14
Einzelnen Rechnern Zutritt zum Internet verwehren - ohne Proxy. Möglich?
Hallo.
Die aktuelle Ransomware-Geschichte "WannaCry" hat mir - zum Glück, ohne betroffen gewesen zu sein - klargemacht, daß nicht jeder unserer Server hier zwingend Internet-Zugang haben muß. WU läuft über WSUS, und ansonsten brauchen manche Server einfach kein Internet.
Problem: Es gibt im Aufbau des Netzes bisher keine Stelle (wie z. B. einen Proxy), an der ich einem einzelnen Device mit angeschlossenem und verbundenen LAN den Zugang zum Internet zentral verwehren könnte.
Bei uns ist es so, daß ein Rechner/Server, sobald er am LAN hängt, auch im Internet ist. Der Gateway-Eintrag wird den Clients per DHCP mitgegeben, den Servern manuell. Natürlich könnte ich den Gateway-Eintrag bei den Servern, die kein Internet brauchen, einfach weglassen. Denke mir aber, daß es noch eine elegantere Lösung geben könnte, ohne gleich einen Proxy einzusetzen.
Hat dazu jemand eine Idee? Oder irre ich mich schlichtweg?
Viele Grüße
von
departure69
Die aktuelle Ransomware-Geschichte "WannaCry" hat mir - zum Glück, ohne betroffen gewesen zu sein - klargemacht, daß nicht jeder unserer Server hier zwingend Internet-Zugang haben muß. WU läuft über WSUS, und ansonsten brauchen manche Server einfach kein Internet.
Problem: Es gibt im Aufbau des Netzes bisher keine Stelle (wie z. B. einen Proxy), an der ich einem einzelnen Device mit angeschlossenem und verbundenen LAN den Zugang zum Internet zentral verwehren könnte.
Bei uns ist es so, daß ein Rechner/Server, sobald er am LAN hängt, auch im Internet ist. Der Gateway-Eintrag wird den Clients per DHCP mitgegeben, den Servern manuell. Natürlich könnte ich den Gateway-Eintrag bei den Servern, die kein Internet brauchen, einfach weglassen. Denke mir aber, daß es noch eine elegantere Lösung geben könnte, ohne gleich einen Proxy einzusetzen.
Hat dazu jemand eine Idee? Oder irre ich mich schlichtweg?
Viele Grüße
von
departure69
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 337851
Url: https://administrator.de/contentid/337851
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo departure,
deine Rechner/Server hängen wohl alle in der Domäne? Dann bringt dir ein Nichtzugriff nichts, denn die Server werden nicht direkt "gehackt", sondern nur infiziert - eher über das interne, als das externe Netz. Wenn deine Server also nicht ins Internet kommen, kann das ggf dazu führen, dass du noch mehr Probleme bekommst, weil sich die Software nicht mehr getriggert anhält (anscheinend tatsächlich so passiert).
Fazit: Was du brauchst/suchst ist eine extrem fein justierte DMZ.
VG,
Christian
deine Rechner/Server hängen wohl alle in der Domäne? Dann bringt dir ein Nichtzugriff nichts, denn die Server werden nicht direkt "gehackt", sondern nur infiziert - eher über das interne, als das externe Netz. Wenn deine Server also nicht ins Internet kommen, kann das ggf dazu führen, dass du noch mehr Probleme bekommst, weil sich die Software nicht mehr getriggert anhält (anscheinend tatsächlich so passiert).
Fazit: Was du brauchst/suchst ist eine extrem fein justierte DMZ.
VG,
Christian
Moin moin,
gibts keine Firewall, bei der man entsprechende Regel konfigurieren kann?
Du könntest, wenn es kein Blech und kostenlos sein soll, eine virtuelle PFSense aufsetzen und dort den Traffic der gewünschten Maschinen blockieren.
Viele Grüße
T
gibts keine Firewall, bei der man entsprechende Regel konfigurieren kann?
Du könntest, wenn es kein Blech und kostenlos sein soll, eine virtuelle PFSense aufsetzen und dort den Traffic der gewünschten Maschinen blockieren.
Viele Grüße
T
Moin,
Firewall.
Grüße
Firewall.
Grüße
Hallo,
verstehe ich das richtig das bei dir Server per DHCP ein Adresse bekommen?
Das ist eigentlich schon das erste Problem.
Netzwerkinfrastruktur sollte tunlichst fest adressiert sein,.
Hängen deine Geräte an managebaren Switchen?
Dann sollte das je nach Netzwerkstruktur entweder über sauber definierte VLAN's und ein paar ACL's schnell zu erreichen sein.
brammer
verstehe ich das richtig das bei dir Server per DHCP ein Adresse bekommen?
Das ist eigentlich schon das erste Problem.
Netzwerkinfrastruktur sollte tunlichst fest adressiert sein,.
Hängen deine Geräte an managebaren Switchen?
Dann sollte das je nach Netzwerkstruktur entweder über sauber definierte VLAN's und ein paar ACL's schnell zu erreichen sein.
brammer
Moin,
Üblicherweise stellt man am gateway ein, wer alles in die große Weite welt darf und wer nicht und wohin die reisenden dürfen. Nennt sich filterregeln.
Ob das jetzt sinnvoll ist, oder nicht sollte sorgfältig abgewogen werden.jetzt oanusch allen serven den zugang zum mcrosoft-update zu verwehren kann mehr svhaden anrichten, als er verhindert.
lks
Üblicherweise stellt man am gateway ein, wer alles in die große Weite welt darf und wer nicht und wohin die reisenden dürfen. Nennt sich filterregeln.
Ob das jetzt sinnvoll ist, oder nicht sollte sorgfältig abgewogen werden.jetzt oanusch allen serven den zugang zum mcrosoft-update zu verwehren kann mehr svhaden anrichten, als er verhindert.
lks
@certifiedit.net
Danke.
Ja, sind alle in der Domäne, Server wie Clients. Workgroup-Rechner hab' ich nur in Testszenarien.
Ja, hab' auch gelesen, daß es in der Schadsoftware einen Stopcode gibt, der den Verschlüsselungsvorgang abbricht, wenn eine ganz bestimmte externe Domain erreichbar ist. Irgendein freundlicher Mensch hat dann diese Domain aktiviert, und das beendete ziemlich abrupt den Angriff.
Verstehe. Da werde ich dann aber mein favorisiertes Systemhaus drauf ansetzen, das ist mir zehn Nummern zu hoch.
Nochmals Danke.
Viele Grüße
von
departure69
Danke.
Ja, sind alle in der Domäne, Server wie Clients. Workgroup-Rechner hab' ich nur in Testszenarien.
Wenn deine Server also nicht ins Internet kommen, kann das ggf dazu führen, dass du noch mehr Probleme bekommst, weil sich die Software nicht mehr getriggert anhält (anscheinend tatsächlich so passiert).
Ja, hab' auch gelesen, daß es in der Schadsoftware einen Stopcode gibt, der den Verschlüsselungsvorgang abbricht, wenn eine ganz bestimmte externe Domain erreichbar ist. Irgendein freundlicher Mensch hat dann diese Domain aktiviert, und das beendete ziemlich abrupt den Angriff.
Fazit: Was du brauchst/suchst ist eine fein granulare DMZ.
Verstehe. Da werde ich dann aber mein favorisiertes Systemhaus drauf ansetzen, das ist mir zehn Nummern zu hoch.
Nochmals Danke.
Viele Grüße
von
departure69
Also hier gibts noch ein XP Rechner, weil da eine spezielle Software darauf läuft, habe das über die Firewall geblockt, wie auch andere hier schon angepriesen haben. Da der ne feste IP hat, einfach Eingang-Ausgangsregeln für die IP festgelegt und gut war.
Haben keine DMZ hier, das wäre vielleicht noch eine elegantere Lösung gewesen.
Haben keine DMZ hier, das wäre vielleicht noch eine elegantere Lösung gewesen.
@Tezzla:
Firewall und Gateway ist ein Mikrotik Cloud-Core-Router CCR-1616, keine Ahnung, ob der/die das kann, seh's mir an (oder lasse es ansehen).
Danke.
Viele Grüße
von
departure69
Firewall und Gateway ist ein Mikrotik Cloud-Core-Router CCR-1616, keine Ahnung, ob der/die das kann, seh's mir an (oder lasse es ansehen).
Danke.
Viele Grüße
von
departure69
@brammer:
Hallo.
Nein, nur die Clients, Server erhalten ihre Einträge fest und von Hand.
Switche sind managebare Layer-3 PoE-Switche, mal kucken, was da geht.
Danke.
Viele Grüße
von
departure69
Hallo.
verstehe ich das richtig das bei dir Server per DHCP ein Adresse bekommen?
Nein, nur die Clients, Server erhalten ihre Einträge fest und von Hand.
Switche sind managebare Layer-3 PoE-Switche, mal kucken, was da geht.
Danke.
Viele Grüße
von
departure69
@Lochkartenstanzer:
Hallo und Danke.
Es sind Filterregeln im Einsatz, soviel weiß ich, und somit könnten auch weitere hinzukommen, denke ich mal. Das Regelwerk ist aber selbst für unsere kleine Hütte recht komplex, hier überhaupt in der angefragten Richtung etwas zu unternehmen, wäre wiederum was für mein bevorzugtes Systemhaus. Wenn ich mich daran wage, kann das nur schiefgehen.
Viele Grüße
von
departure69
Hallo und Danke.
Es sind Filterregeln im Einsatz, soviel weiß ich, und somit könnten auch weitere hinzukommen, denke ich mal. Das Regelwerk ist aber selbst für unsere kleine Hütte recht komplex, hier überhaupt in der angefragten Richtung etwas zu unternehmen, wäre wiederum was für mein bevorzugtes Systemhaus. Wenn ich mich daran wage, kann das nur schiefgehen.
Viele Grüße
von
departure69
@all:
Vielen Dank für alle Beiträge.
Ergebnis ist wohl, daß es Möglichkeiten gibt. Keine davon traue ich mich alleine anzugehen. Aber, wie ich schon schrieb', gibt's ein Systemhaus, welches mir helfend zur Seite steht, werde das dort mal anfragen.
Nachdenklich stimmt mich die Antwort von @certifiedit.net, im aktuell vorliegenden Fall "WannaCry" wäre es gar nicht so sinnvoll gewesen, Rechner vom Internet wegzusperren, auch die Antwort von @Lochkartenstanzer geht in diese Richtung. Offenbar ist es so, daß ich, wenn ich Rechnern das Internet wegnehme, diesen auch Möglichkeiten zur Selbsthilfe wegnehme. Mag aber von Fall zu Fall unterschiedlich sein. Verzwickte Angelegenheit.
Bin jetzt großzügig und gebe allen Postern mal ein "gelöst", die Angelegenheit ansich werde ich mal persönlich mit dem Systemhaus durchsprechen.
Vielen Dank für alle Beiträge.
Ergebnis ist wohl, daß es Möglichkeiten gibt. Keine davon traue ich mich alleine anzugehen. Aber, wie ich schon schrieb', gibt's ein Systemhaus, welches mir helfend zur Seite steht, werde das dort mal anfragen.
Nachdenklich stimmt mich die Antwort von @certifiedit.net, im aktuell vorliegenden Fall "WannaCry" wäre es gar nicht so sinnvoll gewesen, Rechner vom Internet wegzusperren, auch die Antwort von @Lochkartenstanzer geht in diese Richtung. Offenbar ist es so, daß ich, wenn ich Rechnern das Internet wegnehme, diesen auch Möglichkeiten zur Selbsthilfe wegnehme. Mag aber von Fall zu Fall unterschiedlich sein. Verzwickte Angelegenheit.
Bin jetzt großzügig und gebe allen Postern mal ein "gelöst", die Angelegenheit ansich werde ich mal persönlich mit dem Systemhaus durchsprechen.
Zitat von @departure69:
Nachdenklich stimmt mich die Antwort von @certifiedit.net, im aktuell vorliegenden Fall "WannaCry" wäre es gar nicht so sinnvoll gewesen, Rechner vom Internet wegzusperren, auch die Antwort von @Lochkartenstanzer geht in diese Richtung.
Nachdenklich stimmt mich die Antwort von @certifiedit.net, im aktuell vorliegenden Fall "WannaCry" wäre es gar nicht so sinnvoll gewesen, Rechner vom Internet wegzusperren, auch die Antwort von @Lochkartenstanzer geht in diese Richtung.
Dann hast Du mich falsch verstanden. Wenn man wegen Wanna-Cry jetzt alle wieder rausläst, wäre das so, wie damals als die Leute keinen Sicherheitsgurt angelegt haben, weil man dann bei einem Unfall angeblich nicht mehr aus dem Auto kommt und gerade deswegen verletzt oder getötet wird. Es ist aber erwiesen, daß erst der Gurt die Leute in die Lage versetzt, nach einem Unfall das Auto lebend zu verlassen.
Genauso mit den Filtern. Wenn man die korrekt aufsetzt, kommt man fast gar nicht in die verlegenheit, daß malware sich intern verbreitet udn man die dadurch stoippen muß, daß man den Zugriff nach außen erlaubt.
lks
PS: Apropos Killswitch: fefe faßt das mal kurz zusammen.
The second argument to InternetOpenA is 1 (INTERNET_OPEN_TYPE_DIRECT), so the worm will still work on any system that requires a proxy to access the Internet, which is the case on the majority of corporate networks.
Hhmmm, aber Can't Reach The Killswitch Webseite, jetzt nur auf den aktuellen Fall "WannaCry" bezogen, klingt doch ziemlich eindeutig danach, daß die Verschlüsselung der Rechner erst dann gestoppt wurde, sobald die entspr. Killswitch-Webseite erreichbar war. Und im Umkehrschluß die Verschlüsselung auf den Rechnern fortfuhr, die die Killswitch-Webseite nicht erreichen konnten?
In diesem speziellen Fall ist das wohl wirklich so.
1
