Sicherheitsrisiko mit Firewall?
Hallo,
ich habe aktuell noch mehrere VM's mit Windows Server 2008 laufen. Dort sind auch mehrere Programme installiert die länger nicht mehr geupdatet worden sind.
Als Basis für die VMs nutze ich VMware, leider auch auf einer älteren Version.
Allerdings habe ich eine aktuelle Next Generation Firewall mit regelmäßiger Installation der Updates.
Inwiefern bestehen Sicherheitsrisiken, da das System ja von außen nicht erreichbar ist?
Danke schonmal für eure Hilfe.
ich habe aktuell noch mehrere VM's mit Windows Server 2008 laufen. Dort sind auch mehrere Programme installiert die länger nicht mehr geupdatet worden sind.
Als Basis für die VMs nutze ich VMware, leider auch auf einer älteren Version.
Allerdings habe ich eine aktuelle Next Generation Firewall mit regelmäßiger Installation der Updates.
Inwiefern bestehen Sicherheitsrisiken, da das System ja von außen nicht erreichbar ist?
Danke schonmal für eure Hilfe.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7877703219
Url: https://administrator.de/forum/sicherheitsrisiko-mit-firewall-7877703219.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
8 Kommentare
Neuester Kommentar
Moin,
ist das eine produktive Umgebung?
Wenn nein und nur persönliche Spielwiese: Musst du selbst wissen, ob du mit dem Risiko der alten Software leben willst.
Wenn ja und du die Verantwortung dafür trägst: Schleunigst gegen aktuelle Software austauschen, Firewall hin oder her. Weil: Falls was passiert kannst du dich da nicht wirklich raus reden. Da greift dann i.d.R. auch keine Cyberversicherung o.ä., da du wissentlich und somit fahrlässig die alte Software genutzt hast.
Selbst bei der DSGVO bekommst du schon Probleme (Stichwort: Stand der Technik).
Auch die Software auf den Kisten wird gewiss einmal eine Verbindung ins Internet aufbauen.
Gruß,
Avoton
ist das eine produktive Umgebung?
Wenn nein und nur persönliche Spielwiese: Musst du selbst wissen, ob du mit dem Risiko der alten Software leben willst.
Wenn ja und du die Verantwortung dafür trägst: Schleunigst gegen aktuelle Software austauschen, Firewall hin oder her. Weil: Falls was passiert kannst du dich da nicht wirklich raus reden. Da greift dann i.d.R. auch keine Cyberversicherung o.ä., da du wissentlich und somit fahrlässig die alte Software genutzt hast.
Selbst bei der DSGVO bekommst du schon Probleme (Stichwort: Stand der Technik).
Auch die Software auf den Kisten wird gewiss einmal eine Verbindung ins Internet aufbauen.
Gruß,
Avoton
Mahlzeit.
Den 2008er Server in ein separates VLAN hängen und vom Internet abnabeln.
Falls der Internet benötigt, dann wie von @Avoton beschrieben entsprechend Bemühungen um Aktualisierung unternehmen.
Gruß
Marc
Den 2008er Server in ein separates VLAN hängen und vom Internet abnabeln.
Falls der Internet benötigt, dann wie von @Avoton beschrieben entsprechend Bemühungen um Aktualisierung unternehmen.
Gruß
Marc
Zitat von @Avoton:
Moin,
ist das eine produktive Umgebung?
Wenn nein und nur persönliche Spielwiese: Musst du selbst wissen, ob du mit dem Risiko der alten Software leben willst.
Wenn ja und du die Verantwortung dafür trägst: Schleunigst gegen aktuelle Software austauschen, Firewall hin oder her. Weil: Falls was passiert kannst du dich da nicht wirklich raus reden. Da greift dann i.d.R. auch keine Cyberversicherung o.ä.,
Moin,
ist das eine produktive Umgebung?
Wenn nein und nur persönliche Spielwiese: Musst du selbst wissen, ob du mit dem Risiko der alten Software leben willst.
Wenn ja und du die Verantwortung dafür trägst: Schleunigst gegen aktuelle Software austauschen, Firewall hin oder her. Weil: Falls was passiert kannst du dich da nicht wirklich raus reden. Da greift dann i.d.R. auch keine Cyberversicherung o.ä.,
1. findet eine cyberversicherung fast immer Schlupflöcher
2. muss man manchmal abwägen… gerade in der Industrie… wir haben auch Maschinen mit Windows 7, welcher in einem VLAN ohne besonderen Netzwerkzugriff hängen… ja man kann updaten, welches dann ebenfalls einen neuen Controller von der Maschine etc. notwendig macht und dann reden wir gleich mal von ca 100.000€ für eine Maschine!
Dies kann man nun mal pauschal nicht mit der 3 Personen Bürobutze oder dem 2 Mann Handwerksbetrieb Vergleiche .
Selbst bei der DSGVO bekommst du schon Probleme (Stichwort: Stand der Technik).
- Gerichtsurteile da?Stand der Technik ist bei einem email Server mit personenbezogenen Daten etwas anderes, als bei einem Server, welcher CNC Maschinen oder Ähnliches bedient.
Auch die Software auf den Kisten wird gewiss einmal eine Verbindung ins Internet aufbauen.
Nein! VLAN ohne Internetzugriff und entsprechendes Regelwerk vorausgesetzt.
Wenn doch… hat man da schon etwas falsch gemacht
Ich betreue selbst Kunden im KMU Bereich, die noch teilweise XP, Server 2003 oder Server 2008 am Laufen haben (CNC Fräsen, Lasercutter, Wasserstrahschneiden, Kant und Biegemaschinen).
Diese PCs werden dann entweder vom ganz vom Produktivsystem getrennt und nur mit USB gefüttert, oder im eigenen VLAN betrieben, wo nur ein PC auf die gewissen Ports zugreifen darf um die Software mit Daten zu füttern. Direkten Inet Zugriff haben die in dem VLAN sowieso nicht.
Ich lasse mir aber schriftlich von der GF bestätigen, dass diese Maschinen am Laufen gehalten werden müssen (Weil es die Software/Firma nicht mehr gibt, Austausch der Software eine Austausch der gesamten Maschine bedeuten). Weise Sie deutlich und schriftlich darauf hin, dass es ein Sicherheitsrisiko ist.
gruß sd
Diese PCs werden dann entweder vom ganz vom Produktivsystem getrennt und nur mit USB gefüttert, oder im eigenen VLAN betrieben, wo nur ein PC auf die gewissen Ports zugreifen darf um die Software mit Daten zu füttern. Direkten Inet Zugriff haben die in dem VLAN sowieso nicht.
Ich lasse mir aber schriftlich von der GF bestätigen, dass diese Maschinen am Laufen gehalten werden müssen (Weil es die Software/Firma nicht mehr gibt, Austausch der Software eine Austausch der gesamten Maschine bedeuten). Weise Sie deutlich und schriftlich darauf hin, dass es ein Sicherheitsrisiko ist.
gruß sd
Hi
Maschine in ein dedizierter, durch eine interne Firewall abgeschirmtes, Netz packen und den Internetzugriff sowie den Zugriff auf die Maschine reglementieren, sicherstellen, dass kein MA da irgendwas "umstellen" kann und damit solltest auch das passende Schutzniveau erreichen.*1
Aus dem Grund eine neue CNC anschaffen ist wohl größte Blödsinn überhaupt, wer das behauptet bringt auch sein Auto zur Schrottpresse wenn es eine neue Abgasnorm gibt. Das ist die Aufgabe der Admins das dann soweit abzuschirmen das keine Gefahr mehr davon ausgeht, auch wenn es am Ende heißt "offline" weiter betreiben. Man muss hier nicht künstlich die Kosten und den Elektroschrott in die Höhe treiben. Und selbst "offline" kann zu Problemen führen (STUXNET & Iran).
*1: du kannst das noch weiter verschärfen, intern eine OpnSense oder pfSense installieren und für den Zugriff auf das CNC Netz muss intern eine VPN Verbindung zu dem Netz aufgebaut werden, wenn du das am Ende noch mit MFA machst (man kann es noch weiter eskalieren :D) ist das "sicher" (100% Sicherheit gibt es nie)
Edit/Add: Server 2008 verwendet im Regelfall SMBv1, dass ist anfällig für Angriffe und einer der Angriffsverktoren für Verschlüsselungstrojaner, welche "Probleme" die Software der CNC mitbringt kann ich dir nicht sagen, aber das könnten alte .NET Libraries oder Java Versionen sein die für unterschiedliche Angriff anfällig sind.
Was du auf jeden Fall machen solltest: nehm das Gerät aus der Domäne raus und lösche alle Domänenprofile und Informationen von der Kiste, verpasse dem Gerät dedizierte, nur für das Gerät gültige, Logins, damit reduzierst du das Risiko einer Querinfektion wenn die mal Kompromittiert werden sollte.
Maschine in ein dedizierter, durch eine interne Firewall abgeschirmtes, Netz packen und den Internetzugriff sowie den Zugriff auf die Maschine reglementieren, sicherstellen, dass kein MA da irgendwas "umstellen" kann und damit solltest auch das passende Schutzniveau erreichen.*1
Aus dem Grund eine neue CNC anschaffen ist wohl größte Blödsinn überhaupt, wer das behauptet bringt auch sein Auto zur Schrottpresse wenn es eine neue Abgasnorm gibt. Das ist die Aufgabe der Admins das dann soweit abzuschirmen das keine Gefahr mehr davon ausgeht, auch wenn es am Ende heißt "offline" weiter betreiben. Man muss hier nicht künstlich die Kosten und den Elektroschrott in die Höhe treiben. Und selbst "offline" kann zu Problemen führen (STUXNET & Iran).
*1: du kannst das noch weiter verschärfen, intern eine OpnSense oder pfSense installieren und für den Zugriff auf das CNC Netz muss intern eine VPN Verbindung zu dem Netz aufgebaut werden, wenn du das am Ende noch mit MFA machst (man kann es noch weiter eskalieren :D) ist das "sicher" (100% Sicherheit gibt es nie)
Edit/Add: Server 2008 verwendet im Regelfall SMBv1, dass ist anfällig für Angriffe und einer der Angriffsverktoren für Verschlüsselungstrojaner, welche "Probleme" die Software der CNC mitbringt kann ich dir nicht sagen, aber das könnten alte .NET Libraries oder Java Versionen sein die für unterschiedliche Angriff anfällig sind.
Was du auf jeden Fall machen solltest: nehm das Gerät aus der Domäne raus und lösche alle Domänenprofile und Informationen von der Kiste, verpasse dem Gerät dedizierte, nur für das Gerät gültige, Logins, damit reduzierst du das Risiko einer Querinfektion wenn die mal Kompromittiert werden sollte.
Moin,
Gruß,
Dani
Was du auf jeden Fall machen solltest: nehm das Gerät aus der Domäne raus und lösche alle Domänenprofile und Informationen von der Kiste, verpasse dem Gerät dedizierte, nur für das Gerät gültige, Logins, damit reduzierst du das Risiko einer Querinfektion wenn die mal Kompromittiert werden sollte.
Plus die notwendigen Ports für die Kommunikation mit der Domäne und Domain Controller. Was nicht gerade wenige sind und durch aus einem Schweizer Käse gleich kommt.Gruß,
Dani