8
Risiken bei Portweiterleitung auf kritischen Serverdienst
Hallo an alle Sicherheitsexperten, (oder an Alle die mehr Erfahrung haben als ich)
eine unserer Außenstellen (wichtige öffentliche Infrastruktur) hat letzte Woche !endlich! einen Internetanschluss bekommen.
Davor waren vor Ort Sim-Router installiert um überhaupt einen Betrieb sicher zu stellen.
Die Mitarbeiter brauchen Fernzugriff auf einen lokalen Serverdienst (eigener Webserver) - bisher war dies via TeamViewer-Host umgesetzt.
Da es schnell gehen musste habe ich kurzerhand eine alte Firewall geschnappt und die 4 verschiedenen Netze vor Ort logisch von einander getrennt - da ich momentan noch nicht genau weiß, was die User/Clients da so treiben.
Daher sind die jetzt von Rest, sowie der Rest untereinander isoliert.
Nicht die schönste Variante, allerdings wird in ein paar Wochen das Netzwerk und die Firewall von einem unserer Dienstleister neu aufgebaut und ich hoffe die wissen dann was Sie tun...
Nun zum Problem: Der angesprochene Serverdienst ist momentan via https und randomisiertem Port über die feste IP erreichbar - und das gefällt mir um ehrlich zu sein nicht so ganz.
Ich bin kein Experte im Bezug auf Netzwerksicherheit, trotzdem hätte ich das ganze via VPN, entsprechendem Transfer-Netz ,2 Faktor-Authentifizierung und passenden Firewall-Regeln umgesetzt.
Ohne Begründung bekomme ich dafür keine Mittel und "das gefällt mir jetzt irgendwie nicht so" reicht als Grund wenn Gelder fließen sollen auch nicht aus.
Kann mir jemand konkrete Beispiele nennen, welche Gefahren das aktuelle Konstrukt mit sich bringt?
Ich bin auch gerne für andere Lösungsansätze dankbar, falls mein VPN-Wunschkonstrukt auch nicht das gelbe vom Ei sein sollte.
Vielen Dank schonmal, für Eure Anregungen.
eine unserer Außenstellen (wichtige öffentliche Infrastruktur) hat letzte Woche !endlich! einen Internetanschluss bekommen.
Davor waren vor Ort Sim-Router installiert um überhaupt einen Betrieb sicher zu stellen.
Die Mitarbeiter brauchen Fernzugriff auf einen lokalen Serverdienst (eigener Webserver) - bisher war dies via TeamViewer-Host umgesetzt.
Da es schnell gehen musste habe ich kurzerhand eine alte Firewall geschnappt und die 4 verschiedenen Netze vor Ort logisch von einander getrennt - da ich momentan noch nicht genau weiß, was die User/Clients da so treiben.
Daher sind die jetzt von Rest, sowie der Rest untereinander isoliert.
Nicht die schönste Variante, allerdings wird in ein paar Wochen das Netzwerk und die Firewall von einem unserer Dienstleister neu aufgebaut und ich hoffe die wissen dann was Sie tun...
Nun zum Problem: Der angesprochene Serverdienst ist momentan via https und randomisiertem Port über die feste IP erreichbar - und das gefällt mir um ehrlich zu sein nicht so ganz.
Ich bin kein Experte im Bezug auf Netzwerksicherheit, trotzdem hätte ich das ganze via VPN, entsprechendem Transfer-Netz ,2 Faktor-Authentifizierung und passenden Firewall-Regeln umgesetzt.
Ohne Begründung bekomme ich dafür keine Mittel und "das gefällt mir jetzt irgendwie nicht so" reicht als Grund wenn Gelder fließen sollen auch nicht aus.
Kann mir jemand konkrete Beispiele nennen, welche Gefahren das aktuelle Konstrukt mit sich bringt?
Ich bin auch gerne für andere Lösungsansätze dankbar, falls mein VPN-Wunschkonstrukt auch nicht das gelbe vom Ei sein sollte.
Vielen Dank schonmal, für Eure Anregungen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1090314087
Url: https://administrator.de/contentid/1090314087
Printed on: April 19, 2024 at 18:04 o'clock
8 Comments
Latest comment
Für die Anbindung eines Außenstandortes kriegst du keine Mittel? Häää, dann sollen die den Standort dicht machen.
Bzgl. ihr scheint ja mit eurem IT-Dienstleister eine Firewall zu haben, dort sind doch gerne VPN Zugriffe dabei SideToSide, ClientToSide. Habt ihr sowas schon im Einsatz, entsprechend das nehmen(Client VPN Software) und eine Firewall Regel -> ClientX -> darf nur zu diesem Server, wäre das keine Option?
Bzgl. ihr scheint ja mit eurem IT-Dienstleister eine Firewall zu haben, dort sind doch gerne VPN Zugriffe dabei SideToSide, ClientToSide. Habt ihr sowas schon im Einsatz, entsprechend das nehmen(Client VPN Software) und eine Firewall Regel -> ClientX -> darf nur zu diesem Server, wäre das keine Option?
Ich würde eher mal schauen, was denn ein Fremdzugriff da so an Schaden ausrichten kann. Gab es nicht in Amerika mal einen Fall, wo jemand ein Wasserwerk fernsteuern konnte und die Chlorkonzentration um das 10.000 fache erhöht hat? Da können ja ein paar Tausend Menschen vllt. bei gesundheitliche Probleme bekommen oder ein paar Hunderttausend Euro verbrannt werden als wirtschaftlicher Schaden?
Ohne VPN geht auch, über s.g. "leased lines", damit baut man sich quasi über das Netzwerk von Vodafone oder der Telekom ein eigenes geroutetes Netzwerk auf, mit dem zwei Standorte ausschließlich untereinander verbunden werden.
Du kannst auch einen Windows Server hinter dem Router als VPN Router nehmen oder eine effe Fritzbox. An sich sollte doch jede Firewall die 4 LAN Segmente hat auch eine VPN Funktion und sei es kein natives IPSec sein mit drin haben?
Ohne VPN geht auch, über s.g. "leased lines", damit baut man sich quasi über das Netzwerk von Vodafone oder der Telekom ein eigenes geroutetes Netzwerk auf, mit dem zwei Standorte ausschließlich untereinander verbunden werden.
Du kannst auch einen Windows Server hinter dem Router als VPN Router nehmen oder eine effe Fritzbox. An sich sollte doch jede Firewall die 4 LAN Segmente hat auch eine VPN Funktion und sei es kein natives IPSec sein mit drin haben?
@Scirca
Keine Zusätzlichen Mittel für die VPN-Geschichte (Nach dem Motto: "geht im Moment doch alles"). ClientToSide haben wir im Einsatz - auch mit 2 FaktorAuth - nur noch nicht für die Benutzer in besagter Außenstelle sondern nur für Terminal-Benutzer. Lizenzen für Clients, sowie Hard-Tokens kosten nun Mal entsprechend. An die Sicherheit denkt da Niemand - solange nicht "eine konkrete Gefahr" im Raum steht.
Keine Zusätzlichen Mittel für die VPN-Geschichte (Nach dem Motto: "geht im Moment doch alles"). ClientToSide haben wir im Einsatz - auch mit 2 FaktorAuth - nur noch nicht für die Benutzer in besagter Außenstelle sondern nur für Terminal-Benutzer. Lizenzen für Clients, sowie Hard-Tokens kosten nun Mal entsprechend. An die Sicherheit denkt da Niemand - solange nicht "eine konkrete Gefahr" im Raum steht.
und das gefällt mir um ehrlich zu sein nicht so ganz.
Sollte es auch nicht. VPN ist hier immer die bessere Lösung wie du ja auch selber weisst und es zu Recht betonst. Mit einer Firewall wie der jetzigen ja im Handumdrehen ohne Mehrkosten erledigt.IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
welche Gefahren das aktuelle Konstrukt mit sich bringt?
Na ja du bohrst ein Loch in deine Firewall und lässt so völlig ungeschützten Internet Verkehr in dein lokales Netz passieren. Das muss man sicher nicht noch weiter kommentieren, oder ?!Muss ja auch eine sehr komische Firma sein die keine 150 Euro für eine gescheite Firewall investieren will und denen die Firmen IT Sicherheit nix wert ist. Das es sowas heutzutage noch gibt ist schon recht verwunderlich...aber nundenn, hat ja sicherlich einen triftigen Grund ?!
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Ein 60 Euro Mikrotik_hexS schafft es sogar nochmal für weniger als die Hälfte ! Inklusive VPN Support selbstredend.
Das Heise Forum ist voll von solchen Opfern...
1
@hausrocker
Ja da hast du Recht, der Fremdzugriff wäre fatal - allerdings hat "die Weboberfläche ja eine Benutzeranmeldemaske, es kann also Nichts passieren." Menschen mit Entscheidungsgewalt sind leider nicht immer versiert bei dem was Sie entscheiden.
Leased Lines zu den einzelnen Mitarbeitern nach Hause sprengt das Budget denke ich ^^
Klar, irgendwie könnte ich da schon was basteln - hätte aber gerne eine VPN Lösung für die unser Dienstleister die Verantwortung übernimmt - sprich zum bestehenden Konstrukt passt. - trotzdem Danke für den Vorschlag
Ja da hast du Recht, der Fremdzugriff wäre fatal - allerdings hat "die Weboberfläche ja eine Benutzeranmeldemaske, es kann also Nichts passieren." Menschen mit Entscheidungsgewalt sind leider nicht immer versiert bei dem was Sie entscheiden.
Leased Lines zu den einzelnen Mitarbeitern nach Hause sprengt das Budget denke ich ^^
Klar, irgendwie könnte ich da schon was basteln - hätte aber gerne eine VPN Lösung für die unser Dienstleister die Verantwortung übernimmt - sprich zum bestehenden Konstrukt passt. - trotzdem Danke für den Vorschlag
gerne eine VPN Lösung für die unser Dienstleister die Verantwortung übernimmt
So so...dort macht der Azubi dann die Security Listen egal wie seine Kernkompetenzen sind und bekommt auch noch das Passwort. Wie gesagt...das es soviel Naivität in Puncto Datensicherheit noch gibt...aber egal.Leased Lines zu den einzelnen Mitarbeitern nach Hause
Dafür gibt es VPNs was jegliches Endgerät mit Bordmitteln bedient:IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
@aqui
Wir bewegen uns im öffentlichen Dienst, wenn der Dienstleister den Zuschlag für den Auftrag erhält, liegt das außerhalb meines Einflussbereiches
Und - ich gebe dir Recht - nicht nur den Azubis sollte in manchen Systemhäusern der Zugriff auf andere Systeme verweigert werden. Das die zum Teil auch absolut fahrlässig agieren ist mir durchaus klar - nur bin ich dann nicht dafür verantwortlich (traurig aber wahr).
Eine neue Firewall kommt auf jeden Fall, nur erkennt im Moment noch keiner die sicherheitstechnische Relevanz der VPN-Clients. Cool wären Bilder auf den Appliances wie auf den Zigarettenschachteln: Das passiert wenn Ihr am falschen Ende spart. Ich würde gerne Argumentieren können mit: Genau das passiert wenn jemand den Webserver hackt, ddost, etc. Nur habe ich dazu kein Handfestes Beispiel. Vielleicht nen Hacking-Kurs belegen und das eigene Netzwerk angreifen?? - lieber nicht :I
Wir bewegen uns im öffentlichen Dienst, wenn der Dienstleister den Zuschlag für den Auftrag erhält, liegt das außerhalb meines Einflussbereiches
Und - ich gebe dir Recht - nicht nur den Azubis sollte in manchen Systemhäusern der Zugriff auf andere Systeme verweigert werden. Das die zum Teil auch absolut fahrlässig agieren ist mir durchaus klar - nur bin ich dann nicht dafür verantwortlich (traurig aber wahr).Eine neue Firewall kommt auf jeden Fall, nur erkennt im Moment noch keiner die sicherheitstechnische Relevanz der VPN-Clients. Cool wären Bilder auf den Appliances wie auf den Zigarettenschachteln: Das passiert wenn Ihr am falschen Ende spart. Ich würde gerne Argumentieren können mit: Genau das passiert wenn jemand den Webserver hackt, ddost, etc. Nur habe ich dazu kein Handfestes Beispiel. Vielleicht nen Hacking-Kurs belegen und das eigene Netzwerk angreifen?? - lieber nicht :I
Also Beispiele, was mit gehackten Servern passiert gibt es doch genug?
Ein Update nicht eingespielt, ein einfacher Benutzername/Passwort und der Internetanschluss da wird ab sofort als Spamschleuder, Teil eines Botnetzes oder am besten wenn man das Horrorscenario an die Wand malen will: Als Verteilerknoten für KinderP... benutzt. Das BKA fragt ja nicht freundlich an sondern kommt Nachts vorbei und räumt euch die Zweigstelle komplett raus. Ganz schlechte Werbung für den öffentlichen Dienst. So wird man auch seinen ansonsten sicheren Job im öffentlichen Dienst trotzdem los.
Benutzername Passwort nutzen auch Banken ja nicht.
Ich würde davor warnen und wenn da jemand mit Entscheidungsgewalt dann bereit ist das Risiko einzugehen: bitte.
Ein Update nicht eingespielt, ein einfacher Benutzername/Passwort und der Internetanschluss da wird ab sofort als Spamschleuder, Teil eines Botnetzes oder am besten wenn man das Horrorscenario an die Wand malen will: Als Verteilerknoten für KinderP... benutzt. Das BKA fragt ja nicht freundlich an sondern kommt Nachts vorbei und räumt euch die Zweigstelle komplett raus. Ganz schlechte Werbung für den öffentlichen Dienst. So wird man auch seinen ansonsten sicheren Job im öffentlichen Dienst trotzdem los.
Benutzername Passwort nutzen auch Banken ja nicht.
Ich würde davor warnen und wenn da jemand mit Entscheidungsgewalt dann bereit ist das Risiko einzugehen: bitte.
