Netzwerkverkehr verschlüsseln

djfflow
Goto Top
Hallo,

ich habe die Anforderung bekommen, sämtlichen Netzwerkverkehr innerhalb des LANs (zwischen PCs und Servern) zu verschlüsseln.
Alle PCs (Win 10) sind in einer Domäne.
Ich denke das dies mit VPN möglich sein muss. Die Verbindung soll gestartet werden bevor der PC eine Verbindung zur Domäne aufbaut, sodass die ganzen GPOs etc. normal verarbeitet werden können. Es soll wenn möglich mit Windows Boardmitteln geschehen und dann so, dass der User nichts tun muss.
Wenn extra Software nötig ist, dann gerne Opensource bzw. Freeware (öffentlicher Sektor kein Budget vorhanden).

Content-Key: 1771329722

Url: https://administrator.de/contentid/1771329722

Ausgedruckt am: 18.05.2022 um 11:05 Uhr

Mitglied: em-pie
em-pie 28.01.2022 aktualisiert um 12:43:06 Uhr
Goto Top
Moin,

die 100% wirst du IMHO nicht erzielen können.
Und bevor du im LAN mit VPN anfängst, starte mal mit LDAPs.
Aktiviere das an den DCs und stelle ein.
Danach fängst du an, die Drittanbieter-Lösungen, die sich die Infos vom AD ziehen, auf LDAPs umzustellen. Hier wirst du dann feststellen, dass es vermutlich noch Altlasten gibt, die nicht mal wissen, wie man LDAPs schreibt.
ALs nächstes dann schauen, wlche Server welche Dienste bereitstellen. SMB/ FileShares wären sicherlich der nächste Anlaufpunkt. Prüfe also, wie man die absichern könnte (sofern nicht schon vorhanden)... https://docs.microsoft.com/de-de/windows-server/storage/file-server/smb- ...


Bei deinem VPN-Konstrukt, müsstest du ja auf JEDEM Server einen VPN-Server etablieren...

Edit: Auch daran denken, wie Druckjobs geschützt werden. Bringt ja nichts, wenn die Gehaltliste zwischen Printserver und Client gesichert ist, der Ausdruck zum Drucker aber unverschlüsselt stattfindet ;-) face-wink

Gruß
em-pie
Mitglied: DerWoWusste
DerWoWusste 28.01.2022 um 12:38:38 Uhr
Goto Top
Hi.

Hast Du bereits eine Übersicht, um welchen Verkehr es geht? "zwischen PCs und Servern" ist da als Beschreibung dürftig.

Bei Webservern und Mailservern darfst du in aller Regel davon ausgehen, dass bereits verschlüsselt wird, was natürlich zu prüfen ist.
Bei Windows-Fileservern kannst Du diese Verschlüsselung erzwingen (SMBv3 mit Verschlüsselung erzwingen)
Bei Server mit Spezialanwendung xy wird es dann interessant - aber da kannst Du ohne Details keine Beratung bekommen. Von einem VPN als nützliches Werkzeug würde ich hier noch nicht ausgehen.
Mitglied: djfflow
djfflow 28.01.2022 um 13:00:32 Uhr
Goto Top
Hi,

LDAPs ist bereits in Benutzung. Wir versuchen das BSI Grundschutzhandbuch umzusetzen.
Da dort immer wieder die Verschlüsselung von einzelnen Protokollen gefordert wird, war unsere Idee sämtlichen Netzwerkverkehr zwischen Client und den Domänen Servern zu verschlüsseln.
Dafür war die Idee die Clients in ein Gäste-VLAN zu packen und als Gateway einen Server/Appliance zu nehmen und dazwischen den Verkehr per VPN abzusichern.
Mitglied: killtec
killtec 28.01.2022 um 13:01:45 Uhr
Goto Top
HI,
war das nicht mit IPSec innerhalb des LANs möglich. Meine so etwas mal vor 10 Jahren in nem Testszenario gemacht zu haben. Netzwerkrichtlinienserver war glaube dabei auch ein Thema.

Kann mich aber auch irren.

Gruß
Mitglied: em-pie
em-pie 28.01.2022 um 13:09:01 Uhr
Goto Top
Zitat von @djfflow:
Hi,
Dafür war die Idee die Clients in ein Gäste-VLAN zu packen und als Gateway einen Server/Appliance zu nehmen und dazwischen den Verkehr per VPN abzusichern.
Dann ist der Traffic doch aber nur zwischen Appliance und Client geschützt? der Traffic zwischen Server und Appliance wäre wieder offen. Zudem wäre eine MitM-Attacke an der Appliance erfolgreich.
Wolltest du es sauber umsetzen, müsste es aber End-to-End sein!?

Mit IPSec könnte es aber schon in die richtige Richtung gehen (Danke, @killtec): https://it.cornell.edu/managed-servers/secure-windows-traffic-ipsec
Mitglied: ukulele-7
ukulele-7 28.01.2022 um 14:25:49 Uhr
Goto Top
Sind die PCs alle Kabelgebunden und die Switches Unzugänglich? Vielleicht läßt sich das ganze auch über sowas wie port isolation lösen, manche Switches bieten das an. Würde das den Ansprüchen vielleicht auch gerecht?
Mitglied: aqui
aqui 28.01.2022 aktualisiert um 14:29:01 Uhr
Goto Top
Man kann das auch mit Mac-Sec machen sofern deine Netzwerk Infrastruktur das supportet. Leider dazu ja null Information. :-( face-sad
https://www.iternas.com/post/was-bedeutet-macsec-und-was-sind-die-techni ...
Mac-Sec nimmt Prinzip bedingt allerdings die Strecken von Server und Clients zum Switch selber aus. Die "letzte Meile", sprich das Patchkabel ist also immer unverschlüsselt.
Wenn du also eine wirkliche Ende zu Ende Verschlüsselung willst führt an VPNs kein Weg vorbei.
Wie man sowas dann mit Windows Bordmitteln einfach realisiert zeigen dir diverse Forentutorials:
https://administrator.de/tutorial/pfsense-vpn-mit-l2tp-ipsec-protokoll-f ...
https://administrator.de/tutorial/ipsec-vpn-fuer-mobile-benutzer-auf-der ...
https://administrator.de/content/detail.php?id=562927&token=111#comm ...
https://administrator.de/tutorial/ikev2-vpn-server-fuer-windows-und-appl ...
Usw. usw.

Allerdings solltest du berücksichtigen das sehr viele Anwendungen per se schon verschlüsselt sind wie Webtraffic mit HTTPS, Email mit Secure SMTP, IMAP-S, POP-S usw.
Da macht es natürlich sehr wenig Sinn das schon Verschlüsselte noch einmal zu verschlüsseln.
Die Kollegen oben haben also Recht wenn du erstmal klassifizierst WAS du eigentlich verschlüsseln willst bzw. was sinnvoll ist zu verschlüsseln.
Diesen Aspekt vermisst man leider in deinem Fragethread.
Mitglied: C.R.S.
C.R.S. 28.01.2022 um 14:43:07 Uhr
Goto Top
Zitat von @em-pie:

Mit IPSec könnte es aber schon in die richtige Richtung gehen (Danke, @killtec): https://it.cornell.edu/managed-servers/secure-windows-traffic-ipsec

Der universell verschlüsselte LAN-Traffic war vor Jahren insbesondere wegen des dort in den Fußnoten zitierten Gerüchts ein Thema, IPv6 würde IPsec "automatisch einschließen". Wie die Anleitung aber auch zeigt, ist es für die Absicherung konkreter Verbindungen gedacht. SMB ist da ein historisch gut gewähltes Beispiel, aber auch nicht mehr relevant.
Also aus meiner Sicht führt kein Weg dran vorbei, sich die Anwendungsprotokolle anzusehen.

Grüße
Richard