abstracktersystemimperator
Goto Top

Frage zur allgemeinen Netzwerksicherheit

Guten Tag zusammen,

in letzter Zeit beschäftige ich mich, auch wenn ich "nur" Azubi bin, mit diversen Themen der IT-Sicherheit. Ich denke, auch wenn ich tatsächlich "nur" Azubi bin, sollte man sich so früh wie möglich mit solchen, auch wenn sie recht komplex sind, damit beschäftigen.

Folgender Sachstand:

Ich arbeite in einem KMU ca 70 Mann Bude und sehe, wenn ich mich nicht irre, dass hier ein "Sicherheitsproblem" eventuell vorliegen könnte.

Mit meinem Firmennotebook, welches in der Domäne "Hier ihre Domäne eintragen", habe ich nur eingeschränkte Rechte, was soweit auch vollkommen richtig ist. Das heißt, angenommen mein Rechner ist

mit einem Verschlüsselungstrojaner infiziert, verschlüsselt der Trojaner doch nur "alle" Netzlaufwerke die für mich freigegeben sind, richtig?

Ordner "Azubi" wird verschlüsselt, jedoch nicht Freigabe "ich Chef, du nix" oder?


Wie sieht das eigentlich aus, wenn ich mit meinem privaten Notebook, welches in der klassischen Workgroup ist, infiziert ist und ich das Gerät ans Netz hänge? Ich frage deshalb, weil ich festgestellt habe,

das ich mit meinem privaten Notebook ins Netz komme. Was wird dann verschlüsselt?

Des weiteren ist mir ebenfalls aufgefallen, wenn ich mich mit meinen Windows Benutzernamen, an meinem privaten Notebook mit dem Firmen-WLAN verbinde, komme ich ebenfalls ins Netz.

Mit dem Handy klappt das nicht. Das ist abgesichert.

Auf Nachfrage erhielt ich nur die blöde Antwort, ich dürfte nicht ans Netz, weil wegen ist so. Könnte ja was passieren, aber WAS und in wie weit, blieb für mich ungeklärt.

Gruß
AS

Content-ID: 550767

Url: https://administrator.de/contentid/550767

Printed on: December 2, 2024 at 15:12 o'clock

tikayevent
tikayevent Feb 22, 2020 at 11:04:04 (UTC)
Goto Top
Wenn du dein privates Notebook ans Netzwerk hängst, wird noch weniger passieren, da du ja erstmal mit Gastrechten arbeitest. Also nur Laufwerke, die explizit für Gäste freigegeben sind, wären gefährdet. In dem Moment, in dem du dich mit deinen Zugangsdaten an einem Dateiserver anmeldest, wären die Freigaben, für die du berechtigt bist, auf diesem Fileserver gefährdet.

Ransomware ist aber mittlerweile so schlau, dass diese sich auch über andere Benutzer verbreiten kann. Also wenn ein höherberechtigter Benutzer was von deinem Azubilaufwerk öffnet und sich damit ebenfalls infiziert, wären auch die Ressourcen dieses Nutzers in Gefahr.

Wenn du dich mit IT-Sicherheit beschäftigst, wird dir sicher klar sein, dass das Einspielen von Updates, sobald diese verfügbar sind, das beste Mittel gegen Schadsoftware sind. Dabei nicht nur Windows sondern alle Programme bedenken, dann hast du für sehr lange Zeit Ruhe. Etwas brain.exe schadet aber auch nicht.
certifiedit.net
certifiedit.net Feb 22, 2020 at 11:20:55 (UTC)
Goto Top
Hallo AS,

hier muss ich tika..widersprechen
Wenn du dein privates Notebook ans Netzwerk hängst, wird noch weniger passieren, da du ja erstmal mit Gastrechten arbeitest. Also nur
Laufwerke, die explizit für Gäste freigegeben sind, wären gefährdet. In dem Moment, in dem du dich mit deinen Zugangsdaten an einem Dateiserver
anmeldest, wären die Freigaben, für die du berechtigt bist, auf diesem Fileserver gefährdet.

Grundsätzlich kommt das auf eure Konfiguration an. Ich durfte/musste erst letzten Monat ein frisch übernommenes KMU (ca die Größe) von durchgängigen "jeder" Berechtigungen befreien. In dem Fall hättest du auf 100% verschlüsselungsrate kommen können.

Würde dies auf jeden Fall prüfen und eskalieren lassen. Genau das ist (mit) dein Job!

Viele Grüße,

Christian
certifiedit.net
AbstrackterSystemimperator
AbstrackterSystemimperator Feb 22, 2020 at 11:22:10 (UTC)
Goto Top
Zitat von @tikayevent:

Wenn du dein privates Notebook ans Netzwerk hängst, wird noch weniger passieren, da du ja erstmal mit Gastrechten arbeitest. Also nur Laufwerke, die explizit für Gäste freigegeben sind, wären gefährdet. In dem Moment, in dem du dich mit deinen Zugangsdaten an einem Dateiserver anmeldest, wären die Freigaben, für die du berechtigt bist, auf diesem Fileserver gefährdet.
Ransomware ist aber mittlerweile so schlau, dass diese sich auch über andere Benutzer verbreiten kann. Also wenn ein höherberechtigter Benutzer was von deinem Azubilaufwerk öffnet und sich damit ebenfalls infiziert, wären auch die Ressourcen dieses Nutzers in Gefahr.


Das verstehe ich. Kann ich nachvollziehen. Abgesehen davon, das ich "nur" Gastrechte habe und ggf. trotzdem durch höher Berechtigte weitere Schäden verursachen kann, nochmal eine weitere Frage dazu.

Um das ganze weiter abzusichern, wäre es nicht besser Geräte die nichts mit dem Unternehmen zu tun haben, aus dem Netz zu nehmen bzw. diese direkt in ein "Sicheren" Bereich zu "bannen" in dem die Geräte höchstens nur surfen könnten?

Das müsste sich doch an Hand der MAC-Adressen eines Gerätes realisieren oder bin ich hier auf dem Holzweg? Wenn ich mich in die Lage meines Chefs versetze, würde ich z.B nicht wollen, das private Geräte einfach so ans Netz geklemmt werden können.

Wenn du dich mit IT-Sicherheit beschäftigst, wird dir sicher klar sein, dass das Einspielen von Updates, sobald diese verfügbar sind, das beste Mittel gegen Schadsoftware sind. Dabei nicht nur Windows sondern alle Programme bedenken, dann hast du für sehr lange Zeit Ruhe. Etwas brain.exe schadet aber auch nicht.

"Beschäftigen" im Sinne, dass ich mir von diversen Zeitschriften alla CT oder die Best Of IP-Insider / Security Insider belese oder z.B. mir Vorträge auf Youtube anhöre die z.B. Live Hacking - In 45 Minuten ein Unternehmen verlieren, anschaue.

Brain.exe rate ich unseren Kunden immer. Es gibt kein besten Schutz.

Sobald diese Updates verfügbar sind, direkt einspielen? Uns wird "geraten" erstmal abzuwarten, da wie man gerade bei MS sieht, es teilweise verbuggte Updates verteilt werden, die eine verschlimmbesserung hervorufen.

LG
AS
AbstrackterSystemimperator
AbstrackterSystemimperator Feb 22, 2020 at 11:28:08 (UTC)
Goto Top
Zitat von @certifiedit.net:

Hallo AS,

Hallo,

Grundsätzlich kommt das auf eure Konfiguration an. Ich durfte/musste erst letzten Monat ein frisch übernommenes KMU (ca die Größe) von durchgängigen "jeder" Berechtigungen befreien. In dem Fall hättest du auf 100% verschlüsselungsrate kommen können.

Würde dies auf jeden Fall prüfen und eskalieren lassen. Genau das ist (mit) dein Job!

Danke für den Hinweis, genau das habe ich mir nämlich gedacht. Zwar habe ich nicht volle Adminrechte, sondern nur die klassischen Adminrechte, wie z.B. Einstellungen vornehmen, Geräte, Treiber etc installieren, aber auch hier fängt das schon an. Z.b konnte ich trotz deaktivierter Updates, dennoch eigenständig Updates durchführen etc.

Eine Mail habe ich schon geschrieben, aber da wird bestimmt auch nur das dabei herauskommen, was ich oben schrieb.

Gruß
AS
tikayevent
tikayevent Feb 22, 2020 updated at 11:51:44 (UTC)
Goto Top
Das müsste sich doch an Hand der MAC-Adressen eines Gerätes realisieren oder bin ich hier auf dem Holzweg? Wenn ich mich in die Lage meines Chefs versetze, würde ich z.B nicht wollen, das private Geräte einfach so ans Netz geklemmt werden können.

MAC-Adressen sind auf so ziemlich jedem Betriebssystem mit Bordmitteln fälschbar und zum Teil nicht eindeutig. Dafür gibt es EAPoL oder 802.1X.

Sobald diese Updates verfügbar sind, direkt einspielen? Uns wird "geraten" erstmal abzuwarten, da wie man gerade bei MS sieht, es teilweise verbuggte Updates verteilt werden, die eine verschlimmbesserung hervorufen.

Eine Betriebsstörung durch ein schlechtes Update ist besser und weit angenehmer zu erklären, als ein Betriebsstillstand und Datenverlust durch Schadsoftware. Bei Letzterem spielen nämlich sehr schnell Behörden mit (Finanzamt, Datenschutz, BSI als Beispiel) und bei fehlendem, fehlerhaftem oder beschädigtem Backup, wird es für Geschäftsführer oder Inhaber sehr schnell unangenehm teuer.
Nur Updates können Sicherheitslücken schließen. Und nur eine geschlossene Lücke lässt keinen Angriff zu. Gibt doch den Spruch "Lieber die Waffe entladen, als auf eine Schutzweste zu schießen", denn auch eine Schutzweste kann fehlerhaft sein oder durchschlagen werden, zumindest gibt es aber blaue Flecken.

Bei uns wird sogar während des Jahresabschlusses durch den Wirtschaftsprüfer die Updateversorgung unserer Rechner geprüft. Zu viele Negativtreffer, also nicht aktuelle Systeme und das Testat ist in Gefahr.
142583
Solution 142583 Feb 22, 2020 at 12:26:17 (UTC)
Goto Top
Schon Mal was von Exploits gehört?
lcer00
Solution lcer00 Feb 22, 2020 at 12:57:30 (UTC)
Goto Top
Hallo,

IEEE 802.1X ist Dein nächstes Selbststudiumsthema.

Grüße

lcer
aqui
Solution aqui Feb 22, 2020 at 13:16:28 (UTC)
Goto Top
DerWoWusste
Solution DerWoWusste Feb 22, 2020 updated at 14:24:52 (UTC)
Goto Top
Moin.

Ich finde es immer schwierig, wenn ein Fragender viele verschiedene Dinge anspricht. Bei den Antworten kommt dann meist eine verquirlte Mischung raus, die alles anreißt, aber nichts abschließend beantwortet.

Lass uns mal ordnen:
Du machst Dir Sorgen, wieweit man Privatgeräte aus dem Netz fernhalten kann und Du bist unsicher, was Ransomware anrichten könnte, die auf einem Privatgerät oder einem Firmengerät läuft.

Das betitelst Du dann als "Frage zur allgemeinen Netzwerksicherheit" und schon kannst Du dir sicher sein, dass es erstmal jeder liest, der auch nur ansatzweise Lust hat, sein Sicherheitswissen zu teilen face-smile Nimm lieber einen Aspekt zur Zeit in eine Frage und dann kannst Du auch einen besseren Titel finden.

Ein sicheres Netz sollte so eingerichtet werden, dass Privatgeräte nicht zum Netzwerkzugriff genutzt werden können.
Wenn Du den Domänennutzern erlaubst, sich überall zu authentifizieren, dann ist das nicht gewährleistet.
->Finde raus, wie Du sicherstellst, dass es eine Rolle spielt, wosich jemand authentifiziert. Die Grundeinstellungen der Anmeldeberechtigungen für Domänenbenutzer ("jeder darf sich überall anmelden") sind nicht die sicherste Option.

Du fragst weiter "angenommen mein Rechner ist mit einem Verschlüsselungstrojaner infiziert, verschlüsselt der Trojaner doch nur "alle" Netzlaufwerke die für mich freigegeben sind, richtig?"
Der Schädling läuft mit den Rechten des Benutzers, der ihn gestartet hat. Wenn Du mit "für mich freigegeben" Freigaben meinst, auf die Du Schreibrechte hast - klar, dann kann er dort verschlüsseln, wenn Du selbst ihn gestartet hast - sonst nicht. Hast Du auf den Freigaben nur Leserechte, dann auch nicht und auf das Cheflaufwerk hast Du eh keine Rechte.

Wenn jemand mit seinem verseuchten Privatgerät kommt, und es einfach nur einstöpselt, bzw. nur das WLAN nutzt, würde zunächst überhaupt nichts passieren. Ein dort aktiver Schädling würde vielleicht versuchen, Freigaben zu finden, auf die anonym geschrieben werden kann, aber solche gibt es in einer Domäne per se gar nicht, es sei denn, das Netzwerk ist bewusst so eingestellt worden (wozu sollte es?). Der Zugriff für Gruppe "jeder" bedeutet in einer Domäne eben nicht, "jeder weltweit".

Auch können Schädlinge Serverdienste auf Schwachstellen prüfen. Beispiel: Du hast einen Windows-Fileserver und dein Schädling hofft, dass dessen Serverdienst ungepatcht ist und er sich so Rechte auf dem Server verschaffen kann. Das wird unnötig begünstigt, wenn Du am Fileserver zulässt, dass der Zugriff auf den Port des Dienstes für alle IPs möglich ist - sollte man nicht tun. Die Windowsfirewall macht es möglich, da nur (Kerberos-) authentifizierte Geräte ranzulassen, also z.B. nur Domännrechner oder gar nur Domänenrechner aus Gruppe "Zugriff Fileserver X".
aqui
aqui Feb 22, 2020 updated at 14:27:08 (UTC)
Goto Top
Sehr richtiger und fundierter Einwand zu diesem vielschichtigen Thema. Man kann es eben nicht einfach nur auf "Azubi Ebene" betrachten...
Ein dort aktiver Schädling würde vielleicht versuchen, Freigaben zu finden, auf die anonym geschrieben werden kann
Aber das machen doch ausnahmslos alle diese Trojaner um sich aktiv zu verbreiten !
aber solche gibt es in einer Domäne per se gar nicht
Aber wenn andere ihre Privatrechner oder Endgeräte mitbringen sind die dann in jedem Falle Opfer. Auch falsch oder fehlerhaft konfigurierte Server.
Die Zugriffs Steuerung muss also de facto schon am Netzwerk Port passieren und dabei führt heutzutage kein Weg an 802.1x vorbei. Ob man das mit Zertifikaten, User/Pass oder Mac Passthrough nutzt ist erstmal zweitrangig. Nur das man es tut ist essentiell um eine erste sehr hohe Hürde zu errichten !
Na ja die Apple Und Linux Nutzer im Netz feixen sich so oder so einen über die immerwährenden Winblows Opfer bei sowas... face-wink
Penny.Cilin
Penny.Cilin Feb 22, 2020 at 14:40:58 (UTC)
Goto Top
Hallo AbstrackterSystemimperator,

um es kurz zusammenzufassen, das nennt man NAP (Microsoft Network Access Protection basierend auf NPS (Network Policcy Services)) bzw. NAC (Network Acess Control).

Gruss Penny.
tikayevent
tikayevent Feb 22, 2020 at 14:45:16 (UTC)
Goto Top
Zitat von @Penny.Cilin:

Hallo AbstrackterSystemimperator,

um es kurz zusammenzufassen, das nennt man NAP (Microsoft Network Access Protection basierend auf NPS (Network Policcy Services)) bzw. NAC (Network Acess Control).

Gruss Penny.

Wobei man erwähnen sollte, dass NAP mit Server 2016 rausgeflogen ist.
focus100
focus100 Feb 22, 2020 at 14:58:18 (UTC)
Goto Top
Die sicherheit finde ich auch immer sehr wichtig. Bin da auch immer sehr vorsichtig, wie man das so umstellen kann.
Und sich ins wifi netz anmelden.
aqui
aqui Feb 22, 2020 at 15:14:52 (UTC)
Goto Top
So macht man das dann richtig im WiFi Netz und .1x:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
tikayevent
tikayevent Feb 22, 2020 at 15:17:29 (UTC)
Goto Top
Im WLAN wird ja laut dem TO ja eine WPA-Enterprise-Variante genutzt. Nur bringt die nichts, wenn man auf Benutzerebene autentifiziert und der Benutzer entsprechend berechtigt ist. Daher läuft es bei uns bei den meisten Geräten auf Computerebene.
AbstrackterSystemimperator
AbstrackterSystemimperator Mar 07, 2020 at 11:59:06 (UTC)
Goto Top
Hallo zusammen,

pardon für die verspäteten Rückmeldungen meinerseits.

Vielen Dank für die starken Info's. Nach meinen Abschlussprüfungen werde ich das ganze Thema mit meinem Betrieb nochmal in Ruhe angehen face-smile

Das Thema hat sich also erledigt.

LG
AS