Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  12 2239
Hei.

Jeg lurer på om noen kan hjelpe med å komme frem til en løsning.

Problemstilling:
Jeg har kunder som har et system med en eller flere datamaskiner som er offline. Disse maskinene har ikke antivirus eller noe siden de ikke er på nett. Noen av systemene er gamle (Win XP Emb/Win 7 Emb) slik at det blir for tungt å kjøre antivirus på systemet. Ikke mulig å oppgradere systemene da vi må gjennom en stor dokumentasjon godkjenning i flybransjen for å få det til.

Vi vurderer nå å kjøpe inn mobilt 4g modem som kunden kan koble til systemet for å gi oss tilgang på systemet for feilsøking eller oppgradering av systemet med Team Viewer. Systemet vil kun være på nett i de tilfellene vi har avtalt med kunden om å plugge til 4g modemet.
Men vi må minimere sjansen for at systemet blir utsatt for virus eller lignende.


Kan vi sikre systemene med å begrense hva som kommer inn på systemet med å begrense tilgang til nett.
- Kjøre all data gjennom en VPN rett til oss
- Blokkere alle porter for å kun tillate Team Viewer

Krav fra vår side:
- Kunne styre systemene via Team Viewer
- Overføre filer med nye Software oppdateringer direkte til systemet

Hvordan ville dere løst dette?
Hva er grunnen til at systemet er offline?
Hva slags tjenester er det som skal beskyttes?

I utgangspunktet høres dette ut som en svært dårlig idé siden du må spørre på et forum (selv om mange av medlemmene her har svært høy kompetanse på feltet). Dette er også den mest brukte metoden for å få tilgang til slike systemer, via underleverandører.
Trådstarter
42 1
Systemene er installert i fly for å bruke som måleinstrument.
Oppgradering av målesystemet skjer svært skjeldent

I all hovedsak skal systemen bare beskyttes for smitte i det de kobles til nett for å unngå videre nedetid.
Trigonoceps occipita
vidarlo's Avatar
Donor
Team viewer og VPN er gjensidig utelukkande størrelser. Teamviewer går via offentlege servere på nett.

Ei langt betre løysing er VPN, utan tilgang til internett, og t.d. Remote Desktop eller VNC for fjernstyring, utan at trafikken går via internett.
Sitat av johjoa Vis innlegg
Systemene er installert i fly for å bruke som måleinstrument.
Oppgradering av målesystemet skjer svært skjeldent

I all hovedsak skal systemen bare beskyttes for smitte i det de kobles til nett for å unngå videre nedetid.
Vis hele sitatet...
Men systemet er sårbart etter selve tilkoblingen også. Spesielt dersom du overfører filer.
Og er du sikker på at det er tillatt å installere team viewer på disse maskinene?

Dersom det er lite behov for denne tilkoblingen ville jeg droppet den helt og gjort arbeidet lokalt.

EDit: Er det en lokal nettverkstilkobling du er ute etter eller tilkobling via internett?
Sist endret av random105675; 18. januar 2019 kl. 14:31. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Trådstarter
42 1
Sitat av Rosander Vis innlegg
Men systemet er sårbart etter selve tilkoblingen også. Spesielt dersom du overfører filer.
Og er du sikker på at det er tillatt å installere team viewer på disse maskinene?

Dersom det er lite behov for denne tilkoblingen ville jeg droppet den helt og gjort arbeidet lokalt.

EDit: Er det en lokal nettverkstilkobling du er ute etter eller tilkobling via internett?
Vis hele sitatet...
Det er vi som har produsert og levert systemet til kunden. Som en del av en supportavtale ønsker vi å tilby dette som en løsning.

Å gjøre arbeidet lokalt er vanskelig da kundene ikke er alltid like god i engelsk og systemene er spred verden rundt. Og hvis vi kunne oppgradert systemet hjemmefra på en sikker måte hadde vi spart 70K-100K kr pr oppgradering/tur. itillegg kunne vi levert support direkte istedet for at kunden har 2 dager nedetid før vi kommer oss frem til kunden.

Det blir over internett i form av 4G ruter. Ruteren skal ikke være permanent koblet til men. Skal plugges til via eternett når det skal brukes og fjernes etter jobben er gjort.
Sist endret av johjoa; 18. januar 2019 kl. 14:45.
Teamviewer el utelukket som vidarlo sier siden da må klienten/systemet ha internett access direkte.

For min del hadde jeg brukt noe alla dette:
Brannmur med 4G uplink som initierer en kryptert tunell mot deres brannmur.
Åpne for vnc el.l fra dere til klientene + evnt management av brannmur.
Sperre alt annet (dvs all utgående trafikk fra klienter og alt annet enn den predefine programvaren (vnc el.l) som en installerer på enhetene fra deres drift nett)

Da slipper en at noe annet enn selve brannmuren er på internett, og alt annet blir som ett lukket nettverk.
Nå er XP/7 Embedded mindre gammelt enn det høres ut som, men all ekstra programvare inkludert VNC vil jo egentlig bare være enda et potensielt problem.

Hva med KVM over IP gjennom et VPN? Da har man "fysisk" tilgang også (feks BIOS) uten at boksen man skal fikse trenger egen programvare for tilkoplingen?
Sitat av johjoa Vis innlegg
Det er vi som har produsert og levert systemet til kunden. Som en del av en supportavtale ønsker vi å tilby dette som en løsning.

Å gjøre arbeidet lokalt er vanskelig da kundene ikke er alltid like god i engelsk og systemene er spred verden rundt. Og hvis vi kunne oppgradert systemet hjemmefra på en sikker måte hadde vi spart 70K-100K kr pr oppgradering/tur. itillegg kunne vi levert support direkte istedet for at kunden har 2 dager nedetid før vi kommer oss frem til kunden.

Det blir over internett i form av 4G ruter. Ruteren skal ikke være permanent koblet til men. Skal plugges til via eternett når det skal brukes og fjernes etter jobben er gjort.
Vis hele sitatet...
Så airgappen er ikke et sikkerhetstiltak men bare "slik det er satt opp"?
Trådstarter
42 1
Sitat av rfa Vis innlegg
Teamviewer el utelukket som vidarlo sier siden da må klienten/systemet ha internett access direkte.

For min del hadde jeg brukt noe alla dette:
Brannmur med 4G uplink som initierer en kryptert tunell mot deres brannmur.
Åpne for vnc el.l fra dere til klientene + evnt management av brannmur.
Sperre alt annet (dvs all utgående trafikk fra klienter og alt annet enn den predefine programvaren (vnc el.l) som en installerer på enhetene fra deres drift nett)

Da slipper en at noe annet enn selve brannmuren er på internett, og alt annet blir som ett lukket nettverk.
Vis hele sitatet...
VPN direkte til oss og VNC virker som den beste løsningen.


Sitat av lumbricus Vis innlegg
Nå er XP/7 Embedded mindre gammelt enn det høres ut som, men all ekstra programvare inkludert VNC vil jo egentlig bare være enda et potensielt problem.

Hva med KVM over IP gjennom et VPN? Da har man "fysisk" tilgang også (feks BIOS) uten at boksen man skal fikse trenger egen programvare for tilkoplingen?
Vis hele sitatet...
De eldste systemene er ca 15 år nå, KVM vil kreve installasjon av nytt utstyr i systemet, og det lar seg ikke gjøre uten å gå gjennom ny godkjenningsprosess. Man kunne kanskje fått kunde til å installere det mindletidig men mestparten av kundene er operatører og har ikke kompetansen til å gjøre slikt.

Sitat av Rosander Vis innlegg
Så airgappen er ikke et sikkerhetstiltak men bare "slik det er satt opp"?
Vis hele sitatet...
At systemene er satt opp uten tilgang på nett? Det har alltid vært vurdert som beste måte og ikke introdusere virus og slikt hvis man ikke hadde tilgang til nett. itillegg er dette utstyr som har en funksjon og skal kun brukes til det og det kreves ikke tilgang på nett så dermed har ikke det vært noe å tenke på før.

Vi begynner å få flere kunder og økt krav til support, så hvis vi kan introdusere remote support med liten risiko for å infisere systemer så er det verdt det.

Ingen av våre kunder har sensitiv data på systemet, det er kun et måleinstrument. Det som er viktig for dem at at vi ikke lager problemer som foresaker nedetid for dem
Sist endret av johjoa; 19. januar 2019 kl. 12:45.
Vel du må også tenke over IPv4- og IPv6 adresser. Det tar ca. 15 min å portscanne alle IPv4 adresser som finnes i verden, kontra til IPv6 som er virtuelt umulig å scanne alle adresser, siden det finnes nesten et uendelig antall av dem.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av Fyre_Rev Vis innlegg
Vel du må også tenke over IPv4- og IPv6 adresser. Det tar ca. 15 min å portscanne alle IPv4 adresser som finnes i verden, kontra til IPv6 som er virtuelt umulig å scanne alle adresser, siden det finnes nesten et uendelig antall av dem.
Vis hele sitatet...
Irrelevant om han har ein firewall som blokkerer all innkommande trafikk, og ein VPN-tunnell derifrå til ein server som han bruker for å gi fjerntilgang.

Portscanning er støy. Det er ikkje eit problem om du har konfigurert ting korrekt.

Største problem med IPv6 er at du ikkje er klar over det, og ved eit uhell ikkje konfgurerer firewall for IPv6, slik at IPv6 er tilgjengeleg utanifrå.
Sist endret av vidarlo; 19. januar 2019 kl. 13:07.
Du må avklare det reelle trusselbilde, hva dere ønsker og oppnå og hvilke risikoer dere har.

At maskiner som ikke er koblet til internet er trygge og isolerte for virus og skadevare er en veldig vanlig misforståelse. De er ikke like utsatt for vilkårlige angrep, men har definitivt en risiko for å bli angrepet og smittet de også. En vanlig årsak til dette er at en slapper litt mer av med de, da en har en misforstått tro på at de ikke kan infiseres - eks ved å ikke ha sikkerhet på maskinene i det hele tatt(det tar jo ressurser?). Sikkerhet må dere tenke på uansett, i alle ledd.

En annen veldig vanlig feil å gjøre er å tenke "vi har ikke data eller systemer andre er interesserte i - og derfor trenger vi ikke sikkerhet". Nei, ofte er ikke leverandørene i seg selv så veldig interessante, men kundene er det. Klarer en angriper å komme seg inn til dere så kan de og få tak i systemene deres. For eks ved å infisere serverene deres eller servicemaskinene dere har, som så infiserer de andre systemene når de prater med hverandre, enten via direkte kontakt eller via lagringsenheter. Hvilke systemer har dere på plass for å forsikre dere om at løsningen dere leverer ikke er infisert? Skjult i egenprodusert kode? Infisert i programvare dere bruker og stoler på?

Og hvorfor stole på 4G modemer? De kan være infisert med skadevare de og, eller sårbare for angrep. For å ikke nevne servicemannskap som glemmer å koble det fra etter bruk. Ja, det står i en prosedyre og ei sjekkliste - men du kan ikke utelukke potensiale for at det kan skje.

En tilsvarende løsning jeg er kjent med i fra bransjen jeg jobber i har et isolert nettverk installert som kun skal ha ekstern kommunikasjon ved feilsøking, service og oppgraderinger. Her er det en fysisk bryter som befinner seg i nettverket til utstyret som må aktiveres for å tillate ekstern kommunikasjon. Når denne slås på opprettes det en kryptert VPN tunnel mot leverandøren samtidig som det aktiveres en visuell alarm som minner mannskapet på at denne er aktiv. Fortsatt en risiko for at den blir glemt, men de som fører tilsyn med leverandøren(og oss) har godkjent dette som en ok løsning. I tillegg er det sikkerhetsløsninger i systemet selv om det ikke er ekstern kommunikasjon, og USB/lagringsenheter er blokkert ute fra alle maskiner.

Min anbefaling er å ta kontakt med et konsulentselskap som kan jobbe med dere og se på sikkerheten i sin helhet, og komme med anbefalinger. Det hjelper ikke å bruker 2 mill på sikkerheten ombord på flyene dersom kontoret deres er full av sikkerhetshull.