sloxoo
Goto Top

Best practice: Firewall und Netzwerksicherheits-Design

Hallo zusammen, ich arbeite gerade an einem Projekt in einer Windows Domänenumgebung eine Firewall bzw. Netzwerksicherheit Best möglichst nach Best Practise zu implementieren

Das Projekt steht noch am Anfang, und erst einmal geht es hauptsächlich nur einmal um eine saubere Implementierung der Windows Firewall.
Ich dachte ich könnte mir hier vielleicht ein wenig Input, Erfahrungswerte und eure Spitzen- Spezial- Tools die hilfreich für dieses Unterfangen sein könnten einholen.

(Speziell wäre ein Tool oder eine Möglichkeit gesucht, um den Ist-Stand "Wer Spricht Mit Wem Wohin" (speziell für Server) möglichst einfach und effizient abzubilden, ohne Stundenlange Analyse via WireShark)


folgende Überlegungen habe ich mir bisher gemacht, euer Input wäre interessant hierzu:

A.) Auf jedem Endpunkt, Server und Client wird die Windows Firewall aktiviert und IPsec konfiguriert via GPO natürlich, jegliche Kommunikation (nicht nur zu DC, DHCP, DNS) miteinander muss Authentifiziert via Kerberos V5 sein und vielleicht sogar verschlüsselt (?) sein.


B.) Horizontale Kommunikation innerhalb des Office VLANs (Gegen Lateral movement): Client-Client, Server-Server:

1.) Eruieren, ist eine horizontale Kommunikation innerhalb eines Office-Client VLANs überhaupt notwendig?
z.B. muss Client 1 mit Client 2 sprechen können in einer Standard Windows Domäne? -> Mögliche Lösung auf Layer 2 Basis - Protected ports am Access-Switch konfigurieren um nur noch Horizontale Kommunikation (Server-Client) zu ermöglichen.

Damit hätte man meiner Meinung nach schon einmal eines der größten Attack-Surfaces geschlossen und die Ausbreitung eines Virus oder Hackers stark erschwert.

2.) Horizontale Kommunikation im Server VLAN: Komplexerer Aufbau notwendig, die meisten Server müssen auch miteinander kommunizieren (DHCP, DC, DNS etc), die die es nicht müssen (z.B. Anwendungs-Server für Clients) separieren in ein eigenes VLAN.


C.) Vertikale Kommunikation von z.B. Office VLAN zu Server VLAN:

1.) Generell ist Vertikale Kommunikation von Client zu Server und umgekehrt erlaubt. Kritische Server-Assets werden jedoch eruiert, für den Zugriff auf kritische Server Assets ist eine Authentifizierung auf Basis von PC und User-Konto erforderlich (IPsec mit höchstmöglichsten Sicherheitseinstellungen und Verschlüsslung via Windows Defender Firewall)

2.) Einschränkung der Remoteverwaltungs-Tools: Eingehende Firewall Regel an allen Endpunkten Server und Clients: Der Zugriff auf Drittanbieter RemoteSupport Tools, WinRM, RPC, WMI und SMB wird via Windows Firewall Computer und Userkonto Authentifizierung auf den Administrations-Server (auf dem z.B. Tools wie Lansweeper oder PDQ Inventory/Deploy laufen) beschränkt. Der Administrations-Server selbst befindet sich in einem abgeschotteten eigenen VLAN, vielleicht sogar DMZ?


Ich werde diesen Post ggf. noch erweitern wenn ich weitere Überlegungen zu dem Konzept habe freue mich aber gerne schon auf Gedanken hierzu und Input oder Meinungsaustausch face-smile

Content-ID: 8070186235

Url: https://administrator.de/contentid/8070186235

Ausgedruckt am: 24.11.2024 um 10:11 Uhr

Mystery-at-min
Mystery-at-min 07.08.2023 um 16:49:02 Uhr
Goto Top
Klingt ein bisschen so, als würden wir deine Hausaufgaben machen müssen?
Sloxoo
Sloxoo 07.08.2023 um 16:55:13 Uhr
Goto Top
Zitat von @Mystery-at-min:

Klingt ein bisschen so, als würden wir deine Hausaufgaben machen müssen?

Ich habe den Nachteil, nicht in einem großen Team zu arbeiten und dachte ich könnte mir anderweitig, z.B. in einem Forum, Input einholen möglicherweise von Administratoren die diesen Prozess, anders als ich, schon einmal selbst verwirklichen durften.

Ist das wirklich so verkehrt?
O.Gensch
O.Gensch 07.08.2023 um 17:11:45 Uhr
Goto Top
Hallo,

glaube du suchst sowas in der art... Ist kein Fertigkonzept sollte nur als anreiz dienen....

www.prosec-networks.com/blog/netztrennung-und-network-access-control/

LG
Sloxoo
Sloxoo 07.08.2023 um 17:39:31 Uhr
Goto Top
sehr interessanter Link - habe ich bis zum ende gelesen

vieles davon geht aber leider für den aktuellen stand des Projektes schon etwas zu weit und werden wir wohl erst zu einem späteren Zeitpunkt adressieren können

ich habe meinen ersten Post einmal ein wenig Konkretisiert - erst einmal würde es eher um eine saubere Implementierung der Windows Firewall gehen
SeaStorm
SeaStorm 07.08.2023 um 17:41:52 Uhr
Goto Top
Zitat von @Sloxoo:

Hallo zusammen,
Hi

(Speziell wäre ein Tool oder eine Möglichkeit gesucht, um den Ist-Stand "Wer Spricht Mit Wem Wohin" (speziell für Server) möglichst einfach und effizient abzubilden, ohne Stundenlange Analyse via WireShark)
Da gibt es keine fertigen "Standardtools".
Übliches vorgehen um eine Firewall einzuführen ist entweder der schmerzhafte:
Dicht machen bis auf das was man halt weiss und dann nach Anforderung auf machen
oder der langwierige:
Allow-Regeln in jede Richtung, logging an. Dann die Logs anschauen und überhalb der AllowRegel die einzelnen granularen Regeln ohne Logging einrichten, bis keine Logs mehr aufschlagen oder halt nur noch das was man eben nachher wegschmeissen will.


A.) Generell einmal auf jedem Endpunkt, Server und Client, die Windows Firewall aktivieren und IPsec konfigurieren, jegliche Kommunikation (nicht nur zu DC, DHCP, DNS) miteinander muss Authentifiziert via Kerberos V5 sein und vielleicht sogar verschlüsselt (?) sein
SMB Encryption aktivieren, NTLM abschalten, LDAPS erzwingen, usw. Das ist alles relativ unkritisch wenn man keine Legacy Clients hat.

B.) Horizontale Kommunikation innerhalb des Office VLANs (Gegen Lateral movement): Client-Client, Server-Server:

1.) Eruieren, ist eine horizontale Kommunikation innerhalb eines Office-Client VLANs überhaupt notwendig?
z.B. muss Client 1 mit Client 2 sprechen können in einer Standard Windows Domäne? -> Mögliche Lösung auf Layer 2 Basis - Protected ports am Access-Switch konfigurieren um nur noch Horizontale Kommunikation (Server-Client) zu ermöglichen.
Sofern die Clients nicht miteinander sprechen müssen spricht da ja nichts dagegen. Im zweifelsfall muss man halt spezielle Netze für Entwickler oÄ erstellen.
Damit hätte man meiner Meinung nach schon einmal eines der größten Attack-Surfaces geschlossen und die Ausbreitung eines Virus oder Hackers stark erschwert.
Naja. Es ist immer nur ein Teil. Adminrechte wegnehmen und keinen gesharten lokalen Admin wegnehmen ist da wahrscheinlich genau so effektiv.
2.) Horizontale Kommunikation im Server VLAN: Komplexerer Aufbau notwendig, die meisten Server müssen auch miteinander kommunizieren (DHCP, DC, DNS etc), die die es nicht müssen (z.B. Anwendungs-Server für Clients) separieren in ein eigenes VLAN.
Mikrosegmentierung!

C.) Vertikale Kommunikation von z.B. Office VLAN zu Server VLAN:

1.) Generell ist Vertikale Kommunikation von Client zu Server und umgekehrt erlaubt.
aber nur was nötig ist bitte.
Kritische Server-Assets werden jedoch eruiert, für den Zugriff auf kritische Server Assets ist eine Authentifizierung auf Basis von PC und User-Konto erforderlich (IPsec mit höchstmöglichsten Sicherheitseinstellungen und Verschlüsslung via Windows Defender Firewall)
Kann man tun. Nutzen ist gering, Impact aber sehr hoch
2.) Einschränkung der Remoteverwaltungs-Tools: Eingehende Firewall Regel an allen Endpunkten Server und Clients: Der Zugriff auf Drittanbieter RemoteSupport Tools, WinRM, RPC, WMI und SMB wird via Windows Firewall Computer und Userkonto Authentifizierung auf den Administrations-Server (auf dem z.B. Tools wie Lansweeper oder PDQ Inventory/Deploy laufen) beschränkt.
Ja
Der Administrations-Server selbst befindet sich in einem abgeschotteten eigenen VLAN, vielleicht sogar DMZ?
Isolierter Jumphost, besser für jeden für jeden Admin einen

Sloxoo
Sloxoo 07.08.2023 aktualisiert um 18:35:32 Uhr
Goto Top
das ist mal INPUT - Vielen Dank dafür!

In chronologischer Reihenfolge

Schade, dachte da gibt's vielleicht etwas! Alles klar danke für die Info


SMB Encryption, NTML, LDAPS hatte ich überhaupt nicht auf den Schirm grad und lässt sich vermutlich auch relativ leicht umsetzen, Perfekt! Vielen Dank dafür

Adminrechte haben unsere User ohnehin nicht


Das Konzept mit den Jumphosts muss ich mir mal genauer ansehen, ist mir grad nicht im Detail geläufig - klingt aber Interessant auf den ersten Blick
MysticFoxDE
MysticFoxDE 07.08.2023 aktualisiert um 21:26:22 Uhr
Goto Top
Moin @Sloxoo,

ich habe meinen ersten Post einmal ein wenig Konkretisiert - erst einmal würde es eher um eine saubere Implementierung der Windows Firewall gehen

da du hier zum Teil auch von Netzsegmentierung sprichst, ist die Windows-Firewall per se raus.

Für ein solches Konzept benötigst du eine zentrale Lösung, wie z.B. ein SGW von Sophos.

https://www.sophos.com/en-us/products/next-gen-firewall

Siehe auch ...

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendi ...
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Ko ...


Beste Grüsse aus BaWü

Alex
Sloxoo
Sloxoo 07.08.2023 aktualisiert um 21:38:34 Uhr
Goto Top
Hi, eine Netzwerksegmentierungs Firewall steht schon und ist meiner Auffassung nach ja kein Ersatz für die Firewall am Endgerät, oder?

Aber ja die Themen verwischen etwas da hast du recht
MysticFoxDE
MysticFoxDE 08.08.2023 um 06:55:10 Uhr
Goto Top
Moin @Sloxoo,

Hi, eine Netzwerksegmentierungs Firewall steht schon und ist meiner Auffassung nach ja kein Ersatz für die Firewall am Endgerät, oder?

Das kommt auf deine Umgebung an. Wenn die Geräte das Haus nicht verlassen, dann reicht meiner Ansicht nach eine zentrales, gut eingerichtetes Security-Gateway, durchaus vollkommen aus und ist zudem auch viel einfacher zu warten.

Gruss Alex
Intichar
Intichar 11.08.2023 um 16:54:20 Uhr
Goto Top
Servus,
Wie vom Kollegen schon geschrieben: Das, was Du willst, gibt es schon länger und nennt sich "Mikrosegmentierung" (Microsegmentation), wird allerdings normalerweise nicht auf den Endgeräten, sondern auf (professioneller) Netzwerkhardware umgesetzt. Die Lösungen dafür unterscheiden sich technisch: Cisco und Fortinet vergeben Security Tags an die einzelnen Datenpakete, HPE baut von jedem Switchport einen Re-Tunnel zu einem Netzwerkcontroller auf.
Sloxoo
Sloxoo 16.08.2023 aktualisiert um 15:14:00 Uhr
Goto Top
Vielen Dank für die vielen hilfreichen Tipps und den Input

Was denkt ihr über das Thema NetBios über TCP/IP deaktivieren? siehe https://www.windowspro.de/brandon-lee/netbios-windows-netzwerken-deaktiv ...

Ich habe einmal den Input zusammengefasst.

• Benutzerprofil Installationen mittels GPO deaktivieren (⁠DisableUserInstalls)
• AppLocker, Progamme nur aus C:\Program Files & x86 & C:\Windows startbar
• Aktivierung IPSec Authentifizierung Windows Firewall
• SMB Encryption
• NTLM abschalten
• NetBios abschalten (?)
• LDAPS erzwingen
• Horizontale Kommunikation (Client zu Client) blockieren (wo möglich)
• Isolierter Jumphost der nur Ein ist wenn nötig, für jeden Administrator einen eigenen zum Zugriff auf den isolierten Administrations Server.
• WinRM,WinRS,WMI,RPC und SMB Kommunikation Einschränkung auf isolierten AdministrationsServer
• Mikrosegmentierung?
SeaStorm
SeaStorm 17.08.2023 aktualisiert um 17:57:34 Uhr
Goto Top
Zitat von @Sloxoo:
• NetBios abschalten (?)
und mDNS + LLMNR gleich dazu
Dani
Dani 19.08.2023 um 11:47:42 Uhr
Goto Top
Moin,
von welcher Größe reden wir hier, 60 PCs und 10 Server oder 5000 Client und 400 Server? Meistens spielt die Branche eine Rolle - Gesundheitswesen, Militär, Public Sector haben klare Vorgaben.


Gruß,
Dani