Das ultimative Sicherheitskonzept?
Hallo zusammen,
ich betreibe ja leider (noch) keine große Infrastruktur, möchte aber mit euch mal ein wenig über ein vollmundiges Sicherheitskonzept sprechen.
Zuhause betreibe ich schon eine Hardwarefirewall (Sophos UTM) mit Endpoint Protection und VLAN's.
Bei meinem zukünftigen Arbeitgeber würde ich dann so weit es geht folgendes Konzept durchboxen:
2-3 Stufiges Firewallkonzept - z.B eine Sophos Firewall und dahinter noch eine PFSense. Dazwischen würde ich noch einen ausrangierten Server schalten, der vorgibt eine Domain zu sein. (So eine Art HoneyPot, falls jemand durch die erste Firewall kam wird er ja wohl darauf zugreifen wollen)
Client Authentifizierung an jedem Switchport nach IEEE 802.1X. Dafür werde ich mindestens Managed Switche brauchen. Würde da auch keinen Billigheimer Switch aufstellen wollen -> Zuhause kann man das machen - in der Firma besser lassen!
VLAN's nach Abteilungen - minimalste Berechtigung auf den Fileservern.
Getrennte WLAN Netze für Firmenhandys und eventuelle Gäste. Authentifizierung nach IEEE 802.1X bzw. RADIUS und für die Gäste mit Anmeldeportal und Vouchern.
MAC-Adressenfilter sowohl für LAN als auch für WLAN Geräte. Die müssen dann eben alle mal erfasst werden. (Außer die Gäste, das wäre der Overkill)
Facebook und viele andere Seiten würde ich im Produktionsnetzwerk definitiv blockieren. Facebooken kann man auch über sein Handy, wers brauch.
Deaktivierung der USB-Ports bzw. Sticks müssen formatiert und verschlüsselt werden. Besser noch wäre es, wenn man Sticks einheitlich bestellen würde und -- ich weiß noch nicht wie -- die Hardware-ID's der Sticks alleinig zur Geräteinstallation freigeben. Alle anderen Sticks gehen dann eben nicht. Aber was haben auch unternehmensfremde Sticks an Firmen-PC's zu suchen??
Zentrale Updates über einen WSUS Server, damit so Windows 10 Updates gar nicht erst den Weg in die Firma finden.
Benutzerkonten je nach Branche mit Toleranzzeit nach Ende der Arbeitszeit sperren und morgens wieder entsperren.
Am liebsten wäre mir noch TPM's einzusetzen und nur Netzwerkzugriff bei einer Trusted Plattform zu erlauben.
Bei Anschaffung von Geräten möglichst ein einheitliches Modell kaufen um dieses dann per PXE-Boot schnell aufsetzten zu können. (Bei meinem EX-Ausbildungsbetrieb war das Kraut und Rüben -- Toshiba, Dell, Lenovo, HP für die Wartung total bescheuert)
Für Firmenlaptops ist für den Internetzugriff eine VPN-Verbindung zur Firma zwingend vorgeschrieben.
Natürlich regelmäßige Backups mit Mediumwechsel bspweise FileServer --> Storage --> Tape
Redundater DC, redundate FW, im Rechenzentrum redundante Switche und Verbindungen.
Jetzt wo ich mir das alles nochmal durchlese ist meine Firma danach sicher insolvent oder ich gekündigt )
Was sagt ihr als erfahrene Admins? Ist das Konzept so von den Ideen ok?
Gruß ProvidedLan
ich betreibe ja leider (noch) keine große Infrastruktur, möchte aber mit euch mal ein wenig über ein vollmundiges Sicherheitskonzept sprechen.
Zuhause betreibe ich schon eine Hardwarefirewall (Sophos UTM) mit Endpoint Protection und VLAN's.
Bei meinem zukünftigen Arbeitgeber würde ich dann so weit es geht folgendes Konzept durchboxen:
2-3 Stufiges Firewallkonzept - z.B eine Sophos Firewall und dahinter noch eine PFSense. Dazwischen würde ich noch einen ausrangierten Server schalten, der vorgibt eine Domain zu sein. (So eine Art HoneyPot, falls jemand durch die erste Firewall kam wird er ja wohl darauf zugreifen wollen)
Client Authentifizierung an jedem Switchport nach IEEE 802.1X. Dafür werde ich mindestens Managed Switche brauchen. Würde da auch keinen Billigheimer Switch aufstellen wollen -> Zuhause kann man das machen - in der Firma besser lassen!
VLAN's nach Abteilungen - minimalste Berechtigung auf den Fileservern.
Getrennte WLAN Netze für Firmenhandys und eventuelle Gäste. Authentifizierung nach IEEE 802.1X bzw. RADIUS und für die Gäste mit Anmeldeportal und Vouchern.
MAC-Adressenfilter sowohl für LAN als auch für WLAN Geräte. Die müssen dann eben alle mal erfasst werden. (Außer die Gäste, das wäre der Overkill)
Facebook und viele andere Seiten würde ich im Produktionsnetzwerk definitiv blockieren. Facebooken kann man auch über sein Handy, wers brauch.
Deaktivierung der USB-Ports bzw. Sticks müssen formatiert und verschlüsselt werden. Besser noch wäre es, wenn man Sticks einheitlich bestellen würde und -- ich weiß noch nicht wie -- die Hardware-ID's der Sticks alleinig zur Geräteinstallation freigeben. Alle anderen Sticks gehen dann eben nicht. Aber was haben auch unternehmensfremde Sticks an Firmen-PC's zu suchen??
Zentrale Updates über einen WSUS Server, damit so Windows 10 Updates gar nicht erst den Weg in die Firma finden.
Benutzerkonten je nach Branche mit Toleranzzeit nach Ende der Arbeitszeit sperren und morgens wieder entsperren.
Am liebsten wäre mir noch TPM's einzusetzen und nur Netzwerkzugriff bei einer Trusted Plattform zu erlauben.
Bei Anschaffung von Geräten möglichst ein einheitliches Modell kaufen um dieses dann per PXE-Boot schnell aufsetzten zu können. (Bei meinem EX-Ausbildungsbetrieb war das Kraut und Rüben -- Toshiba, Dell, Lenovo, HP für die Wartung total bescheuert)
Für Firmenlaptops ist für den Internetzugriff eine VPN-Verbindung zur Firma zwingend vorgeschrieben.
Natürlich regelmäßige Backups mit Mediumwechsel bspweise FileServer --> Storage --> Tape
Redundater DC, redundate FW, im Rechenzentrum redundante Switche und Verbindungen.
Jetzt wo ich mir das alles nochmal durchlese ist meine Firma danach sicher insolvent oder ich gekündigt )
Was sagt ihr als erfahrene Admins? Ist das Konzept so von den Ideen ok?
Gruß ProvidedLan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 310893
Url: https://administrator.de/contentid/310893
Ausgedruckt am: 24.11.2024 um 16:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
wenn du das Budget dafür bekommst, nur zu, die Ideen sind vom Grundgedanken her schon mal nicht schlecht.
Kommt natürlich auch immer auf das Bedürfnis an. Was für Daten werden da verarbeitet etc.
Ich rate dir erst mal das Budget auszuhandeln für das Konzept, dann kannst du dir Gedanken um den Rest machen.
Gruß
wenn du das Budget dafür bekommst, nur zu, die Ideen sind vom Grundgedanken her schon mal nicht schlecht.
Kommt natürlich auch immer auf das Bedürfnis an. Was für Daten werden da verarbeitet etc.
Ich rate dir erst mal das Budget auszuhandeln für das Konzept, dann kannst du dir Gedanken um den Rest machen.
Gruß
Zitat von @ProvidedLan:
Hallo zusammen,
Bei meinem zukünftigen Arbeitgeber würde ich dann so weit es geht folgendes Konzept durchboxen:
Hallo zusammen,
Bei meinem zukünftigen Arbeitgeber würde ich dann so weit es geht folgendes Konzept durchboxen:
Ahoi ....
öhm .... das wäre die Kündigung in der Probezeit
Wo willst du anfangen ??? Beim BND ....
Ich denke auf dem Teppich bleiben reicht völlig aus, wenn es kein Hochsicherheitsunternehmen ist, aber ich denke die haben evtl. schon den einen oder anderen Spezialisten
VG
Ashnod
Hallo,
ein ehrgeiziges konzept das vermutlich mal am Geld scheitern oder zumindest an den Stellen wo das Geld eng wird scheitern wird....
Client Authentifizierung an jedem Switchport nach IEEE 802.1X. Dafür werde ich mindestens Managed Switche brauchen. Würde da auch keinen Billigheimer Switch aufstellen wollen -> Zuhause kann man das machen - in der Firma besser lassen!
Kannst du die Switche den auch konfigurieren?
Mindestens mal nach Abteilungen, aber auch die Server und die Drucker bekommen mind. ein eigenes VLAN.
Facebook und viele andere Seiten würde ich im Produktionsnetzwerk definitiv blockieren. Facebooken kann man auch über sein Handy, wers brauch.
Kommt darauf was bisher erlaubt ist und was eine Betriebsvereinbarung dazu regelt.... Das ist eines der Themen wo der Admin nicht Gott ist...
Wie willst du das mit Kollegen abfangen die per VPN arbeiten weil sie in einer anderen Zeitzone sitzen Dienstreise??
gar nicht erst eingestellt!
brammer
ein ehrgeiziges konzept das vermutlich mal am Geld scheitern oder zumindest an den Stellen wo das Geld eng wird scheitern wird....
Zitat von @ProvidedLan:
Hallo zusammen,
ich betreibe ja leider (noch) keine große Infrastruktur, möchte aber mit euch mal ein wenig über ein vollmundiges Sicherheitskonzept sprechen.
Zuhause betreibe ich schon eine Hardwarefirewall (Sophos UTM) mit Endpoint Protection und VLAN's.
Bei meinem zukünftigen Arbeitgeber würde ich dann so weit es geht folgendes Konzept durchboxen:
2-3 Stufiges Firewallkonzept - z.B eine Sophos Firewall und dahinter noch eine PFSense. Dazwischen würde ich noch einen ausrangierten Server schalten, der vorgibt eine Domain zu sein. (So eine Art HoneyPot, falls jemand durch die erste Firewall kam wird er ja wohl darauf zugreifen wollen)
Mindestens 3 Stufen, setze noch eine weiter Appliance dazwischenHallo zusammen,
ich betreibe ja leider (noch) keine große Infrastruktur, möchte aber mit euch mal ein wenig über ein vollmundiges Sicherheitskonzept sprechen.
Zuhause betreibe ich schon eine Hardwarefirewall (Sophos UTM) mit Endpoint Protection und VLAN's.
Bei meinem zukünftigen Arbeitgeber würde ich dann so weit es geht folgendes Konzept durchboxen:
2-3 Stufiges Firewallkonzept - z.B eine Sophos Firewall und dahinter noch eine PFSense. Dazwischen würde ich noch einen ausrangierten Server schalten, der vorgibt eine Domain zu sein. (So eine Art HoneyPot, falls jemand durch die erste Firewall kam wird er ja wohl darauf zugreifen wollen)
Client Authentifizierung an jedem Switchport nach IEEE 802.1X. Dafür werde ich mindestens Managed Switche brauchen. Würde da auch keinen Billigheimer Switch aufstellen wollen -> Zuhause kann man das machen - in der Firma besser lassen!
VLAN's nach Abteilungen - minimalste Berechtigung auf den Fileservern.
Naja, kommt daruaf an ob das Sinnvoll ist....Mindestens mal nach Abteilungen, aber auch die Server und die Drucker bekommen mind. ein eigenes VLAN.
Getrennte WLAN Netze für Firmenhandys und eventuelle Gäste. Authentifizierung nach IEEE 802.1X bzw. RADIUS und für die Gäste mit Anmeldeportal und Vouchern.
MAC-Adressenfilter sowohl für LAN als auch für WLAN Geräte. Die müssen dann eben alle mal erfasst werden. (Außer die Gäste, das wäre der Overkill)
Mac Adressen Spoofing? schon mal davon gehört? Verigss den Filter mehr Arbeit als Nutzen....MAC-Adressenfilter sowohl für LAN als auch für WLAN Geräte. Die müssen dann eben alle mal erfasst werden. (Außer die Gäste, das wäre der Overkill)
Facebook und viele andere Seiten würde ich im Produktionsnetzwerk definitiv blockieren. Facebooken kann man auch über sein Handy, wers brauch.
Deaktivierung der USB-Ports bzw. Sticks müssen formatiert und verschlüsselt werden. Besser noch wäre es, wenn man Sticks einheitlich bestellen würde und -- ich weiß noch nicht wie -- die Hardware-ID's der Sticks alleinig zur Geräteinstallation freigeben. Alle anderen Sticks gehen dann eben nicht. Aber was haben auch unternehmensfremde Sticks an Firmen-PC's zu suchen??
Dafür gibt es Implementierungen die Genau das können...Zentrale Updates über einen WSUS Server, damit so Windows 10 Updates gar nicht erst den Weg in die Firma finden.
Benutzerkonten je nach Branche mit Toleranzzeit nach Ende der Arbeitszeit sperren und morgens wieder entsperren.
Was soll das denn werden? der Cheff wird um 22:00 gesperrt nur weil er ausnahmensweise mal länger arbeiten muss?Benutzerkonten je nach Branche mit Toleranzzeit nach Ende der Arbeitszeit sperren und morgens wieder entsperren.
Wie willst du das mit Kollegen abfangen die per VPN arbeiten weil sie in einer anderen Zeitzone sitzen Dienstreise??
Am liebsten wäre mir noch TPM's einzusetzen und nur Netzwerkzugriff bei einer Trusted Plattform zu erlauben.
Bei Anschaffung von Geräten möglichst ein einheitliches Modell kaufen um dieses dann per PXE-Boot schnell aufsetzten zu können. (Bei meinem EX-Ausbildungsbetrieb war das Kraut und Rüben -- Toshiba, Dell, Lenovo, HP für die Wartung total bescheuert)
sinnvollBei Anschaffung von Geräten möglichst ein einheitliches Modell kaufen um dieses dann per PXE-Boot schnell aufsetzten zu können. (Bei meinem EX-Ausbildungsbetrieb war das Kraut und Rüben -- Toshiba, Dell, Lenovo, HP für die Wartung total bescheuert)
Für Firmenlaptops ist für den Internetzugriff eine VPN-Verbindung zur Firma zwingend vorgeschrieben.
Sinnvoll, kaum realisierbar je nach dem wo sich die Kollegen aufhalten und was sie machen...Natürlich regelmäßige Backups mit Mediumwechsel bspweise FileServer --> Storage --> Tape
Redundater DC, redundate FW, im Rechenzentrum redundante Switche und Verbindungen.
2 RZ!Redundater DC, redundate FW, im Rechenzentrum redundante Switche und Verbindungen.
Jetzt wo ich mir das alles nochmal durchlese ist meine Firma danach sicher insolvent oder ich gekündigt )
gekündigt?gar nicht erst eingestellt!
Was sagt ihr als erfahrene Admins? Ist das Konzept so von den Ideen ok?
Ideen sind schön....Gruß ProvidedLan
brammer
Moin,
du machst einen typischen Anfängerfehler! Dein Auftreten sieht so aus, als wenn du wüsstest, das deine Arbeit vorher nur Idioten gemacht haben. Damit würde ich ganz vorsichtig sein. Das wird - vor allem von Chefs - gerne mal recht negativ aufgenommen.
An deiner Stelle würde ich erst einmal anfangen zu arbeiten und mich mit dem Betrieb vertraut machen. Du musst lernen, welche HW und SW da laufen, wie die laufen, und was dazu notwendig ist, bevor du auch nur über eine Änderung nachdenkst.
Mitarbeiter finden das nämlich überhaupt nicht toll, wenn der "Neue" mal eben eine wichtige Software aus Unwissenheit lahmlegt.
Das was du da oben so herunter gepredigt hast, ist durchaus interessant und teilweise auch sinnvoll. Leider aber auch nur Theorie. In der Praxis muss sich zeigen, was du von den Best Practices umsetzen kannst und wo du Kompromisse eingehen musst.
Gruß Krämer
du machst einen typischen Anfängerfehler! Dein Auftreten sieht so aus, als wenn du wüsstest, das deine Arbeit vorher nur Idioten gemacht haben. Damit würde ich ganz vorsichtig sein. Das wird - vor allem von Chefs - gerne mal recht negativ aufgenommen.
An deiner Stelle würde ich erst einmal anfangen zu arbeiten und mich mit dem Betrieb vertraut machen. Du musst lernen, welche HW und SW da laufen, wie die laufen, und was dazu notwendig ist, bevor du auch nur über eine Änderung nachdenkst.
Mitarbeiter finden das nämlich überhaupt nicht toll, wenn der "Neue" mal eben eine wichtige Software aus Unwissenheit lahmlegt.
Das was du da oben so herunter gepredigt hast, ist durchaus interessant und teilweise auch sinnvoll. Leider aber auch nur Theorie. In der Praxis muss sich zeigen, was du von den Best Practices umsetzen kannst und wo du Kompromisse eingehen musst.
Gruß Krämer
Hi.
Das ist eine Ideensammlung. Es ist noch lange kein Konzept für deinen zukünftigen Arbeitgeber, denn ich glaube kaum, dass Du den schon hinreichend kennst, noch bevor Du angefangen hast.
Ein Konzept beginnt damit, festzustellen, was (besonders) schützenswert ist. Dann definiert man möglichst realistische Szenarien, die eine Bedrohung dieser Werte beschreiben. Daraus ergeben sich gewünschte Schutzmaßnahmen und dann wird es technisch und man schaut, wozu man sich in der Lage sieht (Manpower, Knowhow, Budget, Zeit). Ganz am Schluss des Konzeptes würdest Du also deine Ideen ggf. anbringen können.
Ich verkehre tagein tagaus in Foren, vornehmlich bei Sicherheitsfragen lese ich viel mit und beantworte viel. Die große Mehrheit der Admins (oder Aushilfsadmins) geht vollkommen planlos an die Sache ran. Wie die Ergebnisse dann aus Sicht von gestandenen Profis sind, interessiert die auch wenig, Hauptsache, sie können Ihre Ideen schnellstmöglich umsetzen, IDS-Software kaufen, 7-stufige Firewallkonzepte realisieren usw.
Geh langsam ran, ganz langsam, davon hast Du wirklich mehr. Klopfe je nach Größe des Arbeitgebers zunächst einmal ab, ob man überhaupt den Anspruch hat, eine IT Security Policy zu haben und falls ja, wie denn die bisherige aussieht, wer sie erstellt und (wo?) dokumentiert hat.
Ich könnte auf viele der genannten Punkte eingehen, aber das muss dann schon in Einzelfragen kommen. So als geballte Masse ist das einfach zu unübersichtlich, um es zu behandeln.
Das ist eine Ideensammlung. Es ist noch lange kein Konzept für deinen zukünftigen Arbeitgeber, denn ich glaube kaum, dass Du den schon hinreichend kennst, noch bevor Du angefangen hast.
Ein Konzept beginnt damit, festzustellen, was (besonders) schützenswert ist. Dann definiert man möglichst realistische Szenarien, die eine Bedrohung dieser Werte beschreiben. Daraus ergeben sich gewünschte Schutzmaßnahmen und dann wird es technisch und man schaut, wozu man sich in der Lage sieht (Manpower, Knowhow, Budget, Zeit). Ganz am Schluss des Konzeptes würdest Du also deine Ideen ggf. anbringen können.
Ich verkehre tagein tagaus in Foren, vornehmlich bei Sicherheitsfragen lese ich viel mit und beantworte viel. Die große Mehrheit der Admins (oder Aushilfsadmins) geht vollkommen planlos an die Sache ran. Wie die Ergebnisse dann aus Sicht von gestandenen Profis sind, interessiert die auch wenig, Hauptsache, sie können Ihre Ideen schnellstmöglich umsetzen, IDS-Software kaufen, 7-stufige Firewallkonzepte realisieren usw.
Geh langsam ran, ganz langsam, davon hast Du wirklich mehr. Klopfe je nach Größe des Arbeitgebers zunächst einmal ab, ob man überhaupt den Anspruch hat, eine IT Security Policy zu haben und falls ja, wie denn die bisherige aussieht, wer sie erstellt und (wo?) dokumentiert hat.
Ich könnte auf viele der genannten Punkte eingehen, aber das muss dann schon in Einzelfragen kommen. So als geballte Masse ist das einfach zu unübersichtlich, um es zu behandeln.
Hallo,
bzw. Geräte soll das denn alles sein?
Welches Bedürfnis an Sicherheit hat er denn?
Wie viele Klienten und was für welche sind denn vorhanden?
und bei einem zweistufigem Konzept steht alles was von außen erreichbar sein sollte in der DMZ
zwischen den beiden Firewalls. Ein Dreistufiges Konzept ist meist mit eine zeitgesteuerten
Schleusenfunktion verbunden und nicht in allen Betrieben umsetzbar bzw. Sinnvoll oder gar
praktikabel.
noch so. Nur muss auch so ein Honeypot gepflegt werden und ausgewertet werden und damit erhöht man
natürlich auch die Arbeitsleistung des Admins!
- Heute werden Honeypots fast nur noch dazu verwendet um das Hintergrundrauschen des Internets
und deren dunkle Triebe zu erkunden und um auf Bedrohungen zu reagieren damit man dann für ISD/IPS
Systeme geeignete neue Regeln (Rules) schreiben kann die auch auf aktuelle Bedrohungen schnell reagieren.
Würde ich nicht mehr machen wollen, es sei denn die anderen Admins sind damit einverstanden und
haben auch ein derartiges Interesse oder gar die Firma hat ein Interesse bzw. ein Maß an Sicherheit
die so etwas erfordert.
manchmal schon tief in die Tasche greifen und das sind sicherlich nicht die Enterprise Marken,
denn dafür ist meist erst recht das nötige Geld nicht vorhanden.
- AD/DC Struktur
- LAN Klienten (Kabel gebunden) mittels LDAP
- WLAN Klienten (Kabel los, intern, Mitarbeiter) mittels Radius Server
- WLAN Klienten (Kabel los, extern oder interne Mitarbeiter eigenen Geräte in Mittagspause)
mittels Captive Portal und Vouchers und in zwei Gruppen (externe MA bzw. Besucher und
interne Mitarbeiter private Geräte und Nutzung in Mittagspause oder in der Kantine)
Radius-Server und Captive Portal sind auch meist bei einigen Anbietern von WLAN Controllern
voll mit integriert somit kann eine Controller gestütztes WLAN Netzwerk gleich beides abhandeln.
- VLANs nach Abteilungen
- VLANs nach Etagen
- VLANs nach Gebäuden
geeignet ist sollte man immer im Einzelfall
Hersteller der Switche sind!?
- Captive Portal mit Vouchers
- Radius Server mit Zertifikaten
Sicherheitskonzept mit einfließen sollten, aber nicht als alleiniges Merkmal der Sicherheit sondern
nur als Ergänzung zu weiteren Punkten die sich ergänzen.
- Eine Firewall die so etwas mit an Board hat
- Eine NG-Firewall die so etwas blocken kann
verschlüsseln?
USB Device Server die VLAN fähig sind im Netzwerk bereit stellen.
doch wieder im Arxxx warum so viele Sicherheitspunkte und dann sind USB Sticks erlaubt!?
kurzfristige Einzelprojekte bzw. Arbeiten die nur sehr selten gemacht werden? VPN Benutzer die sich die
Arbeitszeit selber einteilen können, Gleitzeit und Außendienstmitarbeiter sowie MA in anderen Ländern?
ganz unerheblich bei so etwas und bei Laptops und Notebooks für den Businessbereich ist HP
eben auch unschlagbar nur die Servicepakete auch! Allerdings ist das schon eine gute Strategie
sich nur von einem Anbieter Geräte zu kaufen oder sagen wir einmal keinen Wildwuchs zu tollerieren.
kann nie schaden!
einmal glatt zieht bzw. "aufräumt" und umsetzt? Nur eine Monitoringlösung wie PRTG oder Nagios2 würde
ich noch mit in Betracht ziehen wollen!!! Auch ISD/IPS kann man mittels Sensoren und Server oder als VMs
mit in Betracht ziehen, wenn das Geld und die Zeit es zulassen. Ebenso eine Dokumentation ist hier
sicherlich sehr von Nutzen.
Sicherheit als nach der Notwendigkeit des Unternehmens oder gar der Branche angepasst die wir
alle leider nicht kennen. Bei einer Rüstungsfirma kommt man damit nicht einmal in die nähere
Betrachtung und bei einer 10 Mann Firma ist wohl mal wieder das Budget nicht zu haben. Und
da wären wir wieder bei den Fragen die schon zu Anfang gestellt worden sind!
- Branche
- Firmengröße
- Mitarbeiteranzahl
- Netzwerklast und Geräte nebst eingesetzter Protokolle
Gruß
Dobby
ich betreibe ja leider (noch) keine große Infrastruktur, möchte aber mit euch mal ein
wenig über ein vollmundiges Sicherheitskonzept sprechen.
Für wie viele Mitarbeiter, für welches Firmenumfeld (Branche), für wie viele Benutzer und Klientenwenig über ein vollmundiges Sicherheitskonzept sprechen.
bzw. Geräte soll das denn alles sein?
Zuhause betreibe ich schon eine Hardwarefirewall (Sophos UTM) mit Endpoint Protection und VLAN's.
Von privat auf eine Firma zu schieben ist nicht ratsam. Beides kann muss aber nicht.Bei meinem zukünftigen Arbeitgeber würde ich dann so weit es geht folgendes Konzept durchboxen:
Wie groß ist der denn?Welches Bedürfnis an Sicherheit hat er denn?
Wie viele Klienten und was für welche sind denn vorhanden?
2-3 Stufiges Firewallkonzept - z.B eine Sophos Firewall und dahinter noch eine PFSense.
Bei VPN Verbindungen ins LAN und nicht nur in die DMZ sollte eine richtig gute Firewall reichenund bei einem zweistufigem Konzept steht alles was von außen erreichbar sein sollte in der DMZ
zwischen den beiden Firewalls. Ein Dreistufiges Konzept ist meist mit eine zeitgesteuerten
Schleusenfunktion verbunden und nicht in allen Betrieben umsetzbar bzw. Sinnvoll oder gar
praktikabel.
Dazwischen würde ich noch einen ausrangierten Server schalten, der vorgibt eine Domain zu sein.
(So eine Art HoneyPot, falls jemand durch die erste Firewall kam wird er ja wohl darauf zugreifen wollen)
- Früher hat man mittels Honeypots auch so gearbeitet und zu einem sehr kleinen Anteil ist das heute auch(So eine Art HoneyPot, falls jemand durch die erste Firewall kam wird er ja wohl darauf zugreifen wollen)
noch so. Nur muss auch so ein Honeypot gepflegt werden und ausgewertet werden und damit erhöht man
natürlich auch die Arbeitsleistung des Admins!
- Heute werden Honeypots fast nur noch dazu verwendet um das Hintergrundrauschen des Internets
und deren dunkle Triebe zu erkunden und um auf Bedrohungen zu reagieren damit man dann für ISD/IPS
Systeme geeignete neue Regeln (Rules) schreiben kann die auch auf aktuelle Bedrohungen schnell reagieren.
Würde ich nicht mehr machen wollen, es sei denn die anderen Admins sind damit einverstanden und
haben auch ein derartiges Interesse oder gar die Firma hat ein Interesse bzw. ein Maß an Sicherheit
die so etwas erfordert.
Client Authentifizierung an jedem Switchport nach IEEE 802.1X. Dafür werde ich mindestens
Managed Switche brauchen. Würde da auch keinen Billigheimer Switch aufstellen wollen ->
Zuhause kann man das machen - in der Firma besser lassen!
Für hundert Mitarbeiter nebst PCs und WSs und 20 Server nebst SAN & NAS Geräten muss manManaged Switche brauchen. Würde da auch keinen Billigheimer Switch aufstellen wollen ->
Zuhause kann man das machen - in der Firma besser lassen!
manchmal schon tief in die Tasche greifen und das sind sicherlich nicht die Enterprise Marken,
denn dafür ist meist erst recht das nötige Geld nicht vorhanden.
- AD/DC Struktur
- LAN Klienten (Kabel gebunden) mittels LDAP
- WLAN Klienten (Kabel los, intern, Mitarbeiter) mittels Radius Server
- WLAN Klienten (Kabel los, extern oder interne Mitarbeiter eigenen Geräte in Mittagspause)
mittels Captive Portal und Vouchers und in zwei Gruppen (externe MA bzw. Besucher und
interne Mitarbeiter private Geräte und Nutzung in Mittagspause oder in der Kantine)
Radius-Server und Captive Portal sind auch meist bei einigen Anbietern von WLAN Controllern
voll mit integriert somit kann eine Controller gestütztes WLAN Netzwerk gleich beides abhandeln.
VLAN's nach Abteilungen - minimalste Berechtigung auf den Fileservern.
- VLANs nach Geräten- VLANs nach Abteilungen
- VLANs nach Etagen
- VLANs nach Gebäuden
Muss halt jeder selber wissen was er und wie er es vor Ort besser aufteilen kann.
Man kann vieles machen und umsetzen nur für wen was und wann sinnvoll oder gargeeignet ist sollte man immer im Einzelfall
Getrennte WLAN Netze für Firmenhandys und eventuelle Gäste. Authentifizierung nach
IEEE 802.1X bzw. RADIUS und für die Gäste mit Anmeldeportal und Vouchern.
Oder beides integriert in einem WLAN Controller und WLAN APs die vom selbenIEEE 802.1X bzw. RADIUS und für die Gäste mit Anmeldeportal und Vouchern.
Hersteller der Switche sind!?
- Captive Portal mit Vouchers
- Radius Server mit Zertifikaten
MAC-Adressenfilter sowohl für LAN als auch für WLAN Geräte. Die müssen dann eben
alle mal erfasst werden. (Außer die Gäste, das wäre der Overkill)
Es sind immer mehrere Sachenoder Punkte zusammen die Sicherheit ausmachen oder in einalle mal erfasst werden. (Außer die Gäste, das wäre der Overkill)
Sicherheitskonzept mit einfließen sollten, aber nicht als alleiniges Merkmal der Sicherheit sondern
nur als Ergänzung zu weiteren Punkten die sich ergänzen.
Facebook und viele andere Seiten würde ich im Produktionsnetzwerk definitiv blockieren.
Facebooken kann man auch über sein Handy, wers brauch.
- Einen Proxy Server in der DMZ und gut ist es.Facebooken kann man auch über sein Handy, wers brauch.
- Eine Firewall die so etwas mit an Board hat
- Eine NG-Firewall die so etwas blocken kann
Deaktivierung der USB-Ports bzw. Sticks müssen formatiert und verschlüsselt werden.
Per GPOs die USB Ports und dann eben eventuell Laptops mit zwei HDD/SSDs und eineverschlüsseln?
Besser noch wäre es, wenn man Sticks einheitlich bestellen würde und -- ich weiß noch nicht wie --
die Hardware-ID's der Sticks alleinig zur Geräteinstallation freigeben.
Auch dort ist man schon mit auf die "Schnxuxe" gefallen, aber man kann so etwas auch mittelsdie Hardware-ID's der Sticks alleinig zur Geräteinstallation freigeben.
USB Device Server die VLAN fähig sind im Netzwerk bereit stellen.
Alle anderen Sticks gehen dann eben nicht. Aber was haben auch unternehmensfremde Sticks
an Firmen-PC's zu suchen??
Dann geht das Getäusche und probieren wieder los bis es einer geschafft hat und Dein Netzwerk istan Firmen-PC's zu suchen??
doch wieder im Arxxx warum so viele Sicherheitspunkte und dann sind USB Sticks erlaubt!?
Zentrale Updates über einen WSUS Server, damit so Windows 10 Updates gar nicht erst den
Weg in die Firma finden.
AD/DC, WSUS, LDAP & Radius Rolle?Weg in die Firma finden.
Benutzerkonten je nach Branche mit Toleranzzeit nach Ende der Arbeitszeit sperren und morgens
wieder entsperren.
Urlaubsvertretung, Krankenvertretung Überstunden, Projekte außerhalb oder über die normale Arbeitszeitwieder entsperren.
kurzfristige Einzelprojekte bzw. Arbeiten die nur sehr selten gemacht werden? VPN Benutzer die sich die
Arbeitszeit selber einteilen können, Gleitzeit und Außendienstmitarbeiter sowie MA in anderen Ländern?
Am liebsten wäre mir noch TPM's einzusetzen und nur Netzwerkzugriff bei einer Trusted Plattform
zu erlauben.
Auf Servern, PCs oder WS und in Laptops oder Notebooks ist das sicherlich nicht schlecht.zu erlauben.
Bei Anschaffung von Geräten möglichst ein einheitliches Modell kaufen um dieses dann per
PXE-Boot schnell aufsetzten zu können. (Bei meinem EX-Ausbildungsbetrieb war das Kraut
und Rüben -- Toshiba, Dell, Lenovo, HP für die Wartung total bescheuert)
Sicherlich ein Aspekt den man mit in Betracht ziehen sollte nur das Budget ist eben auch nichtPXE-Boot schnell aufsetzten zu können. (Bei meinem EX-Ausbildungsbetrieb war das Kraut
und Rüben -- Toshiba, Dell, Lenovo, HP für die Wartung total bescheuert)
ganz unerheblich bei so etwas und bei Laptops und Notebooks für den Businessbereich ist HP
eben auch unschlagbar nur die Servicepakete auch! Allerdings ist das schon eine gute Strategie
sich nur von einem Anbieter Geräte zu kaufen oder sagen wir einmal keinen Wildwuchs zu tollerieren.
Für Firmenlaptops ist für den Internetzugriff eine VPN-Verbindung zur Firma zwingend vorgeschrieben.
IPSec und dann bitte mittels Zertifikaten absichern.Natürlich regelmäßige Backups mit Mediumwechsel bspweise FileServer --> Storage --> Tape
Ist auch nicht verkehrt und man hat alles dreifach und auf unterschiedlichen Medien vor Ort daskann nie schaden!
Redundater DC, redundate FW, im Rechenzentrum redundante Switche und Verbindungen.
Zwei Hyper-V Server und auf zwei SANs oder NAS Geräten die VMs würde auch funktionieren, oder?Jetzt wo ich mir das alles nochmal durchlese ist meine Firma danach sicher insolvent oder ich gekündigt )
Kann sein, oder aber auch nicht, denn wer sagt das man nicht auf einen wie Dich gewartet hat der alleseinmal glatt zieht bzw. "aufräumt" und umsetzt? Nur eine Monitoringlösung wie PRTG oder Nagios2 würde
ich noch mit in Betracht ziehen wollen!!! Auch ISD/IPS kann man mittels Sensoren und Server oder als VMs
mit in Betracht ziehen, wenn das Geld und die Zeit es zulassen. Ebenso eine Dokumentation ist hier
sicherlich sehr von Nutzen.
Was sagt ihr als erfahrene Admins? Ist das Konzept so von den Ideen ok?
Noch ein wenig unausgewogen und unausgegoren und mehr oder weniger von dem Willen nachSicherheit als nach der Notwendigkeit des Unternehmens oder gar der Branche angepasst die wir
alle leider nicht kennen. Bei einer Rüstungsfirma kommt man damit nicht einmal in die nähere
Betrachtung und bei einer 10 Mann Firma ist wohl mal wieder das Budget nicht zu haben. Und
da wären wir wieder bei den Fragen die schon zu Anfang gestellt worden sind!
- Branche
- Firmengröße
- Mitarbeiteranzahl
- Netzwerklast und Geräte nebst eingesetzter Protokolle
Gruß
Dobby