Risiken bei Portweiterleitung auf kritischen Serverdienst
Hallo an alle Sicherheitsexperten, (oder an Alle die mehr Erfahrung haben als ich)
eine unserer Außenstellen (wichtige öffentliche Infrastruktur) hat letzte Woche !endlich! einen Internetanschluss bekommen.
Davor waren vor Ort Sim-Router installiert um überhaupt einen Betrieb sicher zu stellen.
Die Mitarbeiter brauchen Fernzugriff auf einen lokalen Serverdienst (eigener Webserver) - bisher war dies via TeamViewer-Host umgesetzt.
Da es schnell gehen musste habe ich kurzerhand eine alte Firewall geschnappt und die 4 verschiedenen Netze vor Ort logisch von einander getrennt - da ich momentan noch nicht genau weiß, was die User/Clients da so treiben.
Daher sind die jetzt von Rest, sowie der Rest untereinander isoliert.
Nicht die schönste Variante, allerdings wird in ein paar Wochen das Netzwerk und die Firewall von einem unserer Dienstleister neu aufgebaut und ich hoffe die wissen dann was Sie tun...
Nun zum Problem: Der angesprochene Serverdienst ist momentan via https und randomisiertem Port über die feste IP erreichbar - und das gefällt mir um ehrlich zu sein nicht so ganz.
Ich bin kein Experte im Bezug auf Netzwerksicherheit, trotzdem hätte ich das ganze via VPN, entsprechendem Transfer-Netz ,2 Faktor-Authentifizierung und passenden Firewall-Regeln umgesetzt.
Ohne Begründung bekomme ich dafür keine Mittel und "das gefällt mir jetzt irgendwie nicht so" reicht als Grund wenn Gelder fließen sollen auch nicht aus.
Kann mir jemand konkrete Beispiele nennen, welche Gefahren das aktuelle Konstrukt mit sich bringt?
Ich bin auch gerne für andere Lösungsansätze dankbar, falls mein VPN-Wunschkonstrukt auch nicht das gelbe vom Ei sein sollte.
Vielen Dank schonmal, für Eure Anregungen.
eine unserer Außenstellen (wichtige öffentliche Infrastruktur) hat letzte Woche !endlich! einen Internetanschluss bekommen.
Davor waren vor Ort Sim-Router installiert um überhaupt einen Betrieb sicher zu stellen.
Die Mitarbeiter brauchen Fernzugriff auf einen lokalen Serverdienst (eigener Webserver) - bisher war dies via TeamViewer-Host umgesetzt.
Da es schnell gehen musste habe ich kurzerhand eine alte Firewall geschnappt und die 4 verschiedenen Netze vor Ort logisch von einander getrennt - da ich momentan noch nicht genau weiß, was die User/Clients da so treiben.
Daher sind die jetzt von Rest, sowie der Rest untereinander isoliert.
Nicht die schönste Variante, allerdings wird in ein paar Wochen das Netzwerk und die Firewall von einem unserer Dienstleister neu aufgebaut und ich hoffe die wissen dann was Sie tun...
Nun zum Problem: Der angesprochene Serverdienst ist momentan via https und randomisiertem Port über die feste IP erreichbar - und das gefällt mir um ehrlich zu sein nicht so ganz.
Ich bin kein Experte im Bezug auf Netzwerksicherheit, trotzdem hätte ich das ganze via VPN, entsprechendem Transfer-Netz ,2 Faktor-Authentifizierung und passenden Firewall-Regeln umgesetzt.
Ohne Begründung bekomme ich dafür keine Mittel und "das gefällt mir jetzt irgendwie nicht so" reicht als Grund wenn Gelder fließen sollen auch nicht aus.
Kann mir jemand konkrete Beispiele nennen, welche Gefahren das aktuelle Konstrukt mit sich bringt?
Ich bin auch gerne für andere Lösungsansätze dankbar, falls mein VPN-Wunschkonstrukt auch nicht das gelbe vom Ei sein sollte.
Vielen Dank schonmal, für Eure Anregungen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1090314087
Url: https://administrator.de/contentid/1090314087
Ausgedruckt am: 25.11.2024 um 00:11 Uhr
8 Kommentare
Neuester Kommentar
Für die Anbindung eines Außenstandortes kriegst du keine Mittel? Häää, dann sollen die den Standort dicht machen.
Bzgl. ihr scheint ja mit eurem IT-Dienstleister eine Firewall zu haben, dort sind doch gerne VPN Zugriffe dabei SideToSide, ClientToSide. Habt ihr sowas schon im Einsatz, entsprechend das nehmen(Client VPN Software) und eine Firewall Regel -> ClientX -> darf nur zu diesem Server, wäre das keine Option?
Bzgl. ihr scheint ja mit eurem IT-Dienstleister eine Firewall zu haben, dort sind doch gerne VPN Zugriffe dabei SideToSide, ClientToSide. Habt ihr sowas schon im Einsatz, entsprechend das nehmen(Client VPN Software) und eine Firewall Regel -> ClientX -> darf nur zu diesem Server, wäre das keine Option?
Ich würde eher mal schauen, was denn ein Fremdzugriff da so an Schaden ausrichten kann. Gab es nicht in Amerika mal einen Fall, wo jemand ein Wasserwerk fernsteuern konnte und die Chlorkonzentration um das 10.000 fache erhöht hat? Da können ja ein paar Tausend Menschen vllt. bei gesundheitliche Probleme bekommen oder ein paar Hunderttausend Euro verbrannt werden als wirtschaftlicher Schaden?
Ohne VPN geht auch, über s.g. "leased lines", damit baut man sich quasi über das Netzwerk von Vodafone oder der Telekom ein eigenes geroutetes Netzwerk auf, mit dem zwei Standorte ausschließlich untereinander verbunden werden.
Du kannst auch einen Windows Server hinter dem Router als VPN Router nehmen oder eine effe Fritzbox. An sich sollte doch jede Firewall die 4 LAN Segmente hat auch eine VPN Funktion und sei es kein natives IPSec sein mit drin haben?
Ohne VPN geht auch, über s.g. "leased lines", damit baut man sich quasi über das Netzwerk von Vodafone oder der Telekom ein eigenes geroutetes Netzwerk auf, mit dem zwei Standorte ausschließlich untereinander verbunden werden.
Du kannst auch einen Windows Server hinter dem Router als VPN Router nehmen oder eine effe Fritzbox. An sich sollte doch jede Firewall die 4 LAN Segmente hat auch eine VPN Funktion und sei es kein natives IPSec sein mit drin haben?
und das gefällt mir um ehrlich zu sein nicht so ganz.
Sollte es auch nicht. VPN ist hier immer die bessere Lösung wie du ja auch selber weisst und es zu Recht betonst. Mit einer Firewall wie der jetzigen ja im Handumdrehen ohne Mehrkosten erledigt.IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
welche Gefahren das aktuelle Konstrukt mit sich bringt?
Na ja du bohrst ein Loch in deine Firewall und lässt so völlig ungeschützten Internet Verkehr in dein lokales Netz passieren. Das muss man sicher nicht noch weiter kommentieren, oder ?!Muss ja auch eine sehr komische Firma sein die keine 150 Euro für eine gescheite Firewall investieren will und denen die Firmen IT Sicherheit nix wert ist. Das es sowas heutzutage noch gibt ist schon recht verwunderlich...aber nundenn, hat ja sicherlich einen triftigen Grund ?!
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Ein 60 Euro Mikrotik_hexS schafft es sogar nochmal für weniger als die Hälfte ! Inklusive VPN Support selbstredend.
Das Heise Forum ist voll von solchen Opfern...
gerne eine VPN Lösung für die unser Dienstleister die Verantwortung übernimmt
So so...dort macht der Azubi dann die Security Listen egal wie seine Kernkompetenzen sind und bekommt auch noch das Passwort. Wie gesagt...das es soviel Naivität in Puncto Datensicherheit noch gibt...aber egal.Leased Lines zu den einzelnen Mitarbeitern nach Hause
Dafür gibt es VPNs was jegliches Endgerät mit Bordmitteln bedient:IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Also Beispiele, was mit gehackten Servern passiert gibt es doch genug?
Ein Update nicht eingespielt, ein einfacher Benutzername/Passwort und der Internetanschluss da wird ab sofort als Spamschleuder, Teil eines Botnetzes oder am besten wenn man das Horrorscenario an die Wand malen will: Als Verteilerknoten für KinderP... benutzt. Das BKA fragt ja nicht freundlich an sondern kommt Nachts vorbei und räumt euch die Zweigstelle komplett raus. Ganz schlechte Werbung für den öffentlichen Dienst. So wird man auch seinen ansonsten sicheren Job im öffentlichen Dienst trotzdem los.
Benutzername Passwort nutzen auch Banken ja nicht.
Ich würde davor warnen und wenn da jemand mit Entscheidungsgewalt dann bereit ist das Risiko einzugehen: bitte.
Ein Update nicht eingespielt, ein einfacher Benutzername/Passwort und der Internetanschluss da wird ab sofort als Spamschleuder, Teil eines Botnetzes oder am besten wenn man das Horrorscenario an die Wand malen will: Als Verteilerknoten für KinderP... benutzt. Das BKA fragt ja nicht freundlich an sondern kommt Nachts vorbei und räumt euch die Zweigstelle komplett raus. Ganz schlechte Werbung für den öffentlichen Dienst. So wird man auch seinen ansonsten sicheren Job im öffentlichen Dienst trotzdem los.
Benutzername Passwort nutzen auch Banken ja nicht.
Ich würde davor warnen und wenn da jemand mit Entscheidungsgewalt dann bereit ist das Risiko einzugehen: bitte.