IT Sicherheit in meiner Firma

[blackm]

Moin,

also heute war einer von unseren Datenleuten bei uns im Labor und hat an einem Rechner versucht auf auf so ein Admininterface (per Webbrowser) zuzugreifen. Hat geklappt und er meinte noch zu mir Da hast du natuelrich nix zu suchen. Ok, Addresse schnell notiert und als er an einem anderen Rechner war gleich nochmal auf die Seite...Admininterface fuer einen Aplicationserver....er will einen Usernamen von mir haben....ok, versuch ich mal admin....klappt sogra (Passwort wollte er nicht). Gleich nochmal ausgeloggt und gelesen was auf der Loginseite steht...Username wird nicht gebracht, ist nur fuer unterschiedliche Userprofiele...ich bin also auch ohne Namen reingekommen....ich meinte erst noch so zu dem Tatentypen Wie, Admininterface ohne SSL? Aber wenn man eh kein Passwort bracht, dann wird auch kein SSL gebracht
Hat mir aber irgendwie ganzschoen in den Fingern gekribelt...haette gern mal die eine Software mit der wir unsere Proben verwalten deinstalliert....leider ist der Rechner nur ausm Intranet zu erreichen....muss mal mit einem Wlan Laptop vorbei gehen...vielleicht haben wir ja sowas schon....

by, Martin

[feltel]

Das ist dann natürlich ganz schön leichtsinnig von Deinen Admins so eine Weboberfläche ohne Passwort zu benutzen. Das das ganze ohne SSL funktioniert halte ich in einem geschlossenen Netzwerk mit bekannten Nutzern für weniger tragisch.

Ich würd da aber nix weiter mit der Oberfläche machen. Man weiß nie inwieweit und in welchem Ausmaß die Zugriffe dort geloggt werden. Stichwort Abmahnung!

[abi]

ein Rechenzentrum unseres Unternehmens hatte bis vorgestern
ein völlig ungeschütztes WLAN laufen, wenn das jemand vor einem
internen Mitarbeiter gemerkt hätte, wäre schicht im Schacht
gewesen.

[Porter]

Das ist dann natürlich ganz schön leichtsinnig von Deinen Admins so eine Weboberfläche ohne Passwort zu benutzen. Das das ganze ohne SSL funktioniert halte ich in einem geschlossenen Netzwerk mit bekannten Nutzern für weniger tragisch.

Vorsicht, eine Menge Angriffe kommen von Innen (Stichwort unzufriedene Mitarbeiter).

[feltel]

Vorsicht, eine Menge Angriffe kommen von Innen (Stichwort unzufriedene Mitarbeiter).

Aber nicht von Leuten mit dem EDV-Knowhow was bei meinen Kollegen vorhanden ist

[blackm]

Vorsicht, eine Menge Angriffe kommen von Innen (Stichwort unzufriedene Mitarbeiter).

Oder auch von Mitarbeitern die von der Unfaehigkeit der IT Abteilung ueberzeugt sind....noch ein schoenes Beispiel: Es kommt ab und zu mal vor das bei uns ein paar Vieren umgehen (dieser SQL Warum war z.B. bei uns, genau wie MSBlast) die dann mal das ganze Netz fuer einen Tag oder so lahmlegen. Also haben wir nun einen schoenes Bunten Flyer bekommen auf dem drauf steht, das wir mal alle zwei Monate unsere Passwoerter aender sollen. Dadurch reden die sich sicherlich ein das alles sicherer wird.

Ich brauchte mal fuer eine Installation Admin Rechte auf meinem Rechner. Also Mail ans ServiceCenter das sie mir die mal temporaer geben sollen. Hab ich bekommen, Software ist installiert und ich hab wieder eine Mail geschickt das sie mir die Admin Rechte nun wieder entziehen koennen....das war Mitte Dezember 2003....Admin Rechte hab ich immer noch :-/

[g-henna]

Hi!

Höre ich da Kritik an der IT-Administration? *grin* Wir haben bei uns in der Schule, trotz knapper Kassen, einen eigenen IT-Admin. Der hockt da sechs Stunden am Tag in der Informatik und man fragt sich... was macht der eigentlich??? Wir haben inzwischen auf vier von den Rechnern da ein (nicht funktionierendes) SuSE Linux, was schöne bunte Bootmeldungen zeigt, mehr nicht. Ansonsten haben wir da überall Win 98 drauf. Letzte Anschaffung der Schule sind sog. "Wächterkarten". Leider haben sie die einfach so in die PCs gepackt, ohne die vorher so zu konfigurieren, dass man auch einen Zustand hat, den man so beibehalten kann. D.h. wir haben immer noch die Porno-Sites in den Favoriten und keiner kann die da raus löschen, weil sie ja die tolle Wächterkarte beim nächsten Reboot wieder reinschreibt. Heute, als wir in Mathe ausnahmsweise mal ins Internet wollten, war das ganze Netzwerk down, weiß der Admin warum. Ich rege mich auf...

Bye
g-henna

[arteist]

Joa bei uns ähnlich...Win2k ohne irgendeinen SP!

Die Dinger sind so leicht zu schrotten, is ganz lustig den Lehrerrechner immer gerade dann abzuschiessen, wenn er sein selbstprogrammiertes Programm vorführen will
Eigentlich sollte er ab da mal was machen, er is ja auch der Admin...macht er aber nix!

Und dann ham wir jetzt so ne tolle Orange-Box, die den Internetzugriff Beschränken soll.

Und was bringts...nix! Eine Suche bei google nach pr0n bringt einem tausende funktionierende Seiten, bme.freeq.com ist nicht mal gesperrt (obwohl die in D irgendwie als jugendgefährdend eingestuft wurde und damit, wenns ne deutsche Seite wär, n Check bräuchte) etc...

Oder, einfacher, anderen Browser runterladen, in dem kein Proxy eingetragen ist -> freies Inet!

Denn man kann halt nur beim IE die Interneteinstellungen aufrufen.

Und so ne tolle Sicherungskarte ham wir auch, aber irgendjmd isses auch schon gelungen die zu umgehen!

[blackm]

Naja, das schlimme ist nur bei mir ist das keine Schule sondern ein DAX30 Unternehmen....da koennte man ja davon ausgehen das die IS Sicherheit ein bischen groesser schreiben (Spionage, etc...)
Aber ich freu mich ja schon auf Februar....da bekommt unsere Abteilung XP...mal schauen was dann alles nicht geht

[feltel]

Letzte Anschaffung der Schule sind sog. "Wächterkarten". Leider haben sie die einfach so in die PCs gepackt, ohne die vorher so zu konfigurieren, dass man auch einen Zustand hat, den man so beibehalten kann.

Ja, die habe ich an meiner Schule auch im Einsatz und ich muss sagen, das die ganz gut funktionieren. Natürlich muss man das System vorher in einen Zustand versetzen, den es auch zu schützen lohnt. Es gibt zwar immernoch Schüler, die sich jedesmal nach dem Einloggen ein anderes Hintergrundbild auswählen usw, aber was solls. Ist ja eh nach einem Neustart wieder auf Default.

Und was den Internetzugang bzw. das rausfiltern von Pornosites angeht hab ich mit meiner Filterliste gute Erfahrungen gemacht. Die Ergänze ich von Zeit zu Zeit durch URLs die ich aus dem Squid-Log entnehme. Es reicht ja schon, wenn die Schüler wissen, das die Zugriffe aufs Internet geloggt werden und man so genau sagen kann das Schüler X die Seite Y besucht hat.

[g-henna]

Hi!

Es reicht ja schon, wenn die Schüler wissen, das die Zugriffe aufs Internet geloggt werden und man so genau sagen kann das Schüler X die Seite Y besucht hat.

Und das ist erlaubt? Ich meine, unser schönes Datenschutzgesetz verbietet solch detaillierte Zugriffskontrolle, oder muss man die Benutzer nur darüber in Kenntnis setzen?

Bye
g-henna

[Gravidi]

hallo...so einen geilen "deppen" vorfall hab ich auch mal erlebt...naja..son typ der bei uns mal ausgeholfen hatte im laden...ist eigentlich bunfi..und der hat sich villeicht gefreut das der endlich es geschaftn hat unter windows 2000 einen lampp zu installieren..wohl gemerkt der server stand beim bund..und war auch der router..naja....er musste mir das ja unebdingt zeigen...so..er war voll stolz auf sich das er das geschaftt hat...höhö aber von sicherheit hat der noch nie was gehört glaub ich...eigentichg muss man ja bei diesem lampp (wampp) auch die passwörter setzen so von den mysql datenbanken vom ftp und bla...naja der dödel hats total verpennt...und als ich es bemerkte hatte, hatte ich überall root rechte, das heisst auf dem ftp..mysql...und so..naja eine woche später hatte ich ihm das dann auch gesagt


grüsse