Sicherheitsrisiko mit Firewall?

Mahlzeit.

Den 2008er Server in ein separates VLAN hängen und vom Internet abnabeln.

Falls der Internet benötigt, dann wie von @Avoton beschrieben entsprechend Bemühungen um Aktualisierung unternehmen.

Gruß
Marc

Moin,
das ist wie ein Schloss in der Haustüre. Trotzdem ist es möglich, dass eingebrochen wird. Das gilt auch für Firewalls.


Gruß,
Dani

1. findet eine cyberversicherung fast immer Schlupflöcher
2. muss man manchmal abwägen… gerade in der Industrie… wir haben auch Maschinen mit Windows 7, welcher in einem VLAN ohne besonderen Netzwerkzugriff hängen… ja man kann updaten, welches dann ebenfalls einen neuen Controller von der Maschine etc. notwendig macht und dann reden wir gleich mal von ca 100.000€ für eine Maschine!

Dies kann man nun mal pauschal nicht mit der 3 Personen Bürobutze oder dem 2 Mann Handwerksbetrieb Vergleiche .


- Gerichtsurteile da?
Stand der Technik ist bei einem email Server mit personenbezogenen Daten etwas anderes, als bei einem Server, welcher CNC Maschinen oder Ähnliches bedient.


Nein! VLAN ohne Internetzugriff und entsprechendes Regelwerk vorausgesetzt.

Wenn doch… hat man da schon etwas falsch gemacht

Ich betreue selbst Kunden im KMU Bereich, die noch teilweise XP, Server 2003 oder Server 2008 am Laufen haben (CNC Fräsen, Lasercutter, Wasserstrahschneiden, Kant und Biegemaschinen).

Diese PCs werden dann entweder vom ganz vom Produktivsystem getrennt und nur mit USB gefüttert, oder im eigenen VLAN betrieben, wo nur ein PC auf die gewissen Ports zugreifen darf um die Software mit Daten zu füttern. Direkten Inet Zugriff haben die in dem VLAN sowieso nicht.

Ich lasse mir aber schriftlich von der GF bestätigen, dass diese Maschinen am Laufen gehalten werden müssen (Weil es die Software/Firma nicht mehr gibt, Austausch der Software eine Austausch der gesamten Maschine bedeuten). Weise Sie deutlich und schriftlich darauf hin, dass es ein Sicherheitsrisiko ist.

gruß sd

alles richtig. Vielleicht beantwortet noch jemand konkret die Frage, damit der TO das nachvollziehen kann?
Viele Grüße, commodity

Hi

Maschine in ein dedizierter, durch eine interne Firewall abgeschirmtes, Netz packen und den Internetzugriff sowie den Zugriff auf die Maschine reglementieren, sicherstellen, dass kein MA da irgendwas "umstellen" kann und damit solltest auch das passende Schutzniveau erreichen.*1

Aus dem Grund eine neue CNC anschaffen ist wohl größte Blödsinn überhaupt, wer das behauptet bringt auch sein Auto zur Schrottpresse wenn es eine neue Abgasnorm gibt. Das ist die Aufgabe der Admins das dann soweit abzuschirmen das keine Gefahr mehr davon ausgeht, auch wenn es am Ende heißt "offline" weiter betreiben. Man muss hier nicht künstlich die Kosten und den Elektroschrott in die Höhe treiben. Und selbst "offline" kann zu Problemen führen (STUXNET & Iran).

*1: du kannst das noch weiter verschärfen, intern eine OpnSense oder pfSense installieren und für den Zugriff auf das CNC Netz muss intern eine VPN Verbindung zu dem Netz aufgebaut werden, wenn du das am Ende noch mit MFA machst (man kann es noch weiter eskalieren :D) ist das "sicher" (100% Sicherheit gibt es nie)

Edit/Add: Server 2008 verwendet im Regelfall SMBv1, dass ist anfällig für Angriffe und einer der Angriffsverktoren für Verschlüsselungstrojaner, welche "Probleme" die Software der CNC mitbringt kann ich dir nicht sagen, aber das könnten alte .NET Libraries oder Java Versionen sein die für unterschiedliche Angriff anfällig sind.

Was du auf jeden Fall machen solltest: nehm das Gerät aus der Domäne raus und lösche alle Domänenprofile und Informationen von der Kiste, verpasse dem Gerät dedizierte, nur für das Gerät gültige, Logins, damit reduzierst du das Risiko einer Querinfektion wenn die mal Kompromittiert werden sollte.