Hallo Forum,

ich habe gesehen, dass in unserem Netzwerk Nicht-Admins auf deren eigenem Notebook ein "Network Management System" von netgear installiert haben.

Damit können sie die Netzstruktur anzeigen lassen usw.

Wie gefährlich ist das, wenn das Tool jedermann unter anderm anbietet die IP-Adresse von Objekten zu ändern, Ports an Routern zu disablen, Rechner in andere Subnetze packen usw.?

koi

Das ist jetzt ein Scherz oder?

Hallo Forum,

ich habe gesehen, dass in unserem Netzwerk Nicht-Admins auf deren eigenem Notebook ein "Network Management System" von netgear installiert haben.

Damit können sie die Netzstruktur anzeigen lassen usw.

Wie gefährlich ist das, wenn das Tool jedermann unter anderm anbietet die IP-Adresse von Objekten zu ändern, Ports an Routern zu disablen, Rechner in andere Subnetze packen usw.?

koi

Bist du sicher das du genau weißt was das Tool macht? Irgendwie sieht es nicht danach aus.

Hallo Forum,

ich habe gesehen, dass in unserem Netzwerk Nicht-Admins auf deren eigenem Notebook ein "Network Management System" von netgear installiert haben.

Ist das Dein Laptop...:confused: ...und Du bist der Admin...:eek:????

Da jeder vernünftige Switch über SNMP-Schnittstelle verfügt ist er natürlich auch darüber managebar - wenn dann natürlich der Admin kein PW gesetzt hat (und die Writeable-Funktion nicht deaktiviert ist) - so kann logischerweise jeder Heini auf den Kisten machen was er will. Da braucht es nicht mal ein tolles grafisches Tool dafür, eine Linuxkonsole reicht dafür völlig aus.

Wenn dem also so ist - so habt ihr einfach ein riesen Sicherheitsloch in eurem Netz und recht leichtsinnige Admins.

Was völlig anderes ist, dass MAs auf ihrem Firmenlaptop "einfach so" SW installieren - eigentlich meist schon ein Grund für eine Abmahnung. Wenn es noch nicht mal der Firmenlaptop ist sondern der private, so gehören die Leute eigentlich erst recht abgemahnt und aussen an der Firma an die Fassade gehängt... :-)

Danke marce für die Antwort,

es ist nicht leicht Fragen zu stellen, ohne dass es sofort einen über die Finger gibt.

Die Frage ist durchaus nicht als Scherzfrage gemeint gewesen und da ich kein Admin bin, habe ich mir nichts vorzuwerfen.

Mich hat lediglich das interessiert, was ich da gesehen habe. Ich weiß auch nicht, ob die Konfig letztendlich möglich war. Sicher ist nur, dass das Tool besagte Optionen wie beschrieben angeboten hat. Ich sollte das vielleicht selbst mal testen ;-)
Karl

Sorry, aber die wenigsten Switches und Router lassen sich über SNMP _konfigurieren_. Managebar heißt in dem Fall Statuswerte usw. auszulesen. Das geht per SNMP und ist auch kein Hexenwerk.

... aber prinzipiell bietet SNMP die Mögichkeit dazu - in wie weit dies in welchem Produkt realisert ist steht wieder auf einem anderen Blatt...

Hi,
wir haben 3300er, 3800er, 4400er 3Coms. Die konfiguriere ich immer mit TerraTerm über die serielle Schnittstelle mit einem Null-Modem Kabel. Das klappt super. Nachdem die IP vergeben wurde, wird dann per http konfiguriert.
Die 4400er werden jetzt mit SNMP ausgelesen. Dazu wird jetzt WhatsUP verwendet. Später sollte Nagios als zweites Monitoring eingesetzt werden.
Gruss
Mull

... aber prinzipiell bietet SNMP die Mögichkeit dazu - in wie weit dies in welchem Produkt realisert ist steht wieder auf einem anderen Blatt...

Schon richtig, aber was in der Theorie möglich ist, zählt hier nicht.

soweit ja - aber: wir wissen leider nicht, welche Optionen in dem Netz dort genutzt werden. Daher fand ich es ok, auf die Möglichkeit an sich hinzuweisen.

Ansonsten - das lustige an diesen Tools ist, wie einfach man damit ein recht komplettes Bild einer Netzstruktur erzeugen kann. Beeindruckt die Leute immer ungemein und verleitet sie dann dazu, sofort ohne Nachzudenken Unmassen von Geld auszugeben um diese "gigantischen Sicherheitslücken" beheben zu lassen.

Was völlig anderes ist, dass MAs auf ihrem Firmenlaptop "einfach so" SW installieren - eigentlich meist schon ein Grund für eine Abmahnung. Wenn es noch nicht mal der Firmenlaptop ist sondern der private, so gehören die Leute eigentlich erst recht abgemahnt und aussen an der Firma an die Fassade gehängt... :-)
Also da kann man auch ganz anderer Meinung sein. Ich habe wenige Firmen kennengelernt, die die Null-Install Policy fahren. Meist klappt das dann aber doch nicht, weil der eine einen Konfigurator, der nächste seinen Palmdesktop etc pp benötigt.
Und je restriktiver die Policy ist, desto eher fühlt sich der Mitarbeiter eingesperrt und motiviert, die Regeln zu umgehen. Offener Umgang mit verantwortungsvollen Mitarbeitern -und einer guten Security dahinter- ist heute meines Erachtens moderner.
Zumindest würde ich die Pauschalität deiner Aussage "MA installiert SW => Pranger" stark anzweifeln.

Greetz
Thomas

bezog sich bei mir eher auf die Aktion "Privater Laptop in's Firmennetz" - das Installieren von "Fremd"-SW auf Firmen-PCs gehört aber auf jeden Fall geregelt. Und die Art der SW, von der hier die Rede ist hat m.M.n. auf einem normalen PC nichts verloren. Oder möchstest Du, dass der Kollege von nebenan einen MRTG auf den Switchport laufe hat, an dem dein PC hängt? Oder einfach vom Switch erfährt, wann der Link UP oder Down war? Derlei Dinge gehen sehr schnell in Bereich des Daten- und Persönlichkeitsschutzes.

Klar - wenn jemand seine Privaten Termine mit denen in der Firma abgleichen will oder was auch immer - darf er von mir aus gerne seinen Palm-Desktop installieren. Oder von mir aus auch Gimp, da er mit den installierten Photoshop nicht so produktiv arbeiten kann (aus Gewöhnung). Es ist nur immer von Vorteil, wenn eine Regelung exisitert, nur gibt es halt aus meiner Sicht SW, die ich nicht als Admin / GL / Datenschützer in meinem Netz haben will und für deren Einsatz ein MA "zu Recht" eine Watsche erhalten darf, so er denn gegen die Betriebsregelung verstossen hat.

Hoffe, mein Standpunkt ist ein bisserl klarer geworden - es ist nicht alles BW sonder viel Grau dazwischen...

bezog sich bei mir eher auf die Aktion "Privater Laptop in's Firmennetz" - das Installieren von "Fremd"-SW auf Firmen-PCs gehört aber auf jeden Fall geregelt. Und die Art der SW, von der hier die Rede ist hat m.M.n. auf einem normalen PC nichts verloren. Oder möchstest Du, dass der Kollege von nebenan einen MRTG auf den Switchport laufe hat, an dem dein PC hängt? Oder einfach vom Switch erfährt, wann der Link UP oder Down war? Derlei Dinge gehen sehr schnell in Bereich des Daten- und Persönlichkeitsschutzes.

Klar - wenn jemand seine Privaten Termine mit denen in der Firma abgleichen will oder was auch immer - darf er von mir aus gerne seinen Palm-Desktop installieren. Oder von mir aus auch Gimp, da er mit den installierten Photoshop nicht so produktiv arbeiten kann (aus Gewöhnung). Es ist nur immer von Vorteil, wenn eine Regelung exisitert, nur gibt es halt aus meiner Sicht SW, die ich nicht als Admin / GL / Datenschützer in meinem Netz haben will und für deren Einsatz ein MA "zu Recht" eine Watsche erhalten darf, so er denn gegen die Betriebsregelung verstossen hat.

Hoffe, mein Standpunkt ist ein bisserl klarer geworden - es ist nicht alles BW sonder viel Grau dazwischen...


Logo. Es muss halt abgewägt werden zwischen Sicherheit, Systemwartbarkeit und Lizenz-Korrektheit einserseits und Freiheit für Produktität und Motivation andererseits.

Denke, dass wir uns da nicht so uneinig sind.

Greetz
Thomas