k.flynn
Goto Top

Sicherheitskonzepterfahrungen

Hallo zusammen,

erst einmal hoffe ich, dass meine Frage nicht zu Offtopic ist, da es sich nicht um ein eigentliches Problem, sondern vielmehr um gemachte Erfahrungswerte handelt.
Gerne würde ich einmal von euren Sicherheitskonzepte im Enterprise Segment hören und von eurer Erfahrungen partizipieren.

Unser Sicherheitskonzept besteht in :

- Schulungen der Mitarbeiter
- GPO´s
- Endpoint Security (WS/FS nur Anti Virus)
- Altaro Backup (keine Verschlüsselung)
- Cyberoam FW
- Zugangskontrolle der Serverräume und Büros
- Trennen der Netze in Zonen (physisch)
- Mobile Security für Handy (Ortung, Fernlöschen etc.pp)
- Gespeichert wird nur im Netz
- Mobile Clients sind perVPN angeschlossen (Keine Verschlüsselung)
- Updatekontrolle via Kaspersky und Gruppenrichtlinie
.
.
.
.

Ich bin mir sicher das unserer Maßnahmen dies noch ausbaufähig ist. Aktuell wollen wir die Cyberoams ersetzen. Möglicherweise durch Produkte von Sophos. Bei einem Webinar ist in mir die Frage gekeimt, ob unserer Sicherheitskonzept noch zeitgemäß und ausreichend ist. Firmengröße ca. 700 Mitarbeiter an 4 Haupt- und 20+ Nebenstandorte. An den AHupstandorten stehen Server und Cyberoams. (10,50 und 25) An einigen Nebenstandorten 25ing Cyberoams, ansonsten Fritzbox und Co.

Für eure Erfahrungen bin ich sehr dankbar.

mfg
Flynn

Content-ID: 441172

Url: https://administrator.de/contentid/441172

Printed on: December 7, 2024 at 20:12 o'clock

certifiedit.net
certifiedit.net Apr 16, 2019 at 14:41:39 (UTC)
Goto Top
Hallo Flynn,

ansonsten Fritzbox und Co.

ganz klar ausbaubar. Vermutlich dann von dort aus VPNs ins Hauptnetz? -> und schon bist drin.

Aber aus der Beratungserfahrung, so ein Sicherheitskonzept nimmt man nicht im Forum auseinander.

Viele Grüße,

Christian
K.Flynn
K.Flynn Apr 16, 2019 updated at 14:51:23 (UTC)
Goto Top
Zitat von @certifiedit.net:

ganz klar ausbaubar. Vermutlich dann von dort aus VPNs ins Hauptnetz? -> und schon bist drin.

Ja per Side to Side, respektive per Cyberoam Client. Anmeldedaten AD (Gruppe etc.pp) vorausgesetzt. Sicher gibt es andere und besserer Wege so etwas zu erörtern. Dennoch danke für die Antwort.
certifiedit.net
certifiedit.net Apr 16, 2019 at 14:54:11 (UTC)
Goto Top
OK, also auch von den Fritzboxen Site-To-Site? Das ist schonmal ein ziemliches Manko.

Das würde ich angehen.
St-Andreas
St-Andreas Apr 16, 2019 at 14:57:41 (UTC)
Goto Top
Hallo,

das “keine Verschlüsselung” verstehe ich nicht. Gibt es dafür einen sinnvollen Grund?
aqui
aqui Apr 16, 2019 updated at 15:59:50 (UTC)
Goto Top
Mobile Clients sind perVPN angeschlossen (Keine Verschlüsselung)
Ein VPN ohne Verschlüsselung ?
Wie geht sowas ??
Wäre ja schon das erste fatale Loch in der sonst guten Sicherheitspolicy ! Den Traffic kann dann die ganze Welt mitlesen. Da ist dann der Rest der Policy eigentlich obsolet.
Kann man für den TO nur hoffen das das ein freud'scher Vertipper ist ?!
ansonsten Fritzbox und Co.
Gruselig.... Billigste Consumer HW in einem Firmennetz. Das ist in der Tat ausbaufähig...
Gibt es denn generell eine Segmentierung im Netz (VLANs) ? Oder terminieren die VPNs direkt ins flache, doofe Hauptnetz ? Diese Infos fehlen...
Dani
Dani Apr 16, 2019 updated at 19:26:51 (UTC)
Goto Top
Moin,
Sicherheitskonzepterfahrungen
geht es um technische/organisatorische und/oder administrative Themen?

Gerne würde ich einmal von euren Sicherheitskonzepte im Enterprise Segment hören und von eurer Erfahrungen partizipieren.
So viele Zeichen sind hier gar nicht erlaubt. face-wink Alleine ein Konzept ausschließlich rund um IT kann mehrere 100 Seiten haben. Denn es geht los bei der Büros, Akten, Zugangsberechtigungen für Räume, über Schutzmaßnahmen im und um das Rechenzentrum, Alarmpläne für Wasser/Feuer/Einbruch, Malwareinfektion von Clients/Server/Terminals/Firewalls, bishin zu Loganalyse, Einbruchversuche, Gegenmaßnahmen, Datensicherung, Datensicherheit, Disaster Recovery Optionen, etc...

ei einem Webinar ist in mir die Frage gekeimt, ob unserer Sicherheitskonzept noch zeitgemäß und ausreichend ist. Firmengröße ca. 700 Mitarbeiter an 4 Haupt- und 20+ Nebenstandorte.
In eurer Größe kannst du meiner Erfahrung nach 1-2 Leute nur mit einem Sicherheitskonzept beschäftigen. Denn so schnell sowas niedergeschrieben ist, ergibt sich meist 6-8-12 Wochen später schon wieder eine Änderung.


Gruß,
Dani
K.Flynn
K.Flynn Apr 17, 2019 updated at 11:31:34 (UTC)
Goto Top
Erst einmal allen ein herzliches Dankeschön. Ich werde versuchen zeitnah alles zu beantworten.


Zitat von @aqui:

Mobile Clients sind perVPN angeschlossen (Keine Verschlüsselung)
Ein VPN ohne Verschlüsselung ?

Da hast du völlig recht, aber ich habe mich hier sehr ungünstig ausgedrückt. Die Verbindung selbst ist natürlich verschlüsselt (Tunnel/Ipsec). Aber die Clients selbst sind es nicht. Da lokal keine Daten gespeichert werden, sah man dies bisher als nicht kritisch an. Beim Verlust werden dann alle Zugänge gesperrt.


ansonsten Fritzbox und Co.
Gruselig.... Billigste Consumer HW in einem Firmennetz. Das ist in der Tat ausbaufähig...

Bin ich ganz bei dir, aber welche Optionen stehen zur Auswahl ?

Gibt es denn generell eine Segmentierung im Netz (VLANs) ? Oder terminieren die VPNs direkt ins flache, doofe Hauptnetz ? Diese Infos fehlen...

End to Side Remote Client Cyberoam <-> Cyberoam ( Intranet)
Side to Side (Fritzbox <-> Cyberoam / Cyberoam <-> Cyberoam)

Alles verschlüsselt und Auth über AD.

Für W-Lan physisch entkoppelt über Sophos AP´s. Auth über Radius Server. WPA2 / Enterprise.
K.Flynn
K.Flynn Apr 17, 2019 at 10:41:21 (UTC)
Goto Top
Ja ich habe mich da ganz blöde ausgedrückt. Eigentlich meinte ich damit, dass die Speichermedien der mobilen Geräte nicht verschlüsselt sind.
K.Flynn
K.Flynn Apr 17, 2019 at 10:43:47 (UTC)
Goto Top
Welche besseren Lösungen gibt es hier ? Das sind Außengruppen mit 2-3 Arbeitsplätze die mit in das Firmennetz eingebunden werden sollen, damit die Mitarbeiter Zugriff auf das Intranet haben.

Deine PN werde ich die Tage beantworten. Danke dafür.
K.Flynn
K.Flynn Apr 17, 2019 at 11:10:45 (UTC)
Goto Top
Zitat von @Dani:

Moin,
Sicherheitskonzepterfahrungen
geht es um technische/organisatorische und/oder administrative Themen?

In erster Linie um die Technik. Natürlich sind auch die orga und admin Themen sehr interessant.
Grob einmal zu sehen wie andere aufgestellt sind reicht da schon.


Gerne würde ich einmal von euren Sicherheitskonzepte im Enterprise Segment hören und von eurer Erfahrungen partizipieren.
So viele Zeichen sind hier gar nicht erlaubt. face-wink Alleine ein Konzept ausschließlich rund um IT kann mehrere 100 Seiten haben. Denn es geht los bei der Büros, Akten, Zugangsberechtigungen für Räume, über Schutzmaßnahmen im und um das Rechenzentrum, Alarmpläne für Wasser/Feuer/Einbruch, Malwareinfektion von Clients/Server/Terminals/Firewalls, bishin zu Loganalyse, Einbruchversuche, Gegenmaßnahmen, Datensicherung, Datensicherheit, Disaster Recovery Optionen, etc...

Ja da hast du sicher recht. Aber alleine schon diese Auflistung von dir finde ich extrem hilfreich. So in etwa war es es auch von mir gewünscht. Vielleicht noch ein wenig detailreicher im Bereich der in der eigenen Firma eingesetzten Lösungen.

Ich wollte kein Sicherheitskonzept im Detail präsentiert bekommen, welches als Schablone fungieren könnte. Dafür sind die gestellten Anforderungen ja auch meist viel zu unterschiedlich. Oberflächig was man so beachten soll und was man so verwendet ist schon völlig ausreichend. Vielleicht können neben mir auch Dritte davon profitieren.
aqui
aqui Apr 17, 2019 at 14:21:15 (UTC)
Goto Top
Bitte nicht jedem Nutzer einzeln im 2 Minuten Rhytmus antworten ! 🤦‍♂️
Das kann man auch in einem Thread erledigen mit einem "@" davor !
em-pie
em-pie Apr 17, 2019 at 17:42:51 (UTC)
Goto Top
Moin,

Also wenn du alles bis ins kleinste Detail haben willst -> IT-Grundschutzkatalog des BSI

Dort wird alles vom Gebäude, über die MAs zur Technik und etwaige Prozesse als eine Art Template vorgeschlagen...

Deckt sich aber mit obiger Aussage: da können sich gut und gerne >1 Person mehrere Jahre mit beschäftigen.

Gruß
em-pie
Pitti259
Pitti259 Apr 22, 2019 at 15:01:06 (UTC)
Goto Top
Aufpassen, die Grundschutzkataloge wurden ja gerade durch das Grundschutzkompendium ersetzt. Für den Kollegen Flynn würde ich aber tatsächlich die alten GS-Kataloge empfehlen. Finden sich auf den BSI Seiten unter Archiv. Mit dem Kompendium sind BSI Neueinsteiger meines Erachtens nach überfordert.
K.Flynn
K.Flynn Apr 23, 2019 updated at 07:24:09 (UTC)
Goto Top
Zitat von @aqui:

Bitte nicht jedem Nutzer einzeln im 2 Minuten Rhytmus antworten ! 🤦‍♂️
Das kann man auch in einem Thread erledigen mit einem "@" davor !


Mea Culpa. Wusste nicht das es hier eine Vorschrift gibt, wie man jemanden antworten muss. Persönlich fand ich es aufgrund der Zitate auf die ich mich bezog, so einfach einfacher und auch ein wenig übersichtlicher. Aber gerne in Zukunft mit @. face-smile

@ em-pie & Pitti259

Danke, werde ich mir mal anschauen.
aqui
aqui Apr 23, 2019 at 08:46:42 (UTC)
Goto Top