mrheisenberg
Goto Top

Projekt Firewall

Moin Leute,

kurz zu beginn, ich bin kein Firewall-Profi, ich weis was das Ding macht, kann grundlegend Ports freigeben, aber dat wars dann schon.

Wir benutzen derzeit bei all unseren Außenstellen eine Firewall, soweit so gut, soll auch so sein, die Dinger kommen via Side2Side zu uns, und dann läuft der Krempel (Serververbindungen, Citrix, Fileaustausch, Drucker usw...)
Was mir jetzt Kopfweh bereitet, jeder User hat auf seinem Gerät ein File welches Ihn und sein Gerät (eigtl. nur sein Gerät) gegenüber der Firewall authentifiziert, Passwörter haben die User dem File selbst vergeben... we all know how safe this is....

Meine Bedenken, Gerät wird geklaut, der/die/das Böse kommt ins Gerät, knackt das File und zack ist im Netzwerk, blöde Sache...
Ich kenn es von meiner alten Firma dass sich der User via LDAP gegenüber der Firewall authentifiziert mit Username+Password , und dann über die entsprechende Gruppe im AD den gewissen Netzwerkverkehr freigegeben bekommt, denn Person A muss nicht ins NW-Segment C und Person X braucht nicht ins Segment B, so konnten wir auch relativ locker die Externen steuern, und wenn der Auftrag fertig war den User abgedreht und gut war es...

Meine Frage, ist dieses vorgehen noch State of the Art? Die Sache mit dem File ist mir zu unsicher, und sicherlich keine optimale Lösung, deswegen mach ich mir so meine Gedanken ob wir dies mit Hilfe unseren Externen Betreuers ablösen sollten.

Wir haben ca. 10 Außenstellen, und über die Gesamte Institution verteilt ca. 30 VPN-User, wobei wir mehr als 200 User haben.

Ich hoffe es kann aus meiner doch "etwas stümperhaften" Beschreibung der ein oder andere mein Begehren eruieren


Grüße

Content-ID: 73346363531

Url: https://administrator.de/forum/projekt-firewall-73346363531.html

Ausgedruckt am: 25.12.2024 um 14:12 Uhr

8585324113
8585324113 02.11.2023 aktualisiert um 14:20:15 Uhr
Goto Top
Was auch immer dieses File ist!

Direct Access bzw Allways On VPN kennst Du? Smartcards hast Du schon mal gehört?
MrHeisenberg
MrHeisenberg 02.11.2023 um 14:23:29 Uhr
Goto Top
Zitat von @8585324113:

Was auch immer dieses File ist!


Dieses File wird seitens Firewall zur Authentifizierung benötigt, ohne dem File baut der VPN-Client keine Verbindung auf

Direct Access bzw Allways On VPN kennst Du? Smartcards hast Du schon mal gehört?

Direct Access sagt mir was, Smartcard ist mir ein Begriff
8585324113
8585324113 02.11.2023 um 14:35:02 Uhr
Goto Top
Werde doch einfach mal konkret. Sollen wir jetzt Raten ob es ein zweiter Faktor ist, oder ein Zertifikat...
MrHeisenberg
MrHeisenberg 02.11.2023 um 14:41:53 Uhr
Goto Top
Zitat von @8585324113:

Werde doch einfach mal konkret. Sollen wir jetzt Raten ob es ein zweiter Faktor ist, oder ein Zertifikat...

Was mir jetzt Kopfweh bereitet, jeder User hat auf seinem Gerät ein File welches Ihn und sein Gerät (eigtl. nur sein Gerät) gegenüber der Firewall authentifiziert, Passwörter haben die User dem File selbst vergeben... we all know how safe this is....

kurzum:

Jedes Gerät mit dem File kann den VPN-Client öffnen und sich gegenüber unserer Infra authentifizieren und ist im Netzwerk... wenns nicht eindeutig daraus hervorgeht dann frag direkt nach...
Looser27
Looser27 02.11.2023 um 14:47:11 Uhr
Goto Top
Moin,

was steht denn in dem File drin?
Zertifikat? Useranmeldedaten?

Grundsätzlich sollte jede halbwegs moderne Firewall eine gescheite Userauth anbieten.

Gruß

Looser
8585324113
8585324113 02.11.2023 um 14:48:54 Uhr
Goto Top
Zitat von @MrHeisenberg:

Zitat von @8585324113:

Werde doch einfach mal konkret. Sollen wir jetzt Raten ob es ein zweiter Faktor ist, oder ein Zertifikat...

Was mir jetzt Kopfweh bereitet, jeder User hat auf seinem Gerät ein File welches Ihn und sein Gerät (eigtl. nur sein Gerät) gegenüber der Firewall authentifiziert, Passwörter haben die User dem File selbst vergeben... we all know how safe this is....

kurzum:

Jedes Gerät mit dem File kann den VPN-Client öffnen und sich gegenüber unserer Infra authentifizieren und ist im Netzwerk... wenns nicht eindeutig daraus hervorgeht dann frag direkt nach...

Du sprichst in Rätseln.
Welcher Hersteller nennt welches Feature so?
C.R.S.
Lösung C.R.S. 02.11.2023 um 14:51:14 Uhr
Goto Top
Zitat von @MrHeisenberg:

Meine Frage, ist dieses vorgehen noch State of the Art?

Im Prinzip ja, die genaue Ausgestaltung ist Geschmackssache. Es gibt verschiedene Ansätze:

  • LDAP-Authentifizierung mit unterschiedliche Client-IP-Pools für die gemappten Gruppen, wie du das beschreibst.
  • RADIUS-Authentifizierung mit Zuweisung in IP-Pools durch den RADIUS-Server anhand der Gruppe.
  • RADIUS-Authentifizierung mit Zuweisung der Client-IPs aus dem AD.
  • Die jeweiligen herstellerspezifischen AD-Integrationen.

In solch kleinen Umgebungen bevorzuge ich grundsätzlich die dritte Variante. Die Nutzer können über die API der Firewall direkt als Adressobjekte verfügbar gemacht werden, sodass eine nutzergranulare Berechtigungssteuerung ohne weitere Software des FW-Herstellers möglich ist. Die Rahmenbedingungen für Forensik sind üblicherweise schwierig, sodass die statische Verknüpfung eines Nutzers mit einer IP gegenüber jedem Pooling eine deutliche Erleichterung darstellt.
Auch die leichte Integration von MFA (wieder unabhängig vom FW-Hersteller, z.B. Azure MFA auf einem NPS) wiegen meines Erachtens die Nachteile von RADIUS ggü. LDAP auf.
Je nach Funktionsumfang der Firewall, Lizenzpolitik des Herstellers und Strategie (Entra ID ja/nein) ergeben sich aber natürlich ganz unterschiedliche Entscheidungswege.

Die jetzige wahrscheinlich Zertifikats-basierte Authentifizierung könnte mit Smartcards bzw. virtuellen Smartcards geradegezogen werden, was aber in der Regel etwas komplexer ist als MFA. Allein Nutzername/Passwort ist heute nicht mehr akzeptabel.

Grüße
Richard
MrHeisenberg
MrHeisenberg 02.11.2023 um 14:54:52 Uhr
Goto Top
So:

Unsere VPN User haben auf Ihren Geräten einen VPN-Client vom Hersteller unserer Firewall
(genauen Namen will ich nicht bekannt geben, da ich sonnst wieder von Consultants bombardiert werde)

Der Client wurde von uns in der IT auf die Geräte installiert, der VPN User hat dann das File bekommen um sich mit dem VPN Client in unser Netzwerk zu verbinden, sprich dient dieses File als Schlüssel für unser Netzwerk.

Der VPN-User geht im Client nur mehr auf Connect, gibt ein von Ihm gewähltes Passwort ein und der Client verbindet sich.

Es passiert sonnst kein Abgleich. Keine LDAP Abfrage nach Benutzer & Passwort beim verbinden mit der VPN
8585324113
8585324113 02.11.2023 um 14:59:25 Uhr
Goto Top
Kannst du dieses ominöse File, der geheimen Brandmauer kreuztauschen mit anderen Clients? Oder gar einem fremdem System das drauf kopieren, der nicht zur Domain oder so gehört?
C.R.S.
C.R.S. 02.11.2023 um 15:02:56 Uhr
Goto Top
Zitat von @MrHeisenberg:

(genauen Namen will ich nicht bekannt geben, da ich sonnst wieder von Consultants bombardiert werde)

Es wäre aber schon sehr interessant, welche Lösung so eine Betriebsart zulässt. Ein eigener Cert-Store wäre noch plausibel. Aber ich kenne keinen Hersteller, der für diesen eher halbgaren Ansatz eine Passwortverwaltung in seinem Client hat.
Spirit-of-Eli
Spirit-of-Eli 02.11.2023 um 15:04:05 Uhr
Goto Top
Moin

Mir ist schleierhaft warum du den FW Hersteller nicht nennen willst.

Warum setzt du nicht einfach das naheliegenste um und führst einen zweiten Faktor bei der Anmeldung am VPN ein. Also zusätzlich zu diesem File welche ein .lic oder .conf sein wird.
Der zweite Faktor kann ja hier ohne große Probleme z.B. User spezifisch per LDAP sein. Wird deine uns unbekannt FW vermutlich auch können.

Gruß
Spirit
Spirit-of-Eli
Spirit-of-Eli 02.11.2023 um 15:05:45 Uhr
Goto Top
Zitat von @c.r.s.:

Zitat von @MrHeisenberg:

(genauen Namen will ich nicht bekannt geben, da ich sonnst wieder von Consultants bombardiert werde)

Es wäre aber schon sehr interessant, welche Lösung so eine Betriebsart zulässt. Ein eigener Cert-Store wäre noch plausibel. Aber ich kenne keinen Hersteller, der für diesen eher halbgaren Ansatz eine Passwortverwaltung in seinem Client hat.

Mir fallen da sofort zwei Lösungen ein womit genau das vom TO beschriebene Verhalten möglich ist. Sicher geht das auch noch mit mehreren Herstellern.

Sophos und Barracuda lassen sich so konfigurieren.
MrHeisenberg
MrHeisenberg 02.11.2023 um 15:18:27 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Moin

Mir ist schleierhaft warum du den FW Hersteller nicht nennen willst.

Warum setzt du nicht einfach das naheliegenste um und führst einen zweiten Faktor bei der Anmeldung am VPN ein. Also zusätzlich zu diesem File welche ein .lic oder .conf sein wird.
Der zweite Faktor kann ja hier ohne große Probleme z.B. User spezifisch per LDAP sein. Wird deine uns unbekannt FW vermutlich auch können.


Ob dies Barracuda kann, kann ich leider nicht beurteilen, nur für solch eine Umsetzung benötige unseren externen DL, und der kostet... mir wäre nur wichtig in welche Richtung am besten wäre, das File würde ich gerne zügig ablösen, da es aus meiner Sicht ein Sicherheitsrisiko darstellt, und ich es nicht zentral abdrehen kann wenn das Laptop geklaut wurde... weil ich keinen Admin-Zugang zu den FW habe.... und mir auch das Fachwissen dazu fehlt.

Grüße

Gruß
Spirit
Spirit-of-Eli
Lösung Spirit-of-Eli 02.11.2023 um 15:34:47 Uhr
Goto Top
Wie gesagt, das ist kein Hexenwerk. Die FW per LDAP an die DCs koppeln und die Auth dann am VPN nutzen. Fertig. Beachte, das du eine AD-Sicherheitsgruppe mit allen User pflegen solltest, welche den VPN Zugang nutzen sollen.
Da kannst du auch etwas herum spielen und ein Test Profil anlegen. Wenn du den Hersteller nennst, liefer ich dir wahrscheinlich sogar eine Anleitung frei haus.

Solltest du es nicht testen wollen, so brauchen wir dir hier auch nicht mehr Infos liefern und du kannst du dich besser direkt an deinen DL wenden welcher es ja nun auch umsetzen soll/wird.
chiefteddy
Lösung chiefteddy 02.11.2023 um 15:39:24 Uhr
Goto Top
Hallo,
um das File wirst du nicht herum kommen.
Hier sind nicht die Zugangsdaten des User hinterlegt, sondern die Konfiguration des Tunnels.
So kenne ich das jedenfalls von meiner Sophos.
Wie der User sich nun gegen die FW authentifiziert, muss auf der FW eingerichtet werden: zB gegen AD oder lokale User-DB mit Name und PW oder 2Faktor.

Jürgen
8585324113
8585324113 02.11.2023 um 15:42:07 Uhr
Goto Top
Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.

Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Visucius
Visucius 02.11.2023 aktualisiert um 19:38:40 Uhr
Goto Top
Was für ne Kindergartendiskussion!

Ich hab was,
ich sag nicht was,
weiß auch nicht wie es funktioniert,
weil ich zahle jemanden weil er es besser weiß,
glaube aber trotzdem es ist unsicher,
habe auch keine Ahnung
und keine Rechte
aber gib mir bitte ne potentielle Lösung
commodity
commodity 02.11.2023 um 22:52:29 Uhr
Goto Top
Zitat von @Visucius:
...
Wunderbar klar formuliert. Danke.

Die eigentliche Frage des TO
ist dieses vorgehen noch State of the Art?
ist zudem längst klar beantwortet und im deutlich begrenzten Handlungsspielraum des TO ist auch klar, was zu tun ist.
Weitergehende Erörterungen sind ersichtlich sinnfrei.

Viele Grüße, commodity
Ex0r2k16
Ex0r2k16 02.11.2023 um 23:29:14 Uhr
Goto Top
Zitat von @8585324113:

Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.

Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.

Äh Standard seit Jahren und seit Azure nicht mehr wegzudenken? MFA drauf kloppen und fertig. Oder man gibt den Usern halt 100PWs. Für jedes System eins.
.
8585324113
8585324113 02.11.2023 um 23:31:55 Uhr
Goto Top
Zitat von @Ex0r2k16:

Zitat von @8585324113:

Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.

Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.

Äh Standard seit Jahren und seit Azure nicht mehr wegzudenken? MFA drauf kloppen und fertig. Oder man gibt den Usern halt 100PWs. Für jedes System eins.
.

Bist Du etwas übermüdet?
8030021182
8030021182 02.11.2023 aktualisiert um 23:34:23 Uhr
Goto Top
Ich sehe was was du nicht siehst, und das ist ... eine Lösung die ich dir nicht verrate, weil der Freitag naht 🤪
Ex0r2k16
Ex0r2k16 02.11.2023 um 23:36:18 Uhr
Goto Top
Zitat von @8585324113:

Zitat von @Ex0r2k16:

Zitat von @8585324113:

Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.

Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.

Äh Standard seit Jahren und seit Azure nicht mehr wegzudenken? MFA drauf kloppen und fertig. Oder man gibt den Usern halt 100PWs. Für jedes System eins.
.

Bist Du etwas übermüdet?

ne - du?
8585324113
8585324113 02.11.2023 um 23:53:15 Uhr
Goto Top
Zitat von @Ex0r2k16:

Zitat von @8585324113:

Zitat von @Ex0r2k16:

Zitat von @8585324113:

Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.

Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.

Äh Standard seit Jahren und seit Azure nicht mehr wegzudenken? MFA drauf kloppen und fertig. Oder man gibt den Usern halt 100PWs. Für jedes System eins.
.

Bist Du etwas übermüdet?

ne - du?

Dann Frage ich mich, wann bei dir die Uhr stehenblieb.
Spirit-of-Eli
Spirit-of-Eli 03.11.2023 um 00:25:37 Uhr
Goto Top
Hey, gleich eskaliert das hier wieder. Das ist auch nicht Ziel führend.
MrHeisenberg
MrHeisenberg 03.11.2023 um 07:28:39 Uhr
Goto Top
Zitat von @MrHeisenberg:

Ob dies Barracuda kann, kann ich leider nicht beurteilen,


Liebe Leute welche sich wieder Sinnfrei aufregen, der Hersteller wurde genannt!

Wer lesen will ist klar im Vorteil, ich habe einige Ansätze erhalten und im Postfach 3 neue Consulter was wir eine neue FW andrehen wollen...

um hier was klar zu stellen:

Ich erwarte keine Lösung, sondern NUR einen IMPUT ob mein Gedankengang falsch ist oder nicht mit dem AD-Abgleich! Wenn nicht evtl. einen Vorschlag wie dies sonnst gemacht werden könnte, da mir hier KnowHow fehlt!
Jeder der über alles 100% bescheid weis möge den ersten Switch werfen!

Junge Junge....

Unser DL ist Gewinnoptimiert, und je genauer ich die Umsetzung angebe, bzw. die Umsetzung am AD usw. vorarbeite desto besser für unser Budget....

Also was hier wieder die flucherei von mancher soll entzieht sich meiner Kenntnis, @Spirit-of-Eli , @chiefteddy , @c.r.s thx für euren Imput
pasu69
pasu69 03.11.2023 um 16:25:57 Uhr
Goto Top
OT: Wer schreiben kann, ist noch mehr im Vorteil. Du könntest Dir zumindest die Zeit nehmen, und Deine Textergüsse vor dem Posten selber zu lesen und dann zu korrigieren.
MrHeisenberg
MrHeisenberg 03.11.2023 um 16:52:14 Uhr
Goto Top
Zitat von @pasu69:

OT: Wer schreiben kann, ist noch mehr im Vorteil. Du könntest Dir zumindest die Zeit nehmen, und Deine Textergüsse vor dem Posten selber zu lesen und dann zu korrigieren.

OT: hauptsache einen Kommentar hinterlassen 🤦‍♀️
Dani
Dani 03.11.2023 um 20:41:28 Uhr
Goto Top
Moin,
Meine Frage, ist dieses vorgehen noch State of the Art?
Kann man nach wie vor problemlos nutzen. Allerdings nicht mehr ohne 2 FA. Die einen nutzen eine App, die anderen nutzen Azure, wir nutzen Hardware Tokens. Hängt von den Anforderungen und Wünsch ab.

Ob dies Barracuda kann, kann ich leider nicht beurteilen,
Grundsätzlich kann die Barracuda NG Firewall dir da was bieten:
https://campus.barracuda.com/product/cloudgenfirewall/doc/86540727/how-t ...

Unterstützt wird die Berechtigung über eine LDAP Gruppe was ich für wichtig halte. Zum anderen können die Zugänge über SSLVPN und/oder TINA Tunnel per TOTP gesichert werden. Ist vermutlich eine Sache von 1-2 Tagen. Je nach Wissen und Testmöglichkeiten.


Gruß,
Dani
Spirit-of-Eli
Spirit-of-Eli 03.11.2023 um 21:54:43 Uhr
Goto Top
Die Barracuda bietet da gut 10 verschiedene Optionen.
Ein Blick ins Manual unter LocalvAuthentication zeigt dir alle Optionen auf.