Projekt Firewall
Moin Leute,
kurz zu beginn, ich bin kein Firewall-Profi, ich weis was das Ding macht, kann grundlegend Ports freigeben, aber dat wars dann schon.
Wir benutzen derzeit bei all unseren Außenstellen eine Firewall, soweit so gut, soll auch so sein, die Dinger kommen via Side2Side zu uns, und dann läuft der Krempel (Serververbindungen, Citrix, Fileaustausch, Drucker usw...)
Was mir jetzt Kopfweh bereitet, jeder User hat auf seinem Gerät ein File welches Ihn und sein Gerät (eigtl. nur sein Gerät) gegenüber der Firewall authentifiziert, Passwörter haben die User dem File selbst vergeben... we all know how safe this is....
Meine Bedenken, Gerät wird geklaut, der/die/das Böse kommt ins Gerät, knackt das File und zack ist im Netzwerk, blöde Sache...
Ich kenn es von meiner alten Firma dass sich der User via LDAP gegenüber der Firewall authentifiziert mit Username+Password , und dann über die entsprechende Gruppe im AD den gewissen Netzwerkverkehr freigegeben bekommt, denn Person A muss nicht ins NW-Segment C und Person X braucht nicht ins Segment B, so konnten wir auch relativ locker die Externen steuern, und wenn der Auftrag fertig war den User abgedreht und gut war es...
Meine Frage, ist dieses vorgehen noch State of the Art? Die Sache mit dem File ist mir zu unsicher, und sicherlich keine optimale Lösung, deswegen mach ich mir so meine Gedanken ob wir dies mit Hilfe unseren Externen Betreuers ablösen sollten.
Wir haben ca. 10 Außenstellen, und über die Gesamte Institution verteilt ca. 30 VPN-User, wobei wir mehr als 200 User haben.
Ich hoffe es kann aus meiner doch "etwas stümperhaften" Beschreibung der ein oder andere mein Begehren eruieren
Grüße
kurz zu beginn, ich bin kein Firewall-Profi, ich weis was das Ding macht, kann grundlegend Ports freigeben, aber dat wars dann schon.
Wir benutzen derzeit bei all unseren Außenstellen eine Firewall, soweit so gut, soll auch so sein, die Dinger kommen via Side2Side zu uns, und dann läuft der Krempel (Serververbindungen, Citrix, Fileaustausch, Drucker usw...)
Was mir jetzt Kopfweh bereitet, jeder User hat auf seinem Gerät ein File welches Ihn und sein Gerät (eigtl. nur sein Gerät) gegenüber der Firewall authentifiziert, Passwörter haben die User dem File selbst vergeben... we all know how safe this is....
Meine Bedenken, Gerät wird geklaut, der/die/das Böse kommt ins Gerät, knackt das File und zack ist im Netzwerk, blöde Sache...
Ich kenn es von meiner alten Firma dass sich der User via LDAP gegenüber der Firewall authentifiziert mit Username+Password , und dann über die entsprechende Gruppe im AD den gewissen Netzwerkverkehr freigegeben bekommt, denn Person A muss nicht ins NW-Segment C und Person X braucht nicht ins Segment B, so konnten wir auch relativ locker die Externen steuern, und wenn der Auftrag fertig war den User abgedreht und gut war es...
Meine Frage, ist dieses vorgehen noch State of the Art? Die Sache mit dem File ist mir zu unsicher, und sicherlich keine optimale Lösung, deswegen mach ich mir so meine Gedanken ob wir dies mit Hilfe unseren Externen Betreuers ablösen sollten.
Wir haben ca. 10 Außenstellen, und über die Gesamte Institution verteilt ca. 30 VPN-User, wobei wir mehr als 200 User haben.
Ich hoffe es kann aus meiner doch "etwas stümperhaften" Beschreibung der ein oder andere mein Begehren eruieren
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 73346363531
Url: https://administrator.de/forum/projekt-firewall-73346363531.html
Ausgedruckt am: 25.12.2024 um 14:12 Uhr
29 Kommentare
Neuester Kommentar
Was auch immer dieses File ist!
Direct Access bzw Allways On VPN kennst Du? Smartcards hast Du schon mal gehört?
Direct Access bzw Allways On VPN kennst Du? Smartcards hast Du schon mal gehört?
Werde doch einfach mal konkret. Sollen wir jetzt Raten ob es ein zweiter Faktor ist, oder ein Zertifikat...
Zitat von @MrHeisenberg:
Was mir jetzt Kopfweh bereitet, jeder User hat auf seinem Gerät ein File welches Ihn und sein Gerät (eigtl. nur sein Gerät) gegenüber der Firewall authentifiziert, Passwörter haben die User dem File selbst vergeben... we all know how safe this is....
kurzum:
Jedes Gerät mit dem File kann den VPN-Client öffnen und sich gegenüber unserer Infra authentifizieren und ist im Netzwerk... wenns nicht eindeutig daraus hervorgeht dann frag direkt nach...
Zitat von @8585324113:
Werde doch einfach mal konkret. Sollen wir jetzt Raten ob es ein zweiter Faktor ist, oder ein Zertifikat...
Werde doch einfach mal konkret. Sollen wir jetzt Raten ob es ein zweiter Faktor ist, oder ein Zertifikat...
Was mir jetzt Kopfweh bereitet, jeder User hat auf seinem Gerät ein File welches Ihn und sein Gerät (eigtl. nur sein Gerät) gegenüber der Firewall authentifiziert, Passwörter haben die User dem File selbst vergeben... we all know how safe this is....
kurzum:
Jedes Gerät mit dem File kann den VPN-Client öffnen und sich gegenüber unserer Infra authentifizieren und ist im Netzwerk... wenns nicht eindeutig daraus hervorgeht dann frag direkt nach...
Du sprichst in Rätseln.
Welcher Hersteller nennt welches Feature so?
Im Prinzip ja, die genaue Ausgestaltung ist Geschmackssache. Es gibt verschiedene Ansätze:
- LDAP-Authentifizierung mit unterschiedliche Client-IP-Pools für die gemappten Gruppen, wie du das beschreibst.
- RADIUS-Authentifizierung mit Zuweisung in IP-Pools durch den RADIUS-Server anhand der Gruppe.
- RADIUS-Authentifizierung mit Zuweisung der Client-IPs aus dem AD.
- Die jeweiligen herstellerspezifischen AD-Integrationen.
In solch kleinen Umgebungen bevorzuge ich grundsätzlich die dritte Variante. Die Nutzer können über die API der Firewall direkt als Adressobjekte verfügbar gemacht werden, sodass eine nutzergranulare Berechtigungssteuerung ohne weitere Software des FW-Herstellers möglich ist. Die Rahmenbedingungen für Forensik sind üblicherweise schwierig, sodass die statische Verknüpfung eines Nutzers mit einer IP gegenüber jedem Pooling eine deutliche Erleichterung darstellt.
Auch die leichte Integration von MFA (wieder unabhängig vom FW-Hersteller, z.B. Azure MFA auf einem NPS) wiegen meines Erachtens die Nachteile von RADIUS ggü. LDAP auf.
Je nach Funktionsumfang der Firewall, Lizenzpolitik des Herstellers und Strategie (Entra ID ja/nein) ergeben sich aber natürlich ganz unterschiedliche Entscheidungswege.
Die jetzige wahrscheinlich Zertifikats-basierte Authentifizierung könnte mit Smartcards bzw. virtuellen Smartcards geradegezogen werden, was aber in der Regel etwas komplexer ist als MFA. Allein Nutzername/Passwort ist heute nicht mehr akzeptabel.
Grüße
Richard
Kannst du dieses ominöse File, der geheimen Brandmauer kreuztauschen mit anderen Clients? Oder gar einem fremdem System das drauf kopieren, der nicht zur Domain oder so gehört?
Zitat von @MrHeisenberg:
(genauen Namen will ich nicht bekannt geben, da ich sonnst wieder von Consultants bombardiert werde)
(genauen Namen will ich nicht bekannt geben, da ich sonnst wieder von Consultants bombardiert werde)
Es wäre aber schon sehr interessant, welche Lösung so eine Betriebsart zulässt. Ein eigener Cert-Store wäre noch plausibel. Aber ich kenne keinen Hersteller, der für diesen eher halbgaren Ansatz eine Passwortverwaltung in seinem Client hat.
Moin
Mir ist schleierhaft warum du den FW Hersteller nicht nennen willst.
Warum setzt du nicht einfach das naheliegenste um und führst einen zweiten Faktor bei der Anmeldung am VPN ein. Also zusätzlich zu diesem File welche ein .lic oder .conf sein wird.
Der zweite Faktor kann ja hier ohne große Probleme z.B. User spezifisch per LDAP sein. Wird deine uns unbekannt FW vermutlich auch können.
Gruß
Spirit
Mir ist schleierhaft warum du den FW Hersteller nicht nennen willst.
Warum setzt du nicht einfach das naheliegenste um und führst einen zweiten Faktor bei der Anmeldung am VPN ein. Also zusätzlich zu diesem File welche ein .lic oder .conf sein wird.
Der zweite Faktor kann ja hier ohne große Probleme z.B. User spezifisch per LDAP sein. Wird deine uns unbekannt FW vermutlich auch können.
Gruß
Spirit
Zitat von @c.r.s.:
Es wäre aber schon sehr interessant, welche Lösung so eine Betriebsart zulässt. Ein eigener Cert-Store wäre noch plausibel. Aber ich kenne keinen Hersteller, der für diesen eher halbgaren Ansatz eine Passwortverwaltung in seinem Client hat.
Zitat von @MrHeisenberg:
(genauen Namen will ich nicht bekannt geben, da ich sonnst wieder von Consultants bombardiert werde)
(genauen Namen will ich nicht bekannt geben, da ich sonnst wieder von Consultants bombardiert werde)
Es wäre aber schon sehr interessant, welche Lösung so eine Betriebsart zulässt. Ein eigener Cert-Store wäre noch plausibel. Aber ich kenne keinen Hersteller, der für diesen eher halbgaren Ansatz eine Passwortverwaltung in seinem Client hat.
Mir fallen da sofort zwei Lösungen ein womit genau das vom TO beschriebene Verhalten möglich ist. Sicher geht das auch noch mit mehreren Herstellern.
Sophos und Barracuda lassen sich so konfigurieren.
Wie gesagt, das ist kein Hexenwerk. Die FW per LDAP an die DCs koppeln und die Auth dann am VPN nutzen. Fertig. Beachte, das du eine AD-Sicherheitsgruppe mit allen User pflegen solltest, welche den VPN Zugang nutzen sollen.
Da kannst du auch etwas herum spielen und ein Test Profil anlegen. Wenn du den Hersteller nennst, liefer ich dir wahrscheinlich sogar eine Anleitung frei haus.
Solltest du es nicht testen wollen, so brauchen wir dir hier auch nicht mehr Infos liefern und du kannst du dich besser direkt an deinen DL wenden welcher es ja nun auch umsetzen soll/wird.
Da kannst du auch etwas herum spielen und ein Test Profil anlegen. Wenn du den Hersteller nennst, liefer ich dir wahrscheinlich sogar eine Anleitung frei haus.
Solltest du es nicht testen wollen, so brauchen wir dir hier auch nicht mehr Infos liefern und du kannst du dich besser direkt an deinen DL wenden welcher es ja nun auch umsetzen soll/wird.
Hallo,
um das File wirst du nicht herum kommen.
Hier sind nicht die Zugangsdaten des User hinterlegt, sondern die Konfiguration des Tunnels.
So kenne ich das jedenfalls von meiner Sophos.
Wie der User sich nun gegen die FW authentifiziert, muss auf der FW eingerichtet werden: zB gegen AD oder lokale User-DB mit Name und PW oder 2Faktor.
Jürgen
um das File wirst du nicht herum kommen.
Hier sind nicht die Zugangsdaten des User hinterlegt, sondern die Konfiguration des Tunnels.
So kenne ich das jedenfalls von meiner Sophos.
Wie der User sich nun gegen die FW authentifiziert, muss auf der FW eingerichtet werden: zB gegen AD oder lokale User-DB mit Name und PW oder 2Faktor.
Jürgen
Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Zitat von @Visucius:
...Wunderbar klar formuliert. Danke.
Die eigentliche Frage des TO
ist dieses vorgehen noch State of the Art?
ist zudem längst klar beantwortet und im deutlich begrenzten Handlungsspielraum des TO ist auch klar, was zu tun ist.Weitergehende Erörterungen sind ersichtlich sinnfrei.
Viele Grüße, commodity
Zitat von @8585324113:
Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Äh Standard seit Jahren und seit Azure nicht mehr wegzudenken? MFA drauf kloppen und fertig. Oder man gibt den Usern halt 100PWs. Für jedes System eins.
.
Zitat von @Ex0r2k16:
Äh Standard seit Jahren und seit Azure nicht mehr wegzudenken? MFA drauf kloppen und fertig. Oder man gibt den Usern halt 100PWs. Für jedes System eins.
.
Zitat von @8585324113:
Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Äh Standard seit Jahren und seit Azure nicht mehr wegzudenken? MFA drauf kloppen und fertig. Oder man gibt den Usern halt 100PWs. Für jedes System eins.
.
Bist Du etwas übermüdet?
Ich sehe was was du nicht siehst, und das ist ... eine Lösung die ich dir nicht verrate, weil der Freitag naht 🤪
Zitat von @8585324113:
Bist Du etwas übermüdet?
Zitat von @Ex0r2k16:
Äh Standard seit Jahren und seit Azure nicht mehr wegzudenken? MFA drauf kloppen und fertig. Oder man gibt den Usern halt 100PWs. Für jedes System eins.
.
Zitat von @8585324113:
Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Äh Standard seit Jahren und seit Azure nicht mehr wegzudenken? MFA drauf kloppen und fertig. Oder man gibt den Usern halt 100PWs. Für jedes System eins.
.
Bist Du etwas übermüdet?
ne - du?
Zitat von @Ex0r2k16:
ne - du?
Zitat von @8585324113:
Bist Du etwas übermüdet?
Zitat von @Ex0r2k16:
Äh Standard seit Jahren und seit Azure nicht mehr wegzudenken? MFA drauf kloppen und fertig. Oder man gibt den Usern halt 100PWs. Für jedes System eins.
.
Zitat von @8585324113:
Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Ich und damit bin ich nicht allein, findet es nicht gut, wenn außerhalb des Firma die echten User Daten irgendwo eintippt werden. Weder beim Login in das Notebook, noch beim VPN-Eintritt oder auf einer Webseite. Besonders die Webseiten, die von Rechnern Dritter angesurft werden können und Domain-User-Logins akzeptieren sind eine Katastrophe.
Ich weiß nciht wie man sowas verantworten kann, wenn man ernsthaft Sicherheit machen möchte.
Äh Standard seit Jahren und seit Azure nicht mehr wegzudenken? MFA drauf kloppen und fertig. Oder man gibt den Usern halt 100PWs. Für jedes System eins.
.
Bist Du etwas übermüdet?
ne - du?
Dann Frage ich mich, wann bei dir die Uhr stehenblieb.
Moin,
https://campus.barracuda.com/product/cloudgenfirewall/doc/86540727/how-t ...
Unterstützt wird die Berechtigung über eine LDAP Gruppe was ich für wichtig halte. Zum anderen können die Zugänge über SSLVPN und/oder TINA Tunnel per TOTP gesichert werden. Ist vermutlich eine Sache von 1-2 Tagen. Je nach Wissen und Testmöglichkeiten.
Gruß,
Dani
Meine Frage, ist dieses vorgehen noch State of the Art?
Kann man nach wie vor problemlos nutzen. Allerdings nicht mehr ohne 2 FA. Die einen nutzen eine App, die anderen nutzen Azure, wir nutzen Hardware Tokens. Hängt von den Anforderungen und Wünsch ab.Ob dies Barracuda kann, kann ich leider nicht beurteilen,
Grundsätzlich kann die Barracuda NG Firewall dir da was bieten:https://campus.barracuda.com/product/cloudgenfirewall/doc/86540727/how-t ...
Unterstützt wird die Berechtigung über eine LDAP Gruppe was ich für wichtig halte. Zum anderen können die Zugänge über SSLVPN und/oder TINA Tunnel per TOTP gesichert werden. Ist vermutlich eine Sache von 1-2 Tagen. Je nach Wissen und Testmöglichkeiten.
Gruß,
Dani