KMU ohne Firewall
Hallo Administrator/inn/en,
vielleicht hat schonmal jemand eine ähnliche Umgebungen gesehen und konnte etwas Sicherheit implementieren, dann bitte gern kommentieren.
Beispielfall
Der Kunde möchte weiterhin seine Fritzbox einsetzen, vor allem seit er gelesen hatte er könne VPN Zugänge seiner damit künftigen Home Office Mitarbeiter seit FRITZ!OS 7.50 einfach und lizenzkostenfrei einzurichten.
https://avm.de/produkte/fritzos/fritzos-750/
Hinter der Fritzbox steht jedoch keine Firewall, es geht ein Kabel zum Switch und vor dort aus zum Server, Clients und Drucker; keine VLAN, Segmentierung,... alles mit allem verbunden. Das soll hier aber bitte nicht Thema sein.
Problemstellung
Ich bin es gewohnt eine existierende Hardware-Firewall zu haben, ohne diese fühle ich mich doch etwas unwohl. Bin ich da altmodisch oder wie "lebt" man ohne Hardware-Firewall?
Wenn ich also den Kunden nicht zur einer Hardware-Firewall überreden kann, wie bekomme ich ein wenig mehr Sicherheit rein?
Danke für konstruktives Feedback.
vielleicht hat schonmal jemand eine ähnliche Umgebungen gesehen und konnte etwas Sicherheit implementieren, dann bitte gern kommentieren.
Beispielfall
Der Kunde möchte weiterhin seine Fritzbox einsetzen, vor allem seit er gelesen hatte er könne VPN Zugänge seiner damit künftigen Home Office Mitarbeiter seit FRITZ!OS 7.50 einfach und lizenzkostenfrei einzurichten.
https://avm.de/produkte/fritzos/fritzos-750/
Hinter der Fritzbox steht jedoch keine Firewall, es geht ein Kabel zum Switch und vor dort aus zum Server, Clients und Drucker; keine VLAN, Segmentierung,... alles mit allem verbunden. Das soll hier aber bitte nicht Thema sein.
Problemstellung
Ich bin es gewohnt eine existierende Hardware-Firewall zu haben, ohne diese fühle ich mich doch etwas unwohl. Bin ich da altmodisch oder wie "lebt" man ohne Hardware-Firewall?
Wenn ich also den Kunden nicht zur einer Hardware-Firewall überreden kann, wie bekomme ich ein wenig mehr Sicherheit rein?
Danke für konstruktives Feedback.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5625954386
Url: https://administrator.de/contentid/5625954386
Ausgedruckt am: 24.11.2024 um 10:11 Uhr
45 Kommentare
Neuester Kommentar
Hallo,
kommt drauf an, was man erreichen möchte. Wenn man eine Firewall nur als NAT-Gateway einsetzt, kann man auch gleich bei der Fritzbox bleiben.
Ich kenne viele Kunden, bei denen eine FritzBox ausreicht. Trotzdem mag ich auch keine Fritzboxen und stelle wenn möglich was vernünftiges hin. Und sei es eine kleine pfSense oder OPNsense. Da sind dann auch die VPN-Zugänge kostenfrei über OpenVPN möglich.
cu,
ipzipzap
kommt drauf an, was man erreichen möchte. Wenn man eine Firewall nur als NAT-Gateway einsetzt, kann man auch gleich bei der Fritzbox bleiben.
Ich kenne viele Kunden, bei denen eine FritzBox ausreicht. Trotzdem mag ich auch keine Fritzboxen und stelle wenn möglich was vernünftiges hin. Und sei es eine kleine pfSense oder OPNsense. Da sind dann auch die VPN-Zugänge kostenfrei über OpenVPN möglich.
cu,
ipzipzap
Mein Gott, es gibt doch tausende "Unternehmen", die seit "Jahrzehnten" mit Fritzen zurecht kommen?! Kommt halt auf den Anspruch an. Wenn Dein Anspruch höher ist, dann würde ich ihn schriftlich darauf hinweisen und/oder das Mandat nicht übernehmen.
Kannst ihm natürlich auch ne OPNsense für wenig Geld dahinterhängen. Der Kunde wird das aber erstmal nur auf der Stromrechnung merken. Und wahrscheinlich nicht mal da.
Alternativer Ansatz: Such Dir nen Feature, was der Kunde gut findet ... die Fritze aber nicht kann. VPN-Performance fällt mir da spontan ein. Ebenso irgendwelche Logging-Features (wer, wann, was)
Kannst ihm natürlich auch ne OPNsense für wenig Geld dahinterhängen. Der Kunde wird das aber erstmal nur auf der Stromrechnung merken. Und wahrscheinlich nicht mal da.
Alternativer Ansatz: Such Dir nen Feature, was der Kunde gut findet ... die Fritze aber nicht kann. VPN-Performance fällt mir da spontan ein. Ebenso irgendwelche Logging-Features (wer, wann, was)
Da sind dann auch die VPN-Zugänge kostenfrei über OpenVPN möglich.
Besser nicht!! OpenVPN skaliert schlecht und erfordert immer einen extra Client. Wenn seine HO User auch FritzBoxen haben dann kann man sie direkt koppeln auf die FW per IPsec (Siehe u.a. HIER)Mobile User dann per L2TP oder IKEv2 mit ihren onboard VPN Clients.
Das lässt sich wie Kollege @Dani schon sagt schnell, unkompliziert und problemlos für kleines Geld ohne Eingriff ins Bestandsnetz integrieren.
Die FB belässt man im Netz wie sie ist und betreibt sie ganz einfach mit einem Kaskaden Setup.
Wenn er das nicht will ist es doch immer abhängig davon welches Security Profil ihm wichtig ist. DAS muss dein Kunde doch erstmal definieren denn wie @Dani schon sagt hängt final alles, auch der HW Einsatz, immer davon ab.
Du bist da keineswegs altmodisch denn das was du oben zu Recht propagierst ist ja bekanntermaßen best Practise. Nützt nur nichts wenn du beratungsresistente Kunden ohne jegliche Policy und Awareness hast die all das nicht honorieren.
Wenn das alles kein Thema für den Kunden ist belässt du einfach die FritzBox und klöppelst da direkt die Home User per IPsec (oder WG) und MyFritz! dran und die mobilen ebenso mit dem FritzBox Fernzugang oder freiem Shrew Client und fertig ist der Lack.
Kollege @Visucius hat es schon gesagt: Keine Hardware erforderlich, nur ein paar Minuten Konfigarbeit und man lässt die FritzBox Firewall ran. Geht ja damit. Ganz unsicher ist die ja nicht und rein technisch gesehen die gleiche Lösung. Die Security verlagert sich dann dezentral auf die lokalen Endgeräte.
Das ist aber genau der Punkt warum es auf solcherlei Fragen ohne konktret definierte Security Vorgaben und Anforderungen niemals eine 08/15 Pauschalaussage geben kann. Zumindestens nicht wenn man seriös antworten will. Wenn der Kunde deine Security Anforderungen nicht teilt oder umsetzen will, so what...?!
Diese Binsenweisheiten kennst du als Profi ja auch alle selber...
Sagen wir so, das machen hunderttausende Haushalte in Deutschland auch so. Und halt auch viele kleine Gewerbe. Da reicht die Fritzbox oft völlig aus. Bei KMU ist es meiner Meinung nach doch etwas ungewöhnlich.
Aber hey, wenn der Cheffe das so will, dann soll er das so haben. Du als Dienstleister weißt auf Gefahren hin (eben auch die VPN-Problematik wenn er zu viel will), klöppelst da ein Protokoll und lässt dir das alles wie gewohnt absegnen.
Eine nicht ganz so klein Firma, die wir uns mal einverleibt haben, hatte ihre drei Außenstellen auch einfach per AVM-VPN angebunden. Es lief für die alles, wie sie es brauchten. Wichtig war bei denen schlicht: kostenlos.
Bissi mehr kannst du evtl. machen, wenn du davor was mit iptables hängst.
Aber hey, wenn der Cheffe das so will, dann soll er das so haben. Du als Dienstleister weißt auf Gefahren hin (eben auch die VPN-Problematik wenn er zu viel will), klöppelst da ein Protokoll und lässt dir das alles wie gewohnt absegnen.
Eine nicht ganz so klein Firma, die wir uns mal einverleibt haben, hatte ihre drei Außenstellen auch einfach per AVM-VPN angebunden. Es lief für die alles, wie sie es brauchten. Wichtig war bei denen schlicht: kostenlos.
Bissi mehr kannst du evtl. machen, wenn du davor was mit iptables hängst.
Hallo,
gutes Thema. Ich grübele seit einiger Zeit, über die Möglichkeiten einer Zero-Trust-Implementierung. Ganz so, wie theoretisch gedacht, funktioniert das nicht, insbesondere, weil unsere Anwendungssoftware keine externe Authentifizierungen zulässt und sich wenig um Benutzerzugriffsrechte schert. Aber wenn ich folgendes kombiniere:
Jedenfalls frage ich mich, was ich mit der Hardwarefirewall noch zusätzlich schützen kann, wenn man vom Vorteil einer 2. Engine absieht ... Wenn ich das richtig sehe, zaubern die meisten UTMs auch nicht. Und ein zusätzlicher Sicherheitsgewinn dürfte erst resultieren, wenn man Client-Agent-Daten und Firewalldaten kombiniert auswertet. Das wird teuer und immer KI-lastiger - also - man muss vertrauen, dass die KI alles richtig macht.
Grüße
lcer
gutes Thema. Ich grübele seit einiger Zeit, über die Möglichkeiten einer Zero-Trust-Implementierung. Ganz so, wie theoretisch gedacht, funktioniert das nicht, insbesondere, weil unsere Anwendungssoftware keine externe Authentifizierungen zulässt und sich wenig um Benutzerzugriffsrechte schert. Aber wenn ich folgendes kombiniere:
- Endpoint-IPS Software (bei uns ESET Endpoint security) mit Benutzerspezifischen Zugriffsrechten für Netzwerk und Web
- Windows Firewall mit benutzerspezifischen Verbindungssicherheitsregeln
- ggf. Smartcard-Login oder Windows-Hello4Business
Jedenfalls frage ich mich, was ich mit der Hardwarefirewall noch zusätzlich schützen kann, wenn man vom Vorteil einer 2. Engine absieht ... Wenn ich das richtig sehe, zaubern die meisten UTMs auch nicht. Und ein zusätzlicher Sicherheitsgewinn dürfte erst resultieren, wenn man Client-Agent-Daten und Firewalldaten kombiniert auswertet. Das wird teuer und immer KI-lastiger - also - man muss vertrauen, dass die KI alles richtig macht.
Grüße
lcer
Ein Unterschied ist halt ob der Türsteher vor der Tür oder hinter der Tür steht. Lässt man den ungewollten Gast gar nicht erst durch die Tür, oder weist man ihm erst nach dem Zutritt wieder zurück vor die Tür.
Ich hab den Standpunkt, dass man sowieso nie alles zu 100% absichern kann. Ich denke, dass da das Scannen nach Auffälligkeiten innerhalb des Netzes sehr wichtig wird und man ggf. auffällige Clients abkoppelt.
Am nähesten komme ich da wohl mit einer Hardwarefirewall, eben auch als VPN-Gateway, und dann SECaaS hin. Ich denke, man sieht ja jetzt schon, dass die meisten Angriffe schon an einem Wochenende erfolgen, weil eben da meistens niemand da ist, die IT aber dennoch online ist. Und selbst wenn da jemand da wäre, die allermeisten können sich so eine Security-Abteilung gar nicht leisten.
Insgesamt muss man sich da aber auch immer das Gesamtkonstrukt ansehen. Um was gehts denn jetzt wirklich? Kann die IT auch mal eine längere Zeit offline gehen? Reichen die Backups dann aus, um im Notfall alles wieder herzustellen? Reicht die Zeit dafür?
Aber ja, auch wenn die Hardware-Firewall jetzt beileibe nicht alles ist, man fühlt sich schon ein bisschen wohler, wenn die da werkelt. Zumindest ich.
Ich hab den Standpunkt, dass man sowieso nie alles zu 100% absichern kann. Ich denke, dass da das Scannen nach Auffälligkeiten innerhalb des Netzes sehr wichtig wird und man ggf. auffällige Clients abkoppelt.
Am nähesten komme ich da wohl mit einer Hardwarefirewall, eben auch als VPN-Gateway, und dann SECaaS hin. Ich denke, man sieht ja jetzt schon, dass die meisten Angriffe schon an einem Wochenende erfolgen, weil eben da meistens niemand da ist, die IT aber dennoch online ist. Und selbst wenn da jemand da wäre, die allermeisten können sich so eine Security-Abteilung gar nicht leisten.
Insgesamt muss man sich da aber auch immer das Gesamtkonstrukt ansehen. Um was gehts denn jetzt wirklich? Kann die IT auch mal eine längere Zeit offline gehen? Reichen die Backups dann aus, um im Notfall alles wieder herzustellen? Reicht die Zeit dafür?
Aber ja, auch wenn die Hardware-Firewall jetzt beileibe nicht alles ist, man fühlt sich schon ein bisschen wohler, wenn die da werkelt. Zumindest ich.
dass die meisten Angriffe schon an einem Wochenende erfolgen, weil eben da meistens niemand da ist, die IT aber dennoch online ist.
Was doch eigentlich dafür sprechen würde, den Türsteher am WE (und ggfs. nächtens) einfach abzuschalten - oder an irgend eine Automatik zu koppeln, falls dann doch jemand mal arbeiten möchte. Klar, hängt vom "Usercase" ab.
Moin...
Ich hab den Standpunkt, dass man sowieso nie alles zu 100% absichern kann. Ich denke, dass da das Scannen nach Auffälligkeiten innerhalb des Netzes sehr wichtig wird und man ggf. auffällige Clients abkoppelt.
jo...
Am nähesten komme ich da wohl mit einer Hardwarefirewall, eben auch als VPN-Gateway, und dann SECaaS hin. Ich denke, man sieht ja jetzt schon, dass die meisten Angriffe schon an einem Wochenende erfolgen, weil eben da meistens niemand da ist, die IT aber dennoch online ist. Und selbst wenn da jemand da wäre, die allermeisten können sich so eine Security-Abteilung gar nicht leisten.
also das nur am WE was passieren soll, ist ein Aberglaube, das deine Firewall sicherer ist, als ein Portfilter, ist auch aberglaube!
wenn keine einegehenden Ports da sind, ist auch nix auf, kann also auch keiner rein!
und wenn sowiso alles nach draußen darf, merkt zu 99% deine Firewall nix- wenn von innen etwas aufgebaut wird!
dann wird es schon aufwendiger (applikations firewall usw.)... klar, machbar ist alles- aber will der Kunde das auch zahlen?
Frank
Zitat von @kpunkt:
Ein Unterschied ist halt ob der Türsteher vor der Tür oder hinter der Tür steht. Lässt man den ungewollten Gast gar nicht erst durch die Tür, oder weist man ihm erst nach dem Zutritt wieder zurück vor die Tür.
jo... das macht jeder paketfilter... sogar der in der fritte!Ein Unterschied ist halt ob der Türsteher vor der Tür oder hinter der Tür steht. Lässt man den ungewollten Gast gar nicht erst durch die Tür, oder weist man ihm erst nach dem Zutritt wieder zurück vor die Tür.
Ich hab den Standpunkt, dass man sowieso nie alles zu 100% absichern kann. Ich denke, dass da das Scannen nach Auffälligkeiten innerhalb des Netzes sehr wichtig wird und man ggf. auffällige Clients abkoppelt.
Am nähesten komme ich da wohl mit einer Hardwarefirewall, eben auch als VPN-Gateway, und dann SECaaS hin. Ich denke, man sieht ja jetzt schon, dass die meisten Angriffe schon an einem Wochenende erfolgen, weil eben da meistens niemand da ist, die IT aber dennoch online ist. Und selbst wenn da jemand da wäre, die allermeisten können sich so eine Security-Abteilung gar nicht leisten.
wenn keine einegehenden Ports da sind, ist auch nix auf, kann also auch keiner rein!
Insgesamt muss man sich da aber auch immer das Gesamtkonstrukt ansehen. Um was gehts denn jetzt wirklich? Kann die IT auch mal eine längere Zeit offline gehen? Reichen die Backups dann aus, um im Notfall alles wieder herzustellen? Reicht die Zeit dafür?
Aber ja, auch wenn die Hardware-Firewall jetzt beileibe nicht alles ist, man fühlt sich schon ein bisschen wohler, wenn die da werkelt. Zumindest ich.
nun.... deine Hardware Firewall ist ja schon und gut, wichtiger wäre ein AV auf Server und Clients.Aber ja, auch wenn die Hardware-Firewall jetzt beileibe nicht alles ist, man fühlt sich schon ein bisschen wohler, wenn die da werkelt. Zumindest ich.
und wenn sowiso alles nach draußen darf, merkt zu 99% deine Firewall nix- wenn von innen etwas aufgebaut wird!
dann wird es schon aufwendiger (applikations firewall usw.)... klar, machbar ist alles- aber will der Kunde das auch zahlen?
Frank
Moin,
sobald man zwischen den Endpoints trennen kann und soll, würde ich das auch empfehlen zu tun. Damit hättest du bereits dein Kaufargument für eine entsprechende Firewall, wenn ich mein Netz in VLAN_Server, VLAN_Clients, VLAN_GästeWLAN, VLAN_GLT, VLAN_Printer,... unterteile.
Klar wird das auch in einem Netz (oder zwei) mit der Fritzbox und dem Gäste-Netz funktionieren, aber ist die Anforderung einfach nur, dass es läuft oder darf es da auch etwas korrekter sein?!
Will der Kunde weiterhin Low-Budget, lass es dir schriftlich geben oder lehne ganz ab. So jedenfalls würde ich handeln.
VG
sobald man zwischen den Endpoints trennen kann und soll, würde ich das auch empfehlen zu tun. Damit hättest du bereits dein Kaufargument für eine entsprechende Firewall, wenn ich mein Netz in VLAN_Server, VLAN_Clients, VLAN_GästeWLAN, VLAN_GLT, VLAN_Printer,... unterteile.
Klar wird das auch in einem Netz (oder zwei) mit der Fritzbox und dem Gäste-Netz funktionieren, aber ist die Anforderung einfach nur, dass es läuft oder darf es da auch etwas korrekter sein?!
Will der Kunde weiterhin Low-Budget, lass es dir schriftlich geben oder lehne ganz ab. So jedenfalls würde ich handeln.
VG
würde ich das auch empfehlen zu tun.
Es geht doch dem TE nicht darum, ob er das "empfehlen würde". Er ist sich dessen doch klar. Nur der Auftraggeber spürt von den vLANs erstmal gar nix - außer (Kosten-)Aufwand und Stress, weil irgendwas nicht mehr funktioniert.Und das (vermeintliche) Sicherheitsfeature und die vielleicht erzielbaren Performance-Vorteile sieht er auch nicht, weils ja bisher ebenso funktioniert hat.
Und machen wir uns nix vor: Die Cybereinbrüche und Verschlüsselungs-Trojaner, von denen man in der Presse liest, die Firmen und Kommunen wochenlang lahm legen, haben ALLE keine Fritzbox als Firewall eingesetzt.
Zitat von @Visucius:
würde ich das auch empfehlen zu tun.
Es geht doch dem TE nicht darum, ob er das "empfehlen würde". Er ist sich dessen doch klar. Nur der Auftraggeber spürt von den vLANs erstmal gar nix - außer (Kosten-)Aufwand und Stress, weil irgendwas nicht mehr funktioniert.Die Begründung warum steht ja einen Satz weiter
Den Airbag sehe ich beim Autofahren im Übrigen auch nicht. Ich bin aber ganz froh, dass ich weiß, dass einer da ist.
Vielleicht hilft das beim Verdeutlichen beim Kunden vor Ort.
Die Fritzbox ist ein Statefull Router.
Wenn seine Software nicht völlig unsicher ist, ist die Fritzbox völlig ausreichend.
Eine Firewall bringt nicht per se Sicherheit. Eigentlich bringt sie gar keine Sicherheit, sie kann dazu beitragen.
Wenn du kein HTTPS/SSL/TLS einsehen kannst, dann bringt die Firewalls nichts.
Andere gängige verschlüsselte Protokolle analog dazu.
Wenn seine Software nicht völlig unsicher ist, ist die Fritzbox völlig ausreichend.
Eine Firewall bringt nicht per se Sicherheit. Eigentlich bringt sie gar keine Sicherheit, sie kann dazu beitragen.
Wenn du kein HTTPS/SSL/TLS einsehen kannst, dann bringt die Firewalls nichts.
Andere gängige verschlüsselte Protokolle analog dazu.
Moin,
Die Fritte ist im Prinzip auch eine Firewall, nur halt nicht mit so umfangreichen Funktionen, die man von einer Checkpoint oder von pfsense gewohnt ist.
Bevor man einfach dem Kunden eine Checkpoint (oder irgendetwas anderes) hinsetzt, sollte man erstmal den Schutzbedarf des Kunden klären, z.B. ob der Zugang zum Internet reglementiert werden soll oder muß. Oder welche Schutzmechanismen gewünscht sind. Erst dann kann man beurteilen, ob eine Fritte ausreicht oder ob man doch lieber was anderen nehmen sollte.
lks
Die Fritte ist im Prinzip auch eine Firewall, nur halt nicht mit so umfangreichen Funktionen, die man von einer Checkpoint oder von pfsense gewohnt ist.
Bevor man einfach dem Kunden eine Checkpoint (oder irgendetwas anderes) hinsetzt, sollte man erstmal den Schutzbedarf des Kunden klären, z.B. ob der Zugang zum Internet reglementiert werden soll oder muß. Oder welche Schutzmechanismen gewünscht sind. Erst dann kann man beurteilen, ob eine Fritte ausreicht oder ob man doch lieber was anderen nehmen sollte.
lks
stateful
full sind wir nur am Wochenende
Viele Grüße, commodity
P.S. Und vielleicht etwas klar stellend: Die Fritzbox ist (wenn man so will) eine einseitige Firewall. Schützt also nur von außen. Die "Hardware-Firewall" (was immer der TO damit meinen mag) schützt auch von innen bzw. zwischen den internen Netzen. Gern "vergessen" einige Kollegen aber, das einzurichten - dann ist auch die Hardware-Firewall kein größerer Schutz als eine Fritzbox.
Ebenso ist begrifflich zu trennen zwischen Hardware-Firewall und UTM-Firewall (was viele hier meinen, wenn sie von Firewall sprechen). Firewalling ist immer sinnvoll. Bei UTM sollte man kritisch herangehen. Ist viel Schlangenöl dabei.
Ein wichtiger Baustein im Netz ist primär, dass man es versteht. Transparenz in der Konfiguration, Transparenz in den Abläufen, vorzugsweise in Echtzeit. Und dazu kann eine Firewall beitragen oder gar dagegen arbeiten.
Der Kollege, der das hier schreibt:
Jeder Baustein kann nützlich sein. Nur der Umfang ist Abwägungssache.
Viele Grüße, commodity
full sind wir nur am Wochenende
Viele Grüße, commodity
P.S. Und vielleicht etwas klar stellend: Die Fritzbox ist (wenn man so will) eine einseitige Firewall. Schützt also nur von außen. Die "Hardware-Firewall" (was immer der TO damit meinen mag) schützt auch von innen bzw. zwischen den internen Netzen. Gern "vergessen" einige Kollegen aber, das einzurichten - dann ist auch die Hardware-Firewall kein größerer Schutz als eine Fritzbox.
Ebenso ist begrifflich zu trennen zwischen Hardware-Firewall und UTM-Firewall (was viele hier meinen, wenn sie von Firewall sprechen). Firewalling ist immer sinnvoll. Bei UTM sollte man kritisch herangehen. Ist viel Schlangenöl dabei.
Ein wichtiger Baustein im Netz ist primär, dass man es versteht. Transparenz in der Konfiguration, Transparenz in den Abläufen, vorzugsweise in Echtzeit. Und dazu kann eine Firewall beitragen oder gar dagegen arbeiten.
Der Kollege, der das hier schreibt:
Wenn du kein HTTPS/SSL/TLS einsehen kannst, dann bringt die Firewalls nichts.
ist derselbe, der in früheren Threads den Sicherheitsgewinn durch VLANs leider nicht verstanden hatte. Also nicht auf die Goldwaage legen.Jeder Baustein kann nützlich sein. Nur der Umfang ist Abwägungssache.
Viele Grüße, commodity
Zitat von @Spirit-of-Eli:
Was soll bitte ein "Statefull Router" sein??
Entweder ist es ein Router oder eine statefull Firewall.
Zitat von @2423392070:
Die Fritzbox ist ein Statefull Router.
Die Fritzbox ist ein Statefull Router.
Was soll bitte ein "Statefull Router" sein??
Entweder ist es ein Router oder eine statefull Firewall.
Ja, statefull inspection firewall und auch statefull router.
Zitat von @commodity:
Der Kollege, der das hier schreibt:
Jeder Baustein kann nützlich sein. Nur der Umfang ist Abwägungssache.
Viele Grüße, commodity
Der Kollege, der das hier schreibt:
Wenn du kein HTTPS/SSL/TLS einsehen kannst, dann bringt die Firewalls nichts.
ist derselbe, der in früheren Threads den Sicherheitsgewinn durch VLANs leider nicht verstanden hatte. Also nicht auf die Goldwaage legen.Jeder Baustein kann nützlich sein. Nur der Umfang ist Abwägungssache.
Viele Grüße, commodity
Mindestens 99% der unbemerkten Aktion, z. B. Abflüsse von Daten oder Control von Malwares gehen über HTTPS nach Port 443 oder andere gebräuchliche Verbindungen.
Wie siehts Du, dass im ausgehend kein Malware-Control im Traffic ist?
Übrigens, hatten 100% der tausenden Unternehmen die jedes Jahr betroffen sind ebenso unzählige VLANS.
Übrigens, hatten 100% der tausenden Unternehmen die jedes Jahr betroffen sind ebenso unzählige VLANS.
Das ist schon fast niedlich. Macht aber nichts.Mindestens 99% der unbemerkten Aktion, z. B. Abflüsse von Daten oder Control von Malwares gehen über HTTPS nach Port 443 oder andere gebräuchliche Verbindungen.
Hier bin ich durchaus bei Dir (obgleich ich keine statistischen Daten kenne). Niemand hat gesagt, dass man mit DPI keine zusätzliche Sicherheit erreichen kann (wenn die Bedingungen passen). Das ist natürlich kein Grund, (selbst dort) auf sichere Basisstrukturen zu verzichten.Viele Grüße, commodity
Zitat von @2423392070:
Ja, statefull inspection firewall und auch statefull router.
Ja, statefull inspection firewall und auch statefull router.
full geht unter der Woch höchstens Freitags, wie @commodity schon sagte.
lks
Ich denke das Problem mit "darf nix kosten" haben alle Dienstleister bei kleinen Kunden.
Es ist halt eine relativ obskure Gefahr, die nicht greifbar ist und daher schwer vermittelbar ist.
Ich finde, die richtige Frage wäre eher: Was passiert, wenn ich gehackt werde und was kostet mich das dann?
Und da kommt man halt schnell in Bereiche, wo man feststellt, dass es bei vielen Firmen so ist, dass wenn da z.B. eine oder zwei Wochen die Systeme stehen, dass man dann zusperren kann. Von den Kosten für Forensik, evtl. Hardware-Neukauf, Bußgelder wegen DSGVO mal ganz abgesehen.
Ich finde allerdings auch, dass man es bei der Hardware nicht übertreiben muss, denn wenn jemand rein will, dann kommt er auch rein - egal was man da hat. Der Unterschied ist nur, ob der Chinese (oder Russe) seine Mittagspause kurz unterbricht oder der Angreifer wirklich Ressourcen einsetzen muss um einzubrechen. Sprich es gilt die Angriffsfläche zu minimieren und den Gelegenheitshack zu erschweren, so daß der Aufwand größer als der potentielle Nutzen ist.
Eine Fritzbox wäre mir auch bei kleinen Firmen zu wenig - jeder größere Hersteller hat auch Firewall-Lösungen für KMUs für relativ wenig Geld. Und allein so Features wie Länderfilterung, Webfilter oder SSL-Inspection saugen viel auf, bevor Geruch entsteht - sozusagen.
Was aber heute noch viel wichtiger ist, ist die Schulung der Mitarbeiter und vor allem der Chefs. Die meisten Vorfälle mit Hacking und Ransomware sind, wenn die Zahlen stimmen, zum Großteil auf Unvorsichtigkeit der Benutzer zurückzuführen.
Sprich wenn es nur eine FritzBox sein soll, dann sollte umso mehr Geld in Awareness-Training investiert werden.
Das kann man mit entsprechenden Softwärelösungen (für den deutschen Bereich z.B. Hornet Security) machen oder zur Not auch mit Hausmitteln abspeckt selber machen. E-Mail Vorlagen kann man mit Kenntnis mit interna vom Kunden leicht selber bauen, kleine Landing-Page, die Klicks anonym loggt und den Benutzer vorzugsweise drastisch erschreckt, Knopf in Outlook für "verdächtige Mail melden" gibts auch bei Tante Google. Dann hat man da schon mal eine solide Grundlage um die Mitarbeiter zu sensibilisieren.
Aus Sicht des Dienstleisters ist das auch nicht schlecht - kann man gut als Geschäftsfeld aufbauen und verkaufen.
Falls ein Kunde in jeder Hinsicht beratungsresistent ist, dann hilft nur, dass man sich schriftlich in deutlicher Sprache bestätigen lässt, dass man auf die Folgen hingewiesen hat - sonst hängt man als Mit-Verantwortlicher nämlich drin und haftet womöglich noch. Alternativ muss man dann auch überlegen, ob man den Kunden nicht besser aufgeben sollte. Denn wenn man ehrlich ist - wer heute kein Geld bei IT ausgeben will und gleichzeitig die IT überall im Zentrum des Geschäftsbetriebs steht, der ist eh kein guter Kunden und makelt vermutlich an jedem Euro auf der Rechnung rum, was unendlich viel unbezahlte Zeit verursacht, die für gute Kunden fehlt.
Dann lieber die Zeit in Akquise eines vernünftigen Kunden investieren.
Es ist halt eine relativ obskure Gefahr, die nicht greifbar ist und daher schwer vermittelbar ist.
Ich finde, die richtige Frage wäre eher: Was passiert, wenn ich gehackt werde und was kostet mich das dann?
Und da kommt man halt schnell in Bereiche, wo man feststellt, dass es bei vielen Firmen so ist, dass wenn da z.B. eine oder zwei Wochen die Systeme stehen, dass man dann zusperren kann. Von den Kosten für Forensik, evtl. Hardware-Neukauf, Bußgelder wegen DSGVO mal ganz abgesehen.
Ich finde allerdings auch, dass man es bei der Hardware nicht übertreiben muss, denn wenn jemand rein will, dann kommt er auch rein - egal was man da hat. Der Unterschied ist nur, ob der Chinese (oder Russe) seine Mittagspause kurz unterbricht oder der Angreifer wirklich Ressourcen einsetzen muss um einzubrechen. Sprich es gilt die Angriffsfläche zu minimieren und den Gelegenheitshack zu erschweren, so daß der Aufwand größer als der potentielle Nutzen ist.
Eine Fritzbox wäre mir auch bei kleinen Firmen zu wenig - jeder größere Hersteller hat auch Firewall-Lösungen für KMUs für relativ wenig Geld. Und allein so Features wie Länderfilterung, Webfilter oder SSL-Inspection saugen viel auf, bevor Geruch entsteht - sozusagen.
Was aber heute noch viel wichtiger ist, ist die Schulung der Mitarbeiter und vor allem der Chefs. Die meisten Vorfälle mit Hacking und Ransomware sind, wenn die Zahlen stimmen, zum Großteil auf Unvorsichtigkeit der Benutzer zurückzuführen.
Sprich wenn es nur eine FritzBox sein soll, dann sollte umso mehr Geld in Awareness-Training investiert werden.
Das kann man mit entsprechenden Softwärelösungen (für den deutschen Bereich z.B. Hornet Security) machen oder zur Not auch mit Hausmitteln abspeckt selber machen. E-Mail Vorlagen kann man mit Kenntnis mit interna vom Kunden leicht selber bauen, kleine Landing-Page, die Klicks anonym loggt und den Benutzer vorzugsweise drastisch erschreckt, Knopf in Outlook für "verdächtige Mail melden" gibts auch bei Tante Google. Dann hat man da schon mal eine solide Grundlage um die Mitarbeiter zu sensibilisieren.
Aus Sicht des Dienstleisters ist das auch nicht schlecht - kann man gut als Geschäftsfeld aufbauen und verkaufen.
Falls ein Kunde in jeder Hinsicht beratungsresistent ist, dann hilft nur, dass man sich schriftlich in deutlicher Sprache bestätigen lässt, dass man auf die Folgen hingewiesen hat - sonst hängt man als Mit-Verantwortlicher nämlich drin und haftet womöglich noch. Alternativ muss man dann auch überlegen, ob man den Kunden nicht besser aufgeben sollte. Denn wenn man ehrlich ist - wer heute kein Geld bei IT ausgeben will und gleichzeitig die IT überall im Zentrum des Geschäftsbetriebs steht, der ist eh kein guter Kunden und makelt vermutlich an jedem Euro auf der Rechnung rum, was unendlich viel unbezahlte Zeit verursacht, die für gute Kunden fehlt.
Dann lieber die Zeit in Akquise eines vernünftigen Kunden investieren.
Zitat von @Lochkartenstanzer:
full geht unter der Woch höchstens Freitags, wie @commodity schon sagte.
lks
Zitat von @2423392070:
Ja, statefull inspection firewall und auch statefull router.
Ja, statefull inspection firewall und auch statefull router.
full geht unter der Woch höchstens Freitags, wie @commodity schon sagte.
lks
Wie heißt es, wenn selbst der Provider Router keine Verbindung aufbauen kann?
Und bist du überhaupt vom Fach? Also ITler nicht Clown.
Die Frage ist ernst gemeint und ich weiß auch das du ebenfalls ahnungslos bist.
Also möchtest du die Frage beantworten?
Also möchtest du die Frage beantworten?
Zitat von @2423392070:
Wie heißt es, wenn selbst der Provider Router keine Verbindung aufbauen kann?
Und bist du überhaupt vom Fach? Also ITler nicht Clown.
Zitat von @Lochkartenstanzer:
full geht unter der Woch höchstens Freitags, wie @commodity schon sagte.
lks
Zitat von @2423392070:
Ja, statefull inspection firewall und auch statefull router.
Ja, statefull inspection firewall und auch statefull router.
full geht unter der Woch höchstens Freitags, wie @commodity schon sagte.
lks
Wie heißt es, wenn selbst der Provider Router keine Verbindung aufbauen kann?
Und bist du überhaupt vom Fach? Also ITler nicht Clown.
Ich habe schon Netzwerke und Firewalls gebaut als die meisten hier noch Quark waren. (İn den 80ern). Manche verstehen halt ironisch gemeinte Hinweise auf Schreibfehler nicht oder können damit nicht umgehen.
Auch in der IT muß nicht alles bierernst sein.
lks
PS: https://en.wiktionary.org/wiki/stateful
auch das du ebenfalls ahnungslos bist.
Ahnungslos vielleicht*.Aber wenigstens habe ich genug Intelligenz um nen Hinweis auf nen profanen Tippfehler als solchen zu erkennen!Also spring runter von
*) frei nach Cicero
Für jemanden, der weder die Fachtermini richtig schreiben kann, noch verstanden hat, was firewalling alles ausmacht
Davon abgesehen fehlt das Apostroph hinter "IT" und das Komma hinter "ler". Muss man kein Germanist für sein. IT'ler reicht völlig.
Viele Grüße, commodity
Wenn du kein HTTPS/SSL/TLS einsehen kannst, dann bringt die Firewalls nichts.
wird hier der Mund aber ordentlich voll genommen...Also ITler nicht Clown.
Dieses Forum beweist täglich, dass sich das überhaupt nicht ausschließt Davon abgesehen fehlt das Apostroph hinter "IT" und das Komma hinter "ler". Muss man kein Germanist für sein. IT'ler reicht völlig.
Viele Grüße, commodity
Die Fritzbox verhindert, das sich korrekt konfigurierte IPv6 Clients von außen erreichen lassen, wenn der nächste öffentliche Router die Adressen kennt oder anders die Clients aufgelöst werden können.
Das nennt man Statefull Router. Steht so on den offiziellen Papieren und jeder Netzwerker weiß was damit gemeint ist.
Auch weiß ein Netzwerker, dass die meisten IPv6 Konfigurationen in den Netzen hinter dem Router, alles andere als optimal konfiguriert sind in den meisten Fällen und lediglich ein IPv6 Standardfeature die Kommunikation verhindert. In Deutschland ist das Unwissen über über IPv6 besonders weit verbreitet und speziell die FB ist besonders oft damit unterwegs.
Alle zur Zeit laufenden Ramsomewares täuschen ihre Aktivität in z.b. https. Gibt es darüber Probleme, werden andere verschlüsselte Standardprotokolle untergebracht. Geht da nicht weiter ist der Angriff in alle Regel customized.
Ohne Einblick in SSL/TLS ist eine Firewall nutzlos im Jahr 2023.
Alle nennenswerten Betroffenen haben und hatten unzählige VLANs und eine bunte Mischung an Firewalls. Alle haben gemeinsam, dass sie über mangelnden Einblick in TLS und SSL erledigt waren.
Das BSI und die Kripo erklären dir übrigens ganz offiziell anhand eines Bildnissen mit Fischen im Tierhandel in unterschiedlichen Becken, dass VLANs nichts mit Sicherheit zu tun haben. Die Versicherungen sehen das auch.
Im Bildnis wird auch darauf verwiesen, dass eine reine Infrastruktur auf Hardware ohne VLANs auch nicht sicher ist, weil die Fische dann immer noch in den Becken sind.
Natürlich kann man den Kids hier erklären, dass das Filtern von Ports ausgehend Sicherheit verschafft. Jeder Programmier lacht sich dann schlapp.
Das nennt man Statefull Router. Steht so on den offiziellen Papieren und jeder Netzwerker weiß was damit gemeint ist.
Auch weiß ein Netzwerker, dass die meisten IPv6 Konfigurationen in den Netzen hinter dem Router, alles andere als optimal konfiguriert sind in den meisten Fällen und lediglich ein IPv6 Standardfeature die Kommunikation verhindert. In Deutschland ist das Unwissen über über IPv6 besonders weit verbreitet und speziell die FB ist besonders oft damit unterwegs.
Alle zur Zeit laufenden Ramsomewares täuschen ihre Aktivität in z.b. https. Gibt es darüber Probleme, werden andere verschlüsselte Standardprotokolle untergebracht. Geht da nicht weiter ist der Angriff in alle Regel customized.
Ohne Einblick in SSL/TLS ist eine Firewall nutzlos im Jahr 2023.
Alle nennenswerten Betroffenen haben und hatten unzählige VLANs und eine bunte Mischung an Firewalls. Alle haben gemeinsam, dass sie über mangelnden Einblick in TLS und SSL erledigt waren.
Das BSI und die Kripo erklären dir übrigens ganz offiziell anhand eines Bildnissen mit Fischen im Tierhandel in unterschiedlichen Becken, dass VLANs nichts mit Sicherheit zu tun haben. Die Versicherungen sehen das auch.
Im Bildnis wird auch darauf verwiesen, dass eine reine Infrastruktur auf Hardware ohne VLANs auch nicht sicher ist, weil die Fische dann immer noch in den Becken sind.
Natürlich kann man den Kids hier erklären, dass das Filtern von Ports ausgehend Sicherheit verschafft. Jeder Programmier lacht sich dann schlapp.
Ach die ganze Geschichte ufert wieder aus. Das ist der Mühe nicht Wert.
ich verbuche es unter full daneben
Und weil wir in einem Fachforum ja mit Quellen arbeiten (nicht wahr?), nur ganz kurz die Realität zum BSI-Grundschutz:
NET.1.1.A23 Trennung von Netzsegmenten:
Und weil wir in einem Fachforum ja mit Quellen arbeiten (nicht wahr?), nur ganz kurz die Realität zum BSI-Grundschutz:
NET.1.1.A23 Trennung von Netzsegmenten:
IT-Systeme mit unterschiedlichem Schutzbedarf SOLLTEN in verschiedenen Netzsegmenten platziert werden
Viele Grüße, commodityZitat von @commodity:
ich verbuche es unter full daneben
Und weil wir in einem Fachforum ja mit Quellen arbeiten (nicht wahr?), nur ganz kurz die Realität zum BSI-Grundschutz:
NET.1.1.A23 Trennung von Netzsegmenten:
ich verbuche es unter full daneben
Und weil wir in einem Fachforum ja mit Quellen arbeiten (nicht wahr?), nur ganz kurz die Realität zum BSI-Grundschutz:
NET.1.1.A23 Trennung von Netzsegmenten:
IT-Systeme mit unterschiedlichem Schutzbedarf SOLLTEN in verschiedenen Netzsegmenten platziert werden
Viele Grüße, commodity... MÜSSEN aber nicht. Man muss nicht alles machen, was das BSI empfiehlt. Wenn man es nicht macht, muss man aber gut darlegen können, warum es auch anders geht.
Das hier wird sich doch nicht in ein Forum für Liebhaber der Deutsche Sprache entwickeln ....
Grüße
lcer
Das BSI schreibt physische Trennung vor. Virtuelle Trennung gilt ausdrücklich nicht als die vorgeschriebene Trennung und ist explizit kein Sicherheitsmerkmal. Das es zur Sicherheit betragen kann, das ist offensichtlich.
Wenn kommuniziert werden kann und muss, dann ist der zu verfolgende Ansatzpunkt, zu verhindern, dass Software etwas kommuniziert, was nicht kommuniziert werden darf. Henne-Ei-Problem von der Ursache her gedacht.
Im echten Leben ist es zu deutlich über 99% eine Software die etwas macht, was sie nicht soll.
Mit Blick auf die Geschichte um das iranische Atomprogramm, das von den USA und Israel manipuliert wurde, kann man auch sehr gut grundsätzliche Fragen erörtern. Die Anlage war und ist komplett offline. Es gibt keine Internetverbindung und es ist im Haus alles über zig Ebenen separiert.
Die Schwachstelle waren die SPSen und das Unvermögen sichtbar zu machen, dass die Protokolle einen abweichenden Payload haben.
In Deutschland würde ein Wird oder Excel was runterladen und wenn es eine gezielte Attacke ist, dann wird über Drucker, Tischtelefone, BYOD oder IOT Hardware angegriffen. Alle diese Geräte interessieren sich nicht für VLANs oder Firewalls. Wie auch? Wie so sowas verhindern, dass eine Lücke in der Implementierung Code Ausführung zulässt?
Und wie bereits erwähnt IPv6 ist ein Feld, dass ganz neue Probleme bringt, weil es massiv an know how fehlt und auch viel Hardware im Umlauf ist die zum Himmel stinkt.
Über 10 Jahre alt und größtenteils unbekannt und unberücksichtigt: https://www.admin-magazin.de/Das-Heft/2012/04/Unbeachtete-IPv6-Features- ...
Somit wird jedes Windows/Linux/Mac zum Problem, wenn es sich richtig oder falsch verhält, je nach Perspektive und Rückständigkeit des VLAN-, Router- und FirewallAdmins.
Wenn kommuniziert werden kann und muss, dann ist der zu verfolgende Ansatzpunkt, zu verhindern, dass Software etwas kommuniziert, was nicht kommuniziert werden darf. Henne-Ei-Problem von der Ursache her gedacht.
Im echten Leben ist es zu deutlich über 99% eine Software die etwas macht, was sie nicht soll.
Mit Blick auf die Geschichte um das iranische Atomprogramm, das von den USA und Israel manipuliert wurde, kann man auch sehr gut grundsätzliche Fragen erörtern. Die Anlage war und ist komplett offline. Es gibt keine Internetverbindung und es ist im Haus alles über zig Ebenen separiert.
Die Schwachstelle waren die SPSen und das Unvermögen sichtbar zu machen, dass die Protokolle einen abweichenden Payload haben.
In Deutschland würde ein Wird oder Excel was runterladen und wenn es eine gezielte Attacke ist, dann wird über Drucker, Tischtelefone, BYOD oder IOT Hardware angegriffen. Alle diese Geräte interessieren sich nicht für VLANs oder Firewalls. Wie auch? Wie so sowas verhindern, dass eine Lücke in der Implementierung Code Ausführung zulässt?
Und wie bereits erwähnt IPv6 ist ein Feld, dass ganz neue Probleme bringt, weil es massiv an know how fehlt und auch viel Hardware im Umlauf ist die zum Himmel stinkt.
Über 10 Jahre alt und größtenteils unbekannt und unberücksichtigt: https://www.admin-magazin.de/Das-Heft/2012/04/Unbeachtete-IPv6-Features- ...
Somit wird jedes Windows/Linux/Mac zum Problem, wenn es sich richtig oder falsch verhält, je nach Perspektive und Rückständigkeit des VLAN-, Router- und FirewallAdmins.
Für mich noch etwas Nachhilfe, vielleicht knallt mir das BSI, das LKA, der Auditor ja die Taschen voll und können immer noch nicht dieses Forum hier aufrufen...
Wie hätte eine Firewall oder ein VLAN oder eine administrator.de-like High-End-Implementierung eine gefährliche Situation, die eine CVE heutzutage erhält, verhindert, beseitigt oder abgemildert?
Und warum gibt es die unzähligen Probleme eigentlich, wenn es VLANs und Firewalls gibt?
Ich möchte es gerne verstehen?
https://vuldb.com/
Und, warum sind fast ausschließlich unserer Vorfälle in SSL/TLS Traffic und nicht ein einziges Mal, dieses Jahr wird versucht eine beliebige Verbindung zu öffnen?
Heute, ganz aktuell, ist versucht worden per One Drive zu einer Universität in Asien etwas zu kopieren. Der Account des Studenten ist gehackt worden teilte die Universität mit.
Wie hätte eine Firewall oder ein VLAN oder eine administrator.de-like High-End-Implementierung eine gefährliche Situation, die eine CVE heutzutage erhält, verhindert, beseitigt oder abgemildert?
Und warum gibt es die unzähligen Probleme eigentlich, wenn es VLANs und Firewalls gibt?
Ich möchte es gerne verstehen?
https://vuldb.com/
Und, warum sind fast ausschließlich unserer Vorfälle in SSL/TLS Traffic und nicht ein einziges Mal, dieses Jahr wird versucht eine beliebige Verbindung zu öffnen?
Heute, ganz aktuell, ist versucht worden per One Drive zu einer Universität in Asien etwas zu kopieren. Der Account des Studenten ist gehackt worden teilte die Universität mit.
Hallo,
Du rollst die Sache von einem anderen Blickwinkel als ich auf. Aus Deiner Argumentation heraus drängts sich mir die Frage auf, die ich schon weiter ober und auch in anderen Threads aufgeworfen habe: Was nützt denn eine Firewall tatsächlich? Selbst wenn ich die TSL-Tunnel aufbreche - da finde ich doch nur was, wenn ich weiß, was ich darin suche (Muster, Protokolle etc.).
Ich würde da eher die Richtung Zero-Trust verfolgen. Jeder Client oder Server ist für sich selbst verantwortlich und läßt nur zu, was er selbst überprüft hat. Das setzt natürlich eine restriktive Client-Configuration voraus. Die meisten Firewalls sollen Serverdienste schützen, die über keine eigenen Schutzmaßnahmen verfügen.
Die Firewall wäre dann eigentlich nur das gedoppelte Sicherheitsnetz.
Bezüglich der Person vor dem Monitor: Am gefährlichsten sind Entwickler, gefolgt von Chefs. Dann kommen Benutzer und erst zum Schluss die Admins. Dafür muss man aber nicht die Netze trennen. Da würde ich die Geräte trennen.
Und wenn wir schon rumschwafeln. Angenommen man kann nur 1x Geld ausgeben - Was würdet Ihr machen? Eine Hardware-Firewall-IPS-System oder ein Endpoint-IPS-System?
Grüße
lcer
Zitat von @2423392070:
Für mich noch etwas Nachhilfe, vielleicht knallt mir das BSI, das LKA, der Auditor ja die Taschen voll und können immer noch nicht dieses Forum hier aufrufen...
Wie hätte eine Firewall oder ein VLAN oder eine administrator.de-like High-End-Implementierung eine gefährliche Situation, die eine CVE heutzutage erhält, verhindert, beseitigt oder abgemildert?
Und warum gibt es die unzähligen Probleme eigentlich, wenn es VLANs und Firewalls gibt?
Ich möchte es gerne verstehen?
https://vuldb.com/
Und, warum sind fast ausschließlich unserer Vorfälle in SSL/TLS Traffic und nicht ein einziges Mal, dieses Jahr wird versucht eine beliebige Verbindung zu öffnen?
Heute, ganz aktuell, ist versucht worden per One Drive zu einer Universität in Asien etwas zu kopieren. Der Account des Studenten ist gehackt worden teilte die Universität mit.
Für mich noch etwas Nachhilfe, vielleicht knallt mir das BSI, das LKA, der Auditor ja die Taschen voll und können immer noch nicht dieses Forum hier aufrufen...
Wie hätte eine Firewall oder ein VLAN oder eine administrator.de-like High-End-Implementierung eine gefährliche Situation, die eine CVE heutzutage erhält, verhindert, beseitigt oder abgemildert?
Und warum gibt es die unzähligen Probleme eigentlich, wenn es VLANs und Firewalls gibt?
Ich möchte es gerne verstehen?
https://vuldb.com/
Und, warum sind fast ausschließlich unserer Vorfälle in SSL/TLS Traffic und nicht ein einziges Mal, dieses Jahr wird versucht eine beliebige Verbindung zu öffnen?
Heute, ganz aktuell, ist versucht worden per One Drive zu einer Universität in Asien etwas zu kopieren. Der Account des Studenten ist gehackt worden teilte die Universität mit.
Du rollst die Sache von einem anderen Blickwinkel als ich auf. Aus Deiner Argumentation heraus drängts sich mir die Frage auf, die ich schon weiter ober und auch in anderen Threads aufgeworfen habe: Was nützt denn eine Firewall tatsächlich? Selbst wenn ich die TSL-Tunnel aufbreche - da finde ich doch nur was, wenn ich weiß, was ich darin suche (Muster, Protokolle etc.).
Ich würde da eher die Richtung Zero-Trust verfolgen. Jeder Client oder Server ist für sich selbst verantwortlich und läßt nur zu, was er selbst überprüft hat. Das setzt natürlich eine restriktive Client-Configuration voraus. Die meisten Firewalls sollen Serverdienste schützen, die über keine eigenen Schutzmaßnahmen verfügen.
Die Firewall wäre dann eigentlich nur das gedoppelte Sicherheitsnetz.
Bezüglich der Person vor dem Monitor: Am gefährlichsten sind Entwickler, gefolgt von Chefs. Dann kommen Benutzer und erst zum Schluss die Admins. Dafür muss man aber nicht die Netze trennen. Da würde ich die Geräte trennen.
Und wenn wir schon rumschwafeln. Angenommen man kann nur 1x Geld ausgeben - Was würdet Ihr machen? Eine Hardware-Firewall-IPS-System oder ein Endpoint-IPS-System?
Grüße
lcer
Gut. Du hast es aber verstanden.
Und ja, es geht um die Perspektive.
Dennoch sollte jeder versuchen nah an die Ursachen zu kommen.
Und wie gesagt, wenn du im Tierhandel stehst und dir die Fische in den Becken anguckst (VLAN), selbst Becken in Becken, dann stehst Du in dem Laden und siehst die Becken und Fische.
Wie viele Becken und Fische und wie geschachtelt ist dann egal.
Ich würde nicht zu sehr auf Server und Clients gucken. Das ist zu offensichtlich. Es ist in der Praxis das Tischtelefon oder der MFC.
Und ja, Zero Trust ist der richtige Weg.
Und auch richtig erkannt, jeder Programmierer mit Netzwerk-Know-Hiw lacht sich über die Diskussion hier schlapp, weil er sich NICs mit und ohne VLANs und mit oder ohne IOs einfach so in der Laufzeit erzeugt.
Firewalls die den Endpoint beeinflussen können sind eine schöne Sache.
Im Moment unsere Wahl: https://www.sonicwall.com/resources/datasheet/sonicwall-capture-client/
Wirklich schönes Konzept und Produkt.
Und ja, es geht um die Perspektive.
Dennoch sollte jeder versuchen nah an die Ursachen zu kommen.
Und wie gesagt, wenn du im Tierhandel stehst und dir die Fische in den Becken anguckst (VLAN), selbst Becken in Becken, dann stehst Du in dem Laden und siehst die Becken und Fische.
Wie viele Becken und Fische und wie geschachtelt ist dann egal.
Ich würde nicht zu sehr auf Server und Clients gucken. Das ist zu offensichtlich. Es ist in der Praxis das Tischtelefon oder der MFC.
Und ja, Zero Trust ist der richtige Weg.
Und auch richtig erkannt, jeder Programmierer mit Netzwerk-Know-Hiw lacht sich über die Diskussion hier schlapp, weil er sich NICs mit und ohne VLANs und mit oder ohne IOs einfach so in der Laufzeit erzeugt.
Firewalls die den Endpoint beeinflussen können sind eine schöne Sache.
Im Moment unsere Wahl: https://www.sonicwall.com/resources/datasheet/sonicwall-capture-client/
Wirklich schönes Konzept und Produkt.
Das BSI schreibt physische Trennung vor.
Wieder falsch.Selbes Dokument - erhöhter Schutzbedarf: NET.1.1.A31 Physische Trennung von Netzsegmenten
Abhängig von Sicherheitsrichtlinie und Anforderungsspezifikation SOLLTEN Netzsegmente physisch durch separate Switches getrennt werden.
Ich möchte es gerne verstehen?
Ist nicht so schwierig. Für den Anfang: Du kannst Dir sicher vorstellen, dass es einen Unterschied macht, ob ein erfolgreicher Angreifer sich in einem Teilnetz bewegt oder im gesamten Netz.... dann wird über Drucker, Tischtelefone, BYOD oder IOT Hardware angegriffen. Alle diese Geräte interessieren sich nicht für VLANs oder Firewalls.
Nicht? Ich setze VLANS auch (gerade) für Telefonie, Drucker und IoT ein. Ist doch selbstverständlich. Gerade diese Geräte werden doch gern "vergessen".Aber nun haben wir das ja geklärt:
Das es zur Sicherheit betragen kann, das ist offensichtlich.
Genauso offen sichtlich ist, dass man die Sicherheit mit Layer7-Firewalling erhöht. Das stand auch nie infrage.VLANs und Firewalls sind und bleiben selbstverständliche Grundlagen eines Schutzkonzeptes. Nicht mehr und nicht weniger. Der Rest sind Abwägungsfragen mit einer Vielzahl von Parametern.
Viele Grüße, commodity
@commodity die Meinung von unbelanglos wirst du nicht mehr ändern. Das haben sooo viele andere Threads schon gezeigt.
Zitat von @commodity:
Selbes Dokument - erhöhter Schutzbedarf: NET.1.1.A31 Physische Trennung von Netzsegmenten
Das BSI schreibt physische Trennung vor.
Wieder falsch.Selbes Dokument - erhöhter Schutzbedarf: NET.1.1.A31 Physische Trennung von Netzsegmenten
Abhängig von Sicherheitsrichtlinie und Anforderungsspezifikation SOLLTEN Netzsegmente physisch durch separate Switches getrennt werden.
Ja, physische Trennung. Füsisch nicht virtuell.
Aber gut, lassen wir das, meine Meinung ändert das wirklich nicht.
statefuLL firewall
soLLte
soLLte
@commodity
Langsam kristallisiert sich ein Muster heraus! füßisch und virtuell 😂
Moin...
das tut das BSI selber nicht....
bei IOT etc. macht es nur sinn, wenn die kumunikation Isoliert ist!
Aber nun haben wir das ja geklärt:
VLANs und Firewalls sind und bleiben selbstverständliche Grundlagen eines Schutzkonzeptes. Nicht mehr und nicht weniger. Der Rest sind Abwägungsfragen mit einer Vielzahl von Parametern.
das witzige an VLANs und deren Sicherheit ist, kommste zu einen Kunden, der erzählt dir stolz, das 12 VLans vorhanden sind- aber alle Kommunizieren miteinander zu 100%
Sicher ist Sicher
Viele Grüße, commodity
Frank
Zitat von @commodity:
Selbes Dokument - erhöhter Schutzbedarf: NET.1.1.A31 Physische Trennung von Netzsegmenten
äh ja... ist ja Nett, und Netzwerktechnich sinvoll, besonders bei großen installationen, allerdings zur sicherheit tragen VLAN s und separate Switche nur bei, wenn die teilnehemer keine Kummunikation unternander haben!Das BSI schreibt physische Trennung vor.
Wieder falsch.Selbes Dokument - erhöhter Schutzbedarf: NET.1.1.A31 Physische Trennung von Netzsegmenten
Abhängig von Sicherheitsrichtlinie und Anforderungsspezifikation SOLLTEN Netzsegmente physisch durch separate Switches getrennt werden.
Ich möchte es gerne verstehen?
Ist nicht so schwierig. Für den Anfang: Du kannst Dir sicher vorstellen, dass es einen Unterschied macht, ob ein erfolgreicher Angreifer sich in einem Teilnetz bewegt oder im gesamten Netz.
soweit ist das auch richtig, ein VLAN für Telefonie macht sinn ab 15-20 Teilnehmer- hat aber nix mit Sicherheit zu tun, sondern eher mit QoS und DHCP für die Endgeräte!... dann wird über Drucker, Tischtelefone, BYOD oder IOT Hardware angegriffen. Alle diese Geräte interessieren sich nicht für VLANs oder Firewalls.
Nicht? Ich setze VLANS auch (gerade) für Telefonie, Drucker und IoT ein. Ist doch selbstverständlich. Gerade diese Geräte werden doch gern "vergessen".bei IOT etc. macht es nur sinn, wenn die kumunikation Isoliert ist!
Aber nun haben wir das ja geklärt:
Das es zur Sicherheit betragen kann, das ist offensichtlich.
Genauso offen sichtlich ist, dass man die Sicherheit mit Layer7-Firewalling erhöht. Das stand auch nie infrage.VLANs und Firewalls sind und bleiben selbstverständliche Grundlagen eines Schutzkonzeptes. Nicht mehr und nicht weniger. Der Rest sind Abwägungsfragen mit einer Vielzahl von Parametern.
Sicher ist Sicher
Viele Grüße, commodity
Frank
Bevor man bei Kleinstunternehmen mit dem BSI kommt, könnte man doch eher das VDS10005 hernehmen.
Das erlaubt auch die Abweichung von Empfehlungen, muss aber durch Geschäftsführer begründet sein.
Zumindest aber kannst du Anhand dessen ggf. deine Funde dokumentieren. Gleichzeitig erstellst du das VLAN-Konzept mit der KMU und die Vorteile.
=> Zur Ausgangssituation:
Fritz.box als alleinige Sicherheitsmaßnahme? Mh ja - Gab ja auch mal Zeiten, da hingen Windows Server direkt am Modem.
Aber: Ein Firewall / KMU (was auch immer) ist nicht DER (einzige) Punkt zur Absicherung des Netzwerkes. Zumindest kann man schon mal mittels DNS-Filter (z.B. OpenDNS), altmodisch Proxy mit Inhaltsfilter, klassische Endpointfirewall etc ein gutes Stück dazu beitragen, das es etwas mehr Sicherheit gibt.
Zusätzlich kannst du mittels VMs sonst auf dem Server ein "Teilnetz" implementieren. (Virtueller Router -> inter. virtuelles Lan <- Serverdienste) sofern Virtualisierung möglich.
Immerhin, der Angreifer braucht nur eine offene Tür, wir IT Mitarbeiter müssen aber 65000+Layer8 geschlossen halten.
Das erlaubt auch die Abweichung von Empfehlungen, muss aber durch Geschäftsführer begründet sein.
Zumindest aber kannst du Anhand dessen ggf. deine Funde dokumentieren. Gleichzeitig erstellst du das VLAN-Konzept mit der KMU und die Vorteile.
=> Zur Ausgangssituation:
Fritz.box als alleinige Sicherheitsmaßnahme? Mh ja - Gab ja auch mal Zeiten, da hingen Windows Server direkt am Modem.
Aber: Ein Firewall / KMU (was auch immer) ist nicht DER (einzige) Punkt zur Absicherung des Netzwerkes. Zumindest kann man schon mal mittels DNS-Filter (z.B. OpenDNS), altmodisch Proxy mit Inhaltsfilter, klassische Endpointfirewall etc ein gutes Stück dazu beitragen, das es etwas mehr Sicherheit gibt.
Zusätzlich kannst du mittels VMs sonst auf dem Server ein "Teilnetz" implementieren. (Virtueller Router -> inter. virtuelles Lan <- Serverdienste) sofern Virtualisierung möglich.
Immerhin, der Angreifer braucht nur eine offene Tür, wir IT Mitarbeiter müssen aber 65000+Layer8 geschlossen halten.
Zitat von @Vision2015:
... zur sicherheit tragen VLAN s und separate Switche nur bei, wenn die teilnehemer keine Kummunikation unternander haben!
Die Kenntnis dieses Umstandes darf in einem Administratorforum (zumal der Thread sich um Firewalls dreht, nicht um Switche) hoffentlich erwartet werden ... zur sicherheit tragen VLAN s und separate Switche nur bei, wenn die teilnehemer keine Kummunikation unternander haben!
VLAN für Telefonie macht sinn ab 15-20 Teilnehmer- hat aber nix mit Sicherheit zu tun
Telefonie ist immer noch ein beliebtes Angriffsziel, da man mit einem Hack direkt leichtes Geld verdienen kann (soweit nicht die Provider selbst Schutz aufbauen). Deshalb exponiere ich die Telefonie ungern ins User-LAN.Das BSI lassen wir besser raus, da bin ich ganz bei Dir. Die Links dienten nur zur Klarstellung, weil ein Kollege hier seine unzutreffende Position als die des BSI dargestellt hat. Wie sich heraus gestellt hat, beruht dies auf mangelnden Lesekompetenzen und kann als geklärt gelten
Viele Grüße, commodity
Moin...
Das BSI lassen wir besser raus, da bin ich ganz bei Dir. Die Links dienten nur zur Klarstellung, weil ein Kollege hier seine unzutreffende Position als die des BSI dargestellt hat. Wie sich heraus gestellt hat, beruht dies auf mangelnden Lesekompetenzen und kann als geklärt gelten
Viele Grüße, commodity
Frank
Zitat von @commodity:
ich weiß das, du weißt das... aber ob das wirklich alle wissen!?!?!?!? das stelle ich ernsthaft in frage Zitat von @Vision2015:
... zur sicherheit tragen VLAN s und separate Switche nur bei, wenn die teilnehemer keine Kummunikation unternander haben!
Die Kenntnis dieses Umstandes darf in einem Administratorforum (zumal der Thread sich um Firewalls dreht, nicht um Switche) hoffentlich erwartet werden ... zur sicherheit tragen VLAN s und separate Switche nur bei, wenn die teilnehemer keine Kummunikation unternander haben!
VLAN für Telefonie macht sinn ab 15-20 Teilnehmer- hat aber nix mit Sicherheit zu tun
Telefonie ist immer noch ein beliebtes Angriffsziel, da man mit einem Hack direkt leichtes Geld verdienen kann (soweit nicht die Provider selbst Schutz aufbauen). Deshalb exponiere ich die Telefonie ungern ins User-LAN.Das BSI lassen wir besser raus, da bin ich ganz bei Dir. Die Links dienten nur zur Klarstellung, weil ein Kollege hier seine unzutreffende Position als die des BSI dargestellt hat. Wie sich heraus gestellt hat, beruht dies auf mangelnden Lesekompetenzen und kann als geklärt gelten
Viele Grüße, commodity
Frank