tech1988
Goto Top

Sicherheitsrisiko mit Firewall?

Hallo,

ich habe aktuell noch mehrere VM's mit Windows Server 2008 laufen. Dort sind auch mehrere Programme installiert die länger nicht mehr geupdatet worden sind.
Als Basis für die VMs nutze ich VMware, leider auch auf einer älteren Version.
Allerdings habe ich eine aktuelle Next Generation Firewall mit regelmäßiger Installation der Updates.

Inwiefern bestehen Sicherheitsrisiken, da das System ja von außen nicht erreichbar ist?

Danke schonmal für eure Hilfe.

Content-Key: 7877703219

Url: https://administrator.de/contentid/7877703219

Printed on: July 21, 2024 at 22:07 o'clock

Member: Avoton
Solution Avoton Jul 17, 2023 at 12:57:46 (UTC)
Goto Top
Moin,

ist das eine produktive Umgebung?

Wenn nein und nur persönliche Spielwiese: Musst du selbst wissen, ob du mit dem Risiko der alten Software leben willst.

Wenn ja und du die Verantwortung dafür trägst: Schleunigst gegen aktuelle Software austauschen, Firewall hin oder her. Weil: Falls was passiert kannst du dich da nicht wirklich raus reden. Da greift dann i.d.R. auch keine Cyberversicherung o.ä., da du wissentlich und somit fahrlässig die alte Software genutzt hast.
Selbst bei der DSGVO bekommst du schon Probleme (Stichwort: Stand der Technik).

Auch die Software auf den Kisten wird gewiss einmal eine Verbindung ins Internet aufbauen.

Gruß,
Avoton
Member: radiogugu
Solution radiogugu Jul 17, 2023 at 13:23:03 (UTC)
Goto Top
Mahlzeit.

Den 2008er Server in ein separates VLAN hängen und vom Internet abnabeln.

Falls der Internet benötigt, dann wie von @Avoton beschrieben entsprechend Bemühungen um Aktualisierung unternehmen.

Gruß
Marc
Member: Dani
Solution Dani Jul 17, 2023 at 16:26:16 (UTC)
Goto Top
Moin,
Allerdings habe ich eine aktuelle Next Generation Firewall mit regelmäßiger Installation der Updates.
das ist wie ein Schloss in der Haustüre. Trotzdem ist es möglich, dass eingebrochen wird. Das gilt auch für Firewalls.


Gruß,
Dani
Member: tech-flare
Solution tech-flare Jul 17, 2023 updated at 17:35:21 (UTC)
Goto Top
Zitat von @Avoton:

Moin,

ist das eine produktive Umgebung?

Wenn nein und nur persönliche Spielwiese: Musst du selbst wissen, ob du mit dem Risiko der alten Software leben willst.

Wenn ja und du die Verantwortung dafür trägst: Schleunigst gegen aktuelle Software austauschen, Firewall hin oder her. Weil: Falls was passiert kannst du dich da nicht wirklich raus reden. Da greift dann i.d.R. auch keine Cyberversicherung o.ä.,

1. findet eine cyberversicherung fast immer Schlupflöcher
2. muss man manchmal abwägen… gerade in der Industrie… wir haben auch Maschinen mit Windows 7, welcher in einem VLAN ohne besonderen Netzwerkzugriff hängen… ja man kann updaten, welches dann ebenfalls einen neuen Controller von der Maschine etc. notwendig macht und dann reden wir gleich mal von ca 100.000€ für eine Maschine!

Dies kann man nun mal pauschal nicht mit der 3 Personen Bürobutze oder dem 2 Mann Handwerksbetrieb Vergleiche .


Selbst bei der DSGVO bekommst du schon Probleme (Stichwort: Stand der Technik).
- Gerichtsurteile da?
Stand der Technik ist bei einem email Server mit personenbezogenen Daten etwas anderes, als bei einem Server, welcher CNC Maschinen oder Ähnliches bedient.

Auch die Software auf den Kisten wird gewiss einmal eine Verbindung ins Internet aufbauen.

Nein! VLAN ohne Internetzugriff und entsprechendes Regelwerk vorausgesetzt.

Wenn doch… hat man da schon etwas falsch gemacht
Member: silent-daniel
Solution silent-daniel Jul 17, 2023 at 17:37:32 (UTC)
Goto Top
Ich betreue selbst Kunden im KMU Bereich, die noch teilweise XP, Server 2003 oder Server 2008 am Laufen haben (CNC Fräsen, Lasercutter, Wasserstrahschneiden, Kant und Biegemaschinen).

Diese PCs werden dann entweder vom ganz vom Produktivsystem getrennt und nur mit USB gefüttert, oder im eigenen VLAN betrieben, wo nur ein PC auf die gewissen Ports zugreifen darf um die Software mit Daten zu füttern. Direkten Inet Zugriff haben die in dem VLAN sowieso nicht.

Ich lasse mir aber schriftlich von der GF bestätigen, dass diese Maschinen am Laufen gehalten werden müssen (Weil es die Software/Firma nicht mehr gibt, Austausch der Software eine Austausch der gesamten Maschine bedeuten). Weise Sie deutlich und schriftlich darauf hin, dass es ein Sicherheitsrisiko ist.

gruß sd
Member: commodity
Solution commodity Jul 17, 2023 updated at 20:29:33 (UTC)
Goto Top
alles richtig. Vielleicht beantwortet noch jemand konkret die Frage, damit der TO das nachvollziehen kann? face-smile
Inwiefern bestehen Sicherheitsrisiken, da das System ja von außen nicht erreichbar ist?
Viele Grüße, commodity
Member: clSchak
Solution clSchak Jul 17, 2023 updated at 20:43:46 (UTC)
Goto Top
Hi

Maschine in ein dedizierter, durch eine interne Firewall abgeschirmtes, Netz packen und den Internetzugriff sowie den Zugriff auf die Maschine reglementieren, sicherstellen, dass kein MA da irgendwas "umstellen" kann und damit solltest auch das passende Schutzniveau erreichen.*1

Aus dem Grund eine neue CNC anschaffen ist wohl größte Blödsinn überhaupt, wer das behauptet bringt auch sein Auto zur Schrottpresse wenn es eine neue Abgasnorm gibt. Das ist die Aufgabe der Admins das dann soweit abzuschirmen das keine Gefahr mehr davon ausgeht, auch wenn es am Ende heißt "offline" weiter betreiben. Man muss hier nicht künstlich die Kosten und den Elektroschrott in die Höhe treiben. Und selbst "offline" kann zu Problemen führen (STUXNET & Iran).

*1: du kannst das noch weiter verschärfen, intern eine OpnSense oder pfSense installieren und für den Zugriff auf das CNC Netz muss intern eine VPN Verbindung zu dem Netz aufgebaut werden, wenn du das am Ende noch mit MFA machst (man kann es noch weiter eskalieren :D) ist das "sicher" (100% Sicherheit gibt es nie)

Edit/Add: Server 2008 verwendet im Regelfall SMBv1, dass ist anfällig für Angriffe und einer der Angriffsverktoren für Verschlüsselungstrojaner, welche "Probleme" die Software der CNC mitbringt kann ich dir nicht sagen, aber das könnten alte .NET Libraries oder Java Versionen sein die für unterschiedliche Angriff anfällig sind.

Was du auf jeden Fall machen solltest: nehm das Gerät aus der Domäne raus und lösche alle Domänenprofile und Informationen von der Kiste, verpasse dem Gerät dedizierte, nur für das Gerät gültige, Logins, damit reduzierst du das Risiko einer Querinfektion wenn die mal Kompromittiert werden sollte.
Member: Dani
Solution Dani Jul 18, 2023 at 07:53:23 (UTC)
Goto Top
Moin,
Was du auf jeden Fall machen solltest: nehm das Gerät aus der Domäne raus und lösche alle Domänenprofile und Informationen von der Kiste, verpasse dem Gerät dedizierte, nur für das Gerät gültige, Logins, damit reduzierst du das Risiko einer Querinfektion wenn die mal Kompromittiert werden sollte.
Plus die notwendigen Ports für die Kommunikation mit der Domäne und Domain Controller. Was nicht gerade wenige sind und durch aus einem Schweizer Käse gleich kommt.


Gruß,
Dani