[shed317]

Hi Leute,

folgende Ueberlegung...

Ich bin im Firmennetzwerk an meinem APC. Auf diesem APC habe ich eine virtuelle Maschine mit TAIL laufen, welches ja von Haus aus den Tor-Browser mit sich bringt. Da unser Netzverkehr ueber einen Proxy laeuft frage ich mich, ob der Admin in den Logs vom Proxy sieht auf welchen Seiten ich ueber den Tor-Browser surfe bzw. was er ueberhaupt von mir sieht?

Vielen Dank
shed317

[Webapache]

Mach mal. Und überleg Dir schon mal was nach Deiner Kündigung der Grund ist, warum Dich Dein Arbeitgeber im schlimmsten Fall nicht auch noch vor Gericht stellen sollte
Glaub mir, er sieht es !!!

[shed317]

Das war keine Antwort auf meine Frage.

[Prince]

Ach nein?

Zitat:

Zitat von shed317

Da unser Netzverkehr ueber einen Proxy laeuft frage ich mich, ob der Admin in den Logs vom Proxy sieht auf welchen Seiten ich ueber den Tor-Browser surfe bzw. was er ueberhaupt von mir sieht?

Zitat:

Zitat von Webapache

Glaub mir, er sieht es !!!

[shed317]

Ich fragte ja auch, was er denn von mir sieht.
Dass er irgendwas sieht ist klar, aber die Frage nach dem "was" ist noch offen.
Das sollte nicht wieder in die Richtung gehen "probier aus und du wirst sehen, Gericht etc."
Mich interessieren die Details, die dargelegt werden. Verstehe nicht warum man auf eine konkrete Frage nicht auch ne konkrete Antwort kriegt. Dann kann man diese Sektionen auch schließen...

[Melvin van Horne]

Moin,

es dürfte für den Admin kein Problem darstellen zu ermitteln DAS da jemand über das Tor Netzwerk surft. Und wenn er das weiss ist es vollkommen egal, WAS Du da gemacht hast. Denn das kann er IMHO nicht sehen. Und es würde ihn wohl auch nicht mehr interessieren

Alleine der Punkt das auf einem Arbeitsplatz eine virtuelle Maschine installiert wurde würde in den meissten Firmen die ich kenne dafür sorgen, das der Verursacher rausfliegt wie die Scheisse aus der Gans.

Lass es bei der Überlegung ...

[Webapache]

Zitat:

Zitat von shed317

Ich fragte ja auch, was er denn von mir sieht.

Ich sag Dir was ich als Admin mache in diesem Fall. Was Dein Admin machen wird, weiß ich nicht.

Wenn ich im Netzwerk "Suspected Traffic" sehe, dann gehe ich sofort damit zum CEO, oder sonst einer der höchsten Entscheidungsträger des Unternehmens. Dort lege ich meine Protokolle und meinen Verdacht vor. Der CEO wird mir mit Sicherheit genehmigen Deinen Monitor anschließend zu überwachen. Und das tue ich mit einem Screen Capture Programm, das ähnlich einem Trojaner arbeitet. Nur das es von der Geschäftsleitung abgesegnet ist, und dieses PRogramm keine Schadsoftware darstellt. Mit den aufgezeichneten Daten habe ich ein Live Abbild Deiner Aktivitäten. Danach ziehe ich ein Image von Deinem Rechner als Beweismaterial. Das Image des Clients kann ich als virtuelle Maschine reproduzieren. Damit kann ich beweisen das auf Deinem Rechner Programme XY vorhanden sind/waren. Da brauche ich keinen Trafficmonitor oder sonst was. Dieses Screen Capture zusammen mit dem Image und der Trafficprotokolle aus z.B. Wireshark bilden die Grundlage für:

1. Deine fristlose Entlassung..
2. ...die Grundlage zur Klage vor Gericht, sollte sich aus Deiner Handlung eine Gefährdung der Betriebssicherheit ergeben haben.

In jedem Fall erwische ich Dich! Und der CEO zeigt Dir durch die Rechtsabteilung meines Unternehmens sogar was Du da gemacht hast. Reicht Dir das als Antwort aus?
Ich bitte Dich: Sei vernüpnftig und versuch es nicht! Verwirf solche Gedanken am besten ein für alle Mal! Danke.

[Prince]

Wobei ich mich dann frage was da für ein Admin am Werk ist, wenn man mal eben eine VM installieren kann.

Und meine zweite Frage wäre dann, welchen Sinn die VM eigentlich hat. Am Traffic ändert sich dadurch nichts.

[shed317]

Okay damit kann ich doch was anfangen. Wie gesagt, das ist jetzt auch nur für mich aus reinem Interesse und das meine ich auch so.

Warum ich da VM's erlaubt sind ist relativ einfach. Ich arbeite viel mit VM's, bin zwar kein Admin aber hab die Möglichkeiten eines Admins. Eines unserer Netzwerke ist absolut offen, es wird lediglich überwacht.

Natürlich ändert sich am Traffic dadurch absolut nichts. Die Frage war auch eher im Bezug darauf gedacht, ob der Admin jetzt eigentlich sieht wenn ich über den Tor-Browser z.B. mygully ansurfe. Welche Ausgabe dann der Proxy raushaut.

[Webapache]

Zitat:

Zitat von Prince

Wobei ich mich dann frage was da für ein Admin am Werk ist, wenn man mal eben eine VM installieren kann.

Meintest Du mich? Oder den Fragesteller?
Wir tun das zur Beweismittelsicherung.

[Melvin van Horne]

Moin,

eigentlich sollte es Nutzern nicht möglich sein, Software zu installieren oder den Rechner von USB oder CD zu starten. Selbst der Zugriff auf die USB Ports sollten eingeschränkt sein.

Aber was man manchmal so sieht ist weit davon weg. Das letzte Highlight was ich in dieser Beziehung gesehen habe was ein SBS dessen "Datensicherung" aus einem Xcopy in ein anderes Verzeichnis im selben Raid bestand. Frage: Und wie sichern Sie die SQL- und die Exchangedatenbanken??? Genau so. Was soll denn passieren. Ist doch ein Raid!
Und das in einer öffentlichen Verwaltung!

Der zuständige war einer dieser "ich-kenn-mich-mit-Computern-aus-und-mach-das-nebenbei-mit-Admin".

Von daher glaube ich, dass Netzwerke in denen die Nutzer eine VM installieren können, nicht selten sind. Ob es in solchen Firmen/ Verwaltungen eine rechtliche Handhabe (Dienstanweisungen u.ä.) gibt solchen Unfug zu sanktionieren ist dann auch fraglich.

[psycho304]

Die Antwort von Webapache find ich jetzt auch erstmal wenig hilfreich.
Ich kann mir nicht vorstellen das eine breite Masse der Unternehmen (vor allem kleinere) so eine rigorose Policy fahren.

Als erstes sollte es mal wichtig sein zu klären was dein Arbeitgeber dir vorschreibt wie der Internetanschluss benutzt werden darf.
Wenn eine Privatnutzung explizit ausgeschlossen wird, dann hättest du, sollte es tatsächlich aufliegen schlechte Karten.

Zum rein technischen: Generell ist es technisch möglich den Traffic den Tor erzeugt zu erkennen WENN du Tor so konfigurierst, dass er ohne Bridges läuft.
Hintergrund: Zuerst wird eine Verbindung zu einem der Directory-Authorities aufgebaut - diese sind Hard im Quellcode kodiert und ändern sich nicht -> Die IP-Adresse kann man blocken.
Weiterhin sind die Tor-Entry-Nodes (Guards) öffentlich einsehbar, dass heißt diese lassen sich ebenfalls in der Firewall auf IP-Basis blocken.
Auch ist es über Netzwerksniffing möglich die spezifischen Merkmale einer Tor-Verbindung zu erkennen, selbst wenn man die IP nicht blocken will, sondern nur den Tor-Traffic dorthin.

Ob dein Arbeitgeber Firewall-Appliances einsetzt die die oberen Möglichkeiten filtern, kann dir nur der jeweilige Sys-Admin sagen.

Wenn du Tor allerdings mit Bridges konfigurierst (Stichwort obfs3, 4) wird das ganze schwieriger.
Da diese Bridges nicht öffentlich einsehbar sind, lassen sich diese nicht auf IP-Basis in der Firewall blocken.
Ebenfalls "obfuskieren" diese Bridges bzw. die eingesetzten Transporte in Tor deinen Traffic, so dass er nicht mehr über Netzwerkanalysen erkannt werden kann. Dies ist auch der Grund weshalb obfs4 im Moment hinter der Great Firewall in China verwendet werden kann.


Generell - und hier stimme ich den anderen wieder zu: Du bist zum arbeiten in der Firma. Wenn du hier in Graubereichsseiten surfst würde ich mir das ebenfalls gut überlegen.

und zu guter letzt: Ich habe in der Arbeit ebenfalls schon mit dem Tor Browser gesurft (Mit Bridges, s. oben). Arbeitgeber >8000 Mitarbeiter - aufgefallen ist das niemand, gekündigt wurde ich auch nicht, aber dieses Risiko wirst du für dich selbst beantworten müssen.

[kEy0ne]

@Webapache
Warum nicht erstmal persönlich den Mitarbeiter zur Rede stellen und freundlich auf die Konsequenzen hinweisen, sollte er weiterhin "Unfug" treiben...

Oder verpetzt der Admin gerne Mitarbeiter bei der Geschäftsleitung und spioniert diese heimlich aus? Dann würde ich als der betroffene Mitarbeiter eine Gegenklage ankurbeln. Auch mit Erlaubnis der Firmenleitung ist es, meines Erachtens, nicht rechtens, dass ein Admin Firmenangestellte belauscht. Das verstößt doch klar gegen das Persönlichkeitsrecht...

[Webapache]

Zitat:

Zitat von kEy0ne

...Das verstößt doch klar gegen das Persönlichkeitsrecht...

Du hast einen Vertrag unterschrieben. Deine Perösnlichkeitsrechte magst Du schützen wollen. Wir allerdings unsere Fimengeheimnisse. Dein Desktop gehört eh Dir. Und wenn "Du" das als Mitarbeiter nicht verstehen willst, dann ist das gelinde gesagt: "Dein Problem". Hier geht es nicht um "verpetzen", sondern um Betriebsgeheimnisse. Und die Grenze in der IT ist nicht "Ermessensache des Admins der den MA mal freundlich daraufhinweisen muss..." sondern die Vorschirft des Konzerns in dem Du arbeitest. Unsere Mitarbeiter unterschreiben eine Verschwiegenheitsklausel, Datenschutzerklärungen und machen IT Schulungen bei denen ihnen dezidiert erläutert wird, was am Firmenrechner erlaubt und was verboten ist, und mit welchen Konsequenzen zu rechnen ist. Jeder Mitarbeiter weiß, das sein Rechner zu jeder Zeit bei Verdacht überwacht werden kann. Wir reden da nicht von einem kleinen Krämerladen der ein paar Zahnräder herstellt!

Mitarbeiter die Tor Browser installieren, haben offenbar kein Verständniss für Sicherheit. Sie meinen Sie müssten ständig selbst entscheiden, was in einem Unternehmen für sie persönlich vertretbar ist, und was nicht. Dieses Urteilsvermögen steht dem Mitarbeiter nicht zu. Es gilt das was die Firma vorgibt! Wer einen Tor Browser installiert, hat auch etwas vor, das gegen die IT Vorgaben verstößt! Er installiert ihn ja nicht weil ihm die Optik besser gefällt. Und wer damit nicht einverstanden ist, der Bewirbt sich am besten wo anders. Ist das nicht nachvollziehbar? Dann empfehle ich einen Arbeitsplatz wo es um zwischenmenschliche Dinge geht Was Du da so schön als "Unfug" herabtust, ist in unserem Konzern der konkrete Versuch ein IDS System zu umgehen !!!

Wo mit Kundendaten, sensiblen Firmendaten, globalen Finanzen etc. am Computer gehandhabt wird, herrscht das Datenschutzgesetz und die IT technischen Auflagen des Konzern. Wer da ständig mit den Admins und der Geschäftsleitung diskutieren will, der kann zu "Anne Will" gehen. Warum tun sich einige immer so schwer Konzernvorschriften einfach mal zu akzeptieren. Du bist da zum arbeiten und nicht um Dein privates Vergnügen zu bereichern!!!

Um es mal zu erklären: Wir betreiben weder eine Massenüberwachung, noch spionieren wir in den PC's der Mitarbeiter herum. Installierst Du allerdings einen Tor Browser und zeigt der Datenstream unnormale Aktivitäten, gehst Du über VPN oder Proxys raus, dann schlägt entweder die Firewall, oder das IDS System an. In diesem Fall ist der Betrieb ermächtigt im EIGENEN INTERESSE zur Wahrung seiner Betriebsgeheimnisse und zum Schutz der Daten im Sinne des Datenschutzgesetz diese Aktivitäten aufzuspühren und zu verfolgen. Er kann und darf in diesem konkreten Fall auch ein Speicherabbild des Clients ziehen. Deine Persönlichkeitsarechte hast Du verloren, genau in dem Moment wo Du genau gegen ein erteiltes VERBOT zuwidergehandelt hast. Ist das so schwer zu akzeptieren?

Sorry, wenn ich das so hart sage, aber bei uns wird nicht diskutiert. Wir sind da nicht in einer Talkshow. Das muss jeder Mitarbeiter verstehen!

[Melvin van Horne]

Moin,

es ist nicht meine Aufgabe als Admin Personalgespräche zu führen. Ich habe auch keine Lust mir Sachen anzuhören wie: "Sie haben mir garnichts zu sagen!".

Meine Aufgabe ist es die Daten des Unternehmens oder der Verwaltung zu schützen. Und wenn Mitarbeiter meinen sie müssen sich nicht an die Regeln halten, dann muss ich Massnahmen ergreifen die das unterbinden. Warum sollte jemand, der eine unmissverständliche Regel wissentlich missachtet auf freundliches Gesäusel hören? Auf einen groben Klotz gehört ein grober Keil.

Alle wollen das ihre Daten bei Unternehmen und in der Verwaltung gut geschützt werden. Also sollten sie auch die Maßnahmen akzeptieren, die dazu nötig sind.

[kEy0ne]

@Webapache
Bevor dein Beitrag noch persönlicher wird... Ich bin kein Admin und hatte wegen der angesprochenen Sache auch noch nie Probleme in meiner Firma mit dem Admin. Deswegen hätte ich auch nicht vermutet, dass ihr das so krass seht. Aber OK, wenn es um die Firmengeheimnisse geht, dann ist warscheinlich jede noch so kleine Lücke ein großes Sicherheitsproblem...

Ich ging davon aus, das ihr die Mitarbeiter nicht explizit vorher darauf hinweist... Mal angenommen, eure Mitarbeiter wüssten, aufgrund einer Lücke im internen System, gar nicht welche Konsequenzen das ganze hat. Würdet ihr denn da genauso reagieren? Wie gesagt, die Mitarbeiter wurden deswegen (u.a. Tor-Browser) nicht belehrt... Also Belehrung über Firmengeheimnisse schon, aber nicht explizit wegen Tor-Browser.

[Webapache]

Zitat:

Zitat von kEy0ne

@Webapache
Bevor dein Beitrag noch persönlicher wird...

Der war keineswegs persönlich gemeint, sondern allgemein gesprochen!

Zitat:

Zitat von kEy0ne

Also Belehrung über Firmengeheimnisse schon, aber nicht explizit wegen Tor-Browser.

"Belehrungen" ? Also, 1. bin ich als Admin nicht verpflichtet "Dich" über jedes erdenkliche Programm, seine Nichtbenutzung, oder die daraus folgenden Konsequenzen bei Benutzung zu belehren, und 2. gehe ich davon aus, das "Du" Deinen Arbeitsvertrag gelesen hast, und dem kannst Du deutlich entnehmen, was erlaubt, und verboten ist. Und aus diesem geht ein ganz ausdrückliches Verbot her, das Dir die Nutzung des Internets zu privaten Zwecken untersagt, und die Installation von Fremdsoftware so wie so! Ich muss Dich da nicht erst explizit über den Tor Brwoser belehren! Wäre dem so, müsste ich ein Buch schreiben. Was kommt denn nach dem Tor Browser? Wireshark ? Muss ich auch erklären, das Du CyberGhost nicht benutzen darfst?

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Wenn ich nicht handeln würde, und wirklich nur zu "Dir" kommen würde um Dir zu sagen was Du da für einen "Unfug" gemacht hast, und im Nachhinein stellt sich heraus, wir haben daraus resultierend ein Datenleck, dann stehe "ich" nämlich vor Gericht. Das ist dann grob Fahrlässig von mir gewesen.

Administratoren sind nicht die Feinde des Personalstamms. Das scheinen einige einfach nicht sehen zu wollen. Administratoren sind Mitarbeiter die zum Einen den IT technischen Apparat aufrecht halten, und Andererseits für die Sicherheit des digitalen Komplex sorgen. Sie sind quasi das Sicherheitspersonal einer Bank, nur im anderen Stil. Administratoren kontrollieren Ein- und Ausgänge, überwachen den Datenverkehr und sorgen dafür, das sich der Konzernleiter keine Sorgen um die Datensicherheit machen muss. Sie sind nicht die Mitarbeiter die andere Mitarbeiter belehren oder schulen müssen. Das ich nicht die Aufgabe eines Admins. Das macht die Personalabteilung, und die Schulung!

[Koarl3]

Zitat:

Zitat von Melvin van Horne

Selbst der Zugriff auf die USB Ports sollten eingeschränkt sein.

Sorry das ich hier vom Thema ablenke aber mich würde intressieren wie ihr das im Unternehmen löst.

Wir zerbrechen uns auch schon seit einiger Zeit den Kopf wie wir am Besten die USB-Ports monitoren und ohne größeren Aufwand einschränken.
Klar, nicht jedes Unternehmen verfolgt die gleichen Ziele und legt auf einige Bereiche mehr und auf einige weniger Wert .... aber dennoch würde mich stark interessieren wie ihr dieses "Problem" löst...

Im Fokus würde hier bei uns das unerlaubte abziehen von Firmendaten stehen ohne aber die USB Ports komplett zu sperren...
Alle anderen "Medien" über welche, solche Firmendaten abgezogen werden könnten haben wir ganz gut unter Kontrolle...

[Melvin van Horne]

Moin,

wir haben die USB Ports an fast allen PC´s deaktiviert. Es gibt nur zwei PC´s die über USB Ports verfügen die man für Datenträger nutzen kann. Wer etwas auf oder von einem einen USB Stick benötigt hat sich dort zu melden. Die Daten werden dann auf ein Netzwerklaufwerk abgelegt oder von dort geholt.

Obwohl mir viele versichert haben das sie ohne USB Datenträger nicht arbeiten können, kommt es nur ganz selten vor das jemand einen Stick benötigt.

Das ist sicher eine Einschränkung. Aber es muss sein.

[Thorasan]

Kommt halt auf das verwendete Server BS an.
Kannst USB komplett sperren, kannst den Zugriff für bestimmte Medien festlegen, kannst protokollieren was passiert... Möglichkeiten hast ja zunächst mal viele.

Wir hatten z.b. das Problem das einige Mitarbeiter aus dem Marketing regelmäßig mit USB-Medien arbeiten mussten. Das dort aber wirklich nur immer das aktuelle Projekt läuft, haben wir es eben so eingerichtet, das beim einstecken automatisch nur noch der letzte Arbeitsordner verfügbar war.
Für alle sandere mussten Sie zu uns in die IT kommen.

Grund war schlussendlich, das die MA aus anderen Abteilungen davor gerne mal über diverse Messenger u.ä. Bilder verschickt haben und/oder Musik/Daten getauscht haben. Von Handygeschichten mal ganz abgesehen konnten wir das dann nicht mehr hinnehmen, weil man nie wusste, wer nun grade welche Daten von welchem Rechner auf welches Madium packt..
Die Files zu sperren ging auch kaum, da Einkauf, Marketing, Vertrieb, Lager usw ständig die verschiedensten Files zum bearbeiten bekamen. Neue Produktlisten als pdf, irgendwelche Präsentationen, Tabellen, Bilder, Grafiken, Textdateien, Weblinks usw. ... Von daher eben recht radikal eingeschränkt.

Bei uns laufen übrigens Win2012R2 Server, zumindest für intern und im Vordergrund..

[ThreeChord]

Zitat:

Zitat von Koarl3

Wir zerbrechen uns auch schon seit einiger Zeit den Kopf wie wir am Besten die USB-Ports monitoren und ohne größeren Aufwand einschränken.

Schau dir mal DevicePro von Cynapspro an