nachgefragt
Goto Top

Physikalische und virtuelle Netzwerksegmentierung von EOL Geräten

Hallo Administrator/inn/en,

nachdem es sich beim Thema Umgang mit EOL PCs schon angedeutet hatte freue ich mich hier auf dein Feedback zum Thema physikalische und virtuelle Netzwerksegmentierung von EOL Geräten. EOL Geräte laufen sicherlich in einigen Unternehmen (aus Kostengründen,...) "einfach" weiter, IT-Sicherheit wird ignoriert.

Damit die Diskussion nicht den roten Faden verliert hier ein paar Themen welche ich nicht thematisieren möchte:
  • Austausch bzw. Neuanschaffung der eingesetzten Hardware
  • Ersatzteilversorgung von EOL Geräten
  • Finanzierung von Hardware (Budgetplanung, Leasing, ...)
  • ...


back-to-topProblem: EOL Firmware, EOL Betriebssystem und EOL Softwareapplikationen

Ich bemühe mich dazu (hoffentlich nachvollziehbare) praktische Beispiele aus verschiedene Bereichen zu schildern, evtl. muss ich hier nacheditieren.

back-to-topIndustriemaschinen im Handwerksbetrieb

  • Maschinen-PCs sind komplett eol, Updates, Upgrades oder Patches gibt es nicht mehr.
  • Wo auch immer möglich wurden diese PCs komplett aus dem Netzwerk entfernt, die Nutzung auf ein Minimum reduziert, Datenübertragung nur noch offline per USB möglich.
  • Der problematische Teil muss weiterhin aktiv mit bestimmten PCs im Netzwerk kommunizieren, diese wiederrum mit dem Rest vom Netzwerk.

back-to-topProblem: EOL Firmware

back-to-topDruckersegment

  • Drucker bekommen keine Firmwareupdates mehr, müssen aber mit dem gesamten Office Bereich kommunizieren.

back-to-topNotebooks im Innen- und Außendienst

  • Die eingesetzte Hardware (aktuell mit Windows 11) erhält vom Hersteller keine Firmware-Updates mehr.
  • Die Notebooks müssen sich im Großteil des Netzwerkes bewegen können, intern und extern per VPN.

back-to-topFrage(n) zur Risikoeinschätzung

Welches Beispiel kennst du und wie schätzt du das Risiko in der Praxis ein?
Wie ist deine Vorgehensweise in der Praxis?

Vielen Dank für zielführende Kommentare.


#greenit
#nachhaltigkeit

Content-ID: 4313602310

Url: https://administrator.de/contentid/4313602310

Ausgedruckt am: 25.11.2024 um 17:11 Uhr

MysticFoxDE
MysticFoxDE 18.10.2022 um 09:00:51 Uhr
Goto Top
Moin nachgefragt,

als erstes möchte ich dir dazu den folgenden etwas älteren aber dennoch guten Schinken empfehlen.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/i ...

So ab Seite 153 kommen dann die unterschiedlichen Segmentierungsbeispiele.

Ich bin gerade im Stress, kann dir aber später ein für dich passenderes Schaubild zeichnen und ein paar Takte mehr dazu schreiben.

Gruss Alex

P.S. Habe gerade übrigens ein ähnliches Problem am Bein, nur etwas Grösser. 😭
Ich sage nur Kommunalverwaltung ... haben am WE deren bisherige FireWall (ASA 😬) ausgetauscht.
Nun haben die endlich was anständiges um die ganzen unanständigen Geräte dahinter zu schützen. 🤪
nachgefragt
nachgefragt 18.10.2022 um 10:53:50 Uhr
Goto Top
Zitat von @MysticFoxDE:
Ich bin gerade im Stress, kann dir aber später ein für dich passenderes Schaubild zeichnen und ein paar Takte mehr dazu schreiben.
Moin MysticFoxDE,
die Grundlagen der Segmentierung kenne ich, muss aber feststellen das die Herangehensweise sehr unterschiedlich ist, daher meine Fragen dazu.

Interessant wäre ein von dir angesprochener Security Gateway für die virtuelle Netzwerksegmentierung, damit ich mir mal eine Demo anschauen kann.

Vielleicht muss ich aber erst eine einfach These aufstellen, damit die Kolleg/inn/en diese kritisieren können:
  • Netzwerkgeräte werden in verschiedene Segmente (z.B. Drucker, PC,...) nach Geräten unterteilt
  • weitere Segmente können verschiedene Abteilungen sein (Einkauf, Lager,...) nach Organisation unterteilt
  • Segmente werden über den Core Switch verwaltet (VLAN) bzw. (nicht) verbunden

Was dann aber fehlt ist die weitere Skalierbarkeit.
MysticFoxDE
MysticFoxDE 18.10.2022 um 11:22:54 Uhr
Goto Top
Moin nachgefragt,

Interessant wäre ein von dir angesprochener Security Gateway für die virtuelle Netzwerksegmentierung, damit ich mir mal eine Demo anschauen kann.

wir verwenden als SGW's die Sophos XGS Gerätle, kannst aber auch andere ähnlichen Leistungsumfangs z.B. von Firtinet, Palo Alto & Co benutzen.

Es sollte halt ein Geräte sein, was nicht nur auf Paketebene regelt, sondern auch IPS, ATP, Webproxy & Co beherrscht.

Vielleicht muss ich aber erst eine einfach These aufstellen, damit die Kolleg/inn/en diese kritisieren können:
  • Netzwerkgeräte werden in verschiedene Segmente (z.B. Drucker, PC,...) nach Geräten unterteilt
  • weitere Segmente können verschiedene Abteilungen sein (Einkauf, Lager,...) nach Organisation unterteilt

Nach Abteilungen trennen wir nicht, das ist meiner Ansicht nach für die meisten Mittelständler und darunter, zu oversized.

Wir trennen intern grob nach ...

- SERVER
- SICHERE CLIENTS
- UNSICHERE CLIENTS
- FERTIGUNG (MASCHINEN)
- DRUCKER
- MGMT (IT)
- DMZ
...

* Segmente werden über den Core Switch verwaltet (VLAN) bzw. (nicht) verbunden

ja, VLAN's werden (auch) auf den Switchen verwaltet und können auch über diese verbunden (geroutet) werden,
das Letztere (Routing über (Core) Switche) ist im Sinne einer Netzsegmentierung, meiner Ansicht nach ein absoluter Murks, da man hierbei nicht wirklich zwischen den Segmenten effektiv regeln kann.

Was dann aber fehlt ist die weitere Skalierbarkeit.

Wie meist du das jetzt?
Je nach Switch kannst du > 65k VLAN's verwenden.
Und die SGW's gibts in allen möglichen Grössen.

Beste Grüsse aus BaWü

Alex
nachgefragt
nachgefragt 18.10.2022 um 11:40:12 Uhr
Goto Top
Zitat von @MysticFoxDE:
das Letztere (Routing über (Core) Switche) ist im Sinne einer Netzsegmentierung, meiner Ansicht nach ein absoluter Murks, da man hierbei nicht wirklich zwischen den Segmenten effektiv regeln kann.
Dankeschön,
überraschend für mich war, wie viele angefragte "Netzwerkexperten" dies vorgeschlagen und als ausreichend empfunden hatten. Mir fehlt das eben die Skalierbarkeit.

Wie meist du das jetzt?
So wie du beschrieben hast, dass man etwas "zwischen den Segmenten effektiv regeln kann".
Anforderung kann sein, dass z.B. nur PC1-PC3 auf Maschine1 zugreifen darf,... sonst darf Maschine1 keine sonstige Kommunikation aufbauen,... . Oder es soll nur TCP zwischen bestimmten IPs erlaubt sein, oder ... .

Sophos passt mir, ich schau mal in die Distributed Edge Serie rein.
https://www.sophos.com/de-de/products/next-gen-firewall/tech-specs#XGS1U

Online Demo vorhanden.

Vielen Dank.
MysticFoxDE
MysticFoxDE 18.10.2022 um 12:17:25 Uhr
Goto Top
Moin nachgefragt,

überraschend für mich war, wie viele angefragte "Netzwerkexperten" dies vorgeschlagen und als ausreichend empfunden hatten. Mir fehlt das eben die Skalierbarkeit.

😮, Sicherheit bei routen über den Core ... 😂🤣😂🤣 ... wenn man überhaupt keinen Internetanschluss besitzt, vielleicht dann, ansonsten hat das überhaupt nichts mit Sicherheit zu tun, höchstens mit einem vermurksten Glauben daran.

Wie meist du das jetzt?
So wie du beschrieben hast, dass man etwas "zwischen den Segmenten effektiv regeln kann".
Anforderung kann sein, dass z.B. nur PC1-PC3 auf Maschine1 zugreifen darf,... sonst darf Maschine1 keine sonstige Kommunikation aufbauen,... . Oder es soll nur TCP zwischen bestimmten IPs erlaubt sein, oder ... .

Jup, so sollte +- auch eine anständige Netzsegmentierung aussehen, mit einem feinen Firewall-Regelwerk und IPS, ATP, Applikation Control & Co. 😁

Sophos passt mir, ich schau mal in die Distributed Edge Serie rein.
https://www.sophos.com/de-de/products/next-gen-firewall/tech-specs#XGS1U

Ja, genau die meine ich.

Gruss Alex
Dani
Dani 18.10.2022 aktualisiert um 23:00:19 Uhr
Goto Top
@MysticFoxDE
Ich sage nur Kommunalverwaltung ... haben am WE deren bisherige FireWall (ASA 😬) ausgetauscht.
Hoffentlich hat das Gerät eine EAL4+ Zertifizierung. Sonst geht die Bauststelle schneller wieder auf wie du gucken kannst.


@nachgefragt
Welches Beispiel kennst du und wie schätzt du das Risiko in der Praxis ein?
Das hängt immer davon ab, wenn du fragst (CISO, Datenschutzbeauftragter, IT).

Wie ist deine Vorgehensweise in der Praxis?
Wir setzen auf eine Kombination von SDN inkl. SDN-WAN, Zero Trust und (Cloud) Web Security. Somit können wir problemlos dynamische Netzwerke je nach Anfoderung der obengenannten Instanzen und Tochterunternehmen umsetzen. Ohne dass wir überall große dicke (redunanten) Firewalls und Internetleitungen benötigen. Des Weiteren kann so auch besser die vorhandenen Bandbereiten im LAN/MAN/WAN nutzen werden. Schlussendlich ist es abhängig von der Größe des Unternehmens (Anzahl Geräte & Benutzer, Tochterunternehmen in Europa/um die ganze Welt, Entwicklungsbereiche, etc..


Gruß,
Dani
MysticFoxDE
MysticFoxDE 19.10.2022 um 06:28:37 Uhr
Goto Top
Moin Dani,

@MysticFoxDE
Ich sage nur Kommunalverwaltung ... haben am WE deren bisherige FireWall (ASA 😬) ausgetauscht.
Hoffentlich hat das Gerät eine EAL4+ Zertifizierung. Sonst geht die Bauststelle schneller wieder auf wie du gucken kannst.

sagen wir es mal so, das Projekt erfüllt sämtliche hier gelistete Kriterien ...

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmit ...

und auch die für den erhöhten Schutzbedarf.

Ferner habe ich vom BSI ein schriftliche Bestätigung, dass das Konzept "über Stand der Technik" ist. 😁

Gruss Alex
sk
sk 19.10.2022 aktualisiert um 07:55:12 Uhr
Goto Top
Zitat von @MysticFoxDE:
Je nach Switch kannst du > 65k VLAN's verwenden.

Wie kommst Du auf diese Zahl?
802.1Q verwendet 12 Bit für die VLAN-ID. Ergibt maximal 4096 VLANs (eigentlich 4094, weil die die VLAN-IDs 0 und 4095 reserviert sind; meist sind je nach Hersteller sogar noch weitere VLAN-IDs für interne Zwecke reserviert).

Ok. Man kann das nochmal "umverpacken". Aber auch dann komme ich nicht auf Deine Zahl:
- IEEE 802.1ad ("QinQ", "Double-Tagging"): 4096 x 4096 = rund 16,7 Mio VLANs
- VXLAN: maximal 16.777.215 Layer-2-Umgebungen mit jeweils bis zu 4096 VLANs = rund 68,7 Mrd. VLANs

Hab ich was übersehen?


Zitat von @MysticFoxDE:
ja, VLAN's werden (auch) auf den Switchen verwaltet und können auch über diese verbunden (geroutet) werden,
das Letztere (Routing über (Core) Switche) ist im Sinne einer Netzsegmentierung, meiner Ansicht nach ein
absoluter Murks, da man hierbei nicht wirklich zwischen den Segmenten effektiv regeln kann.

Zum Einen ist eine Netzsegmentierung (bei Weitem) nicht immer in dem Erfordernis begründet, den Traffic zwischen den Segmenten reglementieren zu können und zum Anderen ist es nicht zwingend, dass sich sämtliche am Core-Switch anliegenden IP-Netze auch gegenseitig erreichen bzw. "sehen" können. Und damit meine ich nicht den Einsatz von (stateless) ACLs, sondern von mehreren Routingsinstanzen. Siehe ACLs und verschiedene Sicherheitzonen


Gruß
sk
MysticFoxDE
MysticFoxDE 19.10.2022 um 07:58:33 Uhr
Goto Top
Moin sk,

Zitat von @MysticFoxDE:
Je nach Switch kannst du > 65k VLAN's verwenden.

Wie kommst Du auf diese Zahl?

🤔 ... ich tippe auf einen kurzzeitige Hirnwirrung. 🤪

802.1Q verwendet 12 Bit für die VLAN-ID. Ergibt maximal 4096 VLANs (eigentlich 4094, weil die die VLAN-IDs 0 und 4095 reserviert sind; meist sind je nach Hersteller sogar noch weitere VLAN-IDs für interne Zwecke reserviert).

Damit hast du natürlich vollkommen recht.

Gruss Alex
nachgefragt
nachgefragt 19.10.2022 um 08:23:16 Uhr
Goto Top
Zitat von @sk:
Zum Einen ist eine Netzsegmentierung (bei Weitem) nicht immer in dem Erfordernis begründet, den Traffic zwischen den Segmenten reglementieren zu können
Vielen Dank, damit der rote Faden nicht verloren geht:
In meinem Thema (siehe Überschrift und Ausgangslage #1) geht es genau darum etwas mehr Skalierung zu haben. Ich werde es ggf. nochmal editieren.
sk
sk 19.10.2022 aktualisiert um 08:28:23 Uhr
Goto Top
Zitat von @nachgefragt:

Zitat von @sk:
Zum Einen ist eine Netzsegmentierung (bei Weitem) nicht immer in dem Erfordernis begründet, den Traffic zwischen den Segmenten reglementieren zu können
Vielen Dank, damit der rote Faden nicht verloren geht:
In meinem Thema (siehe Überschrift und Ausgangslage #1) geht es genau darum etwas mehr Skalierung zu haben. Ich werde es ggf. nochmal editieren.

Was Du möchtest ist die Möglichkeit, Datenverkehr zu reglementieren - also ein Mehr an Kontrolle.
"Skalierung" bzw. "Skalierbarkeit" meint etwas anderes...

Gruß
sk
MysticFoxDE
MysticFoxDE 19.10.2022 um 08:31:24 Uhr
Goto Top
Moin sk,

Zum Einen ist eine Netzsegmentierung (bei Weitem) nicht immer in dem Erfordernis begründet, den Traffic zwischen den Segmenten reglementieren zu können

wenn man den Verkehr nicht regeln möchte, dann kann man sich die Segmentierung auch gleich sparen.
Ja, OK, ab einer bestimmten Betriebsgrösse und oder mehreren Standorten, ist eine Segmentierung aus betriebstechnischen Gründen notwendig, hat in dem Fall aber nichts mit Sicherheit zu tun und genau das Letztere,
die Sicherheit, ist dem TO bei diesem Beitrag aber sehr wichtig.

und zum Anderen ist es nicht zwingend, dass sich sämtliche am Core-Switch anliegenden IP-Netze auch gegenseitig erreichen bzw. "sehen" können. Und damit meine ich nicht den Einsatz von (statischen) ACLs, sondern von mehreren Routingsinstanzen. Siehe ACLs und verschiedene Sicherheitzonen

Ich kenne Policy Based Routing, jedoch geht das bei weitem nicht mit jedem Switch und ist mit einer FW oder gar einem SGW, sicherheitstechnisch nicht mal ansatzweise zu vergleichen.

Beste Grüsse aus BaWü
Alex
sk
sk 19.10.2022 um 08:57:49 Uhr
Goto Top
Zitat von @MysticFoxDE:
Moin sk,

Guten Morgen und Hallo aus dem Rheinland (sorry für die Unhöflichkeit oben!)


Zitat von @MysticFoxDE:
Ich kenne Policy Based Routing, jedoch geht das bei weitem nicht mit jedem Switch und ist mit einer FW oder
gar einem SGW, sicherheitstechnisch nicht mal ansatzweise zu vergleichen.

PBR war nicht mein Vorschlag. Ich glaube, Du hast den verlinkten Beitrag nicht ganz erfasst oder den falschen Beitrag gelesen. Ich bin mit Dir durchaus einer Meinung: auch ich plädiere dafür, soweit erforderlich auch Traffic zwischen internen Netzsegmenten nicht mittels Switch-ACLs, sondern mittels einer dedizierten Segmentierungsfirewall zu beregeln. Ob man diesen Traffic nun wirklich mit einer NGF bis auf Layer7 inspizieren muss oder ob nicht eine SPI-Firewall genügt, hängt von den konkreten Umständen und Anforderungen ab.
Der verlinkte Beitrag zeigt nur eine Option auf, die Segmentierungsfirewall zu entlasten, indem Traffic, der nicht beregelt werden muss, am Coreswitch mittels unterschiedlicher Routinginstanzen verarbeitet wird. Natürlich kann das nicht jeder Switch. Ein Coreswitch, der seinen Namen verdient, im Regelfall aber schon.

Gruß
sk
MysticFoxDE
MysticFoxDE 19.10.2022 um 09:21:57 Uhr
Goto Top
Moin sk,

(sorry für die Unhöflichkeit oben!)

😮 ... wo, ich habe keine gesehen. 😁

Zitat von @MysticFoxDE:
Ich kenne Policy Based Routing, jedoch geht das bei weitem nicht mit jedem Switch und ist mit einer FW oder
gar einem SGW, sicherheitstechnisch nicht mal ansatzweise zu vergleichen.

PBR war nicht mein Vorschlag. Ich glaube, Du hast den verlinkten Beitrag nicht ganz erfasst oder den falschen Beitrag gelesen.

Ich habe den Post vorhin aus Zeitmangel nur schnell überflogen und habe das mit VRF gar nicht so richtig gesehen.

Ich bin mit Dir durchaus einer Meinung: auch ich plädiere dafür, soweit erforderlich auch Traffic zwischen internen Netzsegmenten nicht mittels Switch-ACLs, sondern mittels einer dedizierten Segmentierungsfirewall zu beregeln. Ob man diesen Traffic nun wirklich mit einer NGF bis auf Layer7 inspizieren muss oder ob nicht eine SPI-Firewall genügt, hängt von den konkreten Umständen und Anforderungen ab.

👍👍👍 so sehe ich das auch 😁

Der verlinkte Beitrag zeigt nur eine Option auf, die Segmentierungsfirewall zu entlasten, indem Traffic, der nicht beregelt werden muss, am Coreswitch mittels unterschiedlicher Routinginstanzen verarbeitet wird. Natürlich kann das nicht jeder Switch. Ein Coreswitch, der seinen Namen verdient, im Regelfall aber schon.

Ich möchte auch nicht grundsätzlich sagen, dass es für das Routen über einen Switch, PBR oder VRF keine Einsatzszenarien gibt, die gibt es durchaus.
Für den Fall vom TO, kommt meiner Ansicht nach jedoch weder PBR noch VRF so wirklich in Frage, weil ihm die feine Filterung (auf Port und evtl. sogar Applikationsebene) zwischen den Segmenten, so wie ich das verstanden habe, auch sehr wichtig ist.

Gruss Alex
nachgefragt
nachgefragt 19.10.2022 aktualisiert um 15:35:46 Uhr
Goto Top
@MysticFoxDE
@sk
Vielen Dank für euren Austausch!

Zitat von @MysticFoxDE:
Für den Fall vom TO, kommt meiner Ansicht nach jedoch weder PBR noch VRF so wirklich in Frage, weil ihm die feine Filterung (auf Port und evtl. sogar Applikationsebene) zwischen den Segmenten, so wie ich das verstanden habe, auch sehr wichtig ist.
Ja, in meinem Beispiel: Wenn ich schon ein EOL Gerät im Netzwerk haben muss, dann möchte ich wenigstens den Traffic auf ein Minimum reduzieren, überwachen und erlauben. 100% Sicherheit gibt es nicht, zumindest das wäre eine Risikominimierung.

Ich möchte keine Segmentierung machen damit eine Segmentierung vorhanden ist, um die Segmente dann doch am Ende wieder "ungeregelt" zusammenzuführen. Also im Beispiel, wo möglich nehme ich die EOL Clients komplett aus dem Netzwerk; es ist nun leider nicht immer möglich.
MysticFoxDE
MysticFoxDE 21.10.2022 aktualisiert um 06:26:05 Uhr
Goto Top
Moin nachgefragt,

Ja, in meinem Beispiel: Wenn ich schon ein EOL Gerät im Netzwerk haben muss, dann möchte ich wenigstens den Traffic auf ein Minimum reduzieren, überwachen und erlauben. 100% Sicherheit gibt es nicht, zumindest das wäre eine Risikominimierung.

Ich möchte keine Segmentierung machen damit eine Segmentierung vorhanden ist, um die Segmente dann doch am Ende wieder "ungeregelt" zusammenzuführen. Also im Beispiel, wo möglich nehme ich die EOL Clients komplett aus dem Netzwerk; es ist nun leider nicht immer möglich.

Sehr gute und sichere Einstellung. 👍👍👍

Der Vollständigkeit halber und auch den Enterprise-Switch-Freunden zur Freude möchte ich jedoch noch
das Thema PRIVATE-VLAN erwähnen. Damit kannst du im "ISOLATED MODE" recht einfach jeden Client in einem Netzsegment komplett voneinander abschotten.
Sprich, wenn sich in einem ISOLATED P-VLAN ein Client anstecken sollte, dann kann er auf jeden Fall die Clients im selben Netzsegment nicht mehr "mitanstecken". 😁

Das "recht einfach" jetzt aber bitte nicht unterschätzen. Damit meine ich nur, dass es im Vergleich zu anderen Massnahmen, die eine ähnliche Schutzwirkung mit sich bringen, relativ einfach umzusetzen ist.
Wer schon beim "normalen" VLAN zu schwitzen anfängt, sollte um PRIVATE-VLAN jedoch erst einmal einen Bogen machen.

Beste Grüsse aus BaWü
Alex
sk
sk 21.10.2022 um 11:14:19 Uhr
Goto Top
Zitat von @MysticFoxDE:
Der Vollständigkeit halber und auch den Enterprise-Switch-Freunden zur Freude möchte ich jedoch noch
das Thema PRIVATE-VLAN erwähnen.

+1 von mir face-smile