Kinder + ältere Computer + unser Netzwerk im Büro: Sicherheitsrisiko?

7

Gelegentlich fühlen sich einige meiner Mitarbeiter gezwungen, ihre Kinder zur Arbeit mitzubringen. (Ich fühle mich gezwungen, sie zu schlagen, aber das ist wahrscheinlich ein Thema für Parenting.SE.) Um sicherzustellen, dass die Kinder der Gören ^ H ^ H ^ H ^ H ^ H allen aus dem Weg gehen, ließ mein Chef mich ein paar ältere einrichten Computer im Pausenraum, auf denen sie spielen können. Um sicherzustellen, dass sie nicht alles ruinieren können, habe ich einen 4-Port-Ethernet-Hub an einen der leeren Ports auf der Rückseite unseres Kabelmodems angeschlossen und die "lustigen" Computer in ihr eigenes Subnetz gestellt. Auf diese Weise haben sie Internetzugang, sind aber nicht Teil unseres Netzwerks. (Zumindest zähle ich darauf.)

Wir verwenden dieses Setup seit ungefähr einem Monat und die mächtige Kraft von Facebook hat die Kinder (mehr oder weniger) aus unseren Haaren gehalten. Nun, heute Abend, als ich einige routinemäßige Wartungsarbeiten an allen Systemen durchführte, beschloss ich zu sehen, was die Kinder vorhatten. Anscheinend haben sie es sich zur Aufgabe gemacht, sich jede skizzenhafte Malware zu schnappen, in der das Internet jemals zu Hause war. Ich habe Passwörter auf den Systemen festgelegt (damit sie erst dann funktionieren, wenn ich die Dinge sortiere) und sie heruntergefahren, aber plötzlich bin ich jetzt ziemlich besorgt - gibt es für diese Systeme eine Möglichkeit, auf unser internes Netzwerk zuzugreifen ? Außerdem bin ich ein wenig besorgt, dass sie möglicherweise einige Dinge bekommen haben, die ihre persönlichen Informationen erhalten könnten.

Natürlich wird mein nächster Schritt darin bestehen, die Computer zu säubern und ihnen nur eingeschränkten Benutzerzugriff zu gewähren, aber ich frage mich - waren die Systeme jemals eine Bedrohung für unser Netzwerk?

Falls ich vorher nicht klar genug war, hier ein kurzes Diagramm:

     |
     |
     |
 Internet
     V
     |
     |
 |Cable Modem|
     |  L___________________
     |                     |
     |                |4-port switch|
     |                     |
|Router/DHCP Server|       |
| / Firewall       | [Kids' Computers]
     |
     |
|Network Switch|
     |
     |
[Rest of Network]

Vielen Dank für jede Eingabe.

HAFTUNGSAUSSCHLUSS: Ich mag Kinder. Das tue ich wirklich. Ich hasse nur Unterbrechungen und Schreien, und ich denke, das ist völlig vernünftig.

eckza
quelle
2
bahaha genauso gut hast du diesen Haftungsausschluss hinzugefügt, weil ich kurz davor war, ganz verärgert und selbstgerecht zu werden. Weil mein Sohn sich immer so gut benimmt;)
Mark Henderson
2
Sie richten ein Netzwerk ungeschützter Computer ein und lassen Kinder darauf spielen? Diese XKCD fällt mir sofort ein ...
Josh

Antworten:

6

Sie erwähnen das aktuelle Setup nicht wirklich in Bezug auf den Zugriff auf das Subnetz, in dem sich die Kinder befinden, über das Standard-Gateway zu Ihrem Arbeitsplatz-Subnetz: Ich gehe davon aus, dass Sie keine expliziten Verweigerungen definiert haben.

1.) Ich würde prüfen, ob eine Ihrer Arbeits-IP-Adressen auf der schwarzen Liste steht. Ich weiß nicht, ob Sie Ihren eigenen Mailserver hosten oder nicht, aber wenn Sie dies tun und aufgrund des Versendens von Spam (viele Malware sendet gerne Spam) zu einer RBL hinzugefügt werden, könnte dies ein Problem sein. Ich mag diese Seite für die Überprüfung des RBL- Status - Multi-RBL-Prüfung

2.) Wenn Sie in Ihrem Router keine expliziten Ablehnungen haben, die nur Datenverkehr vom "lustigen" Subnetz zum Internet zulassen und keine Interaktion mit Ihrem Arbeitsplatz-Subnetz zulassen, würde ich dies so schnell wie möglich tun.

3.) Wenn Sie immer noch besorgt sind, würde es nicht schaden, Malware Bytes auf einem Ihrer Computer auszuführen, der vor diesem Ereignis relativ sauber gewesen sein sollte.

AndrewPK
quelle
1
Guter Punkt, wenn die IP-Adresse möglicherweise auf die schwarze Liste gesetzt wird.
JS.
Stellen Sie sicher, dass Malware-Bytes im abgesicherten Modus ausgeführt werden
Doug T.
1
Wie würde # 2 funktionieren? Das Subnetz ist überhaupt nicht an den Router angeschlossen ... es ist direkt an der Rückseite des Kabelmodems angeschlossen.
Eckza
Wenn Sie einen 4-Port-Switch haben und Ihre Router / DHCP / Firewall-Box an dasselbe Kabelmodem angeschlossen ist, gehe ich davon aus, dass Ihr Kabelmodem auch als Router fungiert (es sei denn, Sie haben 5 IPs von Ihrem ISP). In diesem Fall wird höchstwahrscheinlich jede Malware, die nach zusätzlichen Computern sucht, auf die sie sich ausbreiten kann, an Ihrer Firewall / Ihrem Router gestoppt. Wenn Sie sicher sein möchten, können Sie eine ACL auf Ihrer Firewall / Ihrem Router einfügen, die den Datenverkehr aus dem "Fun-Subnetz" explizit blockiert. Abhängig von der Syntax Ihrer Firewall
AndrewPK
4

Was die Kinder betrifft, die PII ablegen, ist das eine Sorge für ihre Eltern, nicht für Sie. Basierend auf Ihrer Zeichnung würde ich sagen, dass Sie ziemlich sicher sind, da sich das Kindernetzwerk anscheinend außerhalb Ihrer Firewall befindet. Firewalls verweigern eingehenden Datenverkehr von außen, mit Ausnahme von Datenverkehr, den Sie speziell über Firewall-Regeln zulassen. Wenn Sie eingehenden HTTP-, SMTP- usw. Datenverkehr für interne Server zulassen, ist es zweifelhaft, dass das Risiko, dass Kinder ihn ausnutzen, größer ist als in der Öffentlichkeit.

Joeqwerty
quelle
3

Solange die beiden Netzwerke nicht routingfähig waren, sollten Sie kein Problem haben. Wenn Sie direkt mit dem Kabelmodem im Kindernetzwerk verbunden sind und sich das Unternehmensnetzwerk hinter einer Firewall befindet, die auch mit einem anderen Port des Kabelmodems verbunden ist, sollten Sie anscheinend keine Probleme haben, die Ihre Firewall nicht hätte. Ich habe mich draußen gehalten.

Eine Sache, die Sie hinzufügen könnten, ist sicherzustellen, dass Daten von außerhalb der Firewall nicht aus dem Kindernetzwerk herausgeschnüffelt werden können. Sie sollten dies mit einer Art DMZ-Zone tun können, die Sie für das Kindernetzwerk einrichten würden.

Nixphoe
quelle
Der Switch sollte verhindern, dass der PC des Kindes den Datenverkehr vom realen Netzwerk zum Internet sieht. Es sei denn natürlich, es ist ein verwalteter Switch und jemand, der die Portspiegelung auf dem Switch aktiviert.
Poke
Wenn sie in der Lage wären, die Portspiegelung einzuschalten, hätte ich viel mehr zu befürchten als jetzt. : D Deshalb habe ich den Schalter fallen lassen.
eckza
3

Kein Haftungsausschluss erforderlich. Kinder gehören nicht zum Arbeitsplatz, kurz bevor Sie Ihre Kinder zum Arbeitstag bringen, und selbst dann würde ich nicht erwarten, dass mein Büro sie beschäftigt, das ist mein Job.

Theoretisch stellen diese Boxen keine größere Bedrohung dar als jede andere Box, die jedoch davon ausgeht, dass Ihr Kabelmodem / ISP keine Filterung durchführt, auf die Sie aus Sicherheitsgründen zählen.

rfelsburg
quelle
2

Stellen Sie die Kinder auf eine IPv6-Verbindung.

Auf diese Weise können sie ohnehin nur eine Handvoll Websites aufrufen. Meistens die Guten, Facebook, Google, Youtube ..

Tom O'Connor
quelle