nachgefragt
Goto Top

Server abschotten, VM von Außen abschotten, Intranetserver

Mahlzeit Administrator/inn/en,

einfach mal zum Mittag ins Blaue hinein gefragt, quasi als Brainstorming:

Wie schottet ihr bestimmte virtuelle Server von Zugriffen von Außen ab, welche rein zur netzwerkinternen Nutzung gedacht sind?
Entfernt ihr nur die Proxy, geht ihr über Segmente oder steuert ihr es in der Firewall?

Danke schonmal für konstruktives Feedback.

Content-ID: 3008360116

Url: https://administrator.de/contentid/3008360116

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

2423392070
2423392070 07.06.2022 um 12:57:32 Uhr
Goto Top
Kommt auf den Einzelfall an und was "außen" heißt.
148523
148523 07.06.2022 um 13:11:10 Uhr
Goto Top
Default Gateway weglassen...fertisch.
jktz84
jktz84 07.06.2022 um 13:31:18 Uhr
Goto Top
Zitat von @148523:

Default Gateway weglassen...fertisch.

... ist der Pfusch.

VLAN Segmentierung und Zugriff über Firewall.
em-pie
em-pie 07.06.2022 um 13:52:46 Uhr
Goto Top
Moin
Zitat von @jktz84:

Zitat von @148523:

Default Gateway weglassen...fertisch.
' ne super Idee. Mit route /add komme ich dann doch wieder raus, wenn ich einmal ein mögliches Gateway ermittelt habe.

... ist der Pfusch.
VLAN Segmentierung und Zugriff über Firewall.
Sehe ich daher genau so.

Server kommen in ein Server-VLAN, Clients in ein Client-VLAN, Drucker auch noch mal separat (für den Anfang) und an der routenden Komponente (ob nun Core-Switch oder zentrale Firewall/ UTM, ...) regle ich dann die Zugriffe. Wobei mit einer UTM & Co. granularere Regelwerke möglich wären, denn mit einem L3-Core Switch.

Und wenn einzelne Server Dienste außerhalb des eigenen VLANs anfragen muss (z. B. Webservices von Microsoft & Co), werden nur die Server für diese Zielseiten an der Firewall/ UTM (mit einem zwischengeschaltetem Proxy) legitimiert.
Lochkartenstanzer
Lochkartenstanzer 07.06.2022 um 14:26:48 Uhr
Goto Top
Zitat von @nachgefragt:

Wie schottet ihr bestimmte virtuelle Server von Zugriffen von Außen ab, welche rein zur netzwerkinternen Nutzung gedacht sind?

Moin,

Ohne zu wissen, gegen welche Angriffsvektoren ihr den Server abschotten wollt, ist es müßig darüber zu sinnieren.

Standardvorgehen ist separates Netz & Firewall & Härtung.

lks
Dani
Dani 07.06.2022 aktualisiert um 18:07:45 Uhr
Goto Top
Moin,
Entfernt ihr nur die Proxy, geht ihr über Segmente oder steuert ihr es in der Firewall?
was an der Firewall nicht explizit erlaubt ist, darf nicht ins Internet (Outbound-Firewalling). Egal welche Art von Gerätetyp. Das "härten" (Harding) von Server und Applikationen sollte heute unabhängig vom Zugriff ins/vom Internet durchgeführt werden.


Gruß,
Dani
maretz
maretz 08.06.2022 um 09:34:01 Uhr
Goto Top
Zitat von @em-pie:

Moin
Zitat von @jktz84:

Zitat von @148523:

Default Gateway weglassen...fertisch.
' ne super Idee. Mit route /add komme ich dann doch wieder raus, wenn ich einmal ein mögliches Gateway ermittelt habe.

Was aber erfordert das du erst mal dran kommst... Es wurde ja nix gesagt - man könnte also auch einfach abschotten indem man das Netzwerkkabel rauszieht...

Wie üblich bei so allgemeinen "ich will nur mal fragen"-Fragen: Ohne irgendwelche Anforderungen geht alles...
em-pie
em-pie 08.06.2022 um 10:46:51 Uhr
Goto Top
@maretz
da hast du natürlich recht. Den Zugriff muss ich (wäre ich der pöhse Pursche) initial einmal erlangt haben....
Toby-ch
Toby-ch 08.06.2022 um 11:17:14 Uhr
Goto Top
Zitat von @jktz84:

Zitat von @148523:

Default Gateway weglassen...fertisch.

... ist der Pfusch.

VLAN Segmentierung und Zugriff über Firewall.

Nja Pfusch ist es nicht, der Client kann nicht raus, Ziel erreicht, jedoch kann auch nicht aus anderen Vlan auf den Client zugegriffen werden, da der gateway fehlt.
jktz84
jktz84 08.06.2022 um 11:52:09 Uhr
Goto Top
Zitat von @Toby-ch:

Zitat von @jktz84:

Zitat von @148523:

Default Gateway weglassen...fertisch.

... ist der Pfusch.

VLAN Segmentierung und Zugriff über Firewall.

Nja Pfusch ist es nicht, der Client kann nicht raus, Ziel erreicht, jedoch kann auch nicht aus anderen Vlan auf den Client zugegriffen werden, da der gateway fehlt.

Entfernung des Gateway bringt (fast) nichts. Der Client kann immer noch raus.
Toby-ch
Toby-ch 08.06.2022 um 13:41:26 Uhr
Goto Top

Entfernung des Gateway bringt (fast) nichts. Der Client kann immer noch raus.

Wie ohne gateway ?
maretz
maretz 08.06.2022 um 14:15:15 Uhr
Goto Top
Zitat von @jktz84:

Zitat von @Toby-ch:

Zitat von @jktz84:

Zitat von @148523:

Default Gateway weglassen...fertisch.

... ist der Pfusch.

VLAN Segmentierung und Zugriff über Firewall.

Nja Pfusch ist es nicht, der Client kann nicht raus, Ziel erreicht, jedoch kann auch nicht aus anderen Vlan auf den Client zugegriffen werden, da der gateway fehlt.

Entfernung des Gateway bringt (fast) nichts. Der Client kann immer noch raus.

Nein,nicht wenn du keinen Zugriff auf den Server hast. Ohne (default-)gateway wird das Paket halt verworfen weil der Server nich weiss wohin es geht. Und solang du eben keine manuelle Route hinzufügst wird der Server auch nach aussen nicht gehen...

Ich denke es ist unbestritten das es sicher nicht die BESTE Lösung ist. Aber es ist eben eine Lösung...
jktz84
jktz84 09.06.2022 aktualisiert um 10:41:58 Uhr
Goto Top
Zitat von @Toby-ch:


Entfernung des Gateway bringt (fast) nichts. Der Client kann immer noch raus.

Wie ohne gateway ?

Indem, wie oben bereits erwähnt, eine Route gesetzt wird. Die IP Adresse des Gateways herauszufinden ist auch keine große Schwierigkeit.
Netzwerkkabel ziehen oder Segmentierung + Firewall.
maretz
maretz 09.06.2022 um 11:20:10 Uhr
Goto Top
Zitat von @jktz84:

Zitat von @Toby-ch:


Entfernung des Gateway bringt (fast) nichts. Der Client kann immer noch raus.

Wie ohne gateway ?

Indem, wie oben bereits erwähnt, eine Route gesetzt wird. Die IP Adresse des Gateways herauszufinden ist auch keine große Schwierigkeit.
Netzwerkkabel ziehen oder Segmentierung + Firewall.

Nun-und wie setzt du die Route ohne Gateway wenn du nicht entweder bereits im selben Netzwerk bist ODER physischen Zugang zum Server hast? Gegen einen Angriff aus dem Internet (oder anderen vLANs) wäre das z.B. eine durchaus praktikable Lösung.

WENN du Zugang zum Server hast UND bereits genug Rechte hast die Routing-Tabelle zu ändern - was bringt dir dann eigentlich ne Firewall und der ganze andere kram? Hier könnte ich genauso argumentieren: Ich packe mir nen 20e 4G-Router ins Netz des Servers, ändere seine Default-Route und gehe somit dann auch einfach an jeder Firewall, vlan usw. vorbei. Oder wenn ich "nur" Daten klauen will häng ich nen NAS mit x TB ins Netz, ändere die Route am Server für genau das NAS (sofern überhaupt nötig) und kopiere gemütlich alles... und da es selbes Subnetz ist vermutlich sogar fröhlich an jeder Firewall usw. vorbei...

Von daher: Wenn ich genügend Zugang zum System habe um Routen usw. zu ändern - dann wird mich der Rest auch nicht mehr aufhalten... Weil dann habe ich bereits genügend Zugang um das System so zu ändern das die vorgeschalteten Systeme auch egal werden.

Nochmal: Natürlich ist das weglassen des Gateways nicht die beste Lösung - aber eben auch nicht zwingend die schlechteste. Wenn der Server natürlich sonst keinerlei Sicherung hat, der Admin-Account kein oder nen sinnloses Passwort hat dann is klar - dann umgehe ich das natürlich einfach. ABER: Was würde mich in dem Moment wohl daran hindern die Firewall z.B. zu ändern - mit derselben Maßgabe (das die genauso "gut" gesichert ist) - bzw. die entweder zu umgehen (neues Gateway ins Netz) oder einfach auszutauschen (Stecker aus der FW ziehen, neue FW installieren die einfach nur ne Any-Any-Regel hat...)... Wenn ich den physikalischen Zugang zu den Geräten habe stehen mir ja doch einige Optionen offen - DANN ist das Passwort am Server fast schon egal...
117471
117471 09.06.2022 um 11:23:46 Uhr
Goto Top
Hallo,

äh - Server sind standardmäßig nicht erreichbar.

Ich schotte sie dahingehend ab, dass ich nichts an diesem Umstand verändere.

Gruß,
Jörg
jktz84
jktz84 09.06.2022 um 11:40:43 Uhr
Goto Top
Zitat von @maretz:

Zitat von @jktz84:

Zitat von @Toby-ch:


Entfernung des Gateway bringt (fast) nichts. Der Client kann immer noch raus.

Wie ohne gateway ?

Indem, wie oben bereits erwähnt, eine Route gesetzt wird. Die IP Adresse des Gateways herauszufinden ist auch keine große Schwierigkeit.
Netzwerkkabel ziehen oder Segmentierung + Firewall.

Nun-und wie setzt du die Route ohne Gateway wenn du nicht entweder bereits im selben Netzwerk bist ODER physischen Zugang zum Server hast? Gegen einen Angriff aus dem Internet (oder anderen vLANs) wäre das z.B. eine durchaus praktikable Lösung.

Du argumentierst falsch. Es ging um 'Abschottung' eines Servers, der im LAN verfügbar sein soll. Sprich es erfolgt Zugriff auf den Server durch andere Clients.
Daher bietet es keinen Schutz das Gateway zu entfernen. Malware wie z.B Trickbot hätte also freie Bahn.
Eigentlich beantwortest du ja schon selber warum eine Segmentierung erfolgen muss. Der Zugriff muss dann aber auch klar geregelt sein.

Das einzige Szenario, wo Gateway Entfernung überhaupt was bringen würde, wäre also ein separates Netzwerk, ohne Zugriff von anderen Clients. Dann könntest du aber auch gleich das Netzwerkkabel ziehen.
Drohnald
Drohnald 09.06.2022 um 13:14:06 Uhr
Goto Top
Es ging um 'Abschottung' eines Servers, der im LAN verfügbar sein soll. Sprich es erfolgt Zugriff auf den Server durch andere Clients.

Ich lese es anders. Dort steht Abschottung gegen Zugriffe 'von außen' .
Beispiel: Ein Terminalserver der nur interne Ressourcen erreichen kann/darf.
Hat der kein Gateway, dann kann z.B. jegliche Schadsoftware die aus dem Internet etwas nachladen möchte keinen Schaden anrichten: Es kann ja nichts nachgeladen werden.
EliteHacker
EliteHacker 09.06.2022 um 15:10:20 Uhr
Goto Top
Hallo.

Einfach bei der äusseren Firewall nichts erlauben?

Auf der NIC wird standardmässig alles gefiltert (Verwerfen oder Ablehnen).

Nach aussen mache ich nur TCP Port 443 auf, damit der sich die Updates automatisch ziehen kann.

Nach innen entsprechend die Protokolle/Ports öffnen z.B. TCP/80, ICMP, TCP/993 usw.

Komische Frage.

Gruss
maretz
maretz 09.06.2022 um 15:33:49 Uhr
Goto Top
Zitat von @EliteHacker:

Hallo.

Einfach bei der äusseren Firewall nichts erlauben?

Auf der NIC wird standardmässig alles gefiltert (Verwerfen oder Ablehnen).

Nach aussen mache ich nur TCP Port 443 auf, damit der sich die Updates automatisch ziehen kann.

Nach innen entsprechend die Protokolle/Ports öffnen z.B. TCP/80, ICMP, TCP/993 usw.

Komische Frage.

Gruss

Oh - da is ja wieder der Elitehacker... naja... zumindest ist dein Server dann ja schon mal sicher wenn du nach aussen nur 443 aufmachst - so ohne DNS is dann zwar auch mit Updates nix aber was solls... und gegen drive-by-downloads is dann natürlich 443 sicher nen guter schutz - wer würde schon in zeiten von GoDaddy, LetsEncrypt,... ein SSL-Zertifikat nutzen um nen Virus oder nen CC-Server mit nem gültigen Zertifikat auszustatten...

Aber gut - ich glaube bei deinem Nick muss man nich viel erwarten...
148523
148523 09.06.2022 um 16:02:44 Uhr
Goto Top
so ohne DNS
Deshalb ja "Elite"... 🤣 Aber sicher macht er ja dann DoH!
EliteHacker
EliteHacker 09.06.2022 um 18:03:11 Uhr
Goto Top
Hallo.

Zitat von @maretz:

Zitat von @EliteHacker:

Hallo.

Einfach bei der äusseren Firewall nichts erlauben?

Auf der NIC wird standardmässig alles gefiltert (Verwerfen oder Ablehnen).

Nach aussen mache ich nur TCP Port 443 auf, damit der sich die Updates automatisch ziehen kann.

Nach innen entsprechend die Protokolle/Ports öffnen z.B. TCP/80, ICMP, TCP/993 usw.

Komische Frage.

Gruss

Oh - da is ja wieder der Elitehacker... naja... zumindest ist dein Server dann ja schon mal sicher wenn du nach aussen nur 443 aufmachst - so ohne DNS is dann zwar auch mit Updates nix aber was solls... und gegen drive-by-downloads is dann natürlich 443 sicher nen guter schutz - wer würde schon in zeiten von GoDaddy, LetsEncrypt,... ein SSL-Zertifikat nutzen um nen Virus oder nen CC-Server mit nem gültigen Zertifikat auszustatten...

Aber gut - ich glaube bei deinem Nick muss man nich viel erwarten...

Kommt mal wieder runter :D

Es kommt natürlich aufs Threat Model drauf an. Ich beantworte Fragen immer mit einer "best effort" Lösung, solange nicht näher spezifiziert.

Der DNS wird aus einem anderen internen Netzwerk aufgelöst, der muss ja nicht direkt über das WAN-Interface aufgelöst werden.
IP-Adressen whitelisten kannste auch noch.
Man kann die Updates auch offline installieren.
Übertreiben kann man es immer.
Aber irgendwie muss man ja die Updates regelmässig installieren.
Die kosten der Schutzmassnahmen sollten die Kosten des Risikos nicht übersteigen.

Gruss.
nachgefragt
nachgefragt 17.06.2022 um 10:26:19 Uhr
Goto Top
Danke in die Runde für die Antworten,
sicherlich sind diese nicht nur für mich interessant.

Ich bin mir jedenfalls nicht ganz sicher was nun der richtige Weg und werde ggf. nochmal ein paar Systemhäuser abklappern.
148523
148523 17.06.2022 um 15:13:03 Uhr
Goto Top
Die Geschichten welche die dir dann zu dem Thema erzählen wären nochmal deutlich spannender hier zu lesen. Der Fingerabdruck eines jeden Systemhauses oder was sich so nennt. face-big-smile