13
Best practice: Firewall und Netzwerksicherheits-Design
Hallo zusammen, ich arbeite gerade an einem Projekt in einer Windows Domänenumgebung eine Firewall bzw. Netzwerksicherheit Best möglichst nach Best Practise zu implementieren
Das Projekt steht noch am Anfang, und erst einmal geht es hauptsächlich nur einmal um eine saubere Implementierung der Windows Firewall.
Ich dachte ich könnte mir hier vielleicht ein wenig Input, Erfahrungswerte und eure Spitzen- Spezial- Tools die hilfreich für dieses Unterfangen sein könnten einholen.
(Speziell wäre ein Tool oder eine Möglichkeit gesucht, um den Ist-Stand "Wer Spricht Mit Wem Wohin" (speziell für Server) möglichst einfach und effizient abzubilden, ohne Stundenlange Analyse via WireShark)
folgende Überlegungen habe ich mir bisher gemacht, euer Input wäre interessant hierzu:
A.) Auf jedem Endpunkt, Server und Client wird die Windows Firewall aktiviert und IPsec konfiguriert via GPO natürlich, jegliche Kommunikation (nicht nur zu DC, DHCP, DNS) miteinander muss Authentifiziert via Kerberos V5 sein und vielleicht sogar verschlüsselt (?) sein.
B.) Horizontale Kommunikation innerhalb des Office VLANs (Gegen Lateral movement): Client-Client, Server-Server:
1.) Eruieren, ist eine horizontale Kommunikation innerhalb eines Office-Client VLANs überhaupt notwendig?
z.B. muss Client 1 mit Client 2 sprechen können in einer Standard Windows Domäne? -> Mögliche Lösung auf Layer 2 Basis - Protected ports am Access-Switch konfigurieren um nur noch Horizontale Kommunikation (Server-Client) zu ermöglichen.
Damit hätte man meiner Meinung nach schon einmal eines der größten Attack-Surfaces geschlossen und die Ausbreitung eines Virus oder Hackers stark erschwert.
2.) Horizontale Kommunikation im Server VLAN: Komplexerer Aufbau notwendig, die meisten Server müssen auch miteinander kommunizieren (DHCP, DC, DNS etc), die die es nicht müssen (z.B. Anwendungs-Server für Clients) separieren in ein eigenes VLAN.
C.) Vertikale Kommunikation von z.B. Office VLAN zu Server VLAN:
1.) Generell ist Vertikale Kommunikation von Client zu Server und umgekehrt erlaubt. Kritische Server-Assets werden jedoch eruiert, für den Zugriff auf kritische Server Assets ist eine Authentifizierung auf Basis von PC und User-Konto erforderlich (IPsec mit höchstmöglichsten Sicherheitseinstellungen und Verschlüsslung via Windows Defender Firewall)
2.) Einschränkung der Remoteverwaltungs-Tools: Eingehende Firewall Regel an allen Endpunkten Server und Clients: Der Zugriff auf Drittanbieter RemoteSupport Tools, WinRM, RPC, WMI und SMB wird via Windows Firewall Computer und Userkonto Authentifizierung auf den Administrations-Server (auf dem z.B. Tools wie Lansweeper oder PDQ Inventory/Deploy laufen) beschränkt. Der Administrations-Server selbst befindet sich in einem abgeschotteten eigenen VLAN, vielleicht sogar DMZ?
Ich werde diesen Post ggf. noch erweitern wenn ich weitere Überlegungen zu dem Konzept habe freue mich aber gerne schon auf Gedanken hierzu und Input oder Meinungsaustausch
Das Projekt steht noch am Anfang, und erst einmal geht es hauptsächlich nur einmal um eine saubere Implementierung der Windows Firewall.
Ich dachte ich könnte mir hier vielleicht ein wenig Input, Erfahrungswerte und eure Spitzen- Spezial- Tools die hilfreich für dieses Unterfangen sein könnten einholen.
(Speziell wäre ein Tool oder eine Möglichkeit gesucht, um den Ist-Stand "Wer Spricht Mit Wem Wohin" (speziell für Server) möglichst einfach und effizient abzubilden, ohne Stundenlange Analyse via WireShark)
folgende Überlegungen habe ich mir bisher gemacht, euer Input wäre interessant hierzu:
A.) Auf jedem Endpunkt, Server und Client wird die Windows Firewall aktiviert und IPsec konfiguriert via GPO natürlich, jegliche Kommunikation (nicht nur zu DC, DHCP, DNS) miteinander muss Authentifiziert via Kerberos V5 sein und vielleicht sogar verschlüsselt (?) sein.
B.) Horizontale Kommunikation innerhalb des Office VLANs (Gegen Lateral movement): Client-Client, Server-Server:
1.) Eruieren, ist eine horizontale Kommunikation innerhalb eines Office-Client VLANs überhaupt notwendig?
z.B. muss Client 1 mit Client 2 sprechen können in einer Standard Windows Domäne? -> Mögliche Lösung auf Layer 2 Basis - Protected ports am Access-Switch konfigurieren um nur noch Horizontale Kommunikation (Server-Client) zu ermöglichen.
Damit hätte man meiner Meinung nach schon einmal eines der größten Attack-Surfaces geschlossen und die Ausbreitung eines Virus oder Hackers stark erschwert.
2.) Horizontale Kommunikation im Server VLAN: Komplexerer Aufbau notwendig, die meisten Server müssen auch miteinander kommunizieren (DHCP, DC, DNS etc), die die es nicht müssen (z.B. Anwendungs-Server für Clients) separieren in ein eigenes VLAN.
C.) Vertikale Kommunikation von z.B. Office VLAN zu Server VLAN:
1.) Generell ist Vertikale Kommunikation von Client zu Server und umgekehrt erlaubt. Kritische Server-Assets werden jedoch eruiert, für den Zugriff auf kritische Server Assets ist eine Authentifizierung auf Basis von PC und User-Konto erforderlich (IPsec mit höchstmöglichsten Sicherheitseinstellungen und Verschlüsslung via Windows Defender Firewall)
2.) Einschränkung der Remoteverwaltungs-Tools: Eingehende Firewall Regel an allen Endpunkten Server und Clients: Der Zugriff auf Drittanbieter RemoteSupport Tools, WinRM, RPC, WMI und SMB wird via Windows Firewall Computer und Userkonto Authentifizierung auf den Administrations-Server (auf dem z.B. Tools wie Lansweeper oder PDQ Inventory/Deploy laufen) beschränkt. Der Administrations-Server selbst befindet sich in einem abgeschotteten eigenen VLAN, vielleicht sogar DMZ?
Ich werde diesen Post ggf. noch erweitern wenn ich weitere Überlegungen zu dem Konzept habe freue mich aber gerne schon auf Gedanken hierzu und Input oder Meinungsaustausch
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8070186235
Url: https://administrator.de/contentid/8070186235
Ausgedruckt am: 24.11.2024 um 10:11 Uhr
13 Kommentare
Neuester Kommentar
Klingt ein bisschen so, als würden wir deine Hausaufgaben machen müssen?
1
Ich habe den Nachteil, nicht in einem großen Team zu arbeiten und dachte ich könnte mir anderweitig, z.B. in einem Forum, Input einholen möglicherweise von Administratoren die diesen Prozess, anders als ich, schon einmal selbst verwirklichen durften.
Ist das wirklich so verkehrt?
Hallo,
glaube du suchst sowas in der art... Ist kein Fertigkonzept sollte nur als anreiz dienen....
www.prosec-networks.com/blog/netztrennung-und-network-access-control/
LG
glaube du suchst sowas in der art... Ist kein Fertigkonzept sollte nur als anreiz dienen....
www.prosec-networks.com/blog/netztrennung-und-network-access-control/
LG
2
sehr interessanter Link - habe ich bis zum ende gelesen
vieles davon geht aber leider für den aktuellen stand des Projektes schon etwas zu weit und werden wir wohl erst zu einem späteren Zeitpunkt adressieren können
ich habe meinen ersten Post einmal ein wenig Konkretisiert - erst einmal würde es eher um eine saubere Implementierung der Windows Firewall gehen
vieles davon geht aber leider für den aktuellen stand des Projektes schon etwas zu weit und werden wir wohl erst zu einem späteren Zeitpunkt adressieren können
ich habe meinen ersten Post einmal ein wenig Konkretisiert - erst einmal würde es eher um eine saubere Implementierung der Windows Firewall gehen
Hi
Übliches vorgehen um eine Firewall einzuführen ist entweder der schmerzhafte:
Dicht machen bis auf das was man halt weiss und dann nach Anforderung auf machen
oder der langwierige:
Allow-Regeln in jede Richtung, logging an. Dann die Logs anschauen und überhalb der AllowRegel die einzelnen granularen Regeln ohne Logging einrichten, bis keine Logs mehr aufschlagen oder halt nur noch das was man eben nachher wegschmeissen will.
A.) Generell einmal auf jedem Endpunkt, Server und Client, die Windows Firewall aktivieren und IPsec konfigurieren, jegliche Kommunikation (nicht nur zu DC, DHCP, DNS) miteinander muss Authentifiziert via Kerberos V5 sein und vielleicht sogar verschlüsselt (?) sein
SMB Encryption aktivieren, NTLM abschalten, LDAPS erzwingen, usw. Das ist alles relativ unkritisch wenn man keine Legacy Clients hat.
B.) Horizontale Kommunikation innerhalb des Office VLANs (Gegen Lateral movement): Client-Client, Server-Server:
1.) Eruieren, ist eine horizontale Kommunikation innerhalb eines Office-Client VLANs überhaupt notwendig?
z.B. muss Client 1 mit Client 2 sprechen können in einer Standard Windows Domäne? -> Mögliche Lösung auf Layer 2 Basis - Protected ports am Access-Switch konfigurieren um nur noch Horizontale Kommunikation (Server-Client) zu ermöglichen.
Sofern die Clients nicht miteinander sprechen müssen spricht da ja nichts dagegen. Im zweifelsfall muss man halt spezielle Netze für Entwickler oÄ erstellen.
C.) Vertikale Kommunikation von z.B. Office VLAN zu Server VLAN:
1.) Generell ist Vertikale Kommunikation von Client zu Server und umgekehrt erlaubt.
aber nur was nötig ist bitte.
(Speziell wäre ein Tool oder eine Möglichkeit gesucht, um den Ist-Stand "Wer Spricht Mit Wem Wohin" (speziell für Server) möglichst einfach und effizient abzubilden, ohne Stundenlange Analyse via WireShark)
Da gibt es keine fertigen "Standardtools".Übliches vorgehen um eine Firewall einzuführen ist entweder der schmerzhafte:
Dicht machen bis auf das was man halt weiss und dann nach Anforderung auf machen
oder der langwierige:
Allow-Regeln in jede Richtung, logging an. Dann die Logs anschauen und überhalb der AllowRegel die einzelnen granularen Regeln ohne Logging einrichten, bis keine Logs mehr aufschlagen oder halt nur noch das was man eben nachher wegschmeissen will.
A.) Generell einmal auf jedem Endpunkt, Server und Client, die Windows Firewall aktivieren und IPsec konfigurieren, jegliche Kommunikation (nicht nur zu DC, DHCP, DNS) miteinander muss Authentifiziert via Kerberos V5 sein und vielleicht sogar verschlüsselt (?) sein
B.) Horizontale Kommunikation innerhalb des Office VLANs (Gegen Lateral movement): Client-Client, Server-Server:
1.) Eruieren, ist eine horizontale Kommunikation innerhalb eines Office-Client VLANs überhaupt notwendig?
z.B. muss Client 1 mit Client 2 sprechen können in einer Standard Windows Domäne? -> Mögliche Lösung auf Layer 2 Basis - Protected ports am Access-Switch konfigurieren um nur noch Horizontale Kommunikation (Server-Client) zu ermöglichen.
Damit hätte man meiner Meinung nach schon einmal eines der größten Attack-Surfaces geschlossen und die Ausbreitung eines Virus oder Hackers stark erschwert.
Naja. Es ist immer nur ein Teil. Adminrechte wegnehmen und keinen gesharten lokalen Admin wegnehmen ist da wahrscheinlich genau so effektiv.2.) Horizontale Kommunikation im Server VLAN: Komplexerer Aufbau notwendig, die meisten Server müssen auch miteinander kommunizieren (DHCP, DC, DNS etc), die die es nicht müssen (z.B. Anwendungs-Server für Clients) separieren in ein eigenes VLAN.
Mikrosegmentierung!C.) Vertikale Kommunikation von z.B. Office VLAN zu Server VLAN:
1.) Generell ist Vertikale Kommunikation von Client zu Server und umgekehrt erlaubt.
Kritische Server-Assets werden jedoch eruiert, für den Zugriff auf kritische Server Assets ist eine Authentifizierung auf Basis von PC und User-Konto erforderlich (IPsec mit höchstmöglichsten Sicherheitseinstellungen und Verschlüsslung via Windows Defender Firewall)
Kann man tun. Nutzen ist gering, Impact aber sehr hoch2.) Einschränkung der Remoteverwaltungs-Tools: Eingehende Firewall Regel an allen Endpunkten Server und Clients: Der Zugriff auf Drittanbieter RemoteSupport Tools, WinRM, RPC, WMI und SMB wird via Windows Firewall Computer und Userkonto Authentifizierung auf den Administrations-Server (auf dem z.B. Tools wie Lansweeper oder PDQ Inventory/Deploy laufen) beschränkt.
JaDer Administrations-Server selbst befindet sich in einem abgeschotteten eigenen VLAN, vielleicht sogar DMZ?
Isolierter Jumphost, besser für jeden für jeden Admin einen2
das ist mal INPUT - Vielen Dank dafür!
In chronologischer Reihenfolge
Schade, dachte da gibt's vielleicht etwas! Alles klar danke für die Info
SMB Encryption, NTML, LDAPS hatte ich überhaupt nicht auf den Schirm grad und lässt sich vermutlich auch relativ leicht umsetzen, Perfekt! Vielen Dank dafür
Adminrechte haben unsere User ohnehin nicht
Das Konzept mit den Jumphosts muss ich mir mal genauer ansehen, ist mir grad nicht im Detail geläufig - klingt aber Interessant auf den ersten Blick
In chronologischer Reihenfolge
Schade, dachte da gibt's vielleicht etwas! Alles klar danke für die Info
SMB Encryption, NTML, LDAPS hatte ich überhaupt nicht auf den Schirm grad und lässt sich vermutlich auch relativ leicht umsetzen, Perfekt! Vielen Dank dafür
Adminrechte haben unsere User ohnehin nicht
Das Konzept mit den Jumphosts muss ich mir mal genauer ansehen, ist mir grad nicht im Detail geläufig - klingt aber Interessant auf den ersten Blick
Moin @Sloxoo,
da du hier zum Teil auch von Netzsegmentierung sprichst, ist die Windows-Firewall per se raus.
Für ein solches Konzept benötigst du eine zentrale Lösung, wie z.B. ein SGW von Sophos.
https://www.sophos.com/en-us/products/next-gen-firewall
Siehe auch ...
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendi ...
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Ko ...
Beste Grüsse aus BaWü
Alex
ich habe meinen ersten Post einmal ein wenig Konkretisiert - erst einmal würde es eher um eine saubere Implementierung der Windows Firewall gehen
da du hier zum Teil auch von Netzsegmentierung sprichst, ist die Windows-Firewall per se raus.
Für ein solches Konzept benötigst du eine zentrale Lösung, wie z.B. ein SGW von Sophos.
https://www.sophos.com/en-us/products/next-gen-firewall
Siehe auch ...
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendi ...
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Ko ...
Beste Grüsse aus BaWü
Alex
Hi, eine Netzwerksegmentierungs Firewall steht schon und ist meiner Auffassung nach ja kein Ersatz für die Firewall am Endgerät, oder?
Aber ja die Themen verwischen etwas da hast du recht
Aber ja die Themen verwischen etwas da hast du recht
Moin @Sloxoo,
Das kommt auf deine Umgebung an. Wenn die Geräte das Haus nicht verlassen, dann reicht meiner Ansicht nach eine zentrales, gut eingerichtetes Security-Gateway, durchaus vollkommen aus und ist zudem auch viel einfacher zu warten.
Gruss Alex
Hi, eine Netzwerksegmentierungs Firewall steht schon und ist meiner Auffassung nach ja kein Ersatz für die Firewall am Endgerät, oder?
Das kommt auf deine Umgebung an. Wenn die Geräte das Haus nicht verlassen, dann reicht meiner Ansicht nach eine zentrales, gut eingerichtetes Security-Gateway, durchaus vollkommen aus und ist zudem auch viel einfacher zu warten.
Gruss Alex
Servus,
Wie vom Kollegen schon geschrieben: Das, was Du willst, gibt es schon länger und nennt sich "Mikrosegmentierung" (Microsegmentation), wird allerdings normalerweise nicht auf den Endgeräten, sondern auf (professioneller) Netzwerkhardware umgesetzt. Die Lösungen dafür unterscheiden sich technisch: Cisco und Fortinet vergeben Security Tags an die einzelnen Datenpakete, HPE baut von jedem Switchport einen Re-Tunnel zu einem Netzwerkcontroller auf.
Wie vom Kollegen schon geschrieben: Das, was Du willst, gibt es schon länger und nennt sich "Mikrosegmentierung" (Microsegmentation), wird allerdings normalerweise nicht auf den Endgeräten, sondern auf (professioneller) Netzwerkhardware umgesetzt. Die Lösungen dafür unterscheiden sich technisch: Cisco und Fortinet vergeben Security Tags an die einzelnen Datenpakete, HPE baut von jedem Switchport einen Re-Tunnel zu einem Netzwerkcontroller auf.
Vielen Dank für die vielen hilfreichen Tipps und den Input
Was denkt ihr über das Thema NetBios über TCP/IP deaktivieren? siehe https://www.windowspro.de/brandon-lee/netbios-windows-netzwerken-deaktiv ...
Ich habe einmal den Input zusammengefasst.
• Benutzerprofil Installationen mittels GPO deaktivieren (DisableUserInstalls)
• AppLocker, Progamme nur aus C:\Program Files & x86 & C:\Windows startbar
• Aktivierung IPSec Authentifizierung Windows Firewall
• SMB Encryption
• NTLM abschalten
• NetBios abschalten (?)
• LDAPS erzwingen
• Horizontale Kommunikation (Client zu Client) blockieren (wo möglich)
• Isolierter Jumphost der nur Ein ist wenn nötig, für jeden Administrator einen eigenen zum Zugriff auf den isolierten Administrations Server.
• WinRM,WinRS,WMI,RPC und SMB Kommunikation Einschränkung auf isolierten AdministrationsServer
• Mikrosegmentierung?
Was denkt ihr über das Thema NetBios über TCP/IP deaktivieren? siehe https://www.windowspro.de/brandon-lee/netbios-windows-netzwerken-deaktiv ...
Ich habe einmal den Input zusammengefasst.
• Benutzerprofil Installationen mittels GPO deaktivieren (DisableUserInstalls)
• AppLocker, Progamme nur aus C:\Program Files & x86 & C:\Windows startbar
• Aktivierung IPSec Authentifizierung Windows Firewall
• SMB Encryption
• NTLM abschalten
• NetBios abschalten (?)
• LDAPS erzwingen
• Horizontale Kommunikation (Client zu Client) blockieren (wo möglich)
• Isolierter Jumphost der nur Ein ist wenn nötig, für jeden Administrator einen eigenen zum Zugriff auf den isolierten Administrations Server.
• WinRM,WinRS,WMI,RPC und SMB Kommunikation Einschränkung auf isolierten AdministrationsServer
• Mikrosegmentierung?
und mDNS + LLMNR gleich dazu
1
Moin,
von welcher Größe reden wir hier, 60 PCs und 10 Server oder 5000 Client und 400 Server? Meistens spielt die Branche eine Rolle - Gesundheitswesen, Militär, Public Sector haben klare Vorgaben.
Gruß,
Dani
von welcher Größe reden wir hier, 60 PCs und 10 Server oder 5000 Client und 400 Server? Meistens spielt die Branche eine Rolle - Gesundheitswesen, Militär, Public Sector haben klare Vorgaben.
Gruß,
Dani
1
