Mehr Sicherheit im Netzwerk durch Schleusenrechner für USB Sticks

[Bullet22022]

Hallo Leute,

hat jemand von euch Erfahrung mit "Schleusenrechner"? Ich möchte gern in meinem Büro alle USB-Sticks die hier durch Externe gebracht werden über so eine Datenschleuse schicken, sodass diese Sticks bzw. die Daten nicht ungeprüft ins Firmennetzwerk kopiert werden können.

Ich stelle mir das ein bisschen so vor wie die Fotodrucker in einer Drogerie, die alle möglichen Anschlüsse haben (USB, Kartenleser etc.) an die man die Datenträger anschließen kann. Dann werden durch ein oder mehrere Sicherheitssoftwaren die Daten gescannt und erst dann kann man von diesem Rechner aus auf einen separaten Bereich des Servers, sprich ein Netzlaufwerk, die Daten kopieren.

Ich bin schon dabei zu googlen aber mir fehlt noch das passende Stichwort für einen ordentlichen Treffer.

Kennt da jemand ein zuverlässiges System die so eine oder eine ähnliche Lösung anbietet?

 

[GuardianAngel93]

Am einfachsten ist doch, dass Ihr vorgaben macht was man alles rein nehmen darf bzw. welche Anschlüsse. Dann kann man sagen z.B. CD / DVD sowie USB Stick ja, alles andere Verboten. Und dann muss man es lediglich so umsetzen.

Analog hierzu:
Bei Auschreibungen wird auch teilweise Explizit gesagt welche Medien zugelassen sind. Alles andere wird dann einfach nicht berücksichtig

 

[Necareor]

Stell doch einfach ein kleines Netbook auf den Schreibtisch und boote da Desinfect von c't oder ein ähnliches Betriebssystem.

Steck dann den fremden USB-Stick ein, scanne diesen und kopiere die von dort benötigten Daten auf einen anderen Stick, der in eurem Netz bekannt ist, also vom Port-Security-Programm erlaubt ist, oder welche Maßnahmen ihr da auch immer (hoffentlich) in der Firma einsetzt...

Wird bei uns ähnlich gemacht, Speichermedien aller Art werden software-technisch geblockt. Es gibt nur ein paar Ausnahmen, die über ihre Hardware-ID erlaubt sind.
Externe Daten kommen entweder über E-Mail, einen gesicherten Cloud-Transfer oder über USB-Sticks (über die IT-Abteilung) in's Haus.

Für reine Präsentationen oder ähnliches gibt es allerdings in jedem Besprechungszimmer Firmennetz-unabhängige Recher im offenen Internet ohne Port-Security.

 

[^R4iD]

@Necareor

werden damit auch Makros in Doc-Dateien erkannt?

Wenn ich jemandem Schaden will, dann nicht auf die Offensichtliche..

 

[CHaos.Gentle]

Selber bauen...haben wir bei uns in der Ausbildung gemacht.

Linux-Kiste an der man nach Anmeldung mit AD-Account / Gast-Account seine Daten aufs Netzlaufwerk kopieren konnte.
Die Skripte hat damals ein Kollege geschrieben, ähnlich wie Virustotal.com mit mehreren Scannern geprüft und kopiert.

Der Weg umgekehrt genauso, wollte man Daten vom Netz herunterbekommen, musste man sie mit einem Tool kopieren und konnte sie dann an besagter Kiste auf den USB-Stick ziehen.

USB-Ports waren grundsätzlich gesperrt.

Ehrlich gesagt glaube ich, dass die Kiste heute noch läuft ^^

 

[Bullet22022]

Am einfachsten ist doch, dass Ihr vorgaben macht was man alles rein nehmen darf bzw. welche Anschlüsse. Dann kann man sagen z.B. CD / DVD sowie USB Stick ja, alles andere Verboten. Und dann muss man es lediglich so umsetzen.

Analog hierzu:
Bei Auschreibungen wird auch teilweise Explizit gesagt welche Medien zugelassen sind. Alles andere wird dann einfach nicht berücksichtig

Ja das ist richtig, wir machen auch solche Vorgaben wie nur CD oder USB Stick aber man sollte ja auch auf alle Datenträger vorbereitet sein. Es geht auch mehr um den Sicherheitsaspekt, das diese fremden Datenträger vor dem Firmennetz gescannt werden.

 

[Necareor]

Du kannst ja noch zusätzlich die Daten zu Virustotal hochladen. Wenn dir das auch nicht ausreicht, wird es aufwändig. Dann müsstest du schon professionelle Dienste in Anspruch nehmen, z.B. Sandstorm von Sophos oder ähnliches, Thema Sandboxes.

 

[Bullet22022]

Du kannst ja noch zusätzlich die Daten zu Virustotal hochladen.

Daten extern hochladen erlauben wir generell nicht, da diese meist Informationen kritischer Infrastruktur enthalten.

 

[Necareor]

Dann ist auch das Thema Sandboxing leider ebenfalls nichts für euch, da läd man die Daten ja auch in eine Cloud von z.B. Sophos hoch.

So etwas lokal aufzusetzen ist viel zu aufwändig, da müsstest du etlich mögliche Szenarien in virtuellen Maschinen durchspielen, eben das, was eine Cloud-Sandbox in Lichtgeschwindigkeit für dich erledigt.

Bleibt dann halt nur ein Scannen in Linux mit möglichst vielen AV-Programmen.

 

[Bullet22022]

Ich habe vorhin selbst ein Stichwort verwendet wonach ich eben gesucht habe und fündig geworden bin. "Datenschleuse"

Das habe ich dabei gefunden:

https://www.pre-sense.de/provaia/#

Finde ich auf den ersten Blick nicht schlecht.

 

[Necareor]

Die PROVAIA Appliance verfügt u.a. über folgende Funktionen:

Überprüfen von mobilen Datenträgern mit mindestens zwei unabhängigen Antivirus-Scannern auf Schadprogramme auch innerhalb von TrueCrypt-, BitLocker-Containern oder passwort-geschützten Archiven
Entfernung von potentiell schadhaften Dateien
Sicheres Löschen von mobilen Datenträgern
Erkennen und Deaktivieren von Autorun-Funktionen
Entfernung aller aktiven oder nicht sichtbaren Inhalten durch die Konvertierung von üblichen Office-Dokumenten in das offene Dokumentenformat (ODF) oder portable Dokumentenformat (PDF)
Import von geprüften/konvertierten Dateien auf andere mobile Datenträger oder auf Netzlaufwerke
Export von Daten auf mobile Datenträger
Unterstützung von Krypto-USB-Sticks
Mehrsprachigkeit/Internationalisierung: Deutsch, Englisch, Spanisch, Französisch

Naja... so wirklich prickelnd ist der Leistungs-Umfang nicht. Scannt mit AV-Programmen bzw. zählt mehrere Features von normalen AV-Programm auf und kann Office-Dateien umwandeln, wenn man das will. Dass dieses Teil verschlüsselte Container scannen kann, wage ich stark zu bezweifeln.

Aber ja, wenn man ohne große Aufwand eine kleine benutzerfreundliche AiO-Lösung will, ist das Gerät sicher nicht so übel.

 

[Atkatla]

Man muss Sandboxing ja nicht selbst aufsetzen. Entweder man kauft eine Lösung ein oder man nutzt eine gemietete Cloud-Lösung, die den lokalen Gesetzgebungen und den firmeneigenen Vorgaben entspricht.

Ergänzung (22. Februar 2018)

Dass dieses Teil verschlüsselte Container scannen kann, wage ich stark zu bezweifeln..

Wieso? Im kleingedruckten wird dann sicher stehen, dass man der Appliance natürlich die notwendigen Zugangs-Informationen für den Zugriff geben muss. Das Marketing stellt ja meist nur die positiven Dinge heraus, die Einschränkungen findet man dann erst in den Handbüchern. Wenn man Glück hat, kann man die sich vorher runterladen.

 

[gaym0r]

Dann ist auch das Thema Sandboxing leider ebenfalls nichts für euch, da läd man die Daten ja auch in eine Cloud von z.B. Sophos hoch.

Es gibt auch On-Premise Lösungen dafür, z.B. von FortiNet.

 

[Bullet22022]

Ok die Lösung die ich gefunden habe ist doch recht teuer in Anschaffung und Service. Da wird wohl doch etwas selbst aufgesetztes her halten müssen.

 

[DatAres]

Wieso erlaubt ihr überhaupt USB Sticks im Firmennetzwerk? Teilweise habe ich schon gehört, dass Sticks einfach mit On-Demand Scannern auf einem isolierten Rechner gescannt werden, aber bei uns sind eigentlich keine zugelassen. Externe haben einfach ihre eigenen Geräte mitzubringen, wenn sie etwas präsentieren wollen oder nutzen zur Not ein Ausleihlaptop, das aber auch nicht direkt im Netz hängt.