Dem gegenüber stehen relativ hohe Lizenzkosten, aber auch allerhand Hardware-Kosten für das Unternehmen bis hin zur Verstärkung der Klimaanlage im Datacenter. Der Ressourcenaufwand für eine Citrix-Farm im Datacenter kann mit wachsender Anzahl an virtuellen Terminals markant steigen, so sind oft mehrere Application-Server und ein Loadbalancing vorzusehen. Deshalb werden solche Services auch gerne ausgelagert.

Im Allgemeinen kann mit einer VDI-Lösung beinahe jede Anwendung mit einer sehr guten Applikations-Performance zumindest von Remote-Standorten innerhalb Europas betrieben werden. Werden hohe grafische Auflösungen oder Video-Applikationen benötigt, so wird es wohl immer wieder zu Enttäuschungen kommen. Auch das Drucken am lokalen Drucker des Teleworkers kann sich zu einem Geduldsspiel entwickeln. Werden neben VDI auch Anwendungen lokal am Client betrieben, so kann das zum Beispiel bei einem größeren Download im Hintergrund, auf der gleichen Verbindung in die Firma ohne Traffic-Shaping, zu schlimmen Beeinträchtigungen der User Experience führen.

Und noch ein Hinweis:

Anwendungen sollen nicht laufend (alle Sekunden) Änderungen am Schirm verursachen (z. B. die Uhrzeit inkl. Sekunden). Das kann bei Hunderten oder gar Tausenden von Anwendern zu ganz erheblichem Netzwerk-Traffic führen.

Wenn Sie Interesse an unseren Services haben, so melden Sie sich bitte unter

the-teleworker@schoeller.at oder +43 1 6892929-252 oder 219 oder bei Ihrem SCHOELLER-Berater.

Verfolgen Sie unseren Blog weiter auf LinkedIn.

SCHOELLER network control
Ernst-Melchior-Gasse 24/DG
A-1020 Wien, Austria
www.schoeller.at

The Teleworker Teil 2:

von | Apr 8, 2020 | News

The Teleworker:

Wenn es von zuhause gehen muss …

Wer hätte sich gedacht, dass wir von heute auf morgen unseren Job von zuhause aus machen müssen! Dass so manche Kolleginnen und Kollegen an einem Freitag nicht ins Büro gekommen sind, sondern von zuhause gearbeitet haben, hat es schon gegeben.

Unternehmen hatten meistens auch keinen großen Aufwand getrieben, eine Anbindung für Teleworker zu schaffen. Aber von einem Tag auf den anderen sollen alle von zuhause arbeiten. Da sind gewisse Probleme vorprogrammiert und auf diese wollen wir in unserem Blog/Magazin „The Teleworker“ in mehreren Teilberichten eingehen und werden Lösungen aufzeigen.

Lesen Sie heute über folgende Punkte:

  • Netzwerk-Monitoring
  • Performance-Analyse
  • Wenn sehr große Files remote zu bearbeiten sind
  • IT-Security in Gefahr

1)  Netzwerk-Monitoring

Gerade jetzt, wo sich die Anforderungen an die bestehende Netzwerk-Architektur so stark ändern, ist es besonders wichtig, den Überblick über die Situation zu bewahren. Schoeller hat mehr als 30 Jahre Erfahrung im Bereich des Monitorings von Computer-Netzwerken und so bieten wir Ihnen das Schoeller Network Monitoring auch als Service an.

  • Maximaler Bandbreiten-Verbrauch über die Zeit
  • Spitzenwerte gemessen mit Sample-Rate von 1 Sec und weniger (Bursts und Microbursts)
  • Zu welcher Tageszeit treten Spitzenwerte in Ihrem Netzwerk am häufigsten auf?
  • Wie schnell steigen die Werte? Wann ist mit einem schwerwiegenden Engpass zu rechnen?
  • Welches Device ist für diese Spitzenbelastungen verantwortlich?
  • Welche Anwendung verursacht diese Spitzen? Wird auch bei HTTPS-Verkehr erkannt.
  • Welcher Server, welche Server-Gruppe wird dabei angesprochen?
  • Auslastungsreport für die rechtzeitige Planung von Upgrades, Capacity Management Reports

Auslastungsstatistik einer 50 MB-Leitung üblicherweise mit einer Sample-Rate von 5 Minuten gemessen.

Wer hätte sich gedacht, dass die Spitze um 12:32:40 im oberen Report doch die 50 MB-Leitung für 30 Sec voll auslastet (hier mit Sample-Rate=1 Sec).

2)  Performance-Analyse

Monitoring ist in Zeiten von Covid-19 mit dem Messen der Temperatur von Passanten und dem Zählen von Infizierten zu vergleichen. Unter Analysen versteht man, dass genaue Untersuchen von Infektionswegen, der Ablauf der Zellschädigung und das Finden von Heilungsmethoden. So gibt es immer wieder Problemsituationen beim Betrieb von Netzwerken, die nach einer genauen Ursachenforschung verlangen, um das Problem zu verstehen und die richtigen Maßnahmen einzuleiten. Durch genaue Analysen können erhebliche Fehlinvestitionen vermieden werden.

Schoeller Analyse-Service

  • Wird auf dem richtigen Verbindungspfad kommuniziert? Ist das Routing korrekt?
  • Wie arbeitet die Priorisierung der Datenpakete in Ihrem Netz tatsächlich?
  • Wird im Klartext oder verschlüsselt übertragen, wie verhält sich das bei VoIP?
  • Bremsen Paket-Wiederholungen (Retransmissions) Ihren Datendurchsatz und warum?
  • Wie kann man die Kommunikation optimieren?
  • Funktioniert der lokale Breakout beim Teleworker oder werden auch private Zugriffe über die zentrale Firewall der Firma geführt?
  • Ist die Kommunikation zu einer Cloud-Instanz gegeben und funktioniert diese einwandfrei?

3)  Wenn sehr große Files remote zu bearbeiten sind

Es gibt Berufe, bei denen laufend mit besonders großen Datenmengen hantiert werden muss. Denken Sie nur an CAD-Anwender, Grafiker/Designer oder Sharepoint-Anwender, die ab jetzt ihre Arbeiten von zuhause durchführen sollen und dabei Dateien mit Hunderten MB bearbeiten und wieder in die Zentrale zurückspielen müssen. Wie bereits erwähnt, ist auf die meist bedeutend geringe Upload-Bandbreite im Gegensatz zur Download-Bandbreite zu achten. Um die Produktivität und Motivation solcher Mitarbeiter hoch zu halten, kann der Einsatz sogenannter Applikations-Beschleuniger Abhilfe schaffen. Durch verschiedene Optimierungs-Methoden, die für jeden damit versorgten Anwender wirken, wird ganz erheblich viel Bandbreite eingespart, die z. B. für eine gute Sprachübertragungsqualität bei den nun so wichtigen und kritischen Kollaborations-Lösungen zur Verfügung steht.

Schoeller Applikationsbeschleunigungs-Service

Dabei wird auf die PCs oder Macs zuhause oder auf die Notebooks für unterwegs ein Software-Agent zur Applikationsbeschleunigung verteilt. Im Zusammenspiel mit einem Gegenstück, dem in der Zentrale installierten Application-Accelerator, werden großen Mengen an zu übertragenden Daten reduziert. Teile von bereits einmal übertragenen Daten werden dabei nicht ein zweites Mal übertragen. Dies wirkt in beide Richtungen und das bedeutet, dass das Zurückspeichern schon x-mal schneller erfolgen kann. Wird dieses File noch einmal geladen oder ein File mit ähnlichen Inhalten geholt, so werden auch dabei enorme Verbesserungen (typischerweise 5- bis zu 20-mal schneller) erzielt. Diese Technologie steht auch für die Beschleunigung von Cloud-Anbindungen in Richtung Microsoft-Azure, Office365, AWS und für SaaS-Anwendungen zur Verfügung und schlägt andere Verbesserungsmaßnahmen wie z. B. Microsoft Express Route vielfach um Längen.

Das Schoeller Applikationsbeschleunigungs-Service beinhaltet die Planung, den Aufbau und die laufende Betreuung der Beschleunigungslösung durch unser erfahrenes Personal.

4)  Security in Gefahr

Gerade jetzt, wo so viele Teleworker womöglich von ihrem privaten Heim-PC aus vielleicht erstmals in die Firma zugreifen, ist die Gefahr sehr groß, dass es zu Security-Problemen kommen kann. Leider wissen auch die Hacker, dass dies ihre Chance ist, in neue Firmennetze einzudringen …

Schoeller Security as a Service

Schoeller bietet seit dem ersten Auftreten von Security-Vorfällen vor ca. 25 Jahren spezielle Lösungen und Dienstleistungen für den Schutz der IT-Infrastruktur und der dort gespeicherten Daten. Das Thema ist vielschichtig. Die für Sie sinnvollsten Maßnahmen sind gefragt. Wir integrieren hochwertige Security-Abwehrsysteme und betreuen Sie, wenn Sie möchten, auch 24 Stunden am Tag, 7-mal die Woche!

Lassen Sie sich von unseren Security-Spezialisten zum Thema Teleworking beraten.

  • Werden die empfohlenen Software-Pakete und die richtigen Softwarestände eingesetzt?
  • Ist eine Desktop-Firewall aktiv und arbeitet sie wie geplant?
  • Wie ist der Desktop gegen Malware, Ransomware und USB-Missbrauch geschützt?
  • Gibt es verdächtige DNS-Abfragen?
  • Werden Anwendungen betrieben, die für den User nicht üblich sind?
  • Von woher kommen die Zugriffe: vom Inland, von welchem Land im Ausland?
  • Gibt es vermehrt ungültige Logon-Versuche? Wie werden diese erkannt?
  • Ist eine Multi-Faktor-Authentifizierung aktiv oder wird mit statischen Passworten gearbeitet?
  • Ist die Aufzeichnung von privilegierten administrativen Zugriffen aus der Ferne gegeben (Funktionswiese wie die der Blackbox im Flugzeug)?
  • Sind unerlaubte Zugriffe zwischen (virtualisierten) Servern in der Zentrale zu erkennen?
  • Wurde Ihr Netz bereits daraufhin überprüft, ob mit gestohlenen Identitäten versucht wird, Daten von innen nach außen abfließen zu lassen?
  • Ist ein zentrales Logsystem vorhanden und ist damit eine Analyse zur Erkennung von ungewöhnlichen Zugriffen und Prozessen möglich?
  • Wie könnte eine Deception-Lösung (Honeypot) aussehen, die bereits eingedrungenen Angreifern eine Falle stellt?
  • Was würde in dem Zusammenhang ein Umstieg in eine Cloud-Umgebung für Sie bedeuten?

Wenn Sie Interesse an unseren Services haben, so melden Sie sich bitte unter

the-teleworker@schoeller.at oder +43 1 6892929-252 oder 219 oder bei Ihrem SCHOELLER-Berater.

Verfolgen Sie unseren Blog weiter auf LinkedIn.

SCHOELLER network control
Ernst-Melchior-Gasse 24/DG
A-1020 Wien, Austria
www.schoeller.at