Best practice: Firewall und Netzwerksicherheits-Design
Hallo zusammen, ich arbeite gerade an einem Projekt in einer Windows Domänenumgebung eine Firewall bzw. Netzwerksicherheit Best möglichst nach Best Practise zu implementieren
Das Projekt steht noch am Anfang, und erst einmal geht es hauptsächlich nur einmal um eine saubere Implementierung der Windows Firewall.
Ich dachte ich könnte mir hier vielleicht ein wenig Input, Erfahrungswerte und eure Spitzen- Spezial- Tools die hilfreich für dieses Unterfangen sein könnten einholen.
(Speziell wäre ein Tool oder eine Möglichkeit gesucht, um den Ist-Stand "Wer Spricht Mit Wem Wohin" (speziell für Server) möglichst einfach und effizient abzubilden, ohne Stundenlange Analyse via WireShark)
folgende Überlegungen habe ich mir bisher gemacht, euer Input wäre interessant hierzu:
A.) Auf jedem Endpunkt, Server und Client wird die Windows Firewall aktiviert und IPsec konfiguriert via GPO natürlich, jegliche Kommunikation (nicht nur zu DC, DHCP, DNS) miteinander muss Authentifiziert via Kerberos V5 sein und vielleicht sogar verschlüsselt (?) sein.
B.) Horizontale Kommunikation innerhalb des Office VLANs (Gegen Lateral movement): Client-Client, Server-Server:
1.) Eruieren, ist eine horizontale Kommunikation innerhalb eines Office-Client VLANs überhaupt notwendig?
z.B. muss Client 1 mit Client 2 sprechen können in einer Standard Windows Domäne? -> Mögliche Lösung auf Layer 2 Basis - Protected ports am Access-Switch konfigurieren um nur noch Horizontale Kommunikation (Server-Client) zu ermöglichen.
Damit hätte man meiner Meinung nach schon einmal eines der größten Attack-Surfaces geschlossen und die Ausbreitung eines Virus oder Hackers stark erschwert.
2.) Horizontale Kommunikation im Server VLAN: Komplexerer Aufbau notwendig, die meisten Server müssen auch miteinander kommunizieren (DHCP, DC, DNS etc), die die es nicht müssen (z.B. Anwendungs-Server für Clients) separieren in ein eigenes VLAN.
C.) Vertikale Kommunikation von z.B. Office VLAN zu Server VLAN:
1.) Generell ist Vertikale Kommunikation von Client zu Server und umgekehrt erlaubt. Kritische Server-Assets werden jedoch eruiert, für den Zugriff auf kritische Server Assets ist eine Authentifizierung auf Basis von PC und User-Konto erforderlich (IPsec mit höchstmöglichsten Sicherheitseinstellungen und Verschlüsslung via Windows Defender Firewall)
2.) Einschränkung der Remoteverwaltungs-Tools: Eingehende Firewall Regel an allen Endpunkten Server und Clients: Der Zugriff auf Drittanbieter RemoteSupport Tools, WinRM, RPC, WMI und SMB wird via Windows Firewall Computer und Userkonto Authentifizierung auf den Administrations-Server (auf dem z.B. Tools wie Lansweeper oder PDQ Inventory/Deploy laufen) beschränkt. Der Administrations-Server selbst befindet sich in einem abgeschotteten eigenen VLAN, vielleicht sogar DMZ?
Ich werde diesen Post ggf. noch erweitern wenn ich weitere Überlegungen zu dem Konzept habe freue mich aber gerne schon auf Gedanken hierzu und Input oder Meinungsaustausch
Das Projekt steht noch am Anfang, und erst einmal geht es hauptsächlich nur einmal um eine saubere Implementierung der Windows Firewall.
Ich dachte ich könnte mir hier vielleicht ein wenig Input, Erfahrungswerte und eure Spitzen- Spezial- Tools die hilfreich für dieses Unterfangen sein könnten einholen.
(Speziell wäre ein Tool oder eine Möglichkeit gesucht, um den Ist-Stand "Wer Spricht Mit Wem Wohin" (speziell für Server) möglichst einfach und effizient abzubilden, ohne Stundenlange Analyse via WireShark)
folgende Überlegungen habe ich mir bisher gemacht, euer Input wäre interessant hierzu:
A.) Auf jedem Endpunkt, Server und Client wird die Windows Firewall aktiviert und IPsec konfiguriert via GPO natürlich, jegliche Kommunikation (nicht nur zu DC, DHCP, DNS) miteinander muss Authentifiziert via Kerberos V5 sein und vielleicht sogar verschlüsselt (?) sein.
B.) Horizontale Kommunikation innerhalb des Office VLANs (Gegen Lateral movement): Client-Client, Server-Server:
1.) Eruieren, ist eine horizontale Kommunikation innerhalb eines Office-Client VLANs überhaupt notwendig?
z.B. muss Client 1 mit Client 2 sprechen können in einer Standard Windows Domäne? -> Mögliche Lösung auf Layer 2 Basis - Protected ports am Access-Switch konfigurieren um nur noch Horizontale Kommunikation (Server-Client) zu ermöglichen.
Damit hätte man meiner Meinung nach schon einmal eines der größten Attack-Surfaces geschlossen und die Ausbreitung eines Virus oder Hackers stark erschwert.
2.) Horizontale Kommunikation im Server VLAN: Komplexerer Aufbau notwendig, die meisten Server müssen auch miteinander kommunizieren (DHCP, DC, DNS etc), die die es nicht müssen (z.B. Anwendungs-Server für Clients) separieren in ein eigenes VLAN.
C.) Vertikale Kommunikation von z.B. Office VLAN zu Server VLAN:
1.) Generell ist Vertikale Kommunikation von Client zu Server und umgekehrt erlaubt. Kritische Server-Assets werden jedoch eruiert, für den Zugriff auf kritische Server Assets ist eine Authentifizierung auf Basis von PC und User-Konto erforderlich (IPsec mit höchstmöglichsten Sicherheitseinstellungen und Verschlüsslung via Windows Defender Firewall)
2.) Einschränkung der Remoteverwaltungs-Tools: Eingehende Firewall Regel an allen Endpunkten Server und Clients: Der Zugriff auf Drittanbieter RemoteSupport Tools, WinRM, RPC, WMI und SMB wird via Windows Firewall Computer und Userkonto Authentifizierung auf den Administrations-Server (auf dem z.B. Tools wie Lansweeper oder PDQ Inventory/Deploy laufen) beschränkt. Der Administrations-Server selbst befindet sich in einem abgeschotteten eigenen VLAN, vielleicht sogar DMZ?
Ich werde diesen Post ggf. noch erweitern wenn ich weitere Überlegungen zu dem Konzept habe freue mich aber gerne schon auf Gedanken hierzu und Input oder Meinungsaustausch
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8070186235
Url: https://administrator.de/contentid/8070186235
Ausgedruckt am: 24.11.2024 um 10:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
glaube du suchst sowas in der art... Ist kein Fertigkonzept sollte nur als anreiz dienen....
www.prosec-networks.com/blog/netztrennung-und-network-access-control/
LG
glaube du suchst sowas in der art... Ist kein Fertigkonzept sollte nur als anreiz dienen....
www.prosec-networks.com/blog/netztrennung-und-network-access-control/
LG
Hi
Übliches vorgehen um eine Firewall einzuführen ist entweder der schmerzhafte:
Dicht machen bis auf das was man halt weiss und dann nach Anforderung auf machen
oder der langwierige:
Allow-Regeln in jede Richtung, logging an. Dann die Logs anschauen und überhalb der AllowRegel die einzelnen granularen Regeln ohne Logging einrichten, bis keine Logs mehr aufschlagen oder halt nur noch das was man eben nachher wegschmeissen will.
A.) Generell einmal auf jedem Endpunkt, Server und Client, die Windows Firewall aktivieren und IPsec konfigurieren, jegliche Kommunikation (nicht nur zu DC, DHCP, DNS) miteinander muss Authentifiziert via Kerberos V5 sein und vielleicht sogar verschlüsselt (?) sein
SMB Encryption aktivieren, NTLM abschalten, LDAPS erzwingen, usw. Das ist alles relativ unkritisch wenn man keine Legacy Clients hat.
B.) Horizontale Kommunikation innerhalb des Office VLANs (Gegen Lateral movement): Client-Client, Server-Server:
1.) Eruieren, ist eine horizontale Kommunikation innerhalb eines Office-Client VLANs überhaupt notwendig?
z.B. muss Client 1 mit Client 2 sprechen können in einer Standard Windows Domäne? -> Mögliche Lösung auf Layer 2 Basis - Protected ports am Access-Switch konfigurieren um nur noch Horizontale Kommunikation (Server-Client) zu ermöglichen.
Sofern die Clients nicht miteinander sprechen müssen spricht da ja nichts dagegen. Im zweifelsfall muss man halt spezielle Netze für Entwickler oÄ erstellen.
C.) Vertikale Kommunikation von z.B. Office VLAN zu Server VLAN:
1.) Generell ist Vertikale Kommunikation von Client zu Server und umgekehrt erlaubt.
aber nur was nötig ist bitte.
(Speziell wäre ein Tool oder eine Möglichkeit gesucht, um den Ist-Stand "Wer Spricht Mit Wem Wohin" (speziell für Server) möglichst einfach und effizient abzubilden, ohne Stundenlange Analyse via WireShark)
Da gibt es keine fertigen "Standardtools".Übliches vorgehen um eine Firewall einzuführen ist entweder der schmerzhafte:
Dicht machen bis auf das was man halt weiss und dann nach Anforderung auf machen
oder der langwierige:
Allow-Regeln in jede Richtung, logging an. Dann die Logs anschauen und überhalb der AllowRegel die einzelnen granularen Regeln ohne Logging einrichten, bis keine Logs mehr aufschlagen oder halt nur noch das was man eben nachher wegschmeissen will.
A.) Generell einmal auf jedem Endpunkt, Server und Client, die Windows Firewall aktivieren und IPsec konfigurieren, jegliche Kommunikation (nicht nur zu DC, DHCP, DNS) miteinander muss Authentifiziert via Kerberos V5 sein und vielleicht sogar verschlüsselt (?) sein
B.) Horizontale Kommunikation innerhalb des Office VLANs (Gegen Lateral movement): Client-Client, Server-Server:
1.) Eruieren, ist eine horizontale Kommunikation innerhalb eines Office-Client VLANs überhaupt notwendig?
z.B. muss Client 1 mit Client 2 sprechen können in einer Standard Windows Domäne? -> Mögliche Lösung auf Layer 2 Basis - Protected ports am Access-Switch konfigurieren um nur noch Horizontale Kommunikation (Server-Client) zu ermöglichen.
Damit hätte man meiner Meinung nach schon einmal eines der größten Attack-Surfaces geschlossen und die Ausbreitung eines Virus oder Hackers stark erschwert.
Naja. Es ist immer nur ein Teil. Adminrechte wegnehmen und keinen gesharten lokalen Admin wegnehmen ist da wahrscheinlich genau so effektiv.2.) Horizontale Kommunikation im Server VLAN: Komplexerer Aufbau notwendig, die meisten Server müssen auch miteinander kommunizieren (DHCP, DC, DNS etc), die die es nicht müssen (z.B. Anwendungs-Server für Clients) separieren in ein eigenes VLAN.
Mikrosegmentierung!C.) Vertikale Kommunikation von z.B. Office VLAN zu Server VLAN:
1.) Generell ist Vertikale Kommunikation von Client zu Server und umgekehrt erlaubt.
Kritische Server-Assets werden jedoch eruiert, für den Zugriff auf kritische Server Assets ist eine Authentifizierung auf Basis von PC und User-Konto erforderlich (IPsec mit höchstmöglichsten Sicherheitseinstellungen und Verschlüsslung via Windows Defender Firewall)
Kann man tun. Nutzen ist gering, Impact aber sehr hoch2.) Einschränkung der Remoteverwaltungs-Tools: Eingehende Firewall Regel an allen Endpunkten Server und Clients: Der Zugriff auf Drittanbieter RemoteSupport Tools, WinRM, RPC, WMI und SMB wird via Windows Firewall Computer und Userkonto Authentifizierung auf den Administrations-Server (auf dem z.B. Tools wie Lansweeper oder PDQ Inventory/Deploy laufen) beschränkt.
JaDer Administrations-Server selbst befindet sich in einem abgeschotteten eigenen VLAN, vielleicht sogar DMZ?
Isolierter Jumphost, besser für jeden für jeden Admin einen
Moin @Sloxoo,
da du hier zum Teil auch von Netzsegmentierung sprichst, ist die Windows-Firewall per se raus.
Für ein solches Konzept benötigst du eine zentrale Lösung, wie z.B. ein SGW von Sophos.
https://www.sophos.com/en-us/products/next-gen-firewall
Siehe auch ...
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendi ...
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Ko ...
Beste Grüsse aus BaWü
Alex
ich habe meinen ersten Post einmal ein wenig Konkretisiert - erst einmal würde es eher um eine saubere Implementierung der Windows Firewall gehen
da du hier zum Teil auch von Netzsegmentierung sprichst, ist die Windows-Firewall per se raus.
Für ein solches Konzept benötigst du eine zentrale Lösung, wie z.B. ein SGW von Sophos.
https://www.sophos.com/en-us/products/next-gen-firewall
Siehe auch ...
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendi ...
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Ko ...
Beste Grüsse aus BaWü
Alex
Moin @Sloxoo,
Das kommt auf deine Umgebung an. Wenn die Geräte das Haus nicht verlassen, dann reicht meiner Ansicht nach eine zentrales, gut eingerichtetes Security-Gateway, durchaus vollkommen aus und ist zudem auch viel einfacher zu warten.
Gruss Alex
Hi, eine Netzwerksegmentierungs Firewall steht schon und ist meiner Auffassung nach ja kein Ersatz für die Firewall am Endgerät, oder?
Das kommt auf deine Umgebung an. Wenn die Geräte das Haus nicht verlassen, dann reicht meiner Ansicht nach eine zentrales, gut eingerichtetes Security-Gateway, durchaus vollkommen aus und ist zudem auch viel einfacher zu warten.
Gruss Alex
Servus,
Wie vom Kollegen schon geschrieben: Das, was Du willst, gibt es schon länger und nennt sich "Mikrosegmentierung" (Microsegmentation), wird allerdings normalerweise nicht auf den Endgeräten, sondern auf (professioneller) Netzwerkhardware umgesetzt. Die Lösungen dafür unterscheiden sich technisch: Cisco und Fortinet vergeben Security Tags an die einzelnen Datenpakete, HPE baut von jedem Switchport einen Re-Tunnel zu einem Netzwerkcontroller auf.
Wie vom Kollegen schon geschrieben: Das, was Du willst, gibt es schon länger und nennt sich "Mikrosegmentierung" (Microsegmentation), wird allerdings normalerweise nicht auf den Endgeräten, sondern auf (professioneller) Netzwerkhardware umgesetzt. Die Lösungen dafür unterscheiden sich technisch: Cisco und Fortinet vergeben Security Tags an die einzelnen Datenpakete, HPE baut von jedem Switchport einen Re-Tunnel zu einem Netzwerkcontroller auf.
und mDNS + LLMNR gleich dazu