nachgefragt
Goto Top

KMU ohne Firewall

Hallo Administrator/inn/en,

vielleicht hat schonmal jemand eine ähnliche Umgebungen gesehen und konnte etwas Sicherheit implementieren, dann bitte gern kommentieren.

Beispielfall
Der Kunde möchte weiterhin seine Fritzbox einsetzen, vor allem seit er gelesen hatte er könne VPN Zugänge seiner damit künftigen Home Office Mitarbeiter seit FRITZ!OS 7.50 einfach und lizenzkostenfrei einzurichten.
https://avm.de/produkte/fritzos/fritzos-750/

Hinter der Fritzbox steht jedoch keine Firewall, es geht ein Kabel zum Switch und vor dort aus zum Server, Clients und Drucker; keine VLAN, Segmentierung,... alles mit allem verbunden. Das soll hier aber bitte nicht Thema sein.

Problemstellung
Ich bin es gewohnt eine existierende Hardware-Firewall zu haben, ohne diese fühle ich mich doch etwas unwohl. Bin ich da altmodisch oder wie "lebt" man ohne Hardware-Firewall?

Wenn ich also den Kunden nicht zur einer Hardware-Firewall überreden kann, wie bekomme ich ein wenig mehr Sicherheit rein?

Danke für konstruktives Feedback.

Content-ID: 5625954386

Url: https://administrator.de/contentid/5625954386

Ausgedruckt am: 24.11.2024 um 10:11 Uhr

ipzipzap
ipzipzap 25.01.2023 um 11:14:25 Uhr
Goto Top
Hallo,

kommt drauf an, was man erreichen möchte. Wenn man eine Firewall nur als NAT-Gateway einsetzt, kann man auch gleich bei der Fritzbox bleiben.

Ich kenne viele Kunden, bei denen eine FritzBox ausreicht. Trotzdem mag ich auch keine Fritzboxen und stelle wenn möglich was vernünftiges hin. Und sei es eine kleine pfSense oder OPNsense. Da sind dann auch die VPN-Zugänge kostenfrei über OpenVPN möglich.

cu,
ipzipzap
Visucius
Visucius 25.01.2023 aktualisiert um 11:35:11 Uhr
Goto Top
Mein Gott, es gibt doch tausende "Unternehmen", die seit "Jahrzehnten" mit Fritzen zurecht kommen?! Kommt halt auf den Anspruch an. Wenn Dein Anspruch höher ist, dann würde ich ihn schriftlich darauf hinweisen und/oder das Mandat nicht übernehmen.

Kannst ihm natürlich auch ne OPNsense für wenig Geld dahinterhängen. Der Kunde wird das aber erstmal nur auf der Stromrechnung merken. Und wahrscheinlich nicht mal da. face-wink

Alternativer Ansatz: Such Dir nen Feature, was der Kunde gut findet ... die Fritze aber nicht kann. VPN-Performance fällt mir da spontan ein. Ebenso irgendwelche Logging-Features (wer, wann, was)
aqui
aqui 25.01.2023 aktualisiert um 12:21:32 Uhr
Goto Top
Da sind dann auch die VPN-Zugänge kostenfrei über OpenVPN möglich.
Besser nicht!! OpenVPN skaliert schlecht und erfordert immer einen extra Client. Wenn seine HO User auch FritzBoxen haben dann kann man sie direkt koppeln auf die FW per IPsec (Siehe u.a. HIER)
Mobile User dann per L2TP oder IKEv2 mit ihren onboard VPN Clients.
Das lässt sich wie Kollege @Dani schon sagt schnell, unkompliziert und problemlos für kleines Geld ohne Eingriff ins Bestandsnetz integrieren.
Die FB belässt man im Netz wie sie ist und betreibt sie ganz einfach mit einem Kaskaden Setup.
Wenn er das nicht will ist es doch immer abhängig davon welches Security Profil ihm wichtig ist. DAS muss dein Kunde doch erstmal definieren denn wie @Dani schon sagt hängt final alles, auch der HW Einsatz, immer davon ab.
Du bist da keineswegs altmodisch denn das was du oben zu Recht propagierst ist ja bekanntermaßen best Practise. Nützt nur nichts wenn du beratungsresistente Kunden ohne jegliche Policy und Awareness hast die all das nicht honorieren.

Wenn das alles kein Thema für den Kunden ist belässt du einfach die FritzBox und klöppelst da direkt die Home User per IPsec (oder WG) und MyFritz! dran und die mobilen ebenso mit dem FritzBox Fernzugang oder freiem Shrew Client und fertig ist der Lack.
Kollege @Visucius hat es schon gesagt: Keine Hardware erforderlich, nur ein paar Minuten Konfigarbeit und man lässt die FritzBox Firewall ran. Geht ja damit. Ganz unsicher ist die ja nicht und rein technisch gesehen die gleiche Lösung. Die Security verlagert sich dann dezentral auf die lokalen Endgeräte.
Das ist aber genau der Punkt warum es auf solcherlei Fragen ohne konktret definierte Security Vorgaben und Anforderungen niemals eine 08/15 Pauschalaussage geben kann. Zumindestens nicht wenn man seriös antworten will. Wenn der Kunde deine Security Anforderungen nicht teilt oder umsetzen will, so what...?!
Diese Binsenweisheiten kennst du als Profi ja auch alle selber...
kpunkt
kpunkt 25.01.2023 um 11:48:35 Uhr
Goto Top
Sagen wir so, das machen hunderttausende Haushalte in Deutschland auch so. Und halt auch viele kleine Gewerbe. Da reicht die Fritzbox oft völlig aus. Bei KMU ist es meiner Meinung nach doch etwas ungewöhnlich.
Aber hey, wenn der Cheffe das so will, dann soll er das so haben. Du als Dienstleister weißt auf Gefahren hin (eben auch die VPN-Problematik wenn er zu viel will), klöppelst da ein Protokoll und lässt dir das alles wie gewohnt absegnen.
Eine nicht ganz so klein Firma, die wir uns mal einverleibt haben, hatte ihre drei Außenstellen auch einfach per AVM-VPN angebunden. Es lief für die alles, wie sie es brauchten. Wichtig war bei denen schlicht: kostenlos.

Bissi mehr kannst du evtl. machen, wenn du davor was mit iptables hängst.
lcer00
lcer00 25.01.2023 um 12:35:02 Uhr
Goto Top
Hallo,

gutes Thema. Ich grübele seit einiger Zeit, über die Möglichkeiten einer Zero-Trust-Implementierung. Ganz so, wie theoretisch gedacht, funktioniert das nicht, insbesondere, weil unsere Anwendungssoftware keine externe Authentifizierungen zulässt und sich wenig um Benutzerzugriffsrechte schert. Aber wenn ich folgendes kombiniere:
  • Endpoint-IPS Software (bei uns ESET Endpoint security) mit Benutzerspezifischen Zugriffsrechten für Netzwerk und Web
  • Windows Firewall mit benutzerspezifischen Verbindungssicherheitsregeln
  • ggf. Smartcard-Login oder Windows-Hello4Business
... sind die PCs schonmal relativ sicher. Was natürlich ein AD voraussetzt. Schwieriger kann das auf den Servern werden, zuminedst ESET unterstützt da keine Webfilterung nach Kategorien aber da muss ja auch keiner Surfen.

Jedenfalls frage ich mich, was ich mit der Hardwarefirewall noch zusätzlich schützen kann, wenn man vom Vorteil einer 2. Engine absieht ... Wenn ich das richtig sehe, zaubern die meisten UTMs auch nicht. Und ein zusätzlicher Sicherheitsgewinn dürfte erst resultieren, wenn man Client-Agent-Daten und Firewalldaten kombiniert auswertet. Das wird teuer und immer KI-lastiger - also - man muss vertrauen, dass die KI alles richtig macht.

Grüße

lcer
kpunkt
kpunkt 25.01.2023 um 12:53:05 Uhr
Goto Top
Ein Unterschied ist halt ob der Türsteher vor der Tür oder hinter der Tür steht. Lässt man den ungewollten Gast gar nicht erst durch die Tür, oder weist man ihm erst nach dem Zutritt wieder zurück vor die Tür.

Ich hab den Standpunkt, dass man sowieso nie alles zu 100% absichern kann. Ich denke, dass da das Scannen nach Auffälligkeiten innerhalb des Netzes sehr wichtig wird und man ggf. auffällige Clients abkoppelt.

Am nähesten komme ich da wohl mit einer Hardwarefirewall, eben auch als VPN-Gateway, und dann SECaaS hin. Ich denke, man sieht ja jetzt schon, dass die meisten Angriffe schon an einem Wochenende erfolgen, weil eben da meistens niemand da ist, die IT aber dennoch online ist. Und selbst wenn da jemand da wäre, die allermeisten können sich so eine Security-Abteilung gar nicht leisten.
Insgesamt muss man sich da aber auch immer das Gesamtkonstrukt ansehen. Um was gehts denn jetzt wirklich? Kann die IT auch mal eine längere Zeit offline gehen? Reichen die Backups dann aus, um im Notfall alles wieder herzustellen? Reicht die Zeit dafür?

Aber ja, auch wenn die Hardware-Firewall jetzt beileibe nicht alles ist, man fühlt sich schon ein bisschen wohler, wenn die da werkelt. Zumindest ich.
Visucius
Visucius 25.01.2023 aktualisiert um 13:08:34 Uhr
Goto Top
dass die meisten Angriffe schon an einem Wochenende erfolgen, weil eben da meistens niemand da ist, die IT aber dennoch online ist.

Was doch eigentlich dafür sprechen würde, den Türsteher am WE (und ggfs. nächtens) einfach abzuschalten - oder an irgend eine Automatik zu koppeln, falls dann doch jemand mal arbeiten möchte. Klar, hängt vom "Usercase" ab.
Vision2015
Vision2015 25.01.2023 um 13:46:15 Uhr
Goto Top
Moin...
Zitat von @kpunkt:

Ein Unterschied ist halt ob der Türsteher vor der Tür oder hinter der Tür steht. Lässt man den ungewollten Gast gar nicht erst durch die Tür, oder weist man ihm erst nach dem Zutritt wieder zurück vor die Tür.
jo... das macht jeder paketfilter... sogar der in der fritte!

Ich hab den Standpunkt, dass man sowieso nie alles zu 100% absichern kann. Ich denke, dass da das Scannen nach Auffälligkeiten innerhalb des Netzes sehr wichtig wird und man ggf. auffällige Clients abkoppelt.
jo...

Am nähesten komme ich da wohl mit einer Hardwarefirewall, eben auch als VPN-Gateway, und dann SECaaS hin. Ich denke, man sieht ja jetzt schon, dass die meisten Angriffe schon an einem Wochenende erfolgen, weil eben da meistens niemand da ist, die IT aber dennoch online ist. Und selbst wenn da jemand da wäre, die allermeisten können sich so eine Security-Abteilung gar nicht leisten.
also das nur am WE was passieren soll, ist ein Aberglaube, das deine Firewall sicherer ist, als ein Portfilter, ist auch aberglaube!
wenn keine einegehenden Ports da sind, ist auch nix auf, kann also auch keiner rein!
Insgesamt muss man sich da aber auch immer das Gesamtkonstrukt ansehen. Um was gehts denn jetzt wirklich? Kann die IT auch mal eine längere Zeit offline gehen? Reichen die Backups dann aus, um im Notfall alles wieder herzustellen? Reicht die Zeit dafür?

Aber ja, auch wenn die Hardware-Firewall jetzt beileibe nicht alles ist, man fühlt sich schon ein bisschen wohler, wenn die da werkelt. Zumindest ich.
nun.... deine Hardware Firewall ist ja schon und gut, wichtiger wäre ein AV auf Server und Clients.
und wenn sowiso alles nach draußen darf, merkt zu 99% deine Firewall nix- wenn von innen etwas aufgebaut wird!
dann wird es schon aufwendiger (applikations firewall usw.)... klar, machbar ist alles- aber will der Kunde das auch zahlen?

Frank
Tezzla
Tezzla 25.01.2023 aktualisiert um 15:49:07 Uhr
Goto Top
Moin,

sobald man zwischen den Endpoints trennen kann und soll, würde ich das auch empfehlen zu tun. Damit hättest du bereits dein Kaufargument für eine entsprechende Firewall, wenn ich mein Netz in VLAN_Server, VLAN_Clients, VLAN_GästeWLAN, VLAN_GLT, VLAN_Printer,... unterteile.

Klar wird das auch in einem Netz (oder zwei) mit der Fritzbox und dem Gäste-Netz funktionieren, aber ist die Anforderung einfach nur, dass es läuft oder darf es da auch etwas korrekter sein?!
Will der Kunde weiterhin Low-Budget, lass es dir schriftlich geben oder lehne ganz ab. So jedenfalls würde ich handeln.

VG
Visucius
Visucius 25.01.2023 aktualisiert um 15:51:46 Uhr
Goto Top
würde ich das auch empfehlen zu tun.
Es geht doch dem TE nicht darum, ob er das "empfehlen würde". Er ist sich dessen doch klar. Nur der Auftraggeber spürt von den vLANs erstmal gar nix - außer (Kosten-)Aufwand und Stress, weil irgendwas nicht mehr funktioniert.

Und das (vermeintliche) Sicherheitsfeature und die vielleicht erzielbaren Performance-Vorteile sieht er auch nicht, weils ja bisher ebenso funktioniert hat.

Und machen wir uns nix vor: Die Cybereinbrüche und Verschlüsselungs-Trojaner, von denen man in der Presse liest, die Firmen und Kommunen wochenlang lahm legen, haben ALLE keine Fritzbox als Firewall eingesetzt. face-wink
Tezzla
Tezzla 25.01.2023 um 16:21:02 Uhr
Goto Top
Zitat von @Visucius:

würde ich das auch empfehlen zu tun.
Es geht doch dem TE nicht darum, ob er das "empfehlen würde". Er ist sich dessen doch klar. Nur der Auftraggeber spürt von den vLANs erstmal gar nix - außer (Kosten-)Aufwand und Stress, weil irgendwas nicht mehr funktioniert.

Die Begründung warum steht ja einen Satz weiter face-smile

Den Airbag sehe ich beim Autofahren im Übrigen auch nicht. Ich bin aber ganz froh, dass ich weiß, dass einer da ist.
Vielleicht hilft das beim Verdeutlichen beim Kunden vor Ort.
2423392070
2423392070 25.01.2023 um 16:25:42 Uhr
Goto Top
Die Fritzbox ist ein Statefull Router.

Wenn seine Software nicht völlig unsicher ist, ist die Fritzbox völlig ausreichend.
Eine Firewall bringt nicht per se Sicherheit. Eigentlich bringt sie gar keine Sicherheit, sie kann dazu beitragen.

Wenn du kein HTTPS/SSL/TLS einsehen kannst, dann bringt die Firewalls nichts.
Andere gängige verschlüsselte Protokolle analog dazu.
Lochkartenstanzer
Lochkartenstanzer 26.01.2023 um 00:03:08 Uhr
Goto Top
Moin,

Die Fritte ist im Prinzip auch eine Firewall, nur halt nicht mit so umfangreichen Funktionen, die man von einer Checkpoint oder von pfsense gewohnt ist. face-smile

Bevor man einfach dem Kunden eine Checkpoint (oder irgendetwas anderes) hinsetzt, sollte man erstmal den Schutzbedarf des Kunden klären, z.B. ob der Zugang zum Internet reglementiert werden soll oder muß. Oder welche Schutzmechanismen gewünscht sind. Erst dann kann man beurteilen, ob eine Fritte ausreicht oder ob man doch lieber was anderen nehmen sollte.

lks
Spirit-of-Eli
Spirit-of-Eli 26.01.2023 um 00:04:19 Uhr
Goto Top
Zitat von @2423392070:

Die Fritzbox ist ein Statefull Router.


Was soll bitte ein "Statefull Router" sein??
Entweder ist es ein Router oder eine statefull Firewall.
commodity
commodity 26.01.2023 aktualisiert um 01:14:24 Uhr
Goto Top
stateful face-wink

full sind wir nur am Wochenende face-big-smile

Viele Grüße, commodity

P.S. Und vielleicht etwas klar stellend: Die Fritzbox ist (wenn man so will) eine einseitige Firewall. Schützt also nur von außen. Die "Hardware-Firewall" (was immer der TO damit meinen mag) schützt auch von innen bzw. zwischen den internen Netzen. Gern "vergessen" einige Kollegen aber, das einzurichten - dann ist auch die Hardware-Firewall kein größerer Schutz als eine Fritzbox.

Ebenso ist begrifflich zu trennen zwischen Hardware-Firewall und UTM-Firewall (was viele hier meinen, wenn sie von Firewall sprechen). Firewalling ist immer sinnvoll. Bei UTM sollte man kritisch herangehen. Ist viel Schlangenöl dabei.

Ein wichtiger Baustein im Netz ist primär, dass man es versteht. Transparenz in der Konfiguration, Transparenz in den Abläufen, vorzugsweise in Echtzeit. Und dazu kann eine Firewall beitragen oder gar dagegen arbeiten.

Der Kollege, der das hier schreibt:
Wenn du kein HTTPS/SSL/TLS einsehen kannst, dann bringt die Firewalls nichts.
ist derselbe, der in früheren Threads den Sicherheitsgewinn durch VLANs leider nicht verstanden hatte. Also nicht auf die Goldwaage legen.
Jeder Baustein kann nützlich sein. Nur der Umfang ist Abwägungssache.

Viele Grüße, commodity
2423392070
2423392070 26.01.2023 um 06:02:20 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Zitat von @2423392070:

Die Fritzbox ist ein Statefull Router.


Was soll bitte ein "Statefull Router" sein??
Entweder ist es ein Router oder eine statefull Firewall.

Ja, statefull inspection firewall und auch statefull router.
2423392070
2423392070 26.01.2023 um 06:05:27 Uhr
Goto Top
Zitat von @commodity:

Der Kollege, der das hier schreibt:
Wenn du kein HTTPS/SSL/TLS einsehen kannst, dann bringt die Firewalls nichts.
ist derselbe, der in früheren Threads den Sicherheitsgewinn durch VLANs leider nicht verstanden hatte. Also nicht auf die Goldwaage legen.
Jeder Baustein kann nützlich sein. Nur der Umfang ist Abwägungssache.

Viele Grüße, commodity

Mindestens 99% der unbemerkten Aktion, z. B. Abflüsse von Daten oder Control von Malwares gehen über HTTPS nach Port 443 oder andere gebräuchliche Verbindungen.
Wie siehts Du, dass im ausgehend kein Malware-Control im Traffic ist?
Übrigens, hatten 100% der tausenden Unternehmen die jedes Jahr betroffen sind ebenso unzählige VLANS.
commodity
commodity 26.01.2023 um 09:57:30 Uhr
Goto Top
Übrigens, hatten 100% der tausenden Unternehmen die jedes Jahr betroffen sind ebenso unzählige VLANS.
Das ist schon fast niedlich. Macht aber nichts.
Mindestens 99% der unbemerkten Aktion, z. B. Abflüsse von Daten oder Control von Malwares gehen über HTTPS nach Port 443 oder andere gebräuchliche Verbindungen.
Hier bin ich durchaus bei Dir (obgleich ich keine statistischen Daten kenne). Niemand hat gesagt, dass man mit DPI keine zusätzliche Sicherheit erreichen kann (wenn die Bedingungen passen). Das ist natürlich kein Grund, (selbst dort) auf sichere Basisstrukturen zu verzichten.

Viele Grüße, commodity
Lochkartenstanzer
Lochkartenstanzer 26.01.2023 um 12:05:50 Uhr
Goto Top
Zitat von @2423392070:

Ja, statefull inspection firewall und auch statefull router.

full geht unter der Woch höchstens Freitags, wie @commodity schon sagte. face-smile

lks
hushpuppies
hushpuppies 30.01.2023 um 13:43:00 Uhr
Goto Top
Ich denke das Problem mit "darf nix kosten" haben alle Dienstleister bei kleinen Kunden.
Es ist halt eine relativ obskure Gefahr, die nicht greifbar ist und daher schwer vermittelbar ist.
Ich finde, die richtige Frage wäre eher: Was passiert, wenn ich gehackt werde und was kostet mich das dann?
Und da kommt man halt schnell in Bereiche, wo man feststellt, dass es bei vielen Firmen so ist, dass wenn da z.B. eine oder zwei Wochen die Systeme stehen, dass man dann zusperren kann. Von den Kosten für Forensik, evtl. Hardware-Neukauf, Bußgelder wegen DSGVO mal ganz abgesehen.

Ich finde allerdings auch, dass man es bei der Hardware nicht übertreiben muss, denn wenn jemand rein will, dann kommt er auch rein - egal was man da hat. Der Unterschied ist nur, ob der Chinese (oder Russe) seine Mittagspause kurz unterbricht oder der Angreifer wirklich Ressourcen einsetzen muss um einzubrechen. Sprich es gilt die Angriffsfläche zu minimieren und den Gelegenheitshack zu erschweren, so daß der Aufwand größer als der potentielle Nutzen ist.

Eine Fritzbox wäre mir auch bei kleinen Firmen zu wenig - jeder größere Hersteller hat auch Firewall-Lösungen für KMUs für relativ wenig Geld. Und allein so Features wie Länderfilterung, Webfilter oder SSL-Inspection saugen viel auf, bevor Geruch entsteht - sozusagen.

Was aber heute noch viel wichtiger ist, ist die Schulung der Mitarbeiter und vor allem der Chefs. Die meisten Vorfälle mit Hacking und Ransomware sind, wenn die Zahlen stimmen, zum Großteil auf Unvorsichtigkeit der Benutzer zurückzuführen.
Sprich wenn es nur eine FritzBox sein soll, dann sollte umso mehr Geld in Awareness-Training investiert werden.
Das kann man mit entsprechenden Softwärelösungen (für den deutschen Bereich z.B. Hornet Security) machen oder zur Not auch mit Hausmitteln abspeckt selber machen. E-Mail Vorlagen kann man mit Kenntnis mit interna vom Kunden leicht selber bauen, kleine Landing-Page, die Klicks anonym loggt und den Benutzer vorzugsweise drastisch erschreckt, Knopf in Outlook für "verdächtige Mail melden" gibts auch bei Tante Google. Dann hat man da schon mal eine solide Grundlage um die Mitarbeiter zu sensibilisieren.
Aus Sicht des Dienstleisters ist das auch nicht schlecht - kann man gut als Geschäftsfeld aufbauen und verkaufen.

Falls ein Kunde in jeder Hinsicht beratungsresistent ist, dann hilft nur, dass man sich schriftlich in deutlicher Sprache bestätigen lässt, dass man auf die Folgen hingewiesen hat - sonst hängt man als Mit-Verantwortlicher nämlich drin und haftet womöglich noch. Alternativ muss man dann auch überlegen, ob man den Kunden nicht besser aufgeben sollte. Denn wenn man ehrlich ist - wer heute kein Geld bei IT ausgeben will und gleichzeitig die IT überall im Zentrum des Geschäftsbetriebs steht, der ist eh kein guter Kunden und makelt vermutlich an jedem Euro auf der Rechnung rum, was unendlich viel unbezahlte Zeit verursacht, die für gute Kunden fehlt.
Dann lieber die Zeit in Akquise eines vernünftigen Kunden investieren.
2423392070
2423392070 31.01.2023 um 08:32:23 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @2423392070:

Ja, statefull inspection firewall und auch statefull router.

full geht unter der Woch höchstens Freitags, wie @commodity schon sagte. face-smile

lks

Wie heißt es, wenn selbst der Provider Router keine Verbindung aufbauen kann?
Und bist du überhaupt vom Fach? Also ITler nicht Clown.
Visucius
Visucius 31.01.2023 um 09:02:31 Uhr
Goto Top
Was wird das jetzt hier?

Eigentor-Mimimi für die Foren-Annalen?
2423392070
2423392070 31.01.2023 um 09:20:42 Uhr
Goto Top
Die Frage ist ernst gemeint und ich weiß auch das du ebenfalls ahnungslos bist.

Also möchtest du die Frage beantworten?
Lochkartenstanzer
Lochkartenstanzer 31.01.2023 um 09:43:07 Uhr
Goto Top
Zitat von @2423392070:

Zitat von @Lochkartenstanzer:

Zitat von @2423392070:

Ja, statefull inspection firewall und auch statefull router.

full geht unter der Woch höchstens Freitags, wie @commodity schon sagte. face-smile

lks

Wie heißt es, wenn selbst der Provider Router keine Verbindung aufbauen kann?
Und bist du überhaupt vom Fach? Also ITler nicht Clown.

Ich habe schon Netzwerke und Firewalls gebaut als die meisten hier noch Quark waren. (İn den 80ern). Manche verstehen halt ironisch gemeinte Hinweise auf Schreibfehler nicht oder können damit nicht umgehen.

Auch in der IT muß nicht alles bierernst sein.

lks

PS: https://en.wiktionary.org/wiki/stateful
lcer00
lcer00 31.01.2023 aktualisiert um 10:19:30 Uhr
Goto Top
... manche sind halt IT'ler und Clown.

Dem TO nützen solche Sachen leider gar nicht.

Grüße

lcer

Edit: face-smile
Visucius
Visucius 31.01.2023 aktualisiert um 10:09:06 Uhr
Goto Top
auch das du ebenfalls ahnungslos bist.
Ahnungslos vielleicht*.Aber wenigstens habe ich genug Intelligenz um nen Hinweis auf nen profanen Tippfehler als solchen zu erkennen!

Also spring runter von Deiner Wolke bzw. der Leitung, trink noch nen Kaffee und schmunzle über diesen, Deinen Fauxpas 🤭

*) frei nach Cicero
commodity
commodity 31.01.2023 um 10:09:36 Uhr
Goto Top
Zitat von @2423392070:
Und bist du überhaupt vom Fach?
Für jemanden, der weder die Fachtermini richtig schreiben kann, noch verstanden hat, was firewalling alles ausmacht
Wenn du kein HTTPS/SSL/TLS einsehen kannst, dann bringt die Firewalls nichts.
wird hier der Mund aber ordentlich voll genommen...
Also ITler nicht Clown.
Dieses Forum beweist täglich, dass sich das überhaupt nicht ausschließt face-wink
Davon abgesehen fehlt das Apostroph hinter "IT" und das Komma hinter "ler". Muss man kein Germanist für sein. IT'ler reicht völlig. face-big-smile

Viele Grüße, commodity
2423392070
2423392070 31.01.2023 um 10:31:39 Uhr
Goto Top
Die Fritzbox verhindert, das sich korrekt konfigurierte IPv6 Clients von außen erreichen lassen, wenn der nächste öffentliche Router die Adressen kennt oder anders die Clients aufgelöst werden können.
Das nennt man Statefull Router. Steht so on den offiziellen Papieren und jeder Netzwerker weiß was damit gemeint ist.
Auch weiß ein Netzwerker, dass die meisten IPv6 Konfigurationen in den Netzen hinter dem Router, alles andere als optimal konfiguriert sind in den meisten Fällen und lediglich ein IPv6 Standardfeature die Kommunikation verhindert. In Deutschland ist das Unwissen über über IPv6 besonders weit verbreitet und speziell die FB ist besonders oft damit unterwegs.

Alle zur Zeit laufenden Ramsomewares täuschen ihre Aktivität in z.b. https. Gibt es darüber Probleme, werden andere verschlüsselte Standardprotokolle untergebracht. Geht da nicht weiter ist der Angriff in alle Regel customized.
Ohne Einblick in SSL/TLS ist eine Firewall nutzlos im Jahr 2023.
Alle nennenswerten Betroffenen haben und hatten unzählige VLANs und eine bunte Mischung an Firewalls. Alle haben gemeinsam, dass sie über mangelnden Einblick in TLS und SSL erledigt waren.
Das BSI und die Kripo erklären dir übrigens ganz offiziell anhand eines Bildnissen mit Fischen im Tierhandel in unterschiedlichen Becken, dass VLANs nichts mit Sicherheit zu tun haben. Die Versicherungen sehen das auch.
Im Bildnis wird auch darauf verwiesen, dass eine reine Infrastruktur auf Hardware ohne VLANs auch nicht sicher ist, weil die Fische dann immer noch in den Becken sind.

Natürlich kann man den Kids hier erklären, dass das Filtern von Ports ausgehend Sicherheit verschafft. Jeder Programmier lacht sich dann schlapp.
Visucius
Visucius 31.01.2023 aktualisiert um 11:06:21 Uhr
Goto Top
... ich sehe schon, das wird episch!

Wehe, es erklärt ihm einer! 😂
Spirit-of-Eli
Spirit-of-Eli 31.01.2023 um 11:11:14 Uhr
Goto Top
Zitat von @Visucius:

... ich sehe schon, das wird episch!

Wehe, es erklärt ihm einer! 😂

Ach die ganze Geschichte ufert wieder aus. Das ist der Mühe nicht Wert.
commodity
commodity 31.01.2023 um 12:47:28 Uhr
Goto Top
ich verbuche es unter full daneben face-big-smile

Und weil wir in einem Fachforum ja mit Quellen arbeiten (nicht wahr?), nur ganz kurz die Realität zum BSI-Grundschutz:
NET.1.1.A23 Trennung von Netzsegmenten:
IT-Systeme mit unterschiedlichem Schutzbedarf SOLLTEN in verschiedenen Netzsegmenten platziert werden
Viele Grüße, commodity
lcer00
lcer00 31.01.2023 um 13:20:19 Uhr
Goto Top
Zitat von @commodity:

ich verbuche es unter full daneben face-big-smile

Und weil wir in einem Fachforum ja mit Quellen arbeiten (nicht wahr?), nur ganz kurz die Realität zum BSI-Grundschutz:
NET.1.1.A23 Trennung von Netzsegmenten:
IT-Systeme mit unterschiedlichem Schutzbedarf SOLLTEN in verschiedenen Netzsegmenten platziert werden
Viele Grüße, commodity

... MÜSSEN aber nicht. Man muss nicht alles machen, was das BSI empfiehlt. Wenn man es nicht macht, muss man aber gut darlegen können, warum es auch anders geht.

Das hier wird sich doch nicht in ein Forum für Liebhaber der Deutsche Sprache entwickeln ....

face-smile

Grüße

lcer
2423392070
2423392070 31.01.2023 um 13:58:47 Uhr
Goto Top
Das BSI schreibt physische Trennung vor. Virtuelle Trennung gilt ausdrücklich nicht als die vorgeschriebene Trennung und ist explizit kein Sicherheitsmerkmal. Das es zur Sicherheit betragen kann, das ist offensichtlich.

Wenn kommuniziert werden kann und muss, dann ist der zu verfolgende Ansatzpunkt, zu verhindern, dass Software etwas kommuniziert, was nicht kommuniziert werden darf. Henne-Ei-Problem von der Ursache her gedacht.

Im echten Leben ist es zu deutlich über 99% eine Software die etwas macht, was sie nicht soll.
Mit Blick auf die Geschichte um das iranische Atomprogramm, das von den USA und Israel manipuliert wurde, kann man auch sehr gut grundsätzliche Fragen erörtern. Die Anlage war und ist komplett offline. Es gibt keine Internetverbindung und es ist im Haus alles über zig Ebenen separiert.
Die Schwachstelle waren die SPSen und das Unvermögen sichtbar zu machen, dass die Protokolle einen abweichenden Payload haben.
In Deutschland würde ein Wird oder Excel was runterladen und wenn es eine gezielte Attacke ist, dann wird über Drucker, Tischtelefone, BYOD oder IOT Hardware angegriffen. Alle diese Geräte interessieren sich nicht für VLANs oder Firewalls. Wie auch? Wie so sowas verhindern, dass eine Lücke in der Implementierung Code Ausführung zulässt?

Und wie bereits erwähnt IPv6 ist ein Feld, dass ganz neue Probleme bringt, weil es massiv an know how fehlt und auch viel Hardware im Umlauf ist die zum Himmel stinkt.
Über 10 Jahre alt und größtenteils unbekannt und unberücksichtigt: https://www.admin-magazin.de/Das-Heft/2012/04/Unbeachtete-IPv6-Features- ...

Somit wird jedes Windows/Linux/Mac zum Problem, wenn es sich richtig oder falsch verhält, je nach Perspektive und Rückständigkeit des VLAN-, Router- und FirewallAdmins.
2423392070
2423392070 31.01.2023 um 14:20:27 Uhr
Goto Top
Für mich noch etwas Nachhilfe, vielleicht knallt mir das BSI, das LKA, der Auditor ja die Taschen voll und können immer noch nicht dieses Forum hier aufrufen...

Wie hätte eine Firewall oder ein VLAN oder eine administrator.de-like High-End-Implementierung eine gefährliche Situation, die eine CVE heutzutage erhält, verhindert, beseitigt oder abgemildert?
Und warum gibt es die unzähligen Probleme eigentlich, wenn es VLANs und Firewalls gibt?
Ich möchte es gerne verstehen?
https://vuldb.com/

Und, warum sind fast ausschließlich unserer Vorfälle in SSL/TLS Traffic und nicht ein einziges Mal, dieses Jahr wird versucht eine beliebige Verbindung zu öffnen?
Heute, ganz aktuell, ist versucht worden per One Drive zu einer Universität in Asien etwas zu kopieren. Der Account des Studenten ist gehackt worden teilte die Universität mit.
lcer00
lcer00 31.01.2023 um 14:34:57 Uhr
Goto Top
Hallo,
Zitat von @2423392070:

Für mich noch etwas Nachhilfe, vielleicht knallt mir das BSI, das LKA, der Auditor ja die Taschen voll und können immer noch nicht dieses Forum hier aufrufen...

Wie hätte eine Firewall oder ein VLAN oder eine administrator.de-like High-End-Implementierung eine gefährliche Situation, die eine CVE heutzutage erhält, verhindert, beseitigt oder abgemildert?
Und warum gibt es die unzähligen Probleme eigentlich, wenn es VLANs und Firewalls gibt?
Ich möchte es gerne verstehen?
https://vuldb.com/

Und, warum sind fast ausschließlich unserer Vorfälle in SSL/TLS Traffic und nicht ein einziges Mal, dieses Jahr wird versucht eine beliebige Verbindung zu öffnen?
Heute, ganz aktuell, ist versucht worden per One Drive zu einer Universität in Asien etwas zu kopieren. Der Account des Studenten ist gehackt worden teilte die Universität mit.

Du rollst die Sache von einem anderen Blickwinkel als ich auf. Aus Deiner Argumentation heraus drängts sich mir die Frage auf, die ich schon weiter ober und auch in anderen Threads aufgeworfen habe: Was nützt denn eine Firewall tatsächlich? Selbst wenn ich die TSL-Tunnel aufbreche - da finde ich doch nur was, wenn ich weiß, was ich darin suche (Muster, Protokolle etc.).

Ich würde da eher die Richtung Zero-Trust verfolgen. Jeder Client oder Server ist für sich selbst verantwortlich und läßt nur zu, was er selbst überprüft hat. Das setzt natürlich eine restriktive Client-Configuration voraus. Die meisten Firewalls sollen Serverdienste schützen, die über keine eigenen Schutzmaßnahmen verfügen.

Die Firewall wäre dann eigentlich nur das gedoppelte Sicherheitsnetz.

Bezüglich der Person vor dem Monitor: Am gefährlichsten sind Entwickler, gefolgt von Chefs. Dann kommen Benutzer und erst zum Schluss die Admins. Dafür muss man aber nicht die Netze trennen. Da würde ich die Geräte trennen.

Und wenn wir schon rumschwafeln. Angenommen man kann nur 1x Geld ausgeben - Was würdet Ihr machen? Eine Hardware-Firewall-IPS-System oder ein Endpoint-IPS-System? face-smile

Grüße

lcer
2423392070
2423392070 31.01.2023 aktualisiert um 15:26:13 Uhr
Goto Top
Gut. Du hast es aber verstanden.
Und ja, es geht um die Perspektive.

Dennoch sollte jeder versuchen nah an die Ursachen zu kommen.

Und wie gesagt, wenn du im Tierhandel stehst und dir die Fische in den Becken anguckst (VLAN), selbst Becken in Becken, dann stehst Du in dem Laden und siehst die Becken und Fische.
Wie viele Becken und Fische und wie geschachtelt ist dann egal.

Ich würde nicht zu sehr auf Server und Clients gucken. Das ist zu offensichtlich. Es ist in der Praxis das Tischtelefon oder der MFC.
Und ja, Zero Trust ist der richtige Weg.

Und auch richtig erkannt, jeder Programmierer mit Netzwerk-Know-Hiw lacht sich über die Diskussion hier schlapp, weil er sich NICs mit und ohne VLANs und mit oder ohne IOs einfach so in der Laufzeit erzeugt.

Firewalls die den Endpoint beeinflussen können sind eine schöne Sache.
Im Moment unsere Wahl: https://www.sonicwall.com/resources/datasheet/sonicwall-capture-client/
Wirklich schönes Konzept und Produkt.
commodity
commodity 31.01.2023 um 23:30:03 Uhr
Goto Top
Das BSI schreibt physische Trennung vor.
Wieder falsch.
Selbes Dokument - erhöhter Schutzbedarf: NET.1.1.A31 Physische Trennung von Netzsegmenten
Abhängig von Sicherheitsrichtlinie und Anforderungsspezifikation SOLLTEN Netzsegmente physisch durch separate Switches getrennt werden.

Ich möchte es gerne verstehen?
Ist nicht so schwierig. Für den Anfang: Du kannst Dir sicher vorstellen, dass es einen Unterschied macht, ob ein erfolgreicher Angreifer sich in einem Teilnetz bewegt oder im gesamten Netz.
... dann wird über Drucker, Tischtelefone, BYOD oder IOT Hardware angegriffen. Alle diese Geräte interessieren sich nicht für VLANs oder Firewalls.
Nicht? Ich setze VLANS auch (gerade) für Telefonie, Drucker und IoT ein. Ist doch selbstverständlich. Gerade diese Geräte werden doch gern "vergessen".

Aber nun haben wir das ja geklärt:
Das es zur Sicherheit betragen kann, das ist offensichtlich.
Genauso offen sichtlich ist, dass man die Sicherheit mit Layer7-Firewalling erhöht. Das stand auch nie infrage.
VLANs und Firewalls sind und bleiben selbstverständliche Grundlagen eines Schutzkonzeptes. Nicht mehr und nicht weniger. Der Rest sind Abwägungsfragen mit einer Vielzahl von Parametern.

Viele Grüße, commodity
Spirit-of-Eli
Spirit-of-Eli 31.01.2023 um 23:52:35 Uhr
Goto Top
@commodity die Meinung von unbelanglos wirst du nicht mehr ändern. Das haben sooo viele andere Threads schon gezeigt.
2423392070
2423392070 01.02.2023 um 05:51:02 Uhr
Goto Top
Zitat von @commodity:

Das BSI schreibt physische Trennung vor.
Wieder falsch.
Selbes Dokument - erhöhter Schutzbedarf: NET.1.1.A31 Physische Trennung von Netzsegmenten
Abhängig von Sicherheitsrichtlinie und Anforderungsspezifikation SOLLTEN Netzsegmente physisch durch separate Switches getrennt werden.


Ja, physische Trennung. Füsisch nicht virtuell.
Aber gut, lassen wir das, meine Meinung ändert das wirklich nicht.
Visucius
Visucius 01.02.2023 um 06:02:33 Uhr
Goto Top
statefuLL firewall
soLLte

@commodity
Langsam kristallisiert sich ein Muster heraus! füßisch und virtuell 😂
Vision2015
Vision2015 01.02.2023 um 06:27:37 Uhr
Goto Top
Moin...
Zitat von @commodity:

Das BSI schreibt physische Trennung vor.
Wieder falsch.
Selbes Dokument - erhöhter Schutzbedarf: NET.1.1.A31 Physische Trennung von Netzsegmenten
Abhängig von Sicherheitsrichtlinie und Anforderungsspezifikation SOLLTEN Netzsegmente physisch durch separate Switches getrennt werden.
äh ja... ist ja Nett, und Netzwerktechnich sinvoll, besonders bei großen installationen, allerdings zur sicherheit tragen VLAN s und separate Switche nur bei, wenn die teilnehemer keine Kummunikation unternander haben!

Ich möchte es gerne verstehen?
das tut das BSI selber nicht.... face-smile
Ist nicht so schwierig. Für den Anfang: Du kannst Dir sicher vorstellen, dass es einen Unterschied macht, ob ein erfolgreicher Angreifer sich in einem Teilnetz bewegt oder im gesamten Netz.
... dann wird über Drucker, Tischtelefone, BYOD oder IOT Hardware angegriffen. Alle diese Geräte interessieren sich nicht für VLANs oder Firewalls.
Nicht? Ich setze VLANS auch (gerade) für Telefonie, Drucker und IoT ein. Ist doch selbstverständlich. Gerade diese Geräte werden doch gern "vergessen".
soweit ist das auch richtig, ein VLAN für Telefonie macht sinn ab 15-20 Teilnehmer- hat aber nix mit Sicherheit zu tun, sondern eher mit QoS und DHCP für die Endgeräte!
bei IOT etc. macht es nur sinn, wenn die kumunikation Isoliert ist!

Aber nun haben wir das ja geklärt:
Das es zur Sicherheit betragen kann, das ist offensichtlich.
Genauso offen sichtlich ist, dass man die Sicherheit mit Layer7-Firewalling erhöht. Das stand auch nie infrage.
VLANs und Firewalls sind und bleiben selbstverständliche Grundlagen eines Schutzkonzeptes. Nicht mehr und nicht weniger. Der Rest sind Abwägungsfragen mit einer Vielzahl von Parametern.
das witzige an VLANs und deren Sicherheit ist, kommste zu einen Kunden, der erzählt dir stolz, das 12 VLans vorhanden sind- aber alle Kommunizieren miteinander zu 100%
Sicher ist Sicher face-smile

Viele Grüße, commodity

Frank
mrmomba
mrmomba 01.02.2023 um 08:19:14 Uhr
Goto Top
Bevor man bei Kleinstunternehmen mit dem BSI kommt, könnte man doch eher das VDS10005 hernehmen.

Das erlaubt auch die Abweichung von Empfehlungen, muss aber durch Geschäftsführer begründet sein.
Zumindest aber kannst du Anhand dessen ggf. deine Funde dokumentieren. Gleichzeitig erstellst du das VLAN-Konzept mit der KMU und die Vorteile.

=> Zur Ausgangssituation:
Fritz.box als alleinige Sicherheitsmaßnahme? Mh ja - Gab ja auch mal Zeiten, da hingen Windows Server direkt am Modem.

Aber: Ein Firewall / KMU (was auch immer) ist nicht DER (einzige) Punkt zur Absicherung des Netzwerkes. Zumindest kann man schon mal mittels DNS-Filter (z.B. OpenDNS), altmodisch Proxy mit Inhaltsfilter, klassische Endpointfirewall etc ein gutes Stück dazu beitragen, das es etwas mehr Sicherheit gibt.
Zusätzlich kannst du mittels VMs sonst auf dem Server ein "Teilnetz" implementieren. (Virtueller Router -> inter. virtuelles Lan <- Serverdienste) sofern Virtualisierung möglich.

Immerhin, der Angreifer braucht nur eine offene Tür, wir IT Mitarbeiter müssen aber 65000+Layer8 geschlossen halten.
commodity
commodity 01.02.2023 um 13:03:39 Uhr
Goto Top
Zitat von @Vision2015:
... zur sicherheit tragen VLAN s und separate Switche nur bei, wenn die teilnehemer keine Kummunikation unternander haben!
Die Kenntnis dieses Umstandes darf in einem Administratorforum (zumal der Thread sich um Firewalls dreht, nicht um Switche) hoffentlich erwartet werden face-wink
VLAN für Telefonie macht sinn ab 15-20 Teilnehmer- hat aber nix mit Sicherheit zu tun
Telefonie ist immer noch ein beliebtes Angriffsziel, da man mit einem Hack direkt leichtes Geld verdienen kann (soweit nicht die Provider selbst Schutz aufbauen). Deshalb exponiere ich die Telefonie ungern ins User-LAN.

Das BSI lassen wir besser raus, da bin ich ganz bei Dir. Die Links dienten nur zur Klarstellung, weil ein Kollege hier seine unzutreffende Position als die des BSI dargestellt hat. Wie sich heraus gestellt hat, beruht dies auf mangelnden Lesekompetenzen und kann als geklärt gelten face-smile

Viele Grüße, commodity
Vision2015
Vision2015 01.02.2023 um 18:42:08 Uhr
Goto Top
Moin...
Zitat von @commodity:

Zitat von @Vision2015:
... zur sicherheit tragen VLAN s und separate Switche nur bei, wenn die teilnehemer keine Kummunikation unternander haben!
Die Kenntnis dieses Umstandes darf in einem Administratorforum (zumal der Thread sich um Firewalls dreht, nicht um Switche) hoffentlich erwartet werden face-wink
ich weiß das, du weißt das... aber ob das wirklich alle wissen!?!?!?!? das stelle ich ernsthaft in frage face-smile
VLAN für Telefonie macht sinn ab 15-20 Teilnehmer- hat aber nix mit Sicherheit zu tun
Telefonie ist immer noch ein beliebtes Angriffsziel, da man mit einem Hack direkt leichtes Geld verdienen kann (soweit nicht die Provider selbst Schutz aufbauen). Deshalb exponiere ich die Telefonie ungern ins User-LAN.

Das BSI lassen wir besser raus, da bin ich ganz bei Dir. Die Links dienten nur zur Klarstellung, weil ein Kollege hier seine unzutreffende Position als die des BSI dargestellt hat. Wie sich heraus gestellt hat, beruht dies auf mangelnden Lesekompetenzen und kann als geklärt gelten face-smile

Viele Grüße, commodity

Frank
commodity
commodity 01.02.2023 um 18:47:30 Uhr
Goto Top
face-big-smile

Lieben Gruß in den Westen!

commodity