Frage zur allgemeinen Netzwerksicherheit
Guten Tag zusammen,
in letzter Zeit beschäftige ich mich, auch wenn ich "nur" Azubi bin, mit diversen Themen der IT-Sicherheit. Ich denke, auch wenn ich tatsächlich "nur" Azubi bin, sollte man sich so früh wie möglich mit solchen, auch wenn sie recht komplex sind, damit beschäftigen.
Folgender Sachstand:
Ich arbeite in einem KMU ca 70 Mann Bude und sehe, wenn ich mich nicht irre, dass hier ein "Sicherheitsproblem" eventuell vorliegen könnte.
Mit meinem Firmennotebook, welches in der Domäne "Hier ihre Domäne eintragen", habe ich nur eingeschränkte Rechte, was soweit auch vollkommen richtig ist. Das heißt, angenommen mein Rechner ist
mit einem Verschlüsselungstrojaner infiziert, verschlüsselt der Trojaner doch nur "alle" Netzlaufwerke die für mich freigegeben sind, richtig?
Ordner "Azubi" wird verschlüsselt, jedoch nicht Freigabe "ich Chef, du nix" oder?
Wie sieht das eigentlich aus, wenn ich mit meinem privaten Notebook, welches in der klassischen Workgroup ist, infiziert ist und ich das Gerät ans Netz hänge? Ich frage deshalb, weil ich festgestellt habe,
das ich mit meinem privaten Notebook ins Netz komme. Was wird dann verschlüsselt?
Des weiteren ist mir ebenfalls aufgefallen, wenn ich mich mit meinen Windows Benutzernamen, an meinem privaten Notebook mit dem Firmen-WLAN verbinde, komme ich ebenfalls ins Netz.
Mit dem Handy klappt das nicht. Das ist abgesichert.
Auf Nachfrage erhielt ich nur die blöde Antwort, ich dürfte nicht ans Netz, weil wegen ist so. Könnte ja was passieren, aber WAS und in wie weit, blieb für mich ungeklärt.
Gruß
AS
in letzter Zeit beschäftige ich mich, auch wenn ich "nur" Azubi bin, mit diversen Themen der IT-Sicherheit. Ich denke, auch wenn ich tatsächlich "nur" Azubi bin, sollte man sich so früh wie möglich mit solchen, auch wenn sie recht komplex sind, damit beschäftigen.
Folgender Sachstand:
Ich arbeite in einem KMU ca 70 Mann Bude und sehe, wenn ich mich nicht irre, dass hier ein "Sicherheitsproblem" eventuell vorliegen könnte.
Mit meinem Firmennotebook, welches in der Domäne "Hier ihre Domäne eintragen", habe ich nur eingeschränkte Rechte, was soweit auch vollkommen richtig ist. Das heißt, angenommen mein Rechner ist
mit einem Verschlüsselungstrojaner infiziert, verschlüsselt der Trojaner doch nur "alle" Netzlaufwerke die für mich freigegeben sind, richtig?
Ordner "Azubi" wird verschlüsselt, jedoch nicht Freigabe "ich Chef, du nix" oder?
Wie sieht das eigentlich aus, wenn ich mit meinem privaten Notebook, welches in der klassischen Workgroup ist, infiziert ist und ich das Gerät ans Netz hänge? Ich frage deshalb, weil ich festgestellt habe,
das ich mit meinem privaten Notebook ins Netz komme. Was wird dann verschlüsselt?
Des weiteren ist mir ebenfalls aufgefallen, wenn ich mich mit meinen Windows Benutzernamen, an meinem privaten Notebook mit dem Firmen-WLAN verbinde, komme ich ebenfalls ins Netz.
Mit dem Handy klappt das nicht. Das ist abgesichert.
Auf Nachfrage erhielt ich nur die blöde Antwort, ich dürfte nicht ans Netz, weil wegen ist so. Könnte ja was passieren, aber WAS und in wie weit, blieb für mich ungeklärt.
Gruß
AS
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 550767
Url: https://administrator.de/forum/frage-zur-allgemeinen-netzwerksicherheit-550767.html
Ausgedruckt am: 25.12.2024 um 02:12 Uhr
16 Kommentare
Neuester Kommentar
Wenn du dein privates Notebook ans Netzwerk hängst, wird noch weniger passieren, da du ja erstmal mit Gastrechten arbeitest. Also nur Laufwerke, die explizit für Gäste freigegeben sind, wären gefährdet. In dem Moment, in dem du dich mit deinen Zugangsdaten an einem Dateiserver anmeldest, wären die Freigaben, für die du berechtigt bist, auf diesem Fileserver gefährdet.
Ransomware ist aber mittlerweile so schlau, dass diese sich auch über andere Benutzer verbreiten kann. Also wenn ein höherberechtigter Benutzer was von deinem Azubilaufwerk öffnet und sich damit ebenfalls infiziert, wären auch die Ressourcen dieses Nutzers in Gefahr.
Wenn du dich mit IT-Sicherheit beschäftigst, wird dir sicher klar sein, dass das Einspielen von Updates, sobald diese verfügbar sind, das beste Mittel gegen Schadsoftware sind. Dabei nicht nur Windows sondern alle Programme bedenken, dann hast du für sehr lange Zeit Ruhe. Etwas brain.exe schadet aber auch nicht.
Ransomware ist aber mittlerweile so schlau, dass diese sich auch über andere Benutzer verbreiten kann. Also wenn ein höherberechtigter Benutzer was von deinem Azubilaufwerk öffnet und sich damit ebenfalls infiziert, wären auch die Ressourcen dieses Nutzers in Gefahr.
Wenn du dich mit IT-Sicherheit beschäftigst, wird dir sicher klar sein, dass das Einspielen von Updates, sobald diese verfügbar sind, das beste Mittel gegen Schadsoftware sind. Dabei nicht nur Windows sondern alle Programme bedenken, dann hast du für sehr lange Zeit Ruhe. Etwas brain.exe schadet aber auch nicht.
Hallo AS,
hier muss ich tika..widersprechen
Grundsätzlich kommt das auf eure Konfiguration an. Ich durfte/musste erst letzten Monat ein frisch übernommenes KMU (ca die Größe) von durchgängigen "jeder" Berechtigungen befreien. In dem Fall hättest du auf 100% verschlüsselungsrate kommen können.
Würde dies auf jeden Fall prüfen und eskalieren lassen. Genau das ist (mit) dein Job!
Viele Grüße,
Christian
certifiedit.net
hier muss ich tika..widersprechen
Wenn du dein privates Notebook ans Netzwerk hängst, wird noch weniger passieren, da du ja erstmal mit Gastrechten arbeitest. Also nur
Laufwerke, die explizit für Gäste freigegeben sind, wären gefährdet. In dem Moment, in dem du dich mit deinen Zugangsdaten an einem Dateiserver
anmeldest, wären die Freigaben, für die du berechtigt bist, auf diesem Fileserver gefährdet.
Laufwerke, die explizit für Gäste freigegeben sind, wären gefährdet. In dem Moment, in dem du dich mit deinen Zugangsdaten an einem Dateiserver
anmeldest, wären die Freigaben, für die du berechtigt bist, auf diesem Fileserver gefährdet.
Grundsätzlich kommt das auf eure Konfiguration an. Ich durfte/musste erst letzten Monat ein frisch übernommenes KMU (ca die Größe) von durchgängigen "jeder" Berechtigungen befreien. In dem Fall hättest du auf 100% verschlüsselungsrate kommen können.
Würde dies auf jeden Fall prüfen und eskalieren lassen. Genau das ist (mit) dein Job!
Viele Grüße,
Christian
certifiedit.net
Das müsste sich doch an Hand der MAC-Adressen eines Gerätes realisieren oder bin ich hier auf dem Holzweg? Wenn ich mich in die Lage meines Chefs versetze, würde ich z.B nicht wollen, das private Geräte einfach so ans Netz geklemmt werden können.
MAC-Adressen sind auf so ziemlich jedem Betriebssystem mit Bordmitteln fälschbar und zum Teil nicht eindeutig. Dafür gibt es EAPoL oder 802.1X.
Sobald diese Updates verfügbar sind, direkt einspielen? Uns wird "geraten" erstmal abzuwarten, da wie man gerade bei MS sieht, es teilweise verbuggte Updates verteilt werden, die eine verschlimmbesserung hervorufen.
Eine Betriebsstörung durch ein schlechtes Update ist besser und weit angenehmer zu erklären, als ein Betriebsstillstand und Datenverlust durch Schadsoftware. Bei Letzterem spielen nämlich sehr schnell Behörden mit (Finanzamt, Datenschutz, BSI als Beispiel) und bei fehlendem, fehlerhaftem oder beschädigtem Backup, wird es für Geschäftsführer oder Inhaber sehr schnell unangenehm teuer.
Nur Updates können Sicherheitslücken schließen. Und nur eine geschlossene Lücke lässt keinen Angriff zu. Gibt doch den Spruch "Lieber die Waffe entladen, als auf eine Schutzweste zu schießen", denn auch eine Schutzweste kann fehlerhaft sein oder durchschlagen werden, zumindest gibt es aber blaue Flecken.
Bei uns wird sogar während des Jahresabschlusses durch den Wirtschaftsprüfer die Updateversorgung unserer Rechner geprüft. Zu viele Negativtreffer, also nicht aktuelle Systeme und das Testat ist in Gefahr.
Schon Mal was von Exploits gehört?
Und hier gibts ein bischen FiSi Futter dazu:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Moin.
Ich finde es immer schwierig, wenn ein Fragender viele verschiedene Dinge anspricht. Bei den Antworten kommt dann meist eine verquirlte Mischung raus, die alles anreißt, aber nichts abschließend beantwortet.
Lass uns mal ordnen:
Du machst Dir Sorgen, wieweit man Privatgeräte aus dem Netz fernhalten kann und Du bist unsicher, was Ransomware anrichten könnte, die auf einem Privatgerät oder einem Firmengerät läuft.
Das betitelst Du dann als "Frage zur allgemeinen Netzwerksicherheit" und schon kannst Du dir sicher sein, dass es erstmal jeder liest, der auch nur ansatzweise Lust hat, sein Sicherheitswissen zu teilen Nimm lieber einen Aspekt zur Zeit in eine Frage und dann kannst Du auch einen besseren Titel finden.
Ein sicheres Netz sollte so eingerichtet werden, dass Privatgeräte nicht zum Netzwerkzugriff genutzt werden können.
Wenn Du den Domänennutzern erlaubst, sich überall zu authentifizieren, dann ist das nicht gewährleistet.
->Finde raus, wie Du sicherstellst, dass es eine Rolle spielt, wosich jemand authentifiziert. Die Grundeinstellungen der Anmeldeberechtigungen für Domänenbenutzer ("jeder darf sich überall anmelden") sind nicht die sicherste Option.
Du fragst weiter "angenommen mein Rechner ist mit einem Verschlüsselungstrojaner infiziert, verschlüsselt der Trojaner doch nur "alle" Netzlaufwerke die für mich freigegeben sind, richtig?"
Der Schädling läuft mit den Rechten des Benutzers, der ihn gestartet hat. Wenn Du mit "für mich freigegeben" Freigaben meinst, auf die Du Schreibrechte hast - klar, dann kann er dort verschlüsseln, wenn Du selbst ihn gestartet hast - sonst nicht. Hast Du auf den Freigaben nur Leserechte, dann auch nicht und auf das Cheflaufwerk hast Du eh keine Rechte.
Wenn jemand mit seinem verseuchten Privatgerät kommt, und es einfach nur einstöpselt, bzw. nur das WLAN nutzt, würde zunächst überhaupt nichts passieren. Ein dort aktiver Schädling würde vielleicht versuchen, Freigaben zu finden, auf die anonym geschrieben werden kann, aber solche gibt es in einer Domäne per se gar nicht, es sei denn, das Netzwerk ist bewusst so eingestellt worden (wozu sollte es?). Der Zugriff für Gruppe "jeder" bedeutet in einer Domäne eben nicht, "jeder weltweit".
Auch können Schädlinge Serverdienste auf Schwachstellen prüfen. Beispiel: Du hast einen Windows-Fileserver und dein Schädling hofft, dass dessen Serverdienst ungepatcht ist und er sich so Rechte auf dem Server verschaffen kann. Das wird unnötig begünstigt, wenn Du am Fileserver zulässt, dass der Zugriff auf den Port des Dienstes für alle IPs möglich ist - sollte man nicht tun. Die Windowsfirewall macht es möglich, da nur (Kerberos-) authentifizierte Geräte ranzulassen, also z.B. nur Domännrechner oder gar nur Domänenrechner aus Gruppe "Zugriff Fileserver X".
Ich finde es immer schwierig, wenn ein Fragender viele verschiedene Dinge anspricht. Bei den Antworten kommt dann meist eine verquirlte Mischung raus, die alles anreißt, aber nichts abschließend beantwortet.
Lass uns mal ordnen:
Du machst Dir Sorgen, wieweit man Privatgeräte aus dem Netz fernhalten kann und Du bist unsicher, was Ransomware anrichten könnte, die auf einem Privatgerät oder einem Firmengerät läuft.
Das betitelst Du dann als "Frage zur allgemeinen Netzwerksicherheit" und schon kannst Du dir sicher sein, dass es erstmal jeder liest, der auch nur ansatzweise Lust hat, sein Sicherheitswissen zu teilen Nimm lieber einen Aspekt zur Zeit in eine Frage und dann kannst Du auch einen besseren Titel finden.
Ein sicheres Netz sollte so eingerichtet werden, dass Privatgeräte nicht zum Netzwerkzugriff genutzt werden können.
Wenn Du den Domänennutzern erlaubst, sich überall zu authentifizieren, dann ist das nicht gewährleistet.
->Finde raus, wie Du sicherstellst, dass es eine Rolle spielt, wosich jemand authentifiziert. Die Grundeinstellungen der Anmeldeberechtigungen für Domänenbenutzer ("jeder darf sich überall anmelden") sind nicht die sicherste Option.
Du fragst weiter "angenommen mein Rechner ist mit einem Verschlüsselungstrojaner infiziert, verschlüsselt der Trojaner doch nur "alle" Netzlaufwerke die für mich freigegeben sind, richtig?"
Der Schädling läuft mit den Rechten des Benutzers, der ihn gestartet hat. Wenn Du mit "für mich freigegeben" Freigaben meinst, auf die Du Schreibrechte hast - klar, dann kann er dort verschlüsseln, wenn Du selbst ihn gestartet hast - sonst nicht. Hast Du auf den Freigaben nur Leserechte, dann auch nicht und auf das Cheflaufwerk hast Du eh keine Rechte.
Wenn jemand mit seinem verseuchten Privatgerät kommt, und es einfach nur einstöpselt, bzw. nur das WLAN nutzt, würde zunächst überhaupt nichts passieren. Ein dort aktiver Schädling würde vielleicht versuchen, Freigaben zu finden, auf die anonym geschrieben werden kann, aber solche gibt es in einer Domäne per se gar nicht, es sei denn, das Netzwerk ist bewusst so eingestellt worden (wozu sollte es?). Der Zugriff für Gruppe "jeder" bedeutet in einer Domäne eben nicht, "jeder weltweit".
Auch können Schädlinge Serverdienste auf Schwachstellen prüfen. Beispiel: Du hast einen Windows-Fileserver und dein Schädling hofft, dass dessen Serverdienst ungepatcht ist und er sich so Rechte auf dem Server verschaffen kann. Das wird unnötig begünstigt, wenn Du am Fileserver zulässt, dass der Zugriff auf den Port des Dienstes für alle IPs möglich ist - sollte man nicht tun. Die Windowsfirewall macht es möglich, da nur (Kerberos-) authentifizierte Geräte ranzulassen, also z.B. nur Domännrechner oder gar nur Domänenrechner aus Gruppe "Zugriff Fileserver X".
Sehr richtiger und fundierter Einwand zu diesem vielschichtigen Thema. Man kann es eben nicht einfach nur auf "Azubi Ebene" betrachten...
Die Zugriffs Steuerung muss also de facto schon am Netzwerk Port passieren und dabei führt heutzutage kein Weg an 802.1x vorbei. Ob man das mit Zertifikaten, User/Pass oder Mac Passthrough nutzt ist erstmal zweitrangig. Nur das man es tut ist essentiell um eine erste sehr hohe Hürde zu errichten !
Na ja die Apple Und Linux Nutzer im Netz feixen sich so oder so einen über die immerwährenden Winblows Opfer bei sowas...
Ein dort aktiver Schädling würde vielleicht versuchen, Freigaben zu finden, auf die anonym geschrieben werden kann
Aber das machen doch ausnahmslos alle diese Trojaner um sich aktiv zu verbreiten !aber solche gibt es in einer Domäne per se gar nicht
Aber wenn andere ihre Privatrechner oder Endgeräte mitbringen sind die dann in jedem Falle Opfer. Auch falsch oder fehlerhaft konfigurierte Server.Die Zugriffs Steuerung muss also de facto schon am Netzwerk Port passieren und dabei führt heutzutage kein Weg an 802.1x vorbei. Ob man das mit Zertifikaten, User/Pass oder Mac Passthrough nutzt ist erstmal zweitrangig. Nur das man es tut ist essentiell um eine erste sehr hohe Hürde zu errichten !
Na ja die Apple Und Linux Nutzer im Netz feixen sich so oder so einen über die immerwährenden Winblows Opfer bei sowas...
Hallo AbstrackterSystemimperator,
um es kurz zusammenzufassen, das nennt man NAP (Microsoft Network Access Protection basierend auf NPS (Network Policcy Services)) bzw. NAC (Network Acess Control).
Gruss Penny.
um es kurz zusammenzufassen, das nennt man NAP (Microsoft Network Access Protection basierend auf NPS (Network Policcy Services)) bzw. NAC (Network Acess Control).
Gruss Penny.
Zitat von @Penny.Cilin:
Hallo AbstrackterSystemimperator,
um es kurz zusammenzufassen, das nennt man NAP (Microsoft Network Access Protection basierend auf NPS (Network Policcy Services)) bzw. NAC (Network Acess Control).
Gruss Penny.
Hallo AbstrackterSystemimperator,
um es kurz zusammenzufassen, das nennt man NAP (Microsoft Network Access Protection basierend auf NPS (Network Policcy Services)) bzw. NAC (Network Acess Control).
Gruss Penny.
Wobei man erwähnen sollte, dass NAP mit Server 2016 rausgeflogen ist.
So macht man das dann richtig im WiFi Netz und .1x:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik