Hallo.

Ich muss einem Systemhersteller einen Telnet-Zugang für Wartungszwecke auf einen unserer Server einrichten. Der Zugang wird per openVPN realisiert und in der Firewall wird nur der Telnet-Zugang auf eben diesen Server erlaubt. Nichtsdestotrotz besteht ja die Möglichkeit, dass die Techniker des Systemherstellers von Zielserver aus weiter auf die anderen Rechner im Netz zugreifen könnten. Gibt es irgendwelche praktikable Möglichkeiten, das irgendwie einzugrenzen? Oder muss ich denen vertrauen? Wie händelt ihr so was?

Ciao, René

Was das rechtliche Angeht.
http://de.wikipedia.org/wiki/Geheimhaltungserkl%C3%A4rung

Setz sowas auf, lass es dir unterschreiben, dann bist du von der Seite schon mal abgesichert.

Der Zugang wird per openVPN realisiert und in der Firewall wird nur der Telnet-Zugang auf eben diesen Server erlaubt. Nichtsdestotrotz besteht ja die Möglichkeit, dass die Techniker des Systemherstellers von Zielserver aus weiter auf die anderen Rechner im Netz zugreifen könnten.


Setz lokal einen Paketfilter auf, der alle Pakete von dem Tunnel aus der Weiterreise hindert (FORWARD Chain).

@psy: Danke, das ist immerhin schon mal was für nachher, wenn das Kind im Brunnen liegt. ;-) Hält böse Jungs aber leider nicht ab.

@bla!zilla: Wenn ich einen lokalen Paketfilter (iptables) installiere (also auf dem Zielserver), dann muss ich aber doch die OUTPUT-Chain nehmen. Und ich müsste alles Abgehende verbieten, außer dem Kram, den der Server selbst unbedingt machen muss. Gut, das würde gehen, mich aber selbst einschränken. Könnte ich aber mit leben.

Kann man nicht auch über sowas in der Art wie /etc/host.allow bzw. deny erreichen, das ein bestimmter User nur bestimmte Programme starten darf bzw. keinen abgehenden Traffic erzeugen darf?
Wobei man das eh alles vergessen kann, weil die ja das Root-Passwort haben. Und damit ist das mit der lokalen FW auch müssig. Muss ich den Server wohl doch im Netzwerk isolieren....

Jedenfalls vielen Dank für eure Tipps.:(:(

Also wir regeln das bei uns in der Firma so, dass der Fernwartungszugang nur auf Bedarf geschaltet wird und dann sitzt bei uns einer am entsprechenden Rechner und beobachtet, was die Kollegen da so machen.
Danach machen wir unsere FW wieder dicht.

michel_vaclav

Ich muss einem Systemhersteller einen Telnet-Zugang für Wartungszwecke auf einen unserer Server einrichten.

Per "screen" beobachten was der Techniker macht.

mfg
cane

@bla!zilla: Wenn ich einen lokalen Paketfilter (iptables) installiere (also auf dem Zielserver), dann muss ich aber doch die OUTPUT-Chain nehmen.

Mmmhhh... FORWARD auf jeden Fall, damit keine gerouteten Paketen weiterreiten. OUTPUT macht natürlich auch Sinn.