8
Netzwerkverkehr verschlüsseln
Hallo,
ich habe die Anforderung bekommen, sämtlichen Netzwerkverkehr innerhalb des LANs (zwischen PCs und Servern) zu verschlüsseln.
Alle PCs (Win 10) sind in einer Domäne.
Ich denke das dies mit VPN möglich sein muss. Die Verbindung soll gestartet werden bevor der PC eine Verbindung zur Domäne aufbaut, sodass die ganzen GPOs etc. normal verarbeitet werden können. Es soll wenn möglich mit Windows Boardmitteln geschehen und dann so, dass der User nichts tun muss.
Wenn extra Software nötig ist, dann gerne Opensource bzw. Freeware (öffentlicher Sektor kein Budget vorhanden).
ich habe die Anforderung bekommen, sämtlichen Netzwerkverkehr innerhalb des LANs (zwischen PCs und Servern) zu verschlüsseln.
Alle PCs (Win 10) sind in einer Domäne.
Ich denke das dies mit VPN möglich sein muss. Die Verbindung soll gestartet werden bevor der PC eine Verbindung zur Domäne aufbaut, sodass die ganzen GPOs etc. normal verarbeitet werden können. Es soll wenn möglich mit Windows Boardmitteln geschehen und dann so, dass der User nichts tun muss.
Wenn extra Software nötig ist, dann gerne Opensource bzw. Freeware (öffentlicher Sektor kein Budget vorhanden).
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1771329722
Url: https://administrator.de/contentid/1771329722
Printed on: April 26, 2024 at 12:04 o'clock
8 Comments
Latest comment
Moin,
die 100% wirst du IMHO nicht erzielen können.
Und bevor du im LAN mit VPN anfängst, starte mal mit LDAPs.
Aktiviere das an den DCs und stelle ein.
Danach fängst du an, die Drittanbieter-Lösungen, die sich die Infos vom AD ziehen, auf LDAPs umzustellen. Hier wirst du dann feststellen, dass es vermutlich noch Altlasten gibt, die nicht mal wissen, wie man LDAPs schreibt.
ALs nächstes dann schauen, wlche Server welche Dienste bereitstellen. SMB/ FileShares wären sicherlich der nächste Anlaufpunkt. Prüfe also, wie man die absichern könnte (sofern nicht schon vorhanden)... https://docs.microsoft.com/de-de/windows-server/storage/file-server/smb- ...
Bei deinem VPN-Konstrukt, müsstest du ja auf JEDEM Server einen VPN-Server etablieren...
Edit: Auch daran denken, wie Druckjobs geschützt werden. Bringt ja nichts, wenn die Gehaltliste zwischen Printserver und Client gesichert ist, der Ausdruck zum Drucker aber unverschlüsselt stattfindet
Gruß
em-pie
die 100% wirst du IMHO nicht erzielen können.
Und bevor du im LAN mit VPN anfängst, starte mal mit LDAPs.
Aktiviere das an den DCs und stelle ein.
Danach fängst du an, die Drittanbieter-Lösungen, die sich die Infos vom AD ziehen, auf LDAPs umzustellen. Hier wirst du dann feststellen, dass es vermutlich noch Altlasten gibt, die nicht mal wissen, wie man LDAPs schreibt.
ALs nächstes dann schauen, wlche Server welche Dienste bereitstellen. SMB/ FileShares wären sicherlich der nächste Anlaufpunkt. Prüfe also, wie man die absichern könnte (sofern nicht schon vorhanden)... https://docs.microsoft.com/de-de/windows-server/storage/file-server/smb- ...
Bei deinem VPN-Konstrukt, müsstest du ja auf JEDEM Server einen VPN-Server etablieren...
Edit: Auch daran denken, wie Druckjobs geschützt werden. Bringt ja nichts, wenn die Gehaltliste zwischen Printserver und Client gesichert ist, der Ausdruck zum Drucker aber unverschlüsselt stattfindet
Gruß
em-pie
1
Hi.
Hast Du bereits eine Übersicht, um welchen Verkehr es geht? "zwischen PCs und Servern" ist da als Beschreibung dürftig.
Bei Webservern und Mailservern darfst du in aller Regel davon ausgehen, dass bereits verschlüsselt wird, was natürlich zu prüfen ist.
Bei Windows-Fileservern kannst Du diese Verschlüsselung erzwingen (SMBv3 mit Verschlüsselung erzwingen)
Bei Server mit Spezialanwendung xy wird es dann interessant - aber da kannst Du ohne Details keine Beratung bekommen. Von einem VPN als nützliches Werkzeug würde ich hier noch nicht ausgehen.
Hast Du bereits eine Übersicht, um welchen Verkehr es geht? "zwischen PCs und Servern" ist da als Beschreibung dürftig.
Bei Webservern und Mailservern darfst du in aller Regel davon ausgehen, dass bereits verschlüsselt wird, was natürlich zu prüfen ist.
Bei Windows-Fileservern kannst Du diese Verschlüsselung erzwingen (SMBv3 mit Verschlüsselung erzwingen)
Bei Server mit Spezialanwendung xy wird es dann interessant - aber da kannst Du ohne Details keine Beratung bekommen. Von einem VPN als nützliches Werkzeug würde ich hier noch nicht ausgehen.
Hi,
LDAPs ist bereits in Benutzung. Wir versuchen das BSI Grundschutzhandbuch umzusetzen.
Da dort immer wieder die Verschlüsselung von einzelnen Protokollen gefordert wird, war unsere Idee sämtlichen Netzwerkverkehr zwischen Client und den Domänen Servern zu verschlüsseln.
Dafür war die Idee die Clients in ein Gäste-VLAN zu packen und als Gateway einen Server/Appliance zu nehmen und dazwischen den Verkehr per VPN abzusichern.
LDAPs ist bereits in Benutzung. Wir versuchen das BSI Grundschutzhandbuch umzusetzen.
Da dort immer wieder die Verschlüsselung von einzelnen Protokollen gefordert wird, war unsere Idee sämtlichen Netzwerkverkehr zwischen Client und den Domänen Servern zu verschlüsseln.
Dafür war die Idee die Clients in ein Gäste-VLAN zu packen und als Gateway einen Server/Appliance zu nehmen und dazwischen den Verkehr per VPN abzusichern.
HI,
war das nicht mit IPSec innerhalb des LANs möglich. Meine so etwas mal vor 10 Jahren in nem Testszenario gemacht zu haben. Netzwerkrichtlinienserver war glaube dabei auch ein Thema.
Kann mich aber auch irren.
Gruß
war das nicht mit IPSec innerhalb des LANs möglich. Meine so etwas mal vor 10 Jahren in nem Testszenario gemacht zu haben. Netzwerkrichtlinienserver war glaube dabei auch ein Thema.
Kann mich aber auch irren.
Gruß
Zitat von @djfflow:
Hi,
Dafür war die Idee die Clients in ein Gäste-VLAN zu packen und als Gateway einen Server/Appliance zu nehmen und dazwischen den Verkehr per VPN abzusichern.
Dann ist der Traffic doch aber nur zwischen Appliance und Client geschützt? der Traffic zwischen Server und Appliance wäre wieder offen. Zudem wäre eine MitM-Attacke an der Appliance erfolgreich.Hi,
Dafür war die Idee die Clients in ein Gäste-VLAN zu packen und als Gateway einen Server/Appliance zu nehmen und dazwischen den Verkehr per VPN abzusichern.
Wolltest du es sauber umsetzen, müsste es aber End-to-End sein!?
Mit IPSec könnte es aber schon in die richtige Richtung gehen (Danke, @killtec): https://it.cornell.edu/managed-servers/secure-windows-traffic-ipsec
Sind die PCs alle Kabelgebunden und die Switches Unzugänglich? Vielleicht läßt sich das ganze auch über sowas wie port isolation lösen, manche Switches bieten das an. Würde das den Ansprüchen vielleicht auch gerecht?
Man kann das auch mit Mac-Sec machen sofern deine Netzwerk Infrastruktur das supportet. Leider dazu ja null Information. 
https://www.iternas.com/post/was-bedeutet-macsec-und-was-sind-die-techni ...
Mac-Sec nimmt Prinzip bedingt allerdings die Strecken von Server und Clients zum Switch selber aus. Die "letzte Meile", sprich das Patchkabel ist also immer unverschlüsselt.
Wenn du also eine wirkliche Ende zu Ende Verschlüsselung willst führt an VPNs kein Weg vorbei.
Wie man sowas dann mit Windows Bordmitteln einfach realisiert zeigen dir diverse Forentutorials:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Scheitern am IPsec VPN mit MikroTik
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Usw. usw.
Allerdings solltest du berücksichtigen das sehr viele Anwendungen per se schon verschlüsselt sind wie Webtraffic mit HTTPS, Email mit Secure SMTP, IMAP-S, POP-S usw.
Da macht es natürlich sehr wenig Sinn das schon Verschlüsselte noch einmal zu verschlüsseln.
Die Kollegen oben haben also Recht wenn du erstmal klassifizierst WAS du eigentlich verschlüsseln willst bzw. was sinnvoll ist zu verschlüsseln.
Diesen Aspekt vermisst man leider in deinem Fragethread.
https://www.iternas.com/post/was-bedeutet-macsec-und-was-sind-die-techni ...
Mac-Sec nimmt Prinzip bedingt allerdings die Strecken von Server und Clients zum Switch selber aus. Die "letzte Meile", sprich das Patchkabel ist also immer unverschlüsselt.
Wenn du also eine wirkliche Ende zu Ende Verschlüsselung willst führt an VPNs kein Weg vorbei.
Wie man sowas dann mit Windows Bordmitteln einfach realisiert zeigen dir diverse Forentutorials:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Scheitern am IPsec VPN mit MikroTik
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Usw. usw.
Allerdings solltest du berücksichtigen das sehr viele Anwendungen per se schon verschlüsselt sind wie Webtraffic mit HTTPS, Email mit Secure SMTP, IMAP-S, POP-S usw.
Da macht es natürlich sehr wenig Sinn das schon Verschlüsselte noch einmal zu verschlüsseln.
Die Kollegen oben haben also Recht wenn du erstmal klassifizierst WAS du eigentlich verschlüsseln willst bzw. was sinnvoll ist zu verschlüsseln.
Diesen Aspekt vermisst man leider in deinem Fragethread.
Zitat von @em-pie:
Mit IPSec könnte es aber schon in die richtige Richtung gehen (Danke, @killtec): https://it.cornell.edu/managed-servers/secure-windows-traffic-ipsec
Mit IPSec könnte es aber schon in die richtige Richtung gehen (Danke, @killtec): https://it.cornell.edu/managed-servers/secure-windows-traffic-ipsec
Der universell verschlüsselte LAN-Traffic war vor Jahren insbesondere wegen des dort in den Fußnoten zitierten Gerüchts ein Thema, IPv6 würde IPsec "automatisch einschließen". Wie die Anleitung aber auch zeigt, ist es für die Absicherung konkreter Verbindungen gedacht. SMB ist da ein historisch gut gewähltes Beispiel, aber auch nicht mehr relevant.
Also aus meiner Sicht führt kein Weg dran vorbei, sich die Anwendungsprotokolle anzusehen.
Grüße
Richard