Mit VLAN höhere Sicherheit ?

Einfach die OSI-Layer durcharbeiten, VLANs auf Layer2 schaffen die Grundvoraussetzung für die logische Netztrennung. ACLs auf Layer3 und 4 schränken den Zugriff dann ein.

Hallo,

verstehe "einhergehen" wörtlich: Beides tritt gemeinsam auf, ohne dass VLANs die Ursache der Sicherheit sind.

Gemeint ist in der Regel der Sicherheitsgewinn eines segmentierten Netzes, bei dem die Netze außerdem durch Firewalling getrennt sind, gegenüber einem nicht segmentierten Netz. VLANs sind nur der häufig anzutreffende, effizente Weg, diese Segmentierung umzusetzen. Sie sind grundsätzlich weniger sicher als die physische Segmentierung, weil sie die Zahl der Geräte, die hinsichtlich der Gewährleistung der Segmentierung vertrauenswürdig sein müssen, vervielfachen.
Weil die physische Segmentierung an einem Router selten und umständlich ist, bedeutet im Umkehrschluss die Abwesenheit von VLANs gewöhnlich einen Mangel an Segmentierung, der unsicher ist.

Grüße
Richard

Moin,

VLANs sind wie zwei physisch getrennte Netze („Switche“) zu betrachten, auch wenn es tatsächlich nicht so ist und man durch Manipulation der Datenpakete das aushebeln könnte.

Folglich bieten zwei getrennte „Switche“ durchaus einen Sicherheitsgewinn.
Denn die Geräte sehen nur das, was sich in der selben Layer2-Domain befindet. Selbst, wenn in dieser Domain verschiedene IP-Netze etabliert werden (sollte man vermeiden), sieht ein Client aus dem IP-Netz a) den Client aus dem IP-Netz b).

Die Schwachstelle tritt bei VLANs dann ggf. am routenden Device auf, wenn dort die Policies zu lasch definiert wurden.

Gruß
em-pie

Moin,


Beispiele aus der Praxis:
Ein Drucker spinnt und sendet solchen Unsinn ins Netz, dass er es runterreißt. Kein Netzverkehr mehr möglich. Ohne VLAN kann keiner mehr arbeiten. Mit VLAN bleibt der Unsinn wenigstens im Druckernetz und nur das geht nicht mehr. Es kann zwar keiner mehr drucken. Aber da ja auch der Übeltäter schnell identifiziert werden kann (man schaltet einfach alle Drucker nacheinander aus und guckt, ob's dann wieder geht), ist das auch kein großes Problem.

Ein Kollege fängt sich einen Verschlüsselungstrojaner ein. Ohne VLAN hat er direkten Zugriff auf den Fileserver und der Trojaner fängt fröhlich an zu verschlüsseln. Nicht gut. Mit VLAN fängt die Firewall zwischen dem User-VLAN und dem Server-VLAN das (hoffentlich) ab und es entsteht mehr Schaden an der Ehre des Users als am System.

In der Forschungsabteilung sind die Rechner so einzurichten, dass ein Zugriff auf das Internet unmöglich ist. Dennoch sollen die Kollegen lesend auf den allgemeinen Fileserver zugreifen können. Auch dann nur lesend, wenn sie außerhalb des Labors schreibenden Zugriff haben. Ein Datenabfluss auch in das eigene Firmennetz ist vollkommen zu unterbinden. Ohne VLAN? Ich würde mal sagen unmöglich. Mit VLAN? Kein größeres Problem.

Oder mal theoretisch ausgedrückt: Das mehr an Sicherheit durch VLANs entsteht dadurch, dass ich ohne VLAN keine auf dem Layer 3 und darüber aktiven Netzwerkkomponenten haben außer den NICs selbst. Ich kann also den Datenfluss nicht oberhalb vom Layer 2 kontrollieren. In einem IP-Netzwerk schicken sich die NICs die Pakete direkt zu. Allenfalls kann ich nur bestimmte MAC-Adressen zulassen. Aber das ist reine Makulatur. Eine MAC-Adresse faked Dir heute jeder Dreizehnjährige.

Wenn ich aber die Netze voneinander trenne in eine Druckerzone, eine oder mehrere Client-Zonen, eine oder mehrere Server-Zonen und eine oder mehrere demilitarisierte Zonen (DMZ), dann kann ich zwischen diese Zonen mit Hilfe des Firewallings den Datenfluss kontrollieren und nur das zulassen, was auch wirklich erlaubt ist. Ich kann auf meinem Webserver aus der Admin-Client-Zone heraus alles machen, was ich will. Da er aber in der DMZ steht - schließlich ist bei einem Webserver die Angriffsfläche ziemlich groß, ist die Firewall so eingestellt, dass sie ins interne Netz nichts durchlässt als https. Alles andere ist verboten. Kapert dann jemand meinen Webserver - das kann dem besten Admin passieren - dann muss der Angreifer noch mindestens eine, wenn nicht gar mehrere Firewalls überwinden, bis er dann mal in den wirklich sensiblen Teilen des Netzes ist.

Aber Deine Rückfrage ist durchaus berechtigt. Nur durch das Aufteilen in VLANs erreicht man kein Mehr an Sicherheit. Wenn man dann nicht ein vernünftiges und den Anforderungen entsprechendes Firewall-Konzept hat und doch wieder alles zwischen den VLANs zulässt, dann kann man das auch lassen.

Liebe Grüße

Erik

Grundsätzlich wohl nicht. So ist ja auch der Ransomware-Schutz von Windows ausgelegt. Das gilt aber nur, solange der Trojaner nicht an höhere Rechte gelangt. Dies wird im Regelfall das Ziel sein.

Das Beispiel Fileserver ist dennoch nicht besonders gut gewählt, denn der infizierte Kollege hat ja schon Zugriff auf den Fileserver. Dieser müsste also einen Virenschutz haben, der über den des Clients hinausgeht. Das VLAN schützt aber vor dem Trojaner des Kollegen B, der z.B. die Buchhaltung im anderen Netz macht.

Ich finde es oben sehr gut beschrieben: VLAN (bzw. Netztrennung) ist die Voraussetzung für ein durch (weiteres) Firewalling geschütztes Netz.

Viele Grüße, commodity

VLAN bringt mehr Sicherheit und Perfomance.
Wichtig wie du gesagt hast, spielt hier ACL eine fundamentale Rolle. Wenn man in den IT-Zeitschriften von VLAN redet , meint mann auch indirekt die Kontrolle, wer wie was machen darf und das regelt man über die Firewall /ACL.

vg

decehakan

Die Frage ist dohc was du unter "Sicherheit" verstehst. Denn: Erst mal bringt das VLAN nur soviel Sicherheit wie es zwei getrennte Switches auch tun würden (nen tick weniger ggf.). Sofern du da keinen Router zwischenpackst sind es getrennte Netze. D.h. du kannst nicht aus Netz A nach B oder umgekehrt.

Das ist aber ja nicht der normalfall. Der NF wäre: Du willst natürlich Traffic zulassen - z.B. ist A das Server-Netz, B das Client-Netz, C das Drucker-Netz,... DANN bringt es erst mal keine Sicherheit mehr - wenn dein Router/Firewall dann sagt "lass alles durch, ich mach die Augen zu" hast du nur nen wirklich minimalen Gewinn (Broadcasts gehen nich durch...). Super, viel Geld für ne elektrische Heizung... WENN du aber jetzt der Firewall sagst das z.B. von dem Netz B nur bestimmte Ports oder Applikationen auf A dürfen, von B nach C gar nix (Und A nach C nur auf den Druckerports) siehts anders aus. Dann hast du z.B. nur die Dateifreigabe erlaubt - und somit wird jeder Angriff auf RDP schon deutlich schwerer... Oder aus nem "Gast-Netz" D wo du nur ins Internet darfst - aber per FW-Regel auf keinerlei andere Netze kommst,... Aber: Die Sicherheit kommt eben nicht durchs VLAN - die Sicherheit kommt davon wie du die Verbindung ZWISCHEN den Netzen machst. Ob es jetzt wirklich getrennte Switches oder VLANs sind spielt erst mal keine Rolle...

Und nein - VLANs an sich bringen auch nicht mehr performance - wie auch, da muss ja etwas zwischen routen. Die Performance würde ein vernünftiges IP-Design bringen. Aber dem Switch is es herzlich egal - selbst wenn ich alles in VLAN 1 packe und z.B. 20 Stationen auf 192.168.1.1/24 , 20 auf 192.168.2.1/24 usw. bringe... Den Broadcast auf 192.168.1.255 würden trotzdem nur die ersten 20 Stationen beachten, die anderen würden den gepflegt ignorieren... Der Gewinn den man da durch nen VLAN hat ist wohl eher theoretischer Natur... Es steigert aber natürlich die Übersichtlichkeit wenn man das ganze dann trennt (und ich würde jeden Admin feuern der sowas heute noch in einem VLAN baut...)

Moin Enrixk,

VLAN benötigst du meistens dann, wenn du über denselben/dieselben Switch(e) zwei oder noch mehr logische (untereinander getrennte) Netze aufbauen möchtest. Zum Beispiel ein Netz für die Server (IP-Segment A), ein weiteres für die Clients (IP-Segment B), eines für die Drücker (IP-Segment C) und noch eins z.B. für das VoIP Geraffel (IP-Segment B), u.s.w.

Alleine nur mit V-LAN trennst du aber nur die Gerätegruppen untereinander auf, sprich die Server befinden sich in einem eigenen Netzsegment und können in diesem weiterhin ungehindert untereinander kommunizieren, dabei können die Server aus Ihrem V-LAN per default jedoch nicht mit den Clients sprechen, die sich diese in Ihrem eigenen V-LAN befinden und dadurch erstmal vollständig von den Servern abgeschottet sind.

Möchtest du nun bei einem V-LAN segmentierten Netz, dass die Clients aus dem Segment B mit den Servern aus dem Segment A kommunizieren können, dann muss als nächstes für beide Segmente untereinander ein Routing eingerichtet werden und genau bei diesem Punkt fängt die Geschichte mit V-LAN und Sicherheit erst richtig an. Das Gerät welches für das Routing zwischen den V-LAN Segmenten verantwortlich ist, ist schlussendlich auch für die Sicherheit des Gesamtkonstrukts verantwortlich. Sprich, wenn man die V-LAN am Ende des Tages einfach über einen Switch routet und oder per FireWall und any zu any über any verknüpft, dann kann man sich die Netzsegmentierung, zumindest aus Sicherheitssicht gesehen, eigentlich auch komplett sparen!

Wenn du bei einer Netzsegmentierung Sicherheit haben möchtest, dann kommst du nicht drumherum für das Routing der Netze untereinander eine Next Generation Firewall zu nehmen und ein der Benutzung entsprechendes und meist komplexeres Regelwerk aufzubauen, + IPS + ATP & Co. KG.

Ferner schützt dich ein segmentiertes Netzt auch nicht wirklich vor einer Verschlüsselung. Sollte der Angreifer z.B. an die Zugangsdaten eines privilegierten Users kommen, dann kann er mit diesen auch durch die Segmentierung/Firewall hindurch verschlüsselungstechnisch meistens sehr viel Schaden anrichten. Eine korrekte Segmentierung hilft jedoch z.B. die Gefahr einzudämmen, dass Angreifer bei einer erfolgreichen Attacke, Hintertüren quer über die gesamte Umgebung verteilen kann oder Zugriff auf ganz kritische Systeme bekommt, wie z.B. die Managementumgebung eines Hyper-V oder VMware Clusters.

By The Way, wenn du dich effektiver gegen Verschlüsselung schützen möchtest, dann solltest du in erster Linie Produkte wie Sophos Intercep X oder ähnlich anschauen und vor allem auf ein tägliches Backup der Daten achten, am besten auf ein vom Rest des Systems abgeschottetes Backupsystem. 😉

Falls es dir mit der Segmentierung ernst ist und du ein sehr hohes Level an Sicherheit haben möchtest, dann empfehle ich dir wärmstens einen Blick auf „PRIVATE V-LAN“ zu werfen. Hiermit kannst du noch granularer und vor allem auch innerhalb desselben IP-Segments reglementieren. 😎

Aber gleich im Voraus, PRIVATE-VLAN ist die absolute Oberliga. Das gilt sowohl für die dazu notwendigen Geräte (Switche) als auch für die Implementierungskomplexität.

Generell solltest du bei dem Thema Netzsegmentierung auf das deine Anfrage am Ende hinausläuft, nicht auf die leichte Schulter nehmen. Sowohl die Implementierung als auch der spätere Betrieb sind sehr zeitfressend und benötigen auch die entsprechende Kompetenz.

Wenn ein Unternehmen weder über genügend freie ITler Kapazitäten und oder die entsprechenden Kompetenzen für eine Netzsegmentierung verfügt, dann sollte es mit diesem Thema, meiner Meinung nach am besten erst gar nicht anfangen. Da ist schnell mehr kaputt gemacht, als man eigentlich gut machen wollte.

Beste Grüsse aus BaWü

Alex

Interessefrage:
Ist das Theorie oder angewendete (best) practice? Ab welcher Unternehmensgröße? Welcher Unternehmenstyp?
Wenn ich zwischen die Clients und die zugehörigen Server eine NG-Firewall packe, muss diese ja erhebliche Leistung drauf haben, um das ganze Routing zu bewältigen. Ansonsten wird das Arbeiten etwas gemütlicher Davon abgesehen, dass ich da je nach usecase auch vergleichsweise oft am Nachjustieren der Firewall wäre. Hab ich nicht besser im Normalfall einen Abteilungsserver im selben VLAN und lediglich etwaige zentrale Server hinter der Firewall?
Meine Devise war bislang immer: So wenig wie möglich zwischen Clients und zugehörigen Server, dafür ein ordentliches (und getrenntes) Backup. Falsch?

Viele Grüße, commodity

Moin,


Nein, natürlich nicht, wenn die Rechte alle richtig vergeben wurden. Aber es muss ja nicht immer die Dame vom Empfang sein, die an so gut wie nichts die Rechte hat. Es kann auch mal eine Leitungskraft mit richtig vielen Rechten erwischen.


Es ist ein sehr gut gewähltes Beispiel, da es direkt aus der Praxis stammt. Firma A mit VLAN und entsprechender Firewall zwischen dem Server- und dem Client-Segment: Rechner hinüber und der User geknickt. Mehr nicht. Die FW hat die Verschlüsselung des Fileservers unterbunden. Firma B ohne Segmentierung: Leitungskraft ist betroffen. Trojaner verschlüsselt mal eben fast alle Dateien auf dem Fileserver. Anderthalb Tage Arbeit in der gesamten Firma verloren gegangen.

Klar, um den Fall A zu haben, muss man im Vorfeld einiges tun. Aber es lohnt sich am Ende des Tages.

Liebe Grüße

Erik

Hallo,


Ja klar. Works as designed


wenn du berechtigt bist ist das ja auch so gewollt ... oder schlecht konzeptioniert.
Wenn du nicht berechtigt bist aber zutritt zu diesem Port hast ist das Sicherheitskonzept für das Netzwerk mangelhaft.

Ein Trennung von Netzen durch VLAN's ist noch lange kein Sicherheitskonzept sondern nur eine der vielen sinnvollen Möglichkeiten die man nutzen kann und sollte.

brammer

Moin commodity,


ist bei uns mehrfach gelebte Praxis.


Sinn macht es durchaus auch bei kleineren Betrieben, die sind durch die bösen Jungs da draussen grundsätzlich genauso gefährdet, wie auch die grösseren Betriebe. Die Frage ist weniger ob eine Netzsegmentierung sinnvoll ist, sondern eher, ob sich das entsprechende Unternehmen die Netzsegmentierung sowohl Finanziell als auch Kompetenztechnisch leisten kann.


Das Routing selbst frisst auf einer guten NGFW eigentlich nicht viel Leistung, was eher an die Leistung geht sind die erweiterten Schutzfunktionen wie AV, IPS oder ATP. Und hier machen die meisten FW-Verantwortlichen einen riesigen Fehler, in dem sie z.B. alle IPS Prüfregeln immer auf jegliche Kommunikation anwenden. Ja, ist einfacher und die FW Regeln sind schneller geschrieben, aber dann darf man sich über eine ständig leistungsbedingt einknickende FW auch nicht besonders wundern.


Ja, das ist meistens die Auswirkung, wenn man übereilt und oder mit nicht ausreichendem Wissen an die Sache herangeht. 😔


Ja, das ist korrekt, das Firewall Regelwerk ist bei solchen Projekten definitiv eines der grössten Kapazitätsfresser. Das gilt sowohl für die Implementierungsphase als auch für den späteren Betrieb.


Sicherheitstechnisch nein, da du ohne eine Firewall zwischen den Clients und den Servern nicht wirklich siehst was diese untereinander Treiben und in einem Ernstfall auch nicht so einfach dazwischen gehen kannst. Und im schlimmsten Fall erkennst du einen Angriff erst zu spät oder gar nicht.

Nicht jeder Cyber-Angriff endet am Ende des Tages in einer Verschlüsselung und einer Lösegeldforderung. Viele Angriffe sind auch auf Spionage und oder Sabotage ausgelegt und das sind genau die, die viele übersehen, weil hier die Angreifer gewollt nicht in das Tagesgeschehen des Betriebes eingreifen, um schlichtweg nicht vorzeitig aufzufliegen.


Aus Sicht der Performance gibt es nichts Besseres.
Aus Sicht der Sicherheit gibt es nichts Schlimmeres.

Das ist heutzutage Mindestpflicht, wird aber leider auch noch sehr häufig verschlafen.


Beste Grüsse aus BaWü

Alex

Danke Alex @MysticFoxDE für die plausible Erläuterung. So kann ich den Ansatz nachvollziehen.

Sehe ich das richtig, dass wir da schon bei 10 Arbeitsplätzen von einem Budget von jährlich > 5000 EUR für den Firewallbereich sprechen (HW-Abschreibung+Einrichtung-Abschreibung+lfd. UTM-Updates+Monitoring+lfd. Administration)? Eher das Doppelte und mehr? Je weitere 10 Arbeitsplätze steigt das dann zwar nicht linear, aber doch nicht unerheblich.

So ein Gerät muss ja schon ganz ordentlich Power haben, taugliche Firewall-Admins sind ja auch nicht gerade verbreitet. IDS/IPS-Administratoren noch weniger. Und dass ein IDS/IPS Monitoring und Administration braucht, steht wohl außer Frage - richtig? Und dass das nicht der "Dienstleister um die Ecke" macht auch, oder?

Hand aufs Herz, in der Realität wird im KMU-Bereich (wenn überhaupt) meist ein teures Gerät mit Lizenzabo verkauft, mehr oder (meist) weniger ersteingerichtet und dann "vergessen". Was Probleme macht, wird abgeschaltet oder gleich nicht verwendet. Am Ende macht die teuere UTM-Firewall dann das VPN (und das auch oft noch auf altem Softwarestand). Das ist viel Geld für teures Snakeoil, das man an anderer Stelle in Sicherheit stecken könnte.

Ich stimme Dir vollauf zu, dass VLAN-Firewalling (mit IPS/AV) für einen spezifischen Kundenkreis durchaus wünschenswert sein kann. Für den breiten Durchschnitt der KMUs wird der vermittelte Schutz aber nicht im Verhältnis zum Aufwand stehen. Zumal VLAN-Firewalling ja nicht der einzige Schutzvektor wäre. Letztlich hängt es wohl hauptsächlich am Schutzbedarf/Wert der Daten. Und an dessen realistischer Einordnung. Falsch?

Viele Grüße, commodity

Hi commodity,


Ich beantworte die Frage mal so. Einer unserer Kunden (ca. 400 MA) hat in die Segmentierung bereits mehr als 500K (Grossteil nicht bei uns) reingesteckt und ist noch Meilenweit von der Fertigstellung entfernt.



Das ist korrekt, jeder zusätzliche Arbeitsplatz verursacht zusätzlichen Aufwand, auch im Bereich der IT-Sicherheit. Und je nach realisiertem Sicherheitslevel, ist dieser stellenweise alles andere als Unerheblich.


Das ist bei einem gut aufgebauten Regelwerk eher das kleinere Problem.



Das ist schon eher treffender. Gute IDS/IPS-Administratoren wachsen nicht nach Bedarf auf den Bäumen und die sehr guten sind mindestens so rar, kostbar und schwer auszubuddeln wie die Diamanten. Und der Kampf der mittlerweile um diese Spezies geführt wird, ist gefühlt mindestens genauso schmutzig. 😔



👍👍👍 jup, das ist absolut korrekt. Das Thema mit dem Monitoring betrifft jedoch nicht nur das Thema Netzsegmentierung, sondern generell jegliche IT-Sicherheitsinfrastruktur. Und hier vertrete ich auch eine sehr eindeutige Stellung, wenn man nicht die Kompetenz oder die Kapazität zum anständigen Monitoring hat, dann kann man sich ein grossteil des verwendeten Sicherheitsgeraffels meistens auch gleich im Vorfeld sparen.



Ich sehe schon, du besitzt auch schon einiges an praktischer Erfahrung. 😁
Ja das ist in der Tat bei vielen Installationen der Fall. Aber wenn man genauer Hinschaut, dann liegt der Fehler nicht in der Sicherheitslösung an sich, sondern eher in der Tatsache, dass sich der Betreiber der Sicherheitslösung, entweder bei der dafür notwendigen Kapazität und oder bei der Kompetenz, selbst leicht ins Knie geschossen hat.

Eine NGFW ist durchaus mit einem Supercar zu vergleichen.
Entweder du beherrscht das Ding oder es passiert schnell das Folgende
https://www.youtube.com/watch?v=tpnqarZWKd4



Spezifisch ist gut, ich sehe die Notwendigkeit bei einem Grossteil der Industriebetriebe, beim kompletten Gesundheitssektor, den Behörden und vielen weiteren Branchen.



Wenn die Schutzmaßnahmen nicht sauber implementiert wurden und auch nicht dauerhaft gepflegt und gemonitort werden, dann auf jeden Fall. Wenn die Anlage jedoch korrekt in Betrieb genommen worden ist und auch anständig gepflegt und auch überwacht wird, dann hat der Kunde durch diese, durchaus auch einen sehr grossen Nutzen.
Die wichtigste Frage, die sich ein Unternehmen betreffend der IT-Sicherheit heutzutage stellen muss ist nicht, ob es sich die entsprechende Sicherheitsarchitektur leisten kann, sondern viel mehr, ob es sich wirklich leisten kann, diese nicht einzusetzen.

Ich habe in den letzten Jahren durch diverseste Branchen hindurch schon duzende Kinder aus dem Brunnen holen müssen. Du willst es gar nicht wissen was es die Betriebe kosten kann, wenn sie in diesem Bereich bisher zu sehr gepennt und oder die falschen Entscheidungen getroffen haben.



Nicht der Einzige aber ein definitiv ein sehr entscheidender.



Es geht bei der ganzen Sache nicht nur um den Schutz der Daten.
Auch wenn z.B. die Daten DSGVO technisch absolut unkritisch sind und auch geheimnismässig diesen nichts Wertvolles zu entlocken ist, wenn das Unternehmen ohne dieses Daten nicht weiterarbeiten kann, dann hat es am Ende des Tages dennoch ein riesiges und manchmal leider auch ein für dieses tödlich ausgehendes Problem.


Beste Grüsse aus BaWü

Alex

Danke Alex @MysticFoxDE für die anschaulichen Erläuterungen. Ein schwieriges Thema ist damit sehr anschaulich geworden.
Meine Ausgangsfrage war ja, ob das Theorie oder Praxis ist. Ich verstehe das so (und bin inhaltlich vollauf Deiner Meinung):

NG-Firewalling zwischen VLANS
- erhöht die Sicherheit erheblich, wenn es korrekt implementiert, laufend überwacht und gewartet wird
- kostet (auch deshalb) eine Menge Geld
- ist wegen des Mangels an Fachpersonal jedenfalls im KMU-Umfeld schwierig umzusetzen
- wäre im Prinzip für jeden wünschenswert, jedenfalls im Bereich von Industrie- oder Art. 9 Daten
- ist, jedenfalls im korrekten Einsatz, in KMU alles andere als überwiegende Realität
- ist aus wirtschaftlichen Gründen meist nur dann sachgerecht, wenn Datenabfluss oder -vernichtung existenzgefährdend sein können.

Heißt für mich: Wo ein (richtiges) Backup zuverlässig erstellt, sicher verwahrt und ggf. zügig eingespielt werden kann, d.h. der Datenverlust in der Zeit zwischen Backup und Schadenseintritt sowie der Produktions-/Umsatzausfall in der Reparaturzeit überschaubar ist, darf sehr genau abgewogen werden, ob ein Firewalling dieser Art sinnvoll, d.h. praktisch realisierbar und dabei wirtschaftlich ist. Ebenso relevant ist natürlich die Schadenswahrscheinlichkeit. Wer ständig angegriffen wird oder dies erwartet, wird sicherlich mehr in die Abwehr investieren müssen. Im Ergebnis sehe ich aber für die Masse der KMUs nur ein geringes Einsatzbedürfnis bei hoher Wahrscheinlichkeit, lediglich Snakeoil und eine Netzwerkbremse serviert zu bekommen.

Viele Grüße, commodity

Hallo,


VLAN und Firewalling hier gleichzusetzen halte ich für vollkommen falsch und gefährlich / fahrlässig


Schadenswahrscheinlichkeit oder ein Risikobewertung ist natürlich deine eigene Sache...

Sicherheit nur mit Backups zu gewährleisten halte ich für problematisch ebenso wie Sicherheit nur mit VLAN's oder Netzwerkstrukturen zu gewährleisten.
Was nützt dir ein Backup wenn ein VPN zugriff kompromitiert ist und du nicht mitbekommst das darüber Daten abfließen?
Oder durch einen Cryptovirus auch deine Backups Verschlüsselt sind.
Durch eine VLAN Struktur und dadurch abgeschottet Netzbereiche hast du auch ein Mass an Sicherheit das Daten nicht abfließen.
Dazu gehört ein sauberes User und Rechte Management und einiges anderes mehr.

Sicherheit sollte immer ein mehrschichtiges Konzept mit verschiedenen Schutzmechnismen sein.

brammer

Nicht nur dass, als findiger Tüftler für Schadsoftware hängt man seinen Payload in jegliche Firmware die einem unterkommt. Somit kann der Admin seine Backups einspielen ohne das er dem Problem habhaft wird.

Moiun commodity,


Sehr gut und viel besser zusammengefasst, als ich es je hingebracht hätte! 👍👍👍
Ich bin was das angeht, eher der Beschreibungsromane tippsel Typ. 🙃


Backup ist generell viel wichtiger wie jede Netzsegmentierung.
Um es mal ganz deutlich zu sagen. Wenn man eine Netzsegmentierung anfängt ohne ein anständiges Backupkonzept fertig realisiert zu haben, dann hat man meiner Ansicht nach schlichtweg nicht alle Tassen im Schrank!

Zum Thema Backup.
Das Backup sollte mindestens täglich gemacht werden
Das Backupziel sollte vom Rest der Umbebung vollständig abgeschottet sein. Dasselbe gilt übrigens auch für das Management der Hypervisor Umgebungen.
Bitte das Backupziel unbedingt in einem anderen Brandabschnitt aufstellen wie die Produktivumgebung.
Das Backupsystem sollte eine gute Sicherungs- und auch Wiederherstellungsperformance haben.
Es muss genau so wie viele andere Dinge auch anständig gemonitort, gewartet und hin und wieder auch mal eine Wiederherstellung getestet werden.


Jeder der einen Internetanschluss besitzt, wird in den meisten Fällen nur wenige Sekunden nachdem der Anschluss online ist, angegriffen. Die meisten User sind lediglich nicht in der Lage, dies richtig zu erkennen. 😔


Leider ja.

Das Problem liegt meiner persönlichen Ansicht ganz woanders.
Die Verantwortung für den Schutz seiner Bürger, haben soweit ich weiss, nicht die Bürger selbst als Plicht, da ist primär eigentlich jemand anders dafür verantwortlich. 😔


Beste Grüsse aus BaWü

Alex

Hallo @brammer,
es ging hier nur noch um die Frage der Sinnhaftigkeit "Firewalling zwischen (Server/Client) VLANs". Selbstverständlich ist Firewalling zu anderen Bereichen, namentlich dem Internet und ebenso Rechtemanagement, Passwortstruktur uvm. von wesentlicher Bedeutung und ist natürlich überhaupt nicht in Frage gestellt. Wir können das hier zu einem hübschen Sicherheitsthread ausbauen, meine Frage war aber beantwortet

Hallo Alex,
DAS müsste an jedem Serverschrank hängen. Und an jeder Tür eines Geschäftsführers. Noch nie habe ich ein Unternehmen beraten oder betreut, wo das anfangs umgesetzt war. Ich kenne aber auch eher kleine Betriebe (die das dennoch jetzt haben, denn es ist wenig Einsatz für guten Schlaf). Habe kürzlich einen 100 Mann/Frau Betrieb erstbesucht, da war das Backup-NAS direkt unter dem Server montiert, beide Geräte im selben VLAN und Administrationszugriff von überall. Selbstverständlich alles vom Systempartner für viel Geld so eingerichtet.
Es ist immer aufbauend, hier Kollegen zu treffen, die sich auch ernsthafte Gedanken um anderer Leute Betrieb machen.

Viele Grüße, commodity und schönes Wochenende an alle!