Server abschotten, VM von Außen abschotten, Intranetserver
Mahlzeit Administrator/inn/en,
einfach mal zum Mittag ins Blaue hinein gefragt, quasi als Brainstorming:
Wie schottet ihr bestimmte virtuelle Server von Zugriffen von Außen ab, welche rein zur netzwerkinternen Nutzung gedacht sind?
Entfernt ihr nur die Proxy, geht ihr über Segmente oder steuert ihr es in der Firewall?
Danke schonmal für konstruktives Feedback.
einfach mal zum Mittag ins Blaue hinein gefragt, quasi als Brainstorming:
Wie schottet ihr bestimmte virtuelle Server von Zugriffen von Außen ab, welche rein zur netzwerkinternen Nutzung gedacht sind?
Entfernt ihr nur die Proxy, geht ihr über Segmente oder steuert ihr es in der Firewall?
Danke schonmal für konstruktives Feedback.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3008360116
Url: https://administrator.de/contentid/3008360116
Ausgedruckt am: 04.11.2024 um 22:11 Uhr
23 Kommentare
Neuester Kommentar
Kommt auf den Einzelfall an und was "außen" heißt.
Default Gateway weglassen...fertisch.
Moin
' ne super Idee. Mit
Server kommen in ein Server-VLAN, Clients in ein Client-VLAN, Drucker auch noch mal separat (für den Anfang) und an der routenden Komponente (ob nun Core-Switch oder zentrale Firewall/ UTM, ...) regle ich dann die Zugriffe. Wobei mit einer UTM & Co. granularere Regelwerke möglich wären, denn mit einem L3-Core Switch.
Und wenn einzelne Server Dienste außerhalb des eigenen VLANs anfragen muss (z. B. Webservices von Microsoft & Co), werden nur die Server für diese Zielseiten an der Firewall/ UTM (mit einem zwischengeschaltetem Proxy) legitimiert.
' ne super Idee. Mit
route /add
komme ich dann doch wieder raus, wenn ich einmal ein mögliches Gateway ermittelt habe.... ist der Pfusch.
VLAN Segmentierung und Zugriff über Firewall.
Sehe ich daher genau so.VLAN Segmentierung und Zugriff über Firewall.
Server kommen in ein Server-VLAN, Clients in ein Client-VLAN, Drucker auch noch mal separat (für den Anfang) und an der routenden Komponente (ob nun Core-Switch oder zentrale Firewall/ UTM, ...) regle ich dann die Zugriffe. Wobei mit einer UTM & Co. granularere Regelwerke möglich wären, denn mit einem L3-Core Switch.
Und wenn einzelne Server Dienste außerhalb des eigenen VLANs anfragen muss (z. B. Webservices von Microsoft & Co), werden nur die Server für diese Zielseiten an der Firewall/ UTM (mit einem zwischengeschaltetem Proxy) legitimiert.
Zitat von @nachgefragt:
Wie schottet ihr bestimmte virtuelle Server von Zugriffen von Außen ab, welche rein zur netzwerkinternen Nutzung gedacht sind?
Wie schottet ihr bestimmte virtuelle Server von Zugriffen von Außen ab, welche rein zur netzwerkinternen Nutzung gedacht sind?
Moin,
Ohne zu wissen, gegen welche Angriffsvektoren ihr den Server abschotten wollt, ist es müßig darüber zu sinnieren.
Standardvorgehen ist separates Netz & Firewall & Härtung.
lks
Moin,
Gruß,
Dani
Entfernt ihr nur die Proxy, geht ihr über Segmente oder steuert ihr es in der Firewall?
was an der Firewall nicht explizit erlaubt ist, darf nicht ins Internet (Outbound-Firewalling). Egal welche Art von Gerätetyp. Das "härten" (Harding) von Server und Applikationen sollte heute unabhängig vom Zugriff ins/vom Internet durchgeführt werden.Gruß,
Dani
Zitat von @em-pie:
Moin
' ne super Idee. Mit
Moin
' ne super Idee. Mit
route /add
komme ich dann doch wieder raus, wenn ich einmal ein mögliches Gateway ermittelt habe.Was aber erfordert das du erst mal dran kommst... Es wurde ja nix gesagt - man könnte also auch einfach abschotten indem man das Netzwerkkabel rauszieht...
Wie üblich bei so allgemeinen "ich will nur mal fragen"-Fragen: Ohne irgendwelche Anforderungen geht alles...
@maretz
da hast du natürlich recht. Den Zugriff muss ich (wäre ich der pöhse Pursche) initial einmal erlangt haben....
da hast du natürlich recht. Den Zugriff muss ich (wäre ich der pöhse Pursche) initial einmal erlangt haben....
Zitat von @jktz84:
... ist der Pfusch.
VLAN Segmentierung und Zugriff über Firewall.
Zitat von @148523:
Default Gateway weglassen...fertisch.
Default Gateway weglassen...fertisch.
... ist der Pfusch.
VLAN Segmentierung und Zugriff über Firewall.
Nja Pfusch ist es nicht, der Client kann nicht raus, Ziel erreicht, jedoch kann auch nicht aus anderen Vlan auf den Client zugegriffen werden, da der gateway fehlt.
Zitat von @Toby-ch:
Nja Pfusch ist es nicht, der Client kann nicht raus, Ziel erreicht, jedoch kann auch nicht aus anderen Vlan auf den Client zugegriffen werden, da der gateway fehlt.
Zitat von @jktz84:
... ist der Pfusch.
VLAN Segmentierung und Zugriff über Firewall.
Zitat von @148523:
Default Gateway weglassen...fertisch.
Default Gateway weglassen...fertisch.
... ist der Pfusch.
VLAN Segmentierung und Zugriff über Firewall.
Nja Pfusch ist es nicht, der Client kann nicht raus, Ziel erreicht, jedoch kann auch nicht aus anderen Vlan auf den Client zugegriffen werden, da der gateway fehlt.
Entfernung des Gateway bringt (fast) nichts. Der Client kann immer noch raus.
Zitat von @jktz84:
Entfernung des Gateway bringt (fast) nichts. Der Client kann immer noch raus.
Zitat von @Toby-ch:
Nja Pfusch ist es nicht, der Client kann nicht raus, Ziel erreicht, jedoch kann auch nicht aus anderen Vlan auf den Client zugegriffen werden, da der gateway fehlt.
Zitat von @jktz84:
... ist der Pfusch.
VLAN Segmentierung und Zugriff über Firewall.
Zitat von @148523:
Default Gateway weglassen...fertisch.
Default Gateway weglassen...fertisch.
... ist der Pfusch.
VLAN Segmentierung und Zugriff über Firewall.
Nja Pfusch ist es nicht, der Client kann nicht raus, Ziel erreicht, jedoch kann auch nicht aus anderen Vlan auf den Client zugegriffen werden, da der gateway fehlt.
Entfernung des Gateway bringt (fast) nichts. Der Client kann immer noch raus.
Nein,nicht wenn du keinen Zugriff auf den Server hast. Ohne (default-)gateway wird das Paket halt verworfen weil der Server nich weiss wohin es geht. Und solang du eben keine manuelle Route hinzufügst wird der Server auch nach aussen nicht gehen...
Ich denke es ist unbestritten das es sicher nicht die BESTE Lösung ist. Aber es ist eben eine Lösung...
Zitat von @Toby-ch:
Entfernung des Gateway bringt (fast) nichts. Der Client kann immer noch raus.
Wie ohne gateway ?
Entfernung des Gateway bringt (fast) nichts. Der Client kann immer noch raus.
Wie ohne gateway ?
Indem, wie oben bereits erwähnt, eine Route gesetzt wird. Die IP Adresse des Gateways herauszufinden ist auch keine große Schwierigkeit.
Netzwerkkabel ziehen oder Segmentierung + Firewall.
Zitat von @jktz84:
Indem, wie oben bereits erwähnt, eine Route gesetzt wird. Die IP Adresse des Gateways herauszufinden ist auch keine große Schwierigkeit.
Netzwerkkabel ziehen oder Segmentierung + Firewall.
Zitat von @Toby-ch:
Entfernung des Gateway bringt (fast) nichts. Der Client kann immer noch raus.
Wie ohne gateway ?
Entfernung des Gateway bringt (fast) nichts. Der Client kann immer noch raus.
Wie ohne gateway ?
Indem, wie oben bereits erwähnt, eine Route gesetzt wird. Die IP Adresse des Gateways herauszufinden ist auch keine große Schwierigkeit.
Netzwerkkabel ziehen oder Segmentierung + Firewall.
Nun-und wie setzt du die Route ohne Gateway wenn du nicht entweder bereits im selben Netzwerk bist ODER physischen Zugang zum Server hast? Gegen einen Angriff aus dem Internet (oder anderen vLANs) wäre das z.B. eine durchaus praktikable Lösung.
WENN du Zugang zum Server hast UND bereits genug Rechte hast die Routing-Tabelle zu ändern - was bringt dir dann eigentlich ne Firewall und der ganze andere kram? Hier könnte ich genauso argumentieren: Ich packe mir nen 20e 4G-Router ins Netz des Servers, ändere seine Default-Route und gehe somit dann auch einfach an jeder Firewall, vlan usw. vorbei. Oder wenn ich "nur" Daten klauen will häng ich nen NAS mit x TB ins Netz, ändere die Route am Server für genau das NAS (sofern überhaupt nötig) und kopiere gemütlich alles... und da es selbes Subnetz ist vermutlich sogar fröhlich an jeder Firewall usw. vorbei...
Von daher: Wenn ich genügend Zugang zum System habe um Routen usw. zu ändern - dann wird mich der Rest auch nicht mehr aufhalten... Weil dann habe ich bereits genügend Zugang um das System so zu ändern das die vorgeschalteten Systeme auch egal werden.
Nochmal: Natürlich ist das weglassen des Gateways nicht die beste Lösung - aber eben auch nicht zwingend die schlechteste. Wenn der Server natürlich sonst keinerlei Sicherung hat, der Admin-Account kein oder nen sinnloses Passwort hat dann is klar - dann umgehe ich das natürlich einfach. ABER: Was würde mich in dem Moment wohl daran hindern die Firewall z.B. zu ändern - mit derselben Maßgabe (das die genauso "gut" gesichert ist) - bzw. die entweder zu umgehen (neues Gateway ins Netz) oder einfach auszutauschen (Stecker aus der FW ziehen, neue FW installieren die einfach nur ne Any-Any-Regel hat...)... Wenn ich den physikalischen Zugang zu den Geräten habe stehen mir ja doch einige Optionen offen - DANN ist das Passwort am Server fast schon egal...
Hallo,
äh - Server sind standardmäßig nicht erreichbar.
Ich schotte sie dahingehend ab, dass ich nichts an diesem Umstand verändere.
Gruß,
Jörg
äh - Server sind standardmäßig nicht erreichbar.
Ich schotte sie dahingehend ab, dass ich nichts an diesem Umstand verändere.
Gruß,
Jörg
Zitat von @maretz:
Nun-und wie setzt du die Route ohne Gateway wenn du nicht entweder bereits im selben Netzwerk bist ODER physischen Zugang zum Server hast? Gegen einen Angriff aus dem Internet (oder anderen vLANs) wäre das z.B. eine durchaus praktikable Lösung.
Zitat von @jktz84:
Indem, wie oben bereits erwähnt, eine Route gesetzt wird. Die IP Adresse des Gateways herauszufinden ist auch keine große Schwierigkeit.
Netzwerkkabel ziehen oder Segmentierung + Firewall.
Zitat von @Toby-ch:
Entfernung des Gateway bringt (fast) nichts. Der Client kann immer noch raus.
Wie ohne gateway ?
Entfernung des Gateway bringt (fast) nichts. Der Client kann immer noch raus.
Wie ohne gateway ?
Indem, wie oben bereits erwähnt, eine Route gesetzt wird. Die IP Adresse des Gateways herauszufinden ist auch keine große Schwierigkeit.
Netzwerkkabel ziehen oder Segmentierung + Firewall.
Nun-und wie setzt du die Route ohne Gateway wenn du nicht entweder bereits im selben Netzwerk bist ODER physischen Zugang zum Server hast? Gegen einen Angriff aus dem Internet (oder anderen vLANs) wäre das z.B. eine durchaus praktikable Lösung.
Du argumentierst falsch. Es ging um 'Abschottung' eines Servers, der im LAN verfügbar sein soll. Sprich es erfolgt Zugriff auf den Server durch andere Clients.
Daher bietet es keinen Schutz das Gateway zu entfernen. Malware wie z.B Trickbot hätte also freie Bahn.
Eigentlich beantwortest du ja schon selber warum eine Segmentierung erfolgen muss. Der Zugriff muss dann aber auch klar geregelt sein.
Das einzige Szenario, wo Gateway Entfernung überhaupt was bringen würde, wäre also ein separates Netzwerk, ohne Zugriff von anderen Clients. Dann könntest du aber auch gleich das Netzwerkkabel ziehen.
Es ging um 'Abschottung' eines Servers, der im LAN verfügbar sein soll. Sprich es erfolgt Zugriff auf den Server durch andere Clients.
Ich lese es anders. Dort steht Abschottung gegen Zugriffe 'von außen' .
Beispiel: Ein Terminalserver der nur interne Ressourcen erreichen kann/darf.
Hat der kein Gateway, dann kann z.B. jegliche Schadsoftware die aus dem Internet etwas nachladen möchte keinen Schaden anrichten: Es kann ja nichts nachgeladen werden.
Hallo.
Einfach bei der äusseren Firewall nichts erlauben?
Auf der NIC wird standardmässig alles gefiltert (Verwerfen oder Ablehnen).
Nach aussen mache ich nur TCP Port 443 auf, damit der sich die Updates automatisch ziehen kann.
Nach innen entsprechend die Protokolle/Ports öffnen z.B. TCP/80, ICMP, TCP/993 usw.
Komische Frage.
Gruss
Einfach bei der äusseren Firewall nichts erlauben?
Auf der NIC wird standardmässig alles gefiltert (Verwerfen oder Ablehnen).
Nach aussen mache ich nur TCP Port 443 auf, damit der sich die Updates automatisch ziehen kann.
Nach innen entsprechend die Protokolle/Ports öffnen z.B. TCP/80, ICMP, TCP/993 usw.
Komische Frage.
Gruss
Zitat von @EliteHacker:
Hallo.
Einfach bei der äusseren Firewall nichts erlauben?
Auf der NIC wird standardmässig alles gefiltert (Verwerfen oder Ablehnen).
Nach aussen mache ich nur TCP Port 443 auf, damit der sich die Updates automatisch ziehen kann.
Nach innen entsprechend die Protokolle/Ports öffnen z.B. TCP/80, ICMP, TCP/993 usw.
Komische Frage.
Gruss
Hallo.
Einfach bei der äusseren Firewall nichts erlauben?
Auf der NIC wird standardmässig alles gefiltert (Verwerfen oder Ablehnen).
Nach aussen mache ich nur TCP Port 443 auf, damit der sich die Updates automatisch ziehen kann.
Nach innen entsprechend die Protokolle/Ports öffnen z.B. TCP/80, ICMP, TCP/993 usw.
Komische Frage.
Gruss
Oh - da is ja wieder der Elitehacker... naja... zumindest ist dein Server dann ja schon mal sicher wenn du nach aussen nur 443 aufmachst - so ohne DNS is dann zwar auch mit Updates nix aber was solls... und gegen drive-by-downloads is dann natürlich 443 sicher nen guter schutz - wer würde schon in zeiten von GoDaddy, LetsEncrypt,... ein SSL-Zertifikat nutzen um nen Virus oder nen CC-Server mit nem gültigen Zertifikat auszustatten...
Aber gut - ich glaube bei deinem Nick muss man nich viel erwarten...
so ohne DNS
Deshalb ja "Elite"... 🤣 Aber sicher macht er ja dann DoH!
Hallo.
Kommt mal wieder runter :D
Es kommt natürlich aufs Threat Model drauf an. Ich beantworte Fragen immer mit einer "best effort" Lösung, solange nicht näher spezifiziert.
Der DNS wird aus einem anderen internen Netzwerk aufgelöst, der muss ja nicht direkt über das WAN-Interface aufgelöst werden.
IP-Adressen whitelisten kannste auch noch.
Man kann die Updates auch offline installieren.
Übertreiben kann man es immer.
Aber irgendwie muss man ja die Updates regelmässig installieren.
Die kosten der Schutzmassnahmen sollten die Kosten des Risikos nicht übersteigen.
Gruss.
Zitat von @maretz:
Oh - da is ja wieder der Elitehacker... naja... zumindest ist dein Server dann ja schon mal sicher wenn du nach aussen nur 443 aufmachst - so ohne DNS is dann zwar auch mit Updates nix aber was solls... und gegen drive-by-downloads is dann natürlich 443 sicher nen guter schutz - wer würde schon in zeiten von GoDaddy, LetsEncrypt,... ein SSL-Zertifikat nutzen um nen Virus oder nen CC-Server mit nem gültigen Zertifikat auszustatten...
Aber gut - ich glaube bei deinem Nick muss man nich viel erwarten...
Zitat von @EliteHacker:
Hallo.
Einfach bei der äusseren Firewall nichts erlauben?
Auf der NIC wird standardmässig alles gefiltert (Verwerfen oder Ablehnen).
Nach aussen mache ich nur TCP Port 443 auf, damit der sich die Updates automatisch ziehen kann.
Nach innen entsprechend die Protokolle/Ports öffnen z.B. TCP/80, ICMP, TCP/993 usw.
Komische Frage.
Gruss
Hallo.
Einfach bei der äusseren Firewall nichts erlauben?
Auf der NIC wird standardmässig alles gefiltert (Verwerfen oder Ablehnen).
Nach aussen mache ich nur TCP Port 443 auf, damit der sich die Updates automatisch ziehen kann.
Nach innen entsprechend die Protokolle/Ports öffnen z.B. TCP/80, ICMP, TCP/993 usw.
Komische Frage.
Gruss
Oh - da is ja wieder der Elitehacker... naja... zumindest ist dein Server dann ja schon mal sicher wenn du nach aussen nur 443 aufmachst - so ohne DNS is dann zwar auch mit Updates nix aber was solls... und gegen drive-by-downloads is dann natürlich 443 sicher nen guter schutz - wer würde schon in zeiten von GoDaddy, LetsEncrypt,... ein SSL-Zertifikat nutzen um nen Virus oder nen CC-Server mit nem gültigen Zertifikat auszustatten...
Aber gut - ich glaube bei deinem Nick muss man nich viel erwarten...
Kommt mal wieder runter :D
Es kommt natürlich aufs Threat Model drauf an. Ich beantworte Fragen immer mit einer "best effort" Lösung, solange nicht näher spezifiziert.
Der DNS wird aus einem anderen internen Netzwerk aufgelöst, der muss ja nicht direkt über das WAN-Interface aufgelöst werden.
IP-Adressen whitelisten kannste auch noch.
Man kann die Updates auch offline installieren.
Übertreiben kann man es immer.
Aber irgendwie muss man ja die Updates regelmässig installieren.
Die kosten der Schutzmassnahmen sollten die Kosten des Risikos nicht übersteigen.
Gruss.
Die Geschichten welche die dir dann zu dem Thema erzählen wären nochmal deutlich spannender hier zu lesen. Der Fingerabdruck eines jeden Systemhauses oder was sich so nennt.