enrixk
Goto Top

Mit VLAN höhere Sicherheit ?

Hallo,

in den Lehrbüchern ist man sich häufig einig, dass VLANs mit einer höheren Sicherheit einhergehen. Begründet wird dies mit dem Argument, dass sensible Daten vom Rest des Netzwerkes getrennt werden, um die Weitergabe vertraulicher Informationen zu reduzieren.

Das Argument kann ich nicht ganz verstehen. Daten werden doch durch das Setzen von Zugriffsberechtigungen vor unautorisierten Zugriff geschützt (Stichwort ACLs). Bei einem VLAN kann ich mich, sofern ich Zutritt zum Port habe, direkt mit dem sensiblen Netzwerk verbinden.

Was genau sind also die Sicherheitsvorteile von VLAN?

Content-ID: 1318971681

Url: https://administrator.de/contentid/1318971681

Ausgedruckt am: 25.11.2024 um 02:11 Uhr

it-fraggle
it-fraggle 28.09.2021 um 18:04:26 Uhr
Goto Top
Du kannst damit ohne großen Aufwand neue Zonen bilden und die Geräte voneinander trennen. Wie du ja sicherlich weißt finden Angriffe längst nicht mehr nur von außen statt. Der Großteil kommt von kompromitierten Geräten. So kannst du bspw. die Geräte der Lohn- und Finanzbuchhaltung leicht von den Praktikantengeräten trennen.
chgorges
chgorges 28.09.2021 um 18:20:19 Uhr
Goto Top
Einfach die OSI-Layer durcharbeiten, VLANs auf Layer2 schaffen die Grundvoraussetzung für die logische Netztrennung. ACLs auf Layer3 und 4 schränken den Zugriff dann ein.
C.R.S.
C.R.S. 28.09.2021 um 18:34:57 Uhr
Goto Top
Hallo,

verstehe "einhergehen" wörtlich: Beides tritt gemeinsam auf, ohne dass VLANs die Ursache der Sicherheit sind.

Gemeint ist in der Regel der Sicherheitsgewinn eines segmentierten Netzes, bei dem die Netze außerdem durch Firewalling getrennt sind, gegenüber einem nicht segmentierten Netz. VLANs sind nur der häufig anzutreffende, effizente Weg, diese Segmentierung umzusetzen. Sie sind grundsätzlich weniger sicher als die physische Segmentierung, weil sie die Zahl der Geräte, die hinsichtlich der Gewährleistung der Segmentierung vertrauenswürdig sein müssen, vervielfachen.
Weil die physische Segmentierung an einem Router selten und umständlich ist, bedeutet im Umkehrschluss die Abwesenheit von VLANs gewöhnlich einen Mangel an Segmentierung, der unsicher ist.

Grüße
Richard
em-pie
em-pie 28.09.2021 um 18:40:44 Uhr
Goto Top
Moin,

VLANs sind wie zwei physisch getrennte Netze („Switche“) zu betrachten, auch wenn es tatsächlich nicht so ist und man durch Manipulation der Datenpakete das aushebeln könnte.

Folglich bieten zwei getrennte „Switche“ durchaus einen Sicherheitsgewinn.
Denn die Geräte sehen nur das, was sich in der selben Layer2-Domain befindet. Selbst, wenn in dieser Domain verschiedene IP-Netze etabliert werden (sollte man vermeiden), sieht ein Client aus dem IP-Netz a) den Client aus dem IP-Netz b).

Die Schwachstelle tritt bei VLANs dann ggf. am routenden Device auf, wenn dort die Policies zu lasch definiert wurden.

Gruß
em-pie
erikro
erikro 28.09.2021 um 19:06:02 Uhr
Goto Top
Moin,

Zitat von @Enrixk:
Das Argument kann ich nicht ganz verstehen. Daten werden doch durch das Setzen von Zugriffsberechtigungen vor unautorisierten Zugriff geschützt (Stichwort ACLs). Bei einem VLAN kann ich mich, sofern ich Zutritt zum Port habe, direkt mit dem sensiblen Netzwerk verbinden.

Beispiele aus der Praxis:
Ein Drucker spinnt und sendet solchen Unsinn ins Netz, dass er es runterreißt. Kein Netzverkehr mehr möglich. Ohne VLAN kann keiner mehr arbeiten. Mit VLAN bleibt der Unsinn wenigstens im Druckernetz und nur das geht nicht mehr. Es kann zwar keiner mehr drucken. Aber da ja auch der Übeltäter schnell identifiziert werden kann (man schaltet einfach alle Drucker nacheinander aus und guckt, ob's dann wieder geht), ist das auch kein großes Problem.

Ein Kollege fängt sich einen Verschlüsselungstrojaner ein. Ohne VLAN hat er direkten Zugriff auf den Fileserver und der Trojaner fängt fröhlich an zu verschlüsseln. Nicht gut. Mit VLAN fängt die Firewall zwischen dem User-VLAN und dem Server-VLAN das (hoffentlich) ab und es entsteht mehr Schaden an der Ehre des Users als am System. face-wink

In der Forschungsabteilung sind die Rechner so einzurichten, dass ein Zugriff auf das Internet unmöglich ist. Dennoch sollen die Kollegen lesend auf den allgemeinen Fileserver zugreifen können. Auch dann nur lesend, wenn sie außerhalb des Labors schreibenden Zugriff haben. Ein Datenabfluss auch in das eigene Firmennetz ist vollkommen zu unterbinden. Ohne VLAN? Ich würde mal sagen unmöglich. Mit VLAN? Kein größeres Problem.

Oder mal theoretisch ausgedrückt: Das mehr an Sicherheit durch VLANs entsteht dadurch, dass ich ohne VLAN keine auf dem Layer 3 und darüber aktiven Netzwerkkomponenten haben außer den NICs selbst. Ich kann also den Datenfluss nicht oberhalb vom Layer 2 kontrollieren. In einem IP-Netzwerk schicken sich die NICs die Pakete direkt zu. Allenfalls kann ich nur bestimmte MAC-Adressen zulassen. Aber das ist reine Makulatur. Eine MAC-Adresse faked Dir heute jeder Dreizehnjährige. face-wink

Wenn ich aber die Netze voneinander trenne in eine Druckerzone, eine oder mehrere Client-Zonen, eine oder mehrere Server-Zonen und eine oder mehrere demilitarisierte Zonen (DMZ), dann kann ich zwischen diese Zonen mit Hilfe des Firewallings den Datenfluss kontrollieren und nur das zulassen, was auch wirklich erlaubt ist. Ich kann auf meinem Webserver aus der Admin-Client-Zone heraus alles machen, was ich will. Da er aber in der DMZ steht - schließlich ist bei einem Webserver die Angriffsfläche ziemlich groß, ist die Firewall so eingestellt, dass sie ins interne Netz nichts durchlässt als https. Alles andere ist verboten. Kapert dann jemand meinen Webserver - das kann dem besten Admin passieren - dann muss der Angreifer noch mindestens eine, wenn nicht gar mehrere Firewalls überwinden, bis er dann mal in den wirklich sensiblen Teilen des Netzes ist.

Aber Deine Rückfrage ist durchaus berechtigt. Nur durch das Aufteilen in VLANs erreicht man kein Mehr an Sicherheit. Wenn man dann nicht ein vernünftiges und den Anforderungen entsprechendes Firewall-Konzept hat und doch wieder alles zwischen den VLANs zulässt, dann kann man das auch lassen.

Liebe Grüße

Erik
Enrixk
Enrixk 28.09.2021 um 20:25:08 Uhr
Goto Top
Ein Kollege fängt sich einen Verschlüsselungstrojaner ein. Ohne VLAN hat er direkten Zugriff auf den Fileserver und der Trojaner fängt fröhlich an zu verschlüsseln. Nicht gut. Mit VLAN fängt die Firewall zwischen dem User-VLAN und dem Server-VLAN das (hoffentlich) ab und es entsteht mehr Schaden an der Ehre des Users als am System.

Heißt das, dass wenn in einem Netzwerk Ordnerfreigaben für eine bestimmte Gruppe A eingerichtet sind, könnte ein Verschlüsselungstrojaner den Ordner auch dann verschlüsseln, wenn der Trojaner bzw. der Benutzer, der ihn gestartet hat, nicht zur Gruppe A gehört?

Auf welcher OSI-Ebene läuft den die Verschlüsselung ab?
commodity
commodity 28.09.2021 um 21:58:39 Uhr
Goto Top
Zitat von @Enrixk:
... könnte ein Verschlüsselungstrojaner den Ordner auch dann verschlüsseln, wenn der Trojaner bzw. der Benutzer, der ihn gestartet hat, nicht zur Gruppe A gehört?

Grundsätzlich wohl nicht. So ist ja auch der Ransomware-Schutz von Windows ausgelegt. Das gilt aber nur, solange der Trojaner nicht an höhere Rechte gelangt. Dies wird im Regelfall das Ziel sein.

Das Beispiel Fileserver ist dennoch nicht besonders gut gewählt, denn der infizierte Kollege hat ja schon Zugriff auf den Fileserver. Dieser müsste also einen Virenschutz haben, der über den des Clients hinausgeht. Das VLAN schützt aber vor dem Trojaner des Kollegen B, der z.B. die Buchhaltung im anderen Netz macht.

Ich finde es oben sehr gut beschrieben: VLAN (bzw. Netztrennung) ist die Voraussetzung für ein durch (weiteres) Firewalling geschütztes Netz.

Viele Grüße, commodity
decehakan
decehakan 28.09.2021 um 22:05:59 Uhr
Goto Top
VLAN bringt mehr Sicherheit und Perfomance.
Wichtig wie du gesagt hast, spielt hier ACL eine fundamentale Rolle. Wenn man in den IT-Zeitschriften von VLAN redet , meint mann auch indirekt die Kontrolle, wer wie was machen darf und das regelt man über die Firewall /ACL.

vg

decehakan
maretz
Lösung maretz 28.09.2021 um 22:22:37 Uhr
Goto Top
Die Frage ist dohc was du unter "Sicherheit" verstehst. Denn: Erst mal bringt das VLAN nur soviel Sicherheit wie es zwei getrennte Switches auch tun würden (nen tick weniger ggf.). Sofern du da keinen Router zwischenpackst sind es getrennte Netze. D.h. du kannst nicht aus Netz A nach B oder umgekehrt.

Das ist aber ja nicht der normalfall. Der NF wäre: Du willst natürlich Traffic zulassen - z.B. ist A das Server-Netz, B das Client-Netz, C das Drucker-Netz,... DANN bringt es erst mal keine Sicherheit mehr - wenn dein Router/Firewall dann sagt "lass alles durch, ich mach die Augen zu" hast du nur nen wirklich minimalen Gewinn (Broadcasts gehen nich durch...). Super, viel Geld für ne elektrische Heizung... WENN du aber jetzt der Firewall sagst das z.B. von dem Netz B nur bestimmte Ports oder Applikationen auf A dürfen, von B nach C gar nix (Und A nach C nur auf den Druckerports) siehts anders aus. Dann hast du z.B. nur die Dateifreigabe erlaubt - und somit wird jeder Angriff auf RDP schon deutlich schwerer... Oder aus nem "Gast-Netz" D wo du nur ins Internet darfst - aber per FW-Regel auf keinerlei andere Netze kommst,... Aber: Die Sicherheit kommt eben nicht durchs VLAN - die Sicherheit kommt davon wie du die Verbindung ZWISCHEN den Netzen machst. Ob es jetzt wirklich getrennte Switches oder VLANs sind spielt erst mal keine Rolle...

Und nein - VLANs an sich bringen auch nicht mehr performance - wie auch, da muss ja etwas zwischen routen. Die Performance würde ein vernünftiges IP-Design bringen. Aber dem Switch is es herzlich egal - selbst wenn ich alles in VLAN 1 packe und z.B. 20 Stationen auf 192.168.1.1/24 , 20 auf 192.168.2.1/24 usw. bringe... Den Broadcast auf 192.168.1.255 würden trotzdem nur die ersten 20 Stationen beachten, die anderen würden den gepflegt ignorieren... Der Gewinn den man da durch nen VLAN hat ist wohl eher theoretischer Natur... Es steigert aber natürlich die Übersichtlichkeit wenn man das ganze dann trennt (und ich würde jeden Admin feuern der sowas heute noch in einem VLAN baut...)
MysticFoxDE
MysticFoxDE 29.09.2021 um 00:41:38 Uhr
Goto Top
Moin Enrixk,

VLAN benötigst du meistens dann, wenn du über denselben/dieselben Switch(e) zwei oder noch mehr logische (untereinander getrennte) Netze aufbauen möchtest. Zum Beispiel ein Netz für die Server (IP-Segment A), ein weiteres für die Clients (IP-Segment B), eines für die Drücker (IP-Segment C) und noch eins z.B. für das VoIP Geraffel (IP-Segment B), u.s.w.

Alleine nur mit V-LAN trennst du aber nur die Gerätegruppen untereinander auf, sprich die Server befinden sich in einem eigenen Netzsegment und können in diesem weiterhin ungehindert untereinander kommunizieren, dabei können die Server aus Ihrem V-LAN per default jedoch nicht mit den Clients sprechen, die sich diese in Ihrem eigenen V-LAN befinden und dadurch erstmal vollständig von den Servern abgeschottet sind.

Möchtest du nun bei einem V-LAN segmentierten Netz, dass die Clients aus dem Segment B mit den Servern aus dem Segment A kommunizieren können, dann muss als nächstes für beide Segmente untereinander ein Routing eingerichtet werden und genau bei diesem Punkt fängt die Geschichte mit V-LAN und Sicherheit erst richtig an. Das Gerät welches für das Routing zwischen den V-LAN Segmenten verantwortlich ist, ist schlussendlich auch für die Sicherheit des Gesamtkonstrukts verantwortlich. Sprich, wenn man die V-LAN am Ende des Tages einfach über einen Switch routet und oder per FireWall und any zu any über any verknüpft, dann kann man sich die Netzsegmentierung, zumindest aus Sicherheitssicht gesehen, eigentlich auch komplett sparen!

Wenn du bei einer Netzsegmentierung Sicherheit haben möchtest, dann kommst du nicht drumherum für das Routing der Netze untereinander eine Next Generation Firewall zu nehmen und ein der Benutzung entsprechendes und meist komplexeres Regelwerk aufzubauen, + IPS + ATP & Co. KG.

Ferner schützt dich ein segmentiertes Netzt auch nicht wirklich vor einer Verschlüsselung. Sollte der Angreifer z.B. an die Zugangsdaten eines privilegierten Users kommen, dann kann er mit diesen auch durch die Segmentierung/Firewall hindurch verschlüsselungstechnisch meistens sehr viel Schaden anrichten. Eine korrekte Segmentierung hilft jedoch z.B. die Gefahr einzudämmen, dass Angreifer bei einer erfolgreichen Attacke, Hintertüren quer über die gesamte Umgebung verteilen kann oder Zugriff auf ganz kritische Systeme bekommt, wie z.B. die Managementumgebung eines Hyper-V oder VMware Clusters.

By The Way, wenn du dich effektiver gegen Verschlüsselung schützen möchtest, dann solltest du in erster Linie Produkte wie Sophos Intercep X oder ähnlich anschauen und vor allem auf ein tägliches Backup der Daten achten, am besten auf ein vom Rest des Systems abgeschottetes Backupsystem. 😉

Falls es dir mit der Segmentierung ernst ist und du ein sehr hohes Level an Sicherheit haben möchtest, dann empfehle ich dir wärmstens einen Blick auf „PRIVATE V-LAN“ zu werfen. Hiermit kannst du noch granularer und vor allem auch innerhalb desselben IP-Segments reglementieren. 😎

Aber gleich im Voraus, PRIVATE-VLAN ist die absolute Oberliga. Das gilt sowohl für die dazu notwendigen Geräte (Switche) als auch für die Implementierungskomplexität.

Generell solltest du bei dem Thema Netzsegmentierung auf das deine Anfrage am Ende hinausläuft, nicht auf die leichte Schulter nehmen. Sowohl die Implementierung als auch der spätere Betrieb sind sehr zeitfressend und benötigen auch die entsprechende Kompetenz.

Wenn ein Unternehmen weder über genügend freie ITler Kapazitäten und oder die entsprechenden Kompetenzen für eine Netzsegmentierung verfügt, dann sollte es mit diesem Thema, meiner Meinung nach am besten erst gar nicht anfangen. Da ist schnell mehr kaputt gemacht, als man eigentlich gut machen wollte.

Beste Grüsse aus BaWü

Alex
commodity
commodity 29.09.2021 aktualisiert um 22:25:17 Uhr
Goto Top
Zitat von @MysticFoxDE:

Möchtest du nun bei einem V-LAN segmentierten Netz, dass die Clients aus dem Segment B mit den Servern aus dem Segment A kommunizieren können, dann muss als nächstes für beide Segmente untereinander ein Routing eingerichtet werden ...
Wenn du bei einer Netzsegmentierung Sicherheit haben möchtest, dann kommst du nicht drumherum für das Routing der Netze untereinander eine Next Generation Firewall zu nehmen und ein der Benutzung entsprechendes und meist komplexeres Regelwerk aufzubauen, + IPS + ATP & Co. KG.

Interessefrage:
Ist das Theorie oder angewendete (best) practice? Ab welcher Unternehmensgröße? Welcher Unternehmenstyp?
Wenn ich zwischen die Clients und die zugehörigen Server eine NG-Firewall packe, muss diese ja erhebliche Leistung drauf haben, um das ganze Routing zu bewältigen. Ansonsten wird das Arbeiten etwas gemütlicher face-wink Davon abgesehen, dass ich da je nach usecase auch vergleichsweise oft am Nachjustieren der Firewall wäre. Hab ich nicht besser im Normalfall einen Abteilungsserver im selben VLAN und lediglich etwaige zentrale Server hinter der Firewall?
Meine Devise war bislang immer: So wenig wie möglich zwischen Clients und zugehörigen Server, dafür ein ordentliches (und getrenntes) Backup. Falsch?

Viele Grüße, commodity
erikro
erikro 29.09.2021 um 09:10:54 Uhr
Goto Top
Moin,

Zitat von @commodity:

Zitat von @Enrixk:
... könnte ein Verschlüsselungstrojaner den Ordner auch dann verschlüsseln, wenn der Trojaner bzw. der Benutzer, der ihn gestartet hat, nicht zur Gruppe A gehört?

Nein, natürlich nicht, wenn die Rechte alle richtig vergeben wurden. Aber es muss ja nicht immer die Dame vom Empfang sein, die an so gut wie nichts die Rechte hat. Es kann auch mal eine Leitungskraft mit richtig vielen Rechten erwischen.

Das Beispiel Fileserver ist dennoch nicht besonders gut gewählt, denn der infizierte Kollege hat ja schon Zugriff auf den Fileserver. Dieser müsste also einen Virenschutz haben, der über den des Clients hinausgeht. Das VLAN schützt aber vor dem Trojaner des Kollegen B, der z.B. die Buchhaltung im anderen Netz macht.

Es ist ein sehr gut gewähltes Beispiel, da es direkt aus der Praxis stammt. face-wink Firma A mit VLAN und entsprechender Firewall zwischen dem Server- und dem Client-Segment: Rechner hinüber und der User geknickt. Mehr nicht. Die FW hat die Verschlüsselung des Fileservers unterbunden. Firma B ohne Segmentierung: Leitungskraft ist betroffen. Trojaner verschlüsselt mal eben fast alle Dateien auf dem Fileserver. Anderthalb Tage Arbeit in der gesamten Firma verloren gegangen.

Klar, um den Fall A zu haben, muss man im Vorfeld einiges tun. Aber es lohnt sich am Ende des Tages.

Liebe Grüße

Erik
brammer
brammer 29.09.2021 um 09:50:15 Uhr
Goto Top
Hallo,

Bei einem VLAN kann ich mich, sofern ich Zutritt zum Port habe, direkt mit dem sensiblen Netzwerk verbinden.

Ja klar. Works as designed

...sofern ich Zutritt zum Port habe...

wenn du berechtigt bist ist das ja auch so gewollt ... oder schlecht konzeptioniert.
Wenn du nicht berechtigt bist aber zutritt zu diesem Port hast ist das Sicherheitskonzept für das Netzwerk mangelhaft.

Ein Trennung von Netzen durch VLAN's ist noch lange kein Sicherheitskonzept sondern nur eine der vielen sinnvollen Möglichkeiten die man nutzen kann und sollte.

brammer
MysticFoxDE
MysticFoxDE 30.09.2021 aktualisiert um 07:42:09 Uhr
Goto Top
Moin commodity,

Interessefrage:
Ist das Theorie oder angewendete (best) practise?

ist bei uns mehrfach gelebte Praxis.

Ab welcher Unternehmensgröße? > Welcher Unternehmenstyp?

Sinn macht es durchaus auch bei kleineren Betrieben, die sind durch die bösen Jungs da draussen grundsätzlich genauso gefährdet, wie auch die grösseren Betriebe. Die Frage ist weniger ob eine Netzsegmentierung sinnvoll ist, sondern eher, ob sich das entsprechende Unternehmen die Netzsegmentierung sowohl Finanziell als auch Kompetenztechnisch leisten kann.

Wenn ich zwischen die Clients und die zugehörigen Server eine NG-Firewall packe, muss diese ja erhebliche Leistung drauf haben, um das ganze Routing zu bewältigen.

Das Routing selbst frisst auf einer guten NGFW eigentlich nicht viel Leistung, was eher an die Leistung geht sind die erweiterten Schutzfunktionen wie AV, IPS oder ATP. Und hier machen die meisten FW-Verantwortlichen einen riesigen Fehler, in dem sie z.B. alle IPS Prüfregeln immer auf jegliche Kommunikation anwenden. Ja, ist einfacher und die FW Regeln sind schneller geschrieben, aber dann darf man sich über eine ständig leistungsbedingt einknickende FW auch nicht besonders wundern.

Ansonsten wird das Arbeiten etwas gemütlicher face-wink

Ja, das ist meistens die Auswirkung, wenn man übereilt und oder mit nicht ausreichendem Wissen an die Sache herangeht. 😔

Davon abgesehen, dass ich da je nach usecase auch vergleichsweise oft am Nachjustieren der Firewall wäre.

Ja, das ist korrekt, das Firewall Regelwerk ist bei solchen Projekten definitiv eines der grössten Kapazitätsfresser. Das gilt sowohl für die Implementierungsphase als auch für den späteren Betrieb.

Hab ich nicht besser im Normalfall einen Abteilungsserver im selben VLAN und lediglich etwaige zentrale Server hinter der Firewall?

Sicherheitstechnisch nein, da du ohne eine Firewall zwischen den Clients und den Servern nicht wirklich siehst was diese untereinander Treiben und in einem Ernstfall auch nicht so einfach dazwischen gehen kannst. Und im schlimmsten Fall erkennst du einen Angriff erst zu spät oder gar nicht.

Nicht jeder Cyber-Angriff endet am Ende des Tages in einer Verschlüsselung und einer Lösegeldforderung. Viele Angriffe sind auch auf Spionage und oder Sabotage ausgelegt und das sind genau die, die viele übersehen, weil hier die Angreifer gewollt nicht in das Tagesgeschehen des Betriebes eingreifen, um schlichtweg nicht vorzeitig aufzufliegen.

Meine Devise war bislang immer: So wenig wie möglich zwischen Clients und zugehörigen Server,

Aus Sicht der Performance gibt es nichts Besseres.
Aus Sicht der Sicherheit gibt es nichts Schlimmeres.

dafür ein ordentliches (und getrenntes) Backup.
Das ist heutzutage Mindestpflicht, wird aber leider auch noch sehr häufig verschlafen.


Beste Grüsse aus BaWü

Alex
commodity
commodity 30.09.2021 um 09:14:52 Uhr
Goto Top
Danke Alex @MysticFoxDE für die plausible Erläuterung. So kann ich den Ansatz nachvollziehen.

Sehe ich das richtig, dass wir da schon bei 10 Arbeitsplätzen von einem Budget von jährlich > 5000 EUR für den Firewallbereich sprechen (HW-Abschreibung+Einrichtung-Abschreibung+lfd. UTM-Updates+Monitoring+lfd. Administration)? Eher das Doppelte und mehr? Je weitere 10 Arbeitsplätze steigt das dann zwar nicht linear, aber doch nicht unerheblich.

So ein Gerät muss ja schon ganz ordentlich Power haben, taugliche Firewall-Admins sind ja auch nicht gerade verbreitet. IDS/IPS-Administratoren noch weniger. Und dass ein IDS/IPS Monitoring und Administration braucht, steht wohl außer Frage - richtig? Und dass das nicht der "Dienstleister um die Ecke" macht auch, oder?

Hand aufs Herz, in der Realität wird im KMU-Bereich (wenn überhaupt) meist ein teures Gerät mit Lizenzabo verkauft, mehr oder (meist) weniger ersteingerichtet und dann "vergessen". Was Probleme macht, wird abgeschaltet oder gleich nicht verwendet. Am Ende macht die teuere UTM-Firewall dann das VPN (und das auch oft noch auf altem Softwarestand). Das ist viel Geld für teures Snakeoil, das man an anderer Stelle in Sicherheit stecken könnte.

Ich stimme Dir vollauf zu, dass VLAN-Firewalling (mit IPS/AV) für einen spezifischen Kundenkreis durchaus wünschenswert sein kann. Für den breiten Durchschnitt der KMUs wird der vermittelte Schutz aber nicht im Verhältnis zum Aufwand stehen. Zumal VLAN-Firewalling ja nicht der einzige Schutzvektor wäre. Letztlich hängt es wohl hauptsächlich am Schutzbedarf/Wert der Daten. Und an dessen realistischer Einordnung. Falsch?

Viele Grüße, commodity
MysticFoxDE
MysticFoxDE 30.09.2021 aktualisiert um 12:39:33 Uhr
Goto Top
Hi commodity,

Sehe ich das richtig, dass wir da schon bei 10 Arbeitsplätzen von einem Budget von jährlich > 5000 EUR für den Firewallbereich sprechen (HW-Abschreibung+Einrichtung-Abschreibung+lfd. UTM-Updates+Monitoring+lfd. Administration)?
Eher das Doppelte und mehr?

Ich beantworte die Frage mal so. Einer unserer Kunden (ca. 400 MA) hat in die Segmentierung bereits mehr als 500K (Grossteil nicht bei uns) reingesteckt und ist noch Meilenweit von der Fertigstellung entfernt.


Je weitere 10 Arbeitsplätze steigt das dann zwar nicht linear, aber doch nicht unerheblich.

Das ist korrekt, jeder zusätzliche Arbeitsplatz verursacht zusätzlichen Aufwand, auch im Bereich der IT-Sicherheit. Und je nach realisiertem Sicherheitslevel, ist dieser stellenweise alles andere als Unerheblich.

So ein Gerät muss ja schon ganz ordentlich Power haben.

Das ist bei einem gut aufgebauten Regelwerk eher das kleinere Problem.


taugliche Firewall-Admins sind ja auch nicht gerade verbreitet. IDS/IPS-Administratoren noch weniger.

Das ist schon eher treffender. Gute IDS/IPS-Administratoren wachsen nicht nach Bedarf auf den Bäumen und die sehr guten sind mindestens so rar, kostbar und schwer auszubuddeln wie die Diamanten. Und der Kampf der mittlerweile um diese Spezies geführt wird, ist gefühlt mindestens genauso schmutzig. 😔


Und dass ein IDS/IPS Monitoring und Administration braucht, steht wohl außer Frage - richtig? Und dass das nicht der "Dienstleister um die Ecke" macht auch, oder?

👍👍👍 jup, das ist absolut korrekt. Das Thema mit dem Monitoring betrifft jedoch nicht nur das Thema Netzsegmentierung, sondern generell jegliche IT-Sicherheitsinfrastruktur. Und hier vertrete ich auch eine sehr eindeutige Stellung, wenn man nicht die Kompetenz oder die Kapazität zum anständigen Monitoring hat, dann kann man sich ein grossteil des verwendeten Sicherheitsgeraffels meistens auch gleich im Vorfeld sparen.


Hand aufs Herz, in der Realität wird im KMU-Bereich (wenn überhaupt) meist ein teures Gerät mit Lizenzabo verkauft, mehr oder (meist) weniger ersteingerichtet und dann "vergessen". Was Probleme macht, wird abgeschaltet oder gleich nicht verwendet. Am Ende macht die teuere UTM-Firewall dann das VPN (und das auch oft noch auf altem Softwarestand). Das ist viel Geld für teures Snakeoil, das man an anderer Stelle in Sicherheit stecken könnte.

Ich sehe schon, du besitzt auch schon einiges an praktischer Erfahrung. 😁
Ja das ist in der Tat bei vielen Installationen der Fall. Aber wenn man genauer Hinschaut, dann liegt der Fehler nicht in der Sicherheitslösung an sich, sondern eher in der Tatsache, dass sich der Betreiber der Sicherheitslösung, entweder bei der dafür notwendigen Kapazität und oder bei der Kompetenz, selbst leicht ins Knie geschossen hat.

Eine NGFW ist durchaus mit einem Supercar zu vergleichen.
Entweder du beherrscht das Ding oder es passiert schnell das Folgende
https://www.youtube.com/watch?v=tpnqarZWKd4


Ich stimme Dir vollauf zu, dass VLAN-Firewalling (mit IPS/AV) für einen spezifischen Kundenkreis durchaus wünschenswert sein kann.

Spezifisch ist gut, ich sehe die Notwendigkeit bei einem Grossteil der Industriebetriebe, beim kompletten Gesundheitssektor, den Behörden und vielen weiteren Branchen.


Für den breiten Durchschnitt der KMUs wird der vermittelte Schutz aber nicht im Verhältnis zum Aufwand stehen.

Wenn die Schutzmaßnahmen nicht sauber implementiert wurden und auch nicht dauerhaft gepflegt und gemonitort werden, dann auf jeden Fall. Wenn die Anlage jedoch korrekt in Betrieb genommen worden ist und auch anständig gepflegt und auch überwacht wird, dann hat der Kunde durch diese, durchaus auch einen sehr grossen Nutzen.
Die wichtigste Frage, die sich ein Unternehmen betreffend der IT-Sicherheit heutzutage stellen muss ist nicht, ob es sich die entsprechende Sicherheitsarchitektur leisten kann, sondern viel mehr, ob es sich wirklich leisten kann, diese nicht einzusetzen.

Ich habe in den letzten Jahren durch diverseste Branchen hindurch schon duzende Kinder aus dem Brunnen holen müssen. Du willst es gar nicht wissen was es die Betriebe kosten kann, wenn sie in diesem Bereich bisher zu sehr gepennt und oder die falschen Entscheidungen getroffen haben.


Zumal VLAN-Firewalling ja nicht der einzige Schutzvektor wäre.

Nicht der Einzige aber ein definitiv ein sehr entscheidender.


Letztlich hängt es wohl hauptsächlich am Schutzbedarf/Wert der Daten. Und an dessen realistischer Einordnung. Falsch?

Es geht bei der ganzen Sache nicht nur um den Schutz der Daten.
Auch wenn z.B. die Daten DSGVO technisch absolut unkritisch sind und auch geheimnismässig diesen nichts Wertvolles zu entlocken ist, wenn das Unternehmen ohne dieses Daten nicht weiterarbeiten kann, dann hat es am Ende des Tages dennoch ein riesiges und manchmal leider auch ein für dieses tödlich ausgehendes Problem.


Beste Grüsse aus BaWü

Alex
commodity
commodity 30.09.2021 um 22:06:18 Uhr
Goto Top
Danke Alex @MysticFoxDE für die anschaulichen Erläuterungen. Ein schwieriges Thema ist damit sehr anschaulich geworden.
Meine Ausgangsfrage war ja, ob das Theorie oder Praxis ist. Ich verstehe das so (und bin inhaltlich vollauf Deiner Meinung):

NG-Firewalling zwischen VLANS
- erhöht die Sicherheit erheblich, wenn es korrekt implementiert, laufend überwacht und gewartet wird
- kostet (auch deshalb) eine Menge Geld
- ist wegen des Mangels an Fachpersonal jedenfalls im KMU-Umfeld schwierig umzusetzen
- wäre im Prinzip für jeden wünschenswert, jedenfalls im Bereich von Industrie- oder Art. 9 Daten
- ist, jedenfalls im korrekten Einsatz, in KMU alles andere als überwiegende Realität
- ist aus wirtschaftlichen Gründen meist nur dann sachgerecht, wenn Datenabfluss oder -vernichtung existenzgefährdend sein können.

Heißt für mich: Wo ein (richtiges) Backup zuverlässig erstellt, sicher verwahrt und ggf. zügig eingespielt werden kann, d.h. der Datenverlust in der Zeit zwischen Backup und Schadenseintritt sowie der Produktions-/Umsatzausfall in der Reparaturzeit überschaubar ist, darf sehr genau abgewogen werden, ob ein Firewalling dieser Art sinnvoll, d.h. praktisch realisierbar und dabei wirtschaftlich ist. Ebenso relevant ist natürlich die Schadenswahrscheinlichkeit. Wer ständig angegriffen wird oder dies erwartet, wird sicherlich mehr in die Abwehr investieren müssen. Im Ergebnis sehe ich aber für die Masse der KMUs nur ein geringes Einsatzbedürfnis bei hoher Wahrscheinlichkeit, lediglich Snakeoil und eine Netzwerkbremse serviert zu bekommen.

Viele Grüße, commodity
brammer
brammer 01.10.2021 um 13:31:45 Uhr
Goto Top
Hallo,

Heißt für mich: Wo ein (richtiges) Backup zuverlässig erstellt, sicher verwahrt und ggf. zügig eingespielt werden
kann, d.h. der Datenverlust in der Zeit zwischen Backup und Schadenseintritt sowie der
Produktions-/Umsatzausfall in der Reparaturzeit überschaubar ist, darf sehr genau abgewogen werden, ob ein
Firewalling dieser Art sinnvoll, d.h. praktisch realisierbar und dabei wirtschaftlich ist.

VLAN und Firewalling hier gleichzusetzen halte ich für vollkommen falsch und gefährlich / fahrlässig

Ebenso relevant ist natürlich die Schadenswahrscheinlichkeit. Wer
ständig angegriffen wird oder dies erwartet, wird sicherlich mehr in die Abwehr investieren müssen. Im Ergebnis
sehe ich aber für die Masse der KMUs nur ein geringes Einsatzbedürfnis bei hoher Wahrscheinlichkeit, lediglich
Snakeoil und eine Netzwerkbremse serviert zu bekommen.

Schadenswahrscheinlichkeit oder ein Risikobewertung ist natürlich deine eigene Sache...

Sicherheit nur mit Backups zu gewährleisten halte ich für problematisch ebenso wie Sicherheit nur mit VLAN's oder Netzwerkstrukturen zu gewährleisten.
Was nützt dir ein Backup wenn ein VPN zugriff kompromitiert ist und du nicht mitbekommst das darüber Daten abfließen?
Oder durch einen Cryptovirus auch deine Backups Verschlüsselt sind.
Durch eine VLAN Struktur und dadurch abgeschottet Netzbereiche hast du auch ein Mass an Sicherheit das Daten nicht abfließen.
Dazu gehört ein sauberes User und Rechte Management und einiges anderes mehr.

Sicherheit sollte immer ein mehrschichtiges Konzept mit verschiedenen Schutzmechnismen sein.

brammer
148656
148656 01.10.2021 um 13:54:51 Uhr
Goto Top
Was nützt dir ein Backup wenn ein VPN zugriff kompromitiert ist und du nicht mitbekommst das darüber Daten abfließen?
Nicht nur dass, als findiger Tüftler für Schadsoftware hängt man seinen Payload in jegliche Firmware die einem unterkommt. Somit kann der Admin seine Backups einspielen ohne das er dem Problem habhaft wird.
MysticFoxDE
MysticFoxDE 01.10.2021 aktualisiert um 17:06:23 Uhr
Goto Top
Moiun commodity,

NG-Firewalling zwischen VLANS
- erhöht die Sicherheit erheblich, wenn es korrekt implementiert, laufend überwacht und gewartet wird
- kostet (auch deshalb) eine Menge Geld
- ist wegen des Mangels an Fachpersonal jedenfalls im KMU-Umfeld schwierig umzusetzen
- wäre im Prinzip für jeden wünschenswert, jedenfalls im Bereich von Industrie- oder Art. 9 Daten
- ist, jedenfalls im korrekten Einsatz, in KMU alles andere als überwiegende Realität
- ist aus wirtschaftlichen Gründen meist nur dann sachgerecht, wenn Datenabfluss oder -vernichtung existenzgefährdend sein können.

Sehr gut und viel besser zusammengefasst, als ich es je hingebracht hätte! 👍👍👍
Ich bin was das angeht, eher der Beschreibungsromane tippsel Typ. 🙃

Heißt für mich: Wo ein (richtiges) Backup zuverlässig erstellt, sicher verwahrt und ggf. zügig eingespielt werden kann, d.h. der Datenverlust in der Zeit zwischen Backup und Schadenseintritt sowie der Produktions-/Umsatzausfall in der Reparaturzeit überschaubar ist, darf sehr genau abgewogen werden, ob ein Firewalling dieser Art sinnvoll, d.h. praktisch realisierbar und dabei wirtschaftlich ist.

Backup ist generell viel wichtiger wie jede Netzsegmentierung.
Um es mal ganz deutlich zu sagen. Wenn man eine Netzsegmentierung anfängt ohne ein anständiges Backupkonzept fertig realisiert zu haben, dann hat man meiner Ansicht nach schlichtweg nicht alle Tassen im Schrank!

Zum Thema Backup.
Das Backup sollte mindestens täglich gemacht werden
Das Backupziel sollte vom Rest der Umbebung vollständig abgeschottet sein. Dasselbe gilt übrigens auch für das Management der Hypervisor Umgebungen.
Bitte das Backupziel unbedingt in einem anderen Brandabschnitt aufstellen wie die Produktivumgebung.
Das Backupsystem sollte eine gute Sicherungs- und auch Wiederherstellungsperformance haben.
Es muss genau so wie viele andere Dinge auch anständig gemonitort, gewartet und hin und wieder auch mal eine Wiederherstellung getestet werden.

Ebenso relevant ist natürlich die Schadenswahrscheinlichkeit. Wer ständig angegriffen wird oder dies erwartet, wird sicherlich mehr in die Abwehr investieren müssen.

Jeder der einen Internetanschluss besitzt, wird in den meisten Fällen nur wenige Sekunden nachdem der Anschluss online ist, angegriffen. Die meisten User sind lediglich nicht in der Lage, dies richtig zu erkennen. 😔

Im Ergebnis sehe ich aber für die Masse der KMUs nur ein geringes Einsatzbedürfnis bei hoher Wahrscheinlichkeit, lediglich Snakeoil und eine Netzwerkbremse serviert zu bekommen.

Leider ja.

Das Problem liegt meiner persönlichen Ansicht ganz woanders.
Die Verantwortung für den Schutz seiner Bürger, haben soweit ich weiss, nicht die Bürger selbst als Plicht, da ist primär eigentlich jemand anders dafür verantwortlich. 😔


Beste Grüsse aus BaWü

Alex
commodity
commodity 01.10.2021 um 18:27:06 Uhr
Goto Top
Zitat von @brammer:
...

Hallo @brammer,
es ging hier nur noch um die Frage der Sinnhaftigkeit "Firewalling zwischen (Server/Client) VLANs". Selbstverständlich ist Firewalling zu anderen Bereichen, namentlich dem Internet und ebenso Rechtemanagement, Passwortstruktur uvm. von wesentlicher Bedeutung und ist natürlich überhaupt nicht in Frage gestellt. Wir können das hier zu einem hübschen Sicherheitsthread ausbauen, meine Frage war aber beantwortet face-wink

Hallo Alex,
Zitat von @MysticFoxDE:
Zum Thema Backup.
Das Backup sollte mindestens täglich gemacht werden
Das Backupziel sollte vom Rest der Umbebung vollständig abgeschottet sein. Dasselbe gilt übrigens auch für das Management der Hypervisor Umgebungen.
Bitte das Backupziel unbedingt in einem anderen Brandabschnitt aufstellen wie die Produktivumgebung.
Das Backupsystem sollte eine gute Sicherungs- und auch Wiederherstellungsperformance haben.
Es muss genau so wie viele andere Dinge auch anständig gemonitort, gewartet und hin und wieder auch mal eine Wiederherstellung getestet werden.
DAS müsste an jedem Serverschrank hängen. Und an jeder Tür eines Geschäftsführers. Noch nie habe ich ein Unternehmen beraten oder betreut, wo das anfangs umgesetzt war. Ich kenne aber auch eher kleine Betriebe (die das dennoch jetzt haben, denn es ist wenig Einsatz für guten Schlaf). Habe kürzlich einen 100 Mann/Frau Betrieb erstbesucht, da war das Backup-NAS direkt unter dem Server montiert, beide Geräte im selben VLAN und Administrationszugriff von überall. Selbstverständlich alles vom Systempartner für viel Geld so eingerichtet.
Es ist immer aufbauend, hier Kollegen zu treffen, die sich auch ernsthafte Gedanken um anderer Leute Betrieb machen.

Viele Grüße, commodity und schönes Wochenende an alle!
MysticFoxDE
MysticFoxDE 03.10.2021 aktualisiert um 08:41:30 Uhr
Goto Top
Moin commodity,

Es ist immer aufbauend, hier Kollegen zu treffen, die sich auch ernsthafte Gedanken um anderer Leute Betrieb machen.

danke, ich versuche als ITler lediglich nach dem folgenden zu leben. 😉

Das ITler Gelöbnis

"Bei meiner Aufnahme in den ITler Berufsstand gelobe ich feierlich, mein Leben in den Dienst der IT und Menschlichkeit zu stellen. Ich werde meinen Beruf mit Gewissenhaftigkeit und Würde ausüben. Die Erhaltung u. Wiederherstellung der IT-Systeme meiner Arbeitgeber und oder Kunden soll oberstes Gebot meines Handelns sein. Ich werde alle mir anvertrauten Geheimnisse auch über den Tod des Users hinaus wahren. Ich werde mit allen meinen Kräften die Ehre und die edle Überlieferung des IT-Berufes aufrechterhalten und bei der Ausübung meiner ITler-Pflichten keinen Unterschied machen weder nach Religion, Nationalität, Rasse noch nach Parteizugehörigkeit oder sozialer Stellung. Ich werde jedem IT-System von der Implementierung an Ehrfurcht entgegenbringen und selbst unter Bedrohung meine IT-Künste nicht in Widerspruch zu den Geboten der Menschlichkeit anwenden. Ich werde meinen Lehrern u. Kollegen die schuldige Achtung erweisen. Dies alles verspreche ich feierlich auf meine Ehre."

Beste Grüsse aus BaWü

Alex