10
Sicherer Softwaredownload für Server
Hallo,
wie bekomme ich ein herunterzuladende Software sicher auf einen kritischen Server (Tier 0). Es geht um Antivirus-Management-Server-Updates, Clientverwaltungs-Server-Updates etc. ohne Autoupdatefunktion, die als Installationsdatei aus dem Internet heruntergeladen werden müssen.
Grundsätzlich fallen mir da folgende Varianten ein.
Wie macht Ihr das?
Grüße
lcer
wie bekomme ich ein herunterzuladende Software sicher auf einen kritischen Server (Tier 0). Es geht um Antivirus-Management-Server-Updates, Clientverwaltungs-Server-Updates etc. ohne Autoupdatefunktion, die als Installationsdatei aus dem Internet heruntergeladen werden müssen.
Grundsätzlich fallen mir da folgende Varianten ein.
- Download über einen "unsicheren" Internet-erlaubten Client. Von dort aus kopiert man die Datei auf den Zielserver. Dazu muss der "Internetbenutzer" Zugriff auf den Server erhalten.
- Identifizieren der Download-URL, dann Download direkt vom Server oder von einem Verwaltungssystem aus. Dazu muss der Server/Verwaltungssystem ins Internet dürfen.
- USB-Stick. Dazu muss die Verwendung von USB-Sticks auf Server und Client gestattet werden.
Wie macht Ihr das?
Grüße
lcer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 93430794108
Url: https://administrator.de/contentid/93430794108
Printed on: April 27, 2024 at 15:04 o'clock
10 Comments
Latest comment
Moin...
genau So!
oder
Frank
USB-Stick. Dazu muss die Verwendung von USB-Sticks auf Server und Client gestattet werden.
genau So!
oder
Identifizieren der Download-URL, dann Download direkt vom Server oder von einem Verwaltungssystem aus. Dazu muss der Server/Verwaltungssystem ins Internet dürfen.
wäre das beste... wie oft willst du den mit dem USB Stick zum Server rennen?Frank
Wie macht Ihr das?
Moin,
da Tier 0 weder Internetzugriff hat noch aus niedrigeren Sicherheitsebenen erreicht werden darf gibt es hier die klassiche Turnschuhmethode. Die Software wird an einem speziellen PC runtergeladen, dort gescannt/MD5 Hashes verglichen, dann auf CD/DVD gebrannt und in die Tier0 Umgebung getragen.
USB Stick scheidet aus weil man damit Daten aus Tier 0 abziehen könnte.
/Thomas
Hallo
Für diverse Corporate Antivirensoftware kann man einen eigenen Updateserver installieren, den man dann über NAT absichert. So können sich interne Clients die updates ziehen. Vielleicht ist eure Lösung ja mit dabei.
MfG,
MacLeod
Für diverse Corporate Antivirensoftware kann man einen eigenen Updateserver installieren, den man dann über NAT absichert. So können sich interne Clients die updates ziehen. Vielleicht ist eure Lösung ja mit dabei.
MfG,
MacLeod
Das ist eher ein philosophische frage, github spoofing, Microsoft Zertifikate uvm. sicher doch eh nix.
Wenn es jemand darauf anlegt kapert er einen patterupdatespiegelserver usw.
Wenn man sich ansieht wieviele Namhafte Hersteller bis vor nicht allzulanger Zeit noch nicht mal TLS 1.2 + cert auf die Reihe gekriegt haben dann erübrigt sich die Frage eh..
Wenn es jemand darauf anlegt kapert er einen patterupdatespiegelserver usw.
Wenn man sich ansieht wieviele Namhafte Hersteller bis vor nicht allzulanger Zeit noch nicht mal TLS 1.2 + cert auf die Reihe gekriegt haben dann erübrigt sich die Frage eh..
Quote from @user217:
Wenn man sich ansieht wieviele Namhafte Hersteller bis vor nicht allzulanger Zeit noch nicht mal TLS 1.2 + cert auf die Reihe gekriegt haben dann erübrigt sich die Frage eh..
Wenn man sich ansieht wieviele Namhafte Hersteller bis vor nicht allzulanger Zeit noch nicht mal TLS 1.2 + cert auf die Reihe gekriegt haben dann erübrigt sich die Frage eh..
Deine Antwort lautet also "Füße auf den Tisch und nichts machen"?
wie bekomme ich ein herunterzuladende Software sicher auf einen kritischen Server (Tier 0). Es geht um Antivirus-
Ich schaufel mir temporär den Port für FTP oder SFTP frei und schicke das ganze dann per WinSCP. Ansonsten Curl den direkten Downloadlinkcurl https://WichtigesUpdate.com/download --output $env:USERPROFILE\Ueberlebenswichtigesupdate.exeMal aber nebenbei, was bedeutet Tier 0? Ich nehme mal an höchste Sicherheitsstufe, aber wie heißt das Abstufungsmodell? Ich kenne das System nicht, würde mich mal interessieren
Grüße und schönen Abend
Moin,
man könnte sich a) eines Paketverwaltungssystem bedienen, bei dem das Tier0-system die Verbindung initiiert. Der Paketmanagementserver muss natürlich auch gesichert sein und darf nur sichere Software enthalten.
Oder b) wäre die Möglichkeit, Software über ein Unix-Sytem heunterzuladen, zu scannen, eine ISO zu bauen und anschlie0end die ISO via VMware/ HyperV (wenn das System virtuell ist) zu mounten.
man könnte sich a) eines Paketverwaltungssystem bedienen, bei dem das Tier0-system die Verbindung initiiert. Der Paketmanagementserver muss natürlich auch gesichert sein und darf nur sichere Software enthalten.
Oder b) wäre die Möglichkeit, Software über ein Unix-Sytem heunterzuladen, zu scannen, eine ISO zu bauen und anschlie0end die ISO via VMware/ HyperV (wenn das System virtuell ist) zu mounten.
Mal aber nebenbei, was bedeutet Tier 0? Ich nehme mal an höchste Sicherheitsstufe, aber wie heißt das Abstufungsmodell? Ich kenne das System nicht, würde mich mal interessieren
Da hast du etwas zum lesen: https://www.ip-insider.de/haertungsmassnahmen-fuer-das-active-directory- ...
1
Zitat von @DarkZoneSD:
Mal aber nebenbei, was bedeutet Tier 0? Ich nehme mal an höchste Sicherheitsstufe, aber wie heißt das Abstufungsmodell? Ich kenne das System nicht, würde mich mal interessieren
Grüße und schönen Abend
wie bekomme ich ein herunterzuladende Software sicher auf einen kritischen Server (Tier 0). Es geht um Antivirus-
Ich schaufel mir temporär den Port für FTP oder SFTP frei und schicke das ganze dann per WinSCP. Ansonsten Curl den direkten Downloadlinkcurl https://WichtigesUpdate.com/download --output $env:USERPROFILE\Ueberlebenswichtigesupdate.exeMal aber nebenbei, was bedeutet Tier 0? Ich nehme mal an höchste Sicherheitsstufe, aber wie heißt das Abstufungsmodell? Ich kenne das System nicht, würde mich mal interessieren
Grüße und schönen Abend
Das Modell nennt sich ESAE - Enhanced Security Admin Environment
1
Hallo,
@Th0mKa
Ich würde meine eigenen Daten per USB-Stick abziehen. Soweit würde ich mir selbst über den Weg trauen. Da der USB-Stick aber einen potentiellen Angriffsvektor darstellt, würde ich das lieber nicht per USB machen.
@iDeathz @DarkZoneSD
Enhanced Security Admin Environment, was die ältere Microsoft-Empfehlung eines 3-Stufigen Tier-Modells abgelöst hat. Ist aber eigentlich egal, ob mit oder ohne Modell - das Problem bleibt.
@user217
Von den früheren und heutigen Philosophen habe die wenigsten praktische Probleme gelöst.
@em-pie
Paketverwaltungssystem ist gut, aber das ist dann wieder eine zusätzliche Tier0-Komponente mit zusätzlichem Aufwand.
@DarkZoneSD
Die Idee, einen unsicheren Rechner als Webserver, von dem sich der Tier0-Admin ohne Authentifizierung die Dateien herunterladen kann, klingt eigentlich ganz gut. Wenn man das zu temporär freischaltet, sollte das einigermaßen sicher machbar sein.
Grüße
lcer
@Th0mKa
Ich würde meine eigenen Daten per USB-Stick abziehen. Soweit würde ich mir selbst über den Weg trauen. Da der USB-Stick aber einen potentiellen Angriffsvektor darstellt, würde ich das lieber nicht per USB machen.
@iDeathz @DarkZoneSD
Enhanced Security Admin Environment, was die ältere Microsoft-Empfehlung eines 3-Stufigen Tier-Modells abgelöst hat. Ist aber eigentlich egal, ob mit oder ohne Modell - das Problem bleibt.
@user217
Von den früheren und heutigen Philosophen habe die wenigsten praktische Probleme gelöst.
@em-pie
Paketverwaltungssystem ist gut, aber das ist dann wieder eine zusätzliche Tier0-Komponente mit zusätzlichem Aufwand.
@DarkZoneSD
Die Idee, einen unsicheren Rechner als Webserver, von dem sich der Tier0-Admin ohne Authentifizierung die Dateien herunterladen kann, klingt eigentlich ganz gut. Wenn man das zu temporär freischaltet, sollte das einigermaßen sicher machbar sein.
Grüße
lcer
Moin,
Gibt es namentlich unbekannte Software her, eine Rollen Trennung vorzunehmen? So dass du den Download und Dateiserver als Tier 1 deklarieren kannst und das Management weiterhin Tier 0 bleiben kann.
Gruß,
Dani
wie bekomme ich ein herunterzuladende Software sicher auf einen kritischen Server (Tier 0).
Diese Einstufung habt ihr, für euch vorgenommen, oder? Weil an sich solch ein System eigentlich im Vergleich zu einem DC, Exchange bei Tier1 sehe.Es geht um Antivirus-Management-Server-Updates, Clientverwaltungs-Server-Updates etc. ohne Autoupdatefunktion, die als Installationsdatei aus dem Internet heruntergeladen werden müssen.
von wie viele Dateien reden wir pro Tag? Wie groß sind diese Dateien? Wie kritisch ist, wenn Updates nicht zeitnah bereitgestellt werden?Ist aber eigentlich egal, ob mit oder ohne Modell - das Problem bleibt.
Ist es eigentlich nicht. Denn ein Tier 0 darf auf Tier 1 zugreifen. Aber ein Tier 1 niemals auf auf ein Tier 0 System. Das ist laut Definition und auch Verbindungsaufbau entscheidend.Gibt es namentlich unbekannte Software her, eine Rollen Trennung vorzunehmen? So dass du den Download und Dateiserver als Tier 1 deklarieren kannst und das Management weiterhin Tier 0 bleiben kann.
Gruß,
Dani