Bridging Control für Firmen Notebook's
Können Sie mit Ihrem Windows 8.x (oder älter) - Notebook auch gleichzeitig mit dem Firmen-LAN, dem WLAN eines ADSL's und der UMTS-Verbindung der internen SIM-Card gleichzeitig verbunden / online sein?
Die Kontrolle der Netzwerkanschlüsse von Firmen-Laptops ist ein absolutes Muss
und gehört in jedes IT Security Portfolio!
und gehört in jedes IT Security Portfolio!
Ausgangslage
- Jedes Notebook hat mehrere Interfaces für Netzwerkverbindungen.
- Das OS ermöglicht die Aufrechterhaltung von gleichzeitig mehreren Netzwerkverbindungen über unterschiedliche Interfaces.
- Es ist möglich, per Ethernet am Firmennetzwerk zu sein und via W-LAN oder UMTS an einem fremdem Provider-Netz.
- Es ist ein „Bridging“ vom internen Netz zum fremdem Netz möglich.
- Es ist möglich, dass die langsame und teure UMTS-Verbindung durch den Rechner benutzt wird statt die kostenlose LAN-Verbindung.
- Ein Rechner mit mehreren gleichzeitig aktiven Verbindungen zu fremden Netzen stellt ein markantes Security-Risiko dar
Risiken
- Es ist möglich, dass nicht bloss lokal gehaltene Daten eines Notebooks über ein „fremdes“ Netz zugänglich oder weiter kopiert werden,- es ist
_ auch möglich, dass somit das interne Netzwerk gegen Aussen verfügbar wird.
- Herkömmliche Schutzvorkehrungen (Local Firewall / Antivirus-Lösungen) können ihre Schutzfunktion nur auf einem einzigen aktiven
_ Netzzugang wahrnehmen, was entweder den Zugang zum LAN reduziert oder aber eine UMTS-Verbindung parallel zum LAN-Betrieb
_ unzureichend schützt (Schutzprofile).
- Das Notebook eines Benutzers kann ohne Wissen des Eigentümers zur Netzwerk-Brücke zwischen vertrautem LAN und
_ unkontrolliertem W-LAN oder UMTS-Netz werden.
- Mehrfachverbindungen in das gleiche Netz (z.B. gleichzeitig LAN und W-LAN in das eigene Netz) können zu unkontrolliertem Schutzverhalten
_ von Local Firewall und Virenschutz-Dispositiv führen.
Zielsetzung
- Bridging auf einem Rechner auf dem gleichzeitig mehr als einem aktiven Netzwerk-Interface darf nicht möglich sein.
- Jedes Notebook hat ausschliesslich die Ethernet-Verbindung (LAN) zu nutzen, sofern diese online und aktiv ist (Layer 1+2 verfügbar).
- Wenn das LAN nicht aktiv ist, so kann von den anderen Schnittstellen gleichzeitig nur EINE Ethernet-Verbindung aktiv sein.
- Wird der LAN-Port wieder aktiv und eine der anderen Verbindungen ist online, so wird diese zu Gunsten der LAN-Verbindung unterbrochen.
- VPN-Verbindungen müssen individuell konfiguriert werden können.
- Lokale VM-Ware Instanzen dürfen nicht betroffen sein.
- Der Benutzer hat keine manuellen Massnahmen zu ergreifen.
- Der Benutzer hat keinen Einfluss auf die Konfiguration.