Como podemos aliviar as preocupações de segurança ao adicionar dispositivos Windows CE de terceiros com conexão à Internet a uma rede?

Navegue suas respostas
2

Minha empresa fabrica dispositivos que executam o Windows CE e precisam se conectar ao nosso site por meio de uma conexão com a Internet do cliente. Nós vendemos esses dispositivos para todos os tipos de clientes com uma grande variedade de configurações de rede e necessidades de segurança.

Esses dispositivos preocupam os departamentos de TI das empresas para as quais os vendemos, e com razão. Eles se preocupam com a administração de configurações de proxy em centenas de dispositivos, sobre a possibilidade de eles baixarem vírus ou outros riscos de segurança em suas redes, que executam o Windows, sobre os dispositivos que baixam atualizações de software e assim por diante ....

A melhor analogia que consigo imaginar é uma empresa que tinha um monte de Tivos conectados à internet. Existe uma necessidade de negócios para os dispositivos, mas a TI realmente não os quer na rede.

O que podemos fazer para aliviar as preocupações dos departamentos de TI e fazer da configuração um esforço mínimo. Se pudéssemos canalizá-los através de algo como uma VPN para um único servidor que se conecta ao servidor proxy da empresa, isso seria feito?

Eu só sei um pouco sobre networking, mas ainda é meu trabalho resolver isso, então qualquer ajuda é muito apreciada.

    
por Greg 01.05.2009 / 23:57

9 respostas

2

Se eu fosse o administrador responsável pelas redes que executam esses dispositivos, ficaria satisfeito se você fornecesse um serviço de "atualização" separado que eu pudesse executar e que fosse o único host que tivesse de falar com o seu site (fazendo isso mais fácil de controlar e manter) - e os dispositivos seriam então (preferencialmente remotamente por opções de dhcp) configurados para falar com este host de serviço de atualização que eu tenho controle.

Se os dispositivos fizerem o download de software em quantidades significativas, também seria interessante se esse serviço de atualização fizesse o cache desse modo para que qualquer outro dispositivo que solicitasse o mesmo download apenas o buscasse no serviço de atualização. Assim como qualquer espelho antivírus instalado localmente, ou serviços de atualização do Windows (WUS).

    
por 02.05.2009 / 00:03
2

O Microsft System Management Server 2003 possui um complemento do Device Feature Pack que fornece recursos de gerenciamento de dispositivos do Windows CE para a plataforma.

link

O Feature Pack do Device Management fornece os seguintes recursos:

  • Inventário de hardware
  • Inventário de software
  • Coleção de arquivos
  • Distribuição de software
  • Gerenciamento de configurações
  • Gerenciamento de políticas de senha

A implantação desse ou de um produto equivalente para a versão mais recente do SMS deve fornecer todos os recursos de gerenciamento necessários para dispositivos Windows CE.

    
por 29.05.2009 / 20:07
2

Como administrador, eu ficaria mais feliz se você pudesse:

  • Bloqueie o dispositivo até o mínimo absoluto necessário para seu trabalho (SO, hardware, portas, serviços)
  • Forneça-me uma lista de exatamente quais portas ele usa para se comunicar
  • Pesquise ferramentas corporativas (WSUS, AV) e verifique se consigo integrar seu dispositivo com minha estratégia geral
  • Bloqueie o usuário de alterar as configurações (ou instalar o software) o máximo possível (se for um dispositivo de finalidade única)

Sem mais detalhes sobre o que o dispositivo precisa fazer, é difícil dizer, além disso. Basta pensar na superfície de ataque e nas coisas mais estúpidas possíveis que os usuários podem fazer para violar minha rede. Por exemplo. os dispositivos CE possuem portas (USB, firewire) - eles PRECISAM? - você pode trancá-los se não?

    
por 29.05.2009 / 20:23
1

Eu segmentaria a rede para permitir o acesso de dispositivos sem fio à Internet (que é o que a maioria das pessoas está procurando) e negar qualquer acesso à rede interna.

Às vezes, não há problema em dizer não.

    
por 29.05.2009 / 20:36
1
Primeiro, eu diria que, se a empresa para a qual você está vendendo está, de alguma forma, reclamando das janelas do problema, você nunca vai ganhar. Essas são as pessoas que honestamente acham que o garoto da casa ao lado sabe mais sobre segurança do que a empresa de software bilionária. No que diz respeito às preocupações da administração, você terá que explicar conceitos como política de grupo e WMI que permitirão que eles administrem milhares de dispositivos com uma consulta ou configuração. Além disso (sem saber nada específico sobre o dispositivo que você está vendendo), você poderia explicar que o dispositivo pode ser configurado para executar somente o executável requerido pelo aplicativo em execução nele. Com relação a preocupações com vírus, eu explicaria que um vírus só poderia ser executado se o usuário realmente instalasse e executasse o vírus (o meu entendimento é que existem 4 e 3 deles requerem intervenção do usuário para executar o quarto é um ataque DOS). Espero que você seja capaz de garantir que seus próprios servidores não serão pontos de infecção, e você usa certificados EV para eliminar problemas de spoofing. Pessoalmente eu ficaria muito mais preocupado se você estivesse me vendendo um monte de dispositivos baseados em Linux, já que eles seriam um pesadelo administrativo e praticamente qualquer coisa poderia ser instalada neles. Você não precisa necessariamente de nenhum software extra para administrar esses dispositivos, mas um cliente que tenha um diretório ativo já tem uma vantagem administrativa. Para aqueles que não desenvolvem, desenvolvo alguns powershell ou VBscripts que executam funções administrativas comuns e os entregam a qualquer cliente que queira ou precise deles.

    
por 31.05.2009 / 23:00
1

No que diz respeito ao aspecto da configuração, existem ferramentas disponíveis para gerenciar milhares de dispositivos Windows CE.

Há pelo menos uma empresa que eu conheço, a Odyssey Software (www.odysseysoftware.com), que tem um produto chamado Athena que se conecta ao Microsoft System Management Server e pode gerenciar remotamente esses dispositivos, incluindo a capacidade de fazer um área de trabalho remota (a la VNC) para eles.

O problema com a Athena é que ela é uma estrutura e não um produto pronto para uso que você pode usar para gerenciar sua frota de dispositivos. Requer um desenvolvimento significativo para criar um aplicativo de monitoramento / configuração remoto abrangente a partir dele.

Existem empresas que integraram a Athena em um produto e a oferecem para venda. Odyssey provavelmente pode direcioná-lo com isso. Seu representante da Microsoft também deve obter mais informações sobre a configuração remota do Windows CE.

Ou seja, desde que você esteja interessado em fazer com que as empresas gerenciem remotamente as configurações dos dispositivos. Não há muito o que você poderia fazer para gerenciar os dispositivos por conta própria se eles estiverem atrás de um firewall corporativo (esperançosamente, se o firewall for bom).

    
por 01.06.2009 / 17:20
1

Faça o mesmo que a Microsoft fez quando eles lançaram o WSUS .

Crie um componente de servidor que possa residir em um host dentro da rede corporativa do cliente. Este servidor será um host de administração central para os dispositivos CE. O servidor seria responsável por conectar-se ao seu site e os dispositivos CE falavam com esse servidor central.

    
por 02.06.2009 / 02:21
1

Considerando que esses dispositivos estão nas instalações do cliente e precisam "telefonar para casa" para o seu site, eu:

  • Segmente a rede para que esses dispositivos fiquem em uma DMZ separada, sem acesso à rede interna do cliente. Desde que sua função - que não foi elaborada - não requeira acesso à rede do cliente, isto é. Se eles são "como TiVos", isso seria verdade: eles têm uma função, eles precisam da Internet, mas eles não precisam saber ou se preocupar com o resto da rede do cliente.

  • Conceda ao cliente um número definido de portas e IPs a serem configurados para que esses dispositivos saiam e não permitam acesso de entrada. Provavelmente, eles precisarão de http ou https para seu servidor da Web e nada mais. O cliente pode configurar isso no firewall que protege a DMZ em que esses dispositivos "moram".

  • Configure os dispositivos para detectar automaticamente as configurações de proxy. Auxiliar os clientes que exigem o uso de proxies da web com a configuração do arquivo PAC e o nome do host "wpad" para detecção automática, supondo que os dispositivos usem o IE para se conectarem ao seu servidor da web. Há várias passagens disponíveis sobre como configurar isso. Dessa forma, as configurações de proxy não precisam ser configuradas em "100s de dispositivos", tudo o que é necessário é o local do wpad que hospeda o arquivo PAC, para que os dispositivos possam descobrir um proxy.

  • Estou assumindo que os dispositivos usarão o DHCP dentro da rede do cliente? Como a configuração básica de rede é tratada para isso?

  • Atualizações de software - tire o fardo de seus clientes. Configure esses dispositivos para que você possa enviar atualizações para eles. A resposta do SMS neste tópico parece uma boa solução.

  • E, como já foi mencionado no tópico, endureça os dispositivos - desative todos os serviços do Windows CE que excedam os requisitos. Crie uma configuração do Windows CE que ofereça todos os recursos necessários para seu aplicativo e nada mais.

por 04.06.2009 / 22:54
0

Controlar os serviços que podem ser conectados aos seus hosts é fundamental. Você não quer ter nenhuma porta conectável a menos que você precise explicitamente que ela funcione (RDP, vnc, http, etc ...). Se você puder proteger o dispositivo de explorações remotas em software comum (IIS, MSSQL, etc ...), você pode fazer com que seus clientes executem as verificações de vulnerabilidades necessárias no dispositivo para garantir que ele não ajude na propagaão de malware.

    
por 02.05.2009 / 00:05

Tags

Posso fazer o scp solicitar um nome de usuário e senha? Devo usar o kernel Linux 2.6.x ou 3.x em um servidor de produção?