Risiken bei Portweiterleitung auf kritischen Serverdienst

Hallo an alle Sicherheitsexperten, (oder an Alle die mehr Erfahrung haben als ich)

eine unserer Außenstellen (wichtige öffentliche Infrastruktur) hat letzte Woche !endlich! einen Internetanschluss bekommen.
Davor waren vor Ort Sim-Router installiert um überhaupt einen Betrieb sicher zu stellen.
Die Mitarbeiter brauchen Fernzugriff auf einen lokalen Serverdienst (eigener Webserver) - bisher war dies via TeamViewer-Host umgesetzt.
Da es schnell gehen musste habe ich kurzerhand eine alte Firewall geschnappt und die 4 verschiedenen Netze vor Ort logisch von einander getrennt - da ich momentan noch nicht genau weiß, was die User/Clients da so treiben.
Daher sind die jetzt von Rest, sowie der Rest untereinander isoliert.
Nicht die schönste Variante, allerdings wird in ein paar Wochen das Netzwerk und die Firewall von einem unserer Dienstleister neu aufgebaut und ich hoffe die wissen dann was Sie tun...
Nun zum Problem: Der angesprochene Serverdienst ist momentan via https und randomisiertem Port über die feste IP erreichbar - und das gefällt mir um ehrlich zu sein nicht so ganz.
Ich bin kein Experte im Bezug auf Netzwerksicherheit, trotzdem hätte ich das ganze via VPN, entsprechendem Transfer-Netz ,2 Faktor-Authentifizierung und passenden Firewall-Regeln umgesetzt.
Ohne Begründung bekomme ich dafür keine Mittel und "das gefällt mir jetzt irgendwie nicht so" reicht als Grund wenn Gelder fließen sollen auch nicht aus.
Kann mir jemand konkrete Beispiele nennen, welche Gefahren das aktuelle Konstrukt mit sich bringt?
Ich bin auch gerne für andere Lösungsansätze dankbar, falls mein VPN-Wunschkonstrukt auch nicht das gelbe vom Ei sein sollte.

Vielen Dank schonmal, für Eure Anregungen.

Content-Key: 1090314087

Url: https://administrator.de/contentid/1090314087

Ausgedruckt am: 18.09.2021 um 23:09 Uhr

Mitglied: Scirca
Scirca 26.07.2021 aktualisiert um 14:58:10 Uhr
Goto Top
Für die Anbindung eines Außenstandortes kriegst du keine Mittel? Häää, dann sollen die den Standort dicht machen.

Bzgl. ihr scheint ja mit eurem IT-Dienstleister eine Firewall zu haben, dort sind doch gerne VPN Zugriffe dabei SideToSide, ClientToSide. Habt ihr sowas schon im Einsatz, entsprechend das nehmen(Client VPN Software) und eine Firewall Regel -> ClientX -> darf nur zu diesem Server, wäre das keine Option?
Mitglied: hausrocker
hausrocker 26.07.2021 um 15:05:15 Uhr
Goto Top
Ich würde eher mal schauen, was denn ein Fremdzugriff da so an Schaden ausrichten kann. Gab es nicht in Amerika mal einen Fall, wo jemand ein Wasserwerk fernsteuern konnte und die Chlorkonzentration um das 10.000 fache erhöht hat? Da können ja ein paar Tausend Menschen vllt. bei gesundheitliche Probleme bekommen oder ein paar Hunderttausend Euro verbrannt werden als wirtschaftlicher Schaden?

Ohne VPN geht auch, über s.g. "leased lines", damit baut man sich quasi über das Netzwerk von Vodafone oder der Telekom ein eigenes geroutetes Netzwerk auf, mit dem zwei Standorte ausschließlich untereinander verbunden werden.

Du kannst auch einen Windows Server hinter dem Router als VPN Router nehmen oder eine effe Fritzbox. An sich sollte doch jede Firewall die 4 LAN Segmente hat auch eine VPN Funktion und sei es kein natives IPSec sein mit drin haben?
Mitglied: PlekkZero
PlekkZero 26.07.2021 aktualisiert um 15:07:13 Uhr
Goto Top
@Scirca
Keine Zusätzlichen Mittel für die VPN-Geschichte (Nach dem Motto: "geht im Moment doch alles"). ClientToSide haben wir im Einsatz - auch mit 2 FaktorAuth - nur noch nicht für die Benutzer in besagter Außenstelle sondern nur für Terminal-Benutzer. Lizenzen für Clients, sowie Hard-Tokens kosten nun Mal entsprechend. An die Sicherheit denkt da Niemand - solange nicht "eine konkrete Gefahr" im Raum steht.
Mitglied: aqui
aqui 26.07.2021 aktualisiert um 15:21:31 Uhr
Goto Top
und das gefällt mir um ehrlich zu sein nicht so ganz.
Sollte es auch nicht. VPN ist hier immer die bessere Lösung wie du ja auch selber weisst und es zu Recht betonst. Mit einer Firewall wie der jetzigen ja im Handumdrehen ohne Mehrkosten erledigt.
https://administrator.de/tutorial/ipsec-vpn-praxis-mit-standort-kopplung ...
welche Gefahren das aktuelle Konstrukt mit sich bringt?
Na ja du bohrst ein Loch in deine Firewall und lässt so völlig ungeschützten Internet Verkehr in dein lokales Netz passieren. Das muss man sicher nicht noch weiter kommentieren, oder ?!
Muss ja auch eine sehr komische Firma sein die keine 150 Euro für eine gescheite Firewall investieren will und denen die Firmen IT Sicherheit nix wert ist. Das es sowas heutzutage noch gibt ist schon recht verwunderlich...aber nundenn, hat ja sicherlich einen triftigen Grund ?!
https://administrator.de/tutorial/preiswerte-vpn-faehige-firewall-im-eig ...
Ein 60 Euro Mikrotik_hexS schafft es sogar nochmal für weniger als die Hälfte ! Inklusive VPN Support selbstredend.
Das Heise Forum ist voll von solchen Opfern...
Mitglied: PlekkZero
PlekkZero 26.07.2021 um 15:15:20 Uhr
Goto Top
@hausrocker
Ja da hast du Recht, der Fremdzugriff wäre fatal - allerdings hat "die Weboberfläche ja eine Benutzeranmeldemaske, es kann also Nichts passieren." Menschen mit Entscheidungsgewalt sind leider nicht immer versiert bei dem was Sie entscheiden.

Leased Lines zu den einzelnen Mitarbeitern nach Hause sprengt das Budget denke ich ^^

Klar, irgendwie könnte ich da schon was basteln - hätte aber gerne eine VPN Lösung für die unser Dienstleister die Verantwortung übernimmt - sprich zum bestehenden Konstrukt passt. - trotzdem Danke für den Vorschlag :) face-smile
Mitglied: aqui
aqui 26.07.2021 aktualisiert um 15:19:49 Uhr
Goto Top
gerne eine VPN Lösung für die unser Dienstleister die Verantwortung übernimmt
So so...dort macht der Azubi dann die Security Listen egal wie seine Kernkompetenzen sind und bekommt auch noch das Passwort. Wie gesagt...das es soviel Naivität in Puncto Datensicherheit noch gibt...aber egal.
Leased Lines zu den einzelnen Mitarbeitern nach Hause
Dafür gibt es VPNs was jegliches Endgerät mit Bordmitteln bedient:
https://administrator.de/tutorial/ipsec-vpn-fuer-mobile-benutzer-auf-der ...
https://administrator.de/wissen/pfsense-opnsense-client-vpn-l2tp-protoko ...
Mitglied: PlekkZero
PlekkZero 26.07.2021 um 15:36:03 Uhr
Goto Top
@aqui
Wir bewegen uns im öffentlichen Dienst, wenn der Dienstleister den Zuschlag für den Auftrag erhält, liegt das außerhalb meines Einflussbereiches :( face-sad Und - ich gebe dir Recht - nicht nur den Azubis sollte in manchen Systemhäusern der Zugriff auf andere Systeme verweigert werden. Das die zum Teil auch absolut fahrlässig agieren ist mir durchaus klar - nur bin ich dann nicht dafür verantwortlich (traurig aber wahr).
Eine neue Firewall kommt auf jeden Fall, nur erkennt im Moment noch keiner die sicherheitstechnische Relevanz der VPN-Clients. Cool wären Bilder auf den Appliances wie auf den Zigarettenschachteln: Das passiert wenn Ihr am falschen Ende spart. Ich würde gerne Argumentieren können mit: Genau das passiert wenn jemand den Webserver hackt, ddost, etc. Nur habe ich dazu kein Handfestes Beispiel. Vielleicht nen Hacking-Kurs belegen und das eigene Netzwerk angreifen?? - lieber nicht :I
Mitglied: hausrocker
hausrocker 27.07.2021 um 09:17:02 Uhr
Goto Top
Also Beispiele, was mit gehackten Servern passiert gibt es doch genug?
Ein Update nicht eingespielt, ein einfacher Benutzername/Passwort und der Internetanschluss da wird ab sofort als Spamschleuder, Teil eines Botnetzes oder am besten wenn man das Horrorscenario an die Wand malen will: Als Verteilerknoten für KinderP... benutzt. Das BKA fragt ja nicht freundlich an sondern kommt Nachts vorbei und räumt euch die Zweigstelle komplett raus. Ganz schlechte Werbung für den öffentlichen Dienst. So wird man auch seinen ansonsten sicheren Job im öffentlichen Dienst trotzdem los.
Benutzername Passwort nutzen auch Banken ja nicht.

Ich würde davor warnen und wenn da jemand mit Entscheidungsgewalt dann bereit ist das Risiko einzugehen: bitte.
Heiß diskutierte Beiträge
question
Optimale Konfig Synology ISCSI 10GBit an Windows Server gelöst meltersVor 23 StundenFrageSAN, NAS, DAS12 Kommentare

Hallo zusammen, an einem Synology Storage habe ich einen Speicherpool, Raid 6 mit 100 TB erstellt. Die 100 TB sollen als ein Gesamtvolume an einem ...

question
LAN Verkabelung, DNS Fehler 651 und anderesSabineGVor 11 StundenFrageServer6 Kommentare

Ich habe seit 1.5 Jahren Problem mit dem Internet. Provider ist A1 (Österreich), ewige Geschichte, inzwischen 700 EUR weiter und keiner kann mir helfen. Modemtausch ...

question
Installation als Standardbenutzer oder als AdministratorUserUWVor 16 StundenFrageWindows Installation4 Kommentare

Ist die Benutzerkontensteuerung aktiviert, kann auch ein Standardbenutzer Software installieren. Das Installationsprogramm, oder genauer, UAC fragt den Benutzer dann nach einem Administrator und dem Passwort ...

question
OpnSense Unbound DNS Query Forwardingit-fraggleVor 1 TagFrageDNS3 Kommentare

Hallo zusammen, bin gerade dabei die Endian Firewall gegen eine OPNSense auszutauschen. Nun habe ich das Problem, dass bei Unbound DNS Query Forwarding keine "verünftigen" ...

question
Scheduled Tasks mit MSA ausführenFestus94Vor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, ich hoffe, ihr habt ein ruhiges Wochenende. :-) Ich sitze seit ein paar Tagen vor einem Problem, bei dem ich vermutlich einfach den ...

question
Suche CPU-Tabelle als CSV oder XLS gelöst SarekHLVor 6 StundenFrageCPU, RAM, Mainboards8 Kommentare

Hallo zusammen, kennt jemand eine Tabelle möglichst aller 64Bit-PC- und Notebook-Prozessoren im CSV-, ODS oder XLS/XLSX-Format mit Bezeichnung, Anzahl der Kerne, Geschwindigkeit und vielleicht sogar ...

question
Active Directory NTDS - Settings werden nicht automatisch generiertBombadilVor 22 StundenFrageWindows Server5 Kommentare

Hallo Community :), dies ist mein erster Beitrag bzw. die erste Frage, also nur vorab so zur Info. Mein "Problem" ist aufgetaucht im Zuge des ...

tip
Clonezilla kann Image von Samba-Share nicht mountenthe-buccaneerVor 21 StundenTippLinux

Moinsen allerseits! Ich hatte ein Clonezilla-Image in einen Share /images kopiert und diesen freigegeben um ein Restore zu machen. Allerdings wollte Clonezilla das Image nicht ...