Source IP Zugriffskonzept wie sicher?
Hello liebe Admins und Verteidiger!
ich bin bis vor kurzem davon ausgegangen, dass das Risiko minimal ist, wenn wir die Userzugriffe (Webdienste wie Mail, etc.) vom WAN ins LAN via fixer Source-WAN-IP (SIM-based) und Benutzername + Passwort = MFA zugreifen lassen.
Jetzt stellt sich mir aber die Frage, ob es nicht doch irgendwo eine Lücke in dem Konzept gibt, welche mir noch nicht aufgefallen ist wie z.B. IP-Spoofing oder andere?
Firewall-technisch sind wir hier mit dem Fisch aus dem Meer gut ausgestattet (IPS ist aktiv). Reverse Proxy steht vor den services. Ja, das war es in dem Bereich aber auch schon. Keine WAF oder WAAP ist hier im Einsatz.
Habt ihr nette Ideen, was ich hier evtl. nicht bedacht habe?
Danke
Viele Grüße
PS: über einen Penetration Test wird nachgedacht
Rob
ich bin bis vor kurzem davon ausgegangen, dass das Risiko minimal ist, wenn wir die Userzugriffe (Webdienste wie Mail, etc.) vom WAN ins LAN via fixer Source-WAN-IP (SIM-based) und Benutzername + Passwort = MFA zugreifen lassen.
Jetzt stellt sich mir aber die Frage, ob es nicht doch irgendwo eine Lücke in dem Konzept gibt, welche mir noch nicht aufgefallen ist wie z.B. IP-Spoofing oder andere?
Firewall-technisch sind wir hier mit dem Fisch aus dem Meer gut ausgestattet (IPS ist aktiv). Reverse Proxy steht vor den services. Ja, das war es in dem Bereich aber auch schon. Keine WAF oder WAAP ist hier im Einsatz.
Habt ihr nette Ideen, was ich hier evtl. nicht bedacht habe?
Danke
Viele Grüße
PS: über einen Penetration Test wird nachgedacht
Rob
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7073376015
Url: https://administrator.de/forum/source-ip-zugriffskonzept-wie-sicher-7073376015.html
Ausgedruckt am: 22.12.2024 um 22:12 Uhr
10 Kommentare
Neuester Kommentar
Was meinst du mit SIM Based ?
Wenn du damit den Mobilfunk meinst dann musst du sicherstellen das du
A) eine echte Öffentliche IPv4 oder IPv6 Adresse hast welche nicht hinter einem NAT Gateway versteckt ist
B)Sicherstellen dass das Endgerät immer die selbe Adresse erhält. ( GGF spuckt dir hier die Privacy der enrsprechenden Geräte in die Suppe bezüglich wechselnder IPv6 Adresse.
Wenn du damit den Mobilfunk meinst dann musst du sicherstellen das du
A) eine echte Öffentliche IPv4 oder IPv6 Adresse hast welche nicht hinter einem NAT Gateway versteckt ist
B)Sicherstellen dass das Endgerät immer die selbe Adresse erhält. ( GGF spuckt dir hier die Privacy der enrsprechenden Geräte in die Suppe bezüglich wechselnder IPv6 Adresse.
Moin...
Jetzt stellt sich mir aber die Frage, ob es nicht doch irgendwo eine Lücke in dem Konzept gibt, welche mir noch nicht aufgefallen ist wie z.B. IP-Spoofing oder andere?
nun, was genau ist dein Konzept?
was genau soll, oder muss wie soll geschützt werden?
Firewall-technisch sind wir hier mit dem Fisch aus dem Meer gut ausgestattet (IPS ist aktiv). Reverse Proxy steht vor den services. Ja, das war es in dem Bereich aber auch schon. Keine WAF oder WAAP ist hier im Einsatz.
Habt ihr nette Ideen, was ich hier evtl. nicht bedacht habe?
dafür sollten wir wissen, was genau geschützt werden soll!
Danke
Viele Grüße
PS: über einen Penetration Test wird nachgedacht
sage ich meiner Frau auch immer
Rob
Frank
Zitat von @Tranministrator:
Hello liebe Admins und Verteidiger!
ich bin bis vor kurzem davon ausgegangen, dass das Risiko minimal ist, wenn wir die Userzugriffe (Webdienste wie Mail, etc.) vom WAN ins LAN via fixer Source-WAN-IP (SIM-based) und Benutzername + Passwort = MFA zugreifen lassen.
du meinst sicher VPN, oder?Hello liebe Admins und Verteidiger!
ich bin bis vor kurzem davon ausgegangen, dass das Risiko minimal ist, wenn wir die Userzugriffe (Webdienste wie Mail, etc.) vom WAN ins LAN via fixer Source-WAN-IP (SIM-based) und Benutzername + Passwort = MFA zugreifen lassen.
Jetzt stellt sich mir aber die Frage, ob es nicht doch irgendwo eine Lücke in dem Konzept gibt, welche mir noch nicht aufgefallen ist wie z.B. IP-Spoofing oder andere?
was genau soll, oder muss wie soll geschützt werden?
Firewall-technisch sind wir hier mit dem Fisch aus dem Meer gut ausgestattet (IPS ist aktiv). Reverse Proxy steht vor den services. Ja, das war es in dem Bereich aber auch schon. Keine WAF oder WAAP ist hier im Einsatz.
Habt ihr nette Ideen, was ich hier evtl. nicht bedacht habe?
Danke
Viele Grüße
PS: über einen Penetration Test wird nachgedacht
Rob
Moin,
Wieso darüber nachdenken? Einfach regelmäßig machen.
Sowohl den einen als auch den anderen.
Zum anderen Problem des TO:
Source-Ip kannst Du nur dann als "Authentifizierung" nutzen, wenn Du sicherstellen kannst, daß IP-Spoofing machen kann, also i.d.R. niemals. Man kann das als zusätzliches Kriterium zu anderen Verfahren, wie z.B. VPN nehmen, aber nicht ausschließlich.
lks
Wieso darüber nachdenken? Einfach regelmäßig machen.
Sowohl den einen als auch den anderen.
Zum anderen Problem des TO:
Source-Ip kannst Du nur dann als "Authentifizierung" nutzen, wenn Du sicherstellen kannst, daß IP-Spoofing machen kann, also i.d.R. niemals. Man kann das als zusätzliches Kriterium zu anderen Verfahren, wie z.B. VPN nehmen, aber nicht ausschließlich.
lks
Schau mal nach Conditional Access.
Sollte es auch auf der Baracuda geben wenn ich mich recht erinnere.
Das mit den IP´s muss aber halt eben auch passen denn wenns Dyn. IPs sind dann wirds nix.
Un ja Pen Test sollte man regelmäßig durchführen ( Zweideutiger Smiley vorstellen ) wobei der eine davon eher mehr Spaß macht als der andere aber beide haben da so ihre eigenen Konsequenzen wann was schief geht
Sollte es auch auf der Baracuda geben wenn ich mich recht erinnere.
Das mit den IP´s muss aber halt eben auch passen denn wenns Dyn. IPs sind dann wirds nix.
Un ja Pen Test sollte man regelmäßig durchführen ( Zweideutiger Smiley vorstellen ) wobei der eine davon eher mehr Spaß macht als der andere aber beide haben da so ihre eigenen Konsequenzen wann was schief geht
Moin,
Gruß,
Dani
Es ist eine zweistufige FW und dahinter ein Reverse Proxy im Einsatz.
welchen Vorteil verschaffst du dir mit einem Reverse Proxy, wenn das keine WAF/WAAP ist? Auch eine zweistufige FW kann nützlich aber auch ein Durchlauferhitzer sein. Hängt von Design, Feature und Konfiguration ab...die Exchange Active Mail-Synchronisation laufen ohne VPN,
Dann solltest du über AD FS mit WAP nachdenken. Um den Themen Account Lockdown, MFA sowie Pre-Auth entgegen zu wirken. Alternativ eine MDM Lösung mit Tunneling oder eben klassisch VPN.Gruß,
Dani
Moin,
Unabhängig davon hast du die Frage von Kollege @lochenkartenstanzer nicht zu 100% beantwortet. Sprich kannst du sicherstellen, dass kein IP Spoofing trotz fixer öffentlicher IP-Adresse möglich ist?
Wir nutzen einen ähnlichen Service von Vodafone, verlassen uns aber in unserem Sicherheitskonzept 0% darauf.
Gruß,
Dani
Warum? Reicht hier die Source IP Einschränkung auf der Firewall nicht?
weil auch ein Endgerät "verseucht" sein kann. Des Weiteren ist deine Firewall wohl die Einzige Sicherheitsarchitektur ist. Da werden Angriffe auf Layer 7 in der Regel nicht erkannt und abgewehrt.Unabhängig davon hast du die Frage von Kollege @lochenkartenstanzer nicht zu 100% beantwortet. Sprich kannst du sicherstellen, dass kein IP Spoofing trotz fixer öffentlicher IP-Adresse möglich ist?
Wir nutzen einen ähnlichen Service von Vodafone, verlassen uns aber in unserem Sicherheitskonzept 0% darauf.
Gruß,
Dani