tranministrator
Goto Top

Source IP Zugriffskonzept wie sicher?

Hello liebe Admins und Verteidiger!

ich bin bis vor kurzem davon ausgegangen, dass das Risiko minimal ist, wenn wir die Userzugriffe (Webdienste wie Mail, etc.) vom WAN ins LAN via fixer Source-WAN-IP (SIM-based) und Benutzername + Passwort = MFA zugreifen lassen.

Jetzt stellt sich mir aber die Frage, ob es nicht doch irgendwo eine Lücke in dem Konzept gibt, welche mir noch nicht aufgefallen ist wie z.B. IP-Spoofing oder andere?

Firewall-technisch sind wir hier mit dem Fisch aus dem Meer gut ausgestattet (IPS ist aktiv). Reverse Proxy steht vor den services. Ja, das war es in dem Bereich aber auch schon. Keine WAF oder WAAP ist hier im Einsatz.

Habt ihr nette Ideen, was ich hier evtl. nicht bedacht habe?

Danke

Viele Grüße

PS: über einen Penetration Test wird nachgedacht

Rob

Content-Key: 7073376015

Url: https://administrator.de/contentid/7073376015

Printed on: July 19, 2024 at 09:07 o'clock

Member: Mr-Gustav
Mr-Gustav May 09, 2023 at 06:31:07 (UTC)
Goto Top
Was meinst du mit SIM Based ?
Wenn du damit den Mobilfunk meinst dann musst du sicherstellen das du
A) eine echte Öffentliche IPv4 oder IPv6 Adresse hast welche nicht hinter einem NAT Gateway versteckt ist
B)Sicherstellen dass das Endgerät immer die selbe Adresse erhält. ( GGF spuckt dir hier die Privacy der enrsprechenden Geräte in die Suppe bezüglich wechselnder IPv6 Adresse.
Member: Vision2015
Vision2015 May 09, 2023 at 06:34:16 (UTC)
Goto Top
Moin...
Zitat von @Tranministrator:

Hello liebe Admins und Verteidiger!

ich bin bis vor kurzem davon ausgegangen, dass das Risiko minimal ist, wenn wir die Userzugriffe (Webdienste wie Mail, etc.) vom WAN ins LAN via fixer Source-WAN-IP (SIM-based) und Benutzername + Passwort = MFA zugreifen lassen.
du meinst sicher VPN, oder?

Jetzt stellt sich mir aber die Frage, ob es nicht doch irgendwo eine Lücke in dem Konzept gibt, welche mir noch nicht aufgefallen ist wie z.B. IP-Spoofing oder andere?
nun, was genau ist dein Konzept?
was genau soll, oder muss wie soll geschützt werden?

Firewall-technisch sind wir hier mit dem Fisch aus dem Meer gut ausgestattet (IPS ist aktiv). Reverse Proxy steht vor den services. Ja, das war es in dem Bereich aber auch schon. Keine WAF oder WAAP ist hier im Einsatz.

Habt ihr nette Ideen, was ich hier evtl. nicht bedacht habe?
dafür sollten wir wissen, was genau geschützt werden soll!

Danke

Viele Grüße

PS: über einen Penetration Test wird nachgedacht
sage ich meiner Frau auch immer face-smile

Rob
Frank
Member: Lochkartenstanzer
Lochkartenstanzer May 09, 2023 updated at 08:15:58 (UTC)
Goto Top
Zitat von @Vision2015:

Zitat von @Tranministrator:

PS: über einen Penetration Test wird nachgedacht
sage ich meiner Frau auch immer face-smile
Frank
Moin,

Wieso darüber nachdenken? Einfach regelmäßig machen. face-smile

Sowohl den einen als auch den anderen. face-smile

Zum anderen Problem des TO:

Source-Ip kannst Du nur dann als "Authentifizierung" nutzen, wenn Du sicherstellen kannst, daß IP-Spoofing machen kann, also i.d.R. niemals. Man kann das als zusätzliches Kriterium zu anderen Verfahren, wie z.B. VPN nehmen, aber nicht ausschließlich.

lks
Member: Mr-Gustav
Mr-Gustav May 09, 2023 at 08:27:14 (UTC)
Goto Top
Schau mal nach Conditional Access.
Sollte es auch auf der Baracuda geben wenn ich mich recht erinnere.
Das mit den IP´s muss aber halt eben auch passen denn wenns Dyn. IPs sind dann wirds nix.

Un ja Pen Test sollte man regelmäßig durchführen ( Zweideutiger Smiley vorstellen ) wobei der eine davon eher mehr Spaß macht als der andere aber beide haben da so ihre eigenen Konsequenzen wann was schief geht
Member: Tranministrator
Tranministrator May 10, 2023 at 20:22:30 (UTC)
Goto Top
Zitat von @Mr-Gustav:

Was meinst du mit SIM Based ?
Wenn du damit den Mobilfunk meinst dann musst du sicherstellen das du
A) eine echte Öffentliche IPv4 oder IPv6 Adresse hast welche nicht hinter einem NAT Gateway versteckt ist
B)Sicherstellen dass das Endgerät immer die selbe Adresse erhält. ( GGF spuckt dir hier die Privacy der enrsprechenden Geräte in die Suppe bezüglich wechselnder IPv6 Adresse.

Mit SIM Based ist gemeint, dass die SIM Karte mit ihrer fixen IP-Adresse den zweiten Haben-Faktor zum Passwort Wissen-Faktor ergänzt. Diese wird entweder in ein SIM Slot direkt am Laptop eingesteckt oder in ein 4G LTE Stick.
Ja, es ist sichergestellt, dass hier die fixe öffentliche IPv4 Adresse verwendet wird.
Die Funktion wird hier ja nicht in Frage gestellt, sondern eher das Konzept und die dadurch gewonnene Sicherheit.
Ich will hier das Risiko besser einschätzen lernen.
Es ist eine zweistufige FW und dahinter ein Reverse Proxy im Einsatz.
Member: Tranministrator
Tranministrator May 10, 2023 at 20:39:25 (UTC)
Goto Top
Zitat von @Vision2015:

Moin...
Zitat von @Tranministrator:

Hello liebe Admins und Verteidiger!

ich bin bis vor kurzem davon ausgegangen, dass das Risiko minimal ist, wenn wir die Userzugriffe (Webdienste wie Mail, etc.) vom WAN ins LAN via fixer Source-WAN-IP (SIM-based) und Benutzername + Passwort = MFA zugreifen lassen.
du meinst sicher VPN, oder?

Jetzt stellt sich mir aber die Frage, ob es nicht doch irgendwo eine Lücke in dem Konzept gibt, welche mir noch nicht aufgefallen ist wie z.B. IP-Spoofing oder andere?
nun, was genau ist dein Konzept?
was genau soll, oder muss wie soll geschützt werden?

Firewall-technisch sind wir hier mit dem Fisch aus dem Meer gut ausgestattet (IPS ist aktiv). Reverse Proxy steht vor den services. Ja, das war es in dem Bereich aber auch schon. Keine WAF oder WAAP ist hier im Einsatz.

Habt ihr nette Ideen, was ich hier evtl. nicht bedacht habe?
dafür sollten wir wissen, was genau geschützt werden soll!

Danke

Viele Grüße

PS: über einen Penetration Test wird nachgedacht
sage ich meiner Frau auch immer face-smile

Rob
Frank

du meinst sicher VPN, oder?
VPN gibt es in der Kombination nur bei den direkten Zugriffen in das Unternehmen via RDP.
Die Webserver-Zugriffe via Mobil-APP und die Exchange Active Mail-Synchronisation laufen ohne VPN, aber dafür mit Source-IP Einschränkung. Ja, Zertifikate für Mails stehen auf der Roadmap und evtl. kann man auch am Webserver ein Whitelisting von Source-IP Adressen eintragen.
dafür sollten wir wissen, was genau geschützt werden soll!
In Erster Linie, dass der Zugriff auf die Firewall und die dahinter liegende Infrastruktur von nicht freigegebenen Assets nicht stattfinden darf. Es dürfen dadurch keine Informationen des internen Netzwerks an/durch Fremde abfließen bzw. einsehbar sein.
In zweiter Linie sollen die Services und Ihre Verfügbarkeit durch äußere Einflüsse so gering wie nur möglich beeinflusst werden.
nun, was genau ist dein Konzept?
Es ist ein zweistufiges Firewall Konzept samt Reverse Proxy im Einsatz. Meinst du das?
sage ich meiner Frau auch immer face-smile
Du hast eine gute Frau face-smile

Rob
Member: Tranministrator
Tranministrator May 10, 2023 at 20:50:24 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Vision2015:

Zitat von @Tranministrator:

PS: über einen Penetration Test wird nachgedacht
sage ich meiner Frau auch immer face-smile
Frank
Moin,

Wieso darüber nachdenken? Einfach regelmäßig machen. face-smile

Sowohl den einen als auch den anderen. face-smile

Zum anderen Problem des TO:

Source-Ip kannst Du nur dann als "Authentifizierung" nutzen, wenn Du sicherstellen kannst, daß IP-Spoofing machen kann, also i.d.R. niemals. Man kann das als zusätzliches Kriterium zu anderen Verfahren, wie z.B. VPN nehmen, aber nicht ausschließlich.

lks

Source-Ip kannst Du nur dann als "Authentifizierung" nutzen, wenn Du sicherstellen kannst, daß IP-Spoofing machen kann, also i.d.R. niemals. Man kann das als zusätzliches Kriterium zu anderen Verfahren, wie z.B. VPN nehmen, aber nicht ausschließlich.
Da gebe ich dir Recht, mit VPN nutzen wir es auch für die direkten Zugriffe via RDP.
Die Webserver und der Mailservice haben natürlich eine AD-Benutzer und Passwort Abfrage.
Also nein, man kommt nicht nur weil man nur die Source-IP hat auf einen Dienst, welcher keine zusätzliche Authentifizierung via AD-Username und AD-PW abfragt.

Wieso darüber nachdenken? Einfach regelmäßig machen. face-smile
Ich war bis jetzt der Meinung, dass dieses Konzept mit den fixen Source-IP-Adressen sicher ist. Ein solches Assessment dauert 5 Tage und schlägt mit ca. 10k zu. Diese sind für dieses Jahr nicht im Budget.


Rob
Member: Dani
Dani May 12, 2023 at 15:55:01 (UTC)
Goto Top
Moin,
Es ist eine zweistufige FW und dahinter ein Reverse Proxy im Einsatz.
welchen Vorteil verschaffst du dir mit einem Reverse Proxy, wenn das keine WAF/WAAP ist? Auch eine zweistufige FW kann nützlich aber auch ein Durchlauferhitzer sein. Hängt von Design, Feature und Konfiguration ab.

..die Exchange Active Mail-Synchronisation laufen ohne VPN,
Dann solltest du über AD FS mit WAP nachdenken. Um den Themen Account Lockdown, MFA sowie Pre-Auth entgegen zu wirken. Alternativ eine MDM Lösung mit Tunneling oder eben klassisch VPN.


Gruß,
Dani
Member: Tranministrator
Tranministrator May 12, 2023 at 22:55:24 (UTC)
Goto Top
Zitat von @Dani:

Moin,
Es ist eine zweistufige FW und dahinter ein Reverse Proxy im Einsatz.
welchen Vorteil verschaffst du dir mit einem Reverse Proxy, wenn das keine WAF/WAAP ist? Auch eine zweistufige FW kann nützlich aber auch ein Durchlauferhitzer sein. Hängt von Design, Feature und Konfiguration ab.

..die Exchange Active Mail-Synchronisation laufen ohne VPN,
Dann solltest du über AD FS mit WAP nachdenken. Um den Themen Account Lockdown, MFA sowie Pre-Auth entgegen zu wirken. Alternativ eine MDM Lösung mit Tunneling oder eben klassisch VPN.


Gruß,
Dani

Dann solltest du über AD FS mit WAP nachdenken. Um den Themen Account Lockdown, MFA sowie Pre-Auth entgegen zu wirken. Alternativ eine MDM Lösung mit Tunneling oder eben klassisch VPN.
Warum? Reicht hier die Source IP Einschränkung auf der Firewall nicht? Das ist die eigentliche Frage, ob dieser zweite Haben Faktor nicht ausreichend ist bzw. wie einfach dieser "gehackt" werden kann?
Zukünftig werden wir als zusätzliche Schicht auch Zertifikate für die Mailkommunikation verteilen.

Viele Grüße

Rob
Member: Dani
Dani Jun 02, 2023 at 20:27:13 (UTC)
Goto Top
Moin,
Warum? Reicht hier die Source IP Einschränkung auf der Firewall nicht?
weil auch ein Endgerät "verseucht" sein kann. Des Weiteren ist deine Firewall wohl die Einzige Sicherheitsarchitektur ist. Da werden Angriffe auf Layer 7 in der Regel nicht erkannt und abgewehrt.

Unabhängig davon hast du die Frage von Kollege @lochenkartenstanzer nicht zu 100% beantwortet. Sprich kannst du sicherstellen, dass kein IP Spoofing trotz fixer öffentlicher IP-Adresse möglich ist?

Wir nutzen einen ähnlichen Service von Vodafone, verlassen uns aber in unserem Sicherheitskonzept 0% darauf.


Gruß,
Dani