nachgefragt
Goto Top

Umgang mit einem Fremdsystem im Intranet

Mahlzeit Admins,

folgende These bei welcher Ihr verantwortlich für die IT Sicherheit seid:

  • Eine Abteilung möchte ein Windows-System internen Netzwerk platzieren, es handelt sich um eine LTS Version, Updates für Windows gäbe es noch ein paar Jahre.
  • Dieses System benötigt eine bidirektionale Verbindung, u.a. zum RDS Server, ein paar Windowsclients der Endanwender,... damit indirekt Zugriff auf alle Systeme, wenn auch möglichst durch Segmente getrennt.
  • Ihr bekommt zu dem Gerät keinen administrativen Zugang, könnt eure Endpoint Protection nicht verwenden, kein Asset Management,... das System bleibt ein Stück Schatten IT.
  • Das System lässt sich nicht dediziert abgeschottet betreiben.


Welche Gefahren/Probleme seht ihr bezüglich IT Sicherheit?
Oder seht ihr es eher unkritisch?
Wie sichert ihr euch ab?
Im Hinterkopf habe ich noch einen Beitrag mit dem Titel "IT-Recht für Admins: Mit einem Bein im Knast?"

Vielen Dank für konstruktive Meinungen oder Erfahrungen diesbezüglich aus eurem IT Alltag.

Content-Key: 21666480016

Url: https://administrator.de/contentid/21666480016

Printed on: April 13, 2024 at 12:04 o'clock

Member: Boomercringe
Boomercringe Feb 19, 2024 at 11:14:35 (UTC)
Goto Top
Was für eine Verbindung zum RDS Server/Windowsclients würde benötigt? Ich denke an der Art der Verzahnung wird es dann liegen, ob du das verantworten kannst oder nicht...
Member: Penny.Cilin
Penny.Cilin Feb 19, 2024 at 11:26:14 (UTC)
Goto Top
Ist das eine Hausaufgabe, Prüfungsfrage? Diese sind Freitags zu stellen.
Außerdem: Nichts sagende Informationen, wie man eine Frage richtig stellt.

In Anbetracht des Textes: NEIN, ein solches System kommt definitiv NICHT in unser Netzwerk!

Es sei denn, die Abteilung bzw. deren Mitarbeiter übernehmen haften für JEGLICHE Konsequenzen, welche daraus entstehen können. Und das wird wasserdicht vertraglich geregelt!!!
Member: erikro
erikro Feb 19, 2024 at 11:50:30 (UTC)
Goto Top
Moin,

es gibt eigentlich nur zwei Möglichkeiten:

1. Das wird so nicht umgesetzt.
2. Kündigen.

Liebe Grüße

Erik
Member: erikro
erikro Feb 19, 2024 at 11:52:06 (UTC)
Goto Top
Moin,

Zitat von @Penny.Cilin:
Es sei denn, die Abteilung bzw. deren Mitarbeiter übernehmen haften für JEGLICHE Konsequenzen, welche daraus entstehen können. Und das wird wasserdicht vertraglich geregelt!!!

Was letztlich nicht geht. Wie willst Du denn nachweisen, dass die eingeschleuste Schadsoftware über dieses Gerät ins Netz gelangt ist. Das Vorhaben darf so nicht durchgeführt werden.

Liebe Grüße

Erik
Member: kpunkt
kpunkt Feb 19, 2024 at 11:56:31 (UTC)
Goto Top
Da man in dem Szenario die Sicherheit nicht gewährleisten kann, muss man das Weite suchen, so das denn tatsächlich umgesetzt wird.
Member: Banana.Joe
Banana.Joe Feb 19, 2024 updated at 11:59:23 (UTC)
Goto Top
Man müsste wesentlich mehr Details wissen um hier eine Entscheidung zu treffen. In jedem Fall muss geklärt werden, wie die Abhängigkeiten zu euren Systemen ist und wer das Fremdsystem installiert und betreut. Ist die fachliche Qualifikation zum sicheren Betrieb des Fremdsystems vorhanden?

Ich würde Anforderungen zum Betrieb des Fremdsystems festlegen (Zuständigkeiten, Virenschutz, Updates, Backup) und regelmäßig auditieren.

Das Fremdsystem zwingend in ein anderes Netzsegment und beide Segmente über eine Firewall abzusichern.

Strenges Firewallregelwerk und falls möglich z.b. nur ausgehende Verbindungen für die notwendigen Ports in das Fremdnetz zulassen.

Aber es kommt auf die Details an und wie genau die Äbgänigkeiten zwischen Euren Systemen und dem Fremdsystem ist. Das muss geklärt werden.

Möglicherweise wäre dann z.b. auch ein Terminalserver im Fremdnetz eine Option um hier mehr Sicherheit zu gewährleisten.
Member: Spirit-of-Eli
Spirit-of-Eli Feb 19, 2024 at 12:09:30 (UTC)
Goto Top
Moin,

Einzige Option die ich bei sowas mittlerweile sehe, ist eine ZeroTrust Umgebung und eine XDR Lösung auf allen fassbaren Clients.

Ansonsten wird jeder vernünftige Mensch sowas ablehnen.

Gruß
Spirit
Member: Doskias
Doskias Feb 19, 2024 at 12:42:08 (UTC)
Goto Top
Moin,

der Knackpunkt ist ganz einfach: Wenn ich keinen Adminzugang zu dem gerät bekomme, dass kommt das Gerät nicht in mein Netzwerk. Punkt aus. Debatte erledigt.

Über das meiste andere, kann man theoretisch nachdenken und technische Lösungen finden. Ich kann meinen regulären Endpoint-Proetection nicht verwenden? Ok, damit kann ich leben. Wir haben selbst Clients, wo das nicht geht. Aber: Dann installier ich einen anderen. Ich hab selbst Geräte hier, die mehr oder weniger ein Schatten-Dasein führen, weil sie speziell sind. das fängt schon damit an, dass da eine Software drauf ist, die es nicht mag, wenn sich die Uhr umstellt, da sie es als Manipulation ansieht, was in Bezug auf MHDs bei Lebensmittel, schon kritisch sind. Ja und die Software sperrt sich sogar bei Sommer-/Winterzeit. Dann ist das halt so, dass die Uhrzeit nie synchron mit den anderen Systemen läuft. Damit kann ich leben, aber ich hab da immer noch den Adminzugang zu.

Die Kernfrage lässt du aber offen. Wieso eine biderektionale Verbind. Wir haben auch reine RDP-Clients, zwischen denen kein Datenaustausch via RDP möglich ist. Da geht auch alles, nur sind die in einem separaten Netz und jeglicher Traffic zum Verwaltungsnetz wird via Firewall geblockt, mit Ausnahme des RDP-Dienstes. Was für daten müssen hier getauscht werden? Das ist alles sehr schwammig formuliert, so das wir dir gar nicht alle möglichen Probleme und Risiken nennen können.

Gruß
Doskias
Member: Penny.Cilin
Penny.Cilin Feb 19, 2024 at 13:39:20 (UTC)
Goto Top
Zitat von @erikro:

Moin,

Zitat von @Penny.Cilin:
Es sei denn, die Abteilung bzw. deren Mitarbeiter übernehmen haften für JEGLICHE Konsequenzen, welche daraus entstehen können. Und das wird wasserdicht vertraglich geregelt!!!

Was letztlich nicht geht. Wie willst Du denn nachweisen, dass die eingeschleuste Schadsoftware über dieses Gerät ins Netz gelangt ist. Das Vorhaben darf so nicht durchgeführt werden.
Hm, stimmt. Kann schwierig werden. Stellt sich die Frage, ob mittels umfangreicher forensischer Analyse das gerät ermittelt wird, welches die Schadsoftware eingeschleust hat.

Liebe Grüße

Erik

Gruss Penny.
Member: nachgefragt
nachgefragt Feb 20, 2024 at 06:34:50 (UTC)
Goto Top
Guten Morgen und vielen Dank für die bisherigen Meinungen.

Zitat von @Boomercringe:
Was für eine Verbindung zum RDS Server/Windowsclients würde benötigt?
Die Verbindung zur RDS Farm würde zwar per Segmentierung reduziert, von da aus geht es aber schon Richtung ERP, PDM,... quasi in die höchste Risikostufe. Eine Umgebung nur für das Fremdsystem zu schaffen ist ausgeschlossen.
Zitat von @Penny.Cilin:
Es sei denn, die Abteilung bzw. deren Mitarbeiter übernehmen haften für JEGLICHE Konsequenzen, welche daraus entstehen können. Und das wird wasserdicht vertraglich geregelt!!!
Ein IT-Jurist wäre also gefragt. Interessant hätte ich auch die Bewertung einer Cybersecurity Versicherung gefunden, das aber nur nebenbei.
Zitat von @Banana.Joe:
Ist die fachliche Qualifikation zum sicheren Betrieb des Fremdsystems vorhanden?
Eher nein.
Ich würde Anforderungen zum Betrieb des Fremdsystems festlegen (Zuständigkeiten, Virenschutz, Updates, Backup) und regelmäßig auditieren.
Das ist eine gute Idee, mal schauen welche Konventionalstrafe vereinbart würde.
Das Fremdsystem zwingend in ein anderes Netzsegment und beide Segmente über eine Firewall abzusichern.
Strenges Firewallregelwerk und falls möglich z.b. nur ausgehende Verbindungen für die notwendigen Ports in das Fremdnetz zulassen.
Das sowieso, aber es tunnelt in einer leider nicht optimale Segmentierung in Richtung ERP, PDM,... .
Möglicherweise wäre dann z.b. auch ein Terminalserver im Fremdnetz eine Option um hier mehr Sicherheit zu gewährleisten.
Leider nein, da es u.a. vom PDM System gefüttert wird, dieses wiederum mit noch mehr Segmenten verbundne ist.

Allgemein gefragt: Ist ein System sicher wenn ich ihm über die Firewall die Internetverbindung verbiete (z.B. wie beim Druckersegment)?
Member: kpunkt
kpunkt Feb 20, 2024 at 06:37:44 (UTC)
Goto Top
Zitat von @nachgefragt:
Allgemein gefragt: Ist ein System sicher wenn ich ihm über die Firewall die Internetverbindung verbiete (z.B. wie beim Druckersegment)?
Solange du da was mit USB oder dergleichen einstöpseln (und drauf zugreifen) kannst nein.
Wenns rein passiv ist, dann eher ja.
Member: nachgefragt
nachgefragt Feb 20, 2024 updated at 07:24:20 (UTC)
Goto Top
Zitat von @kpunkt:
> Solange du da was mit USB oder dergleichen einstöpseln (und drauf zugreifen) kannst nein.
Wenns rein passiv ist, dann eher ja.
Übertrieben gesagt,
dann kann ich meine Windows XP und Windows 7 Clients wieder aus dem Keller holen, deren Zugriff ins Internet verbieten und bin sicher? TOMs "Stand der Technik" mal außen vor.
Member: kpunkt
kpunkt Feb 20, 2024 at 07:36:13 (UTC)
Goto Top
Klar. Du darfst dann halt keine Schadsoftware drauf lassen. Ob per Internet oder USB ist doch wumpe.
Ich hab hier auch ein virtualisiertes XP, weil eine Software dafür benötigt wird.

Systeme sind nicht per se unsicher. Aber wenn ein unauthorisierter Zugriff drauf stattfinden kann sieht es anders aus.
Member: nachgefragt
nachgefragt Feb 20, 2024 at 07:51:58 (UTC)
Goto Top
Zitat von @kpunkt:
Du darfst dann halt keine Schadsoftware drauf lassen.
Wie mach ich das in der Praxis, bezogen auf das Thema (siehe Überschrift und Beitrag #1)?

mein aktueller Stand
Über ein Segment (z.B. ohne Internet nur nur bestimmte Ports) ist ein Risiko reduzierbar, aber noch immer vorhanden.
Im Szenario müsste das Fremdsystem eine Verbindung zum RDS Server haben, dieser wiederum ist von quasi überall aus erreichbar. Eine Zero Trust Umgebung ist also nicht vorhanden und jede (ungewollte) Bewegung müsste über eine XDR Lösung erstmal gesperrt, hinterfragt, und erst dann freigegeben werden.

Denke ich an sowas wie Log4j, ich weiß ja nicht was alles auf der Kiste installiert ist, könnte das Thema künftig weiter ausarten.
Member: kpunkt
kpunkt Feb 20, 2024 at 08:01:04 (UTC)
Goto Top
Zitat von @nachgefragt:

Zitat von @kpunkt:
Du darfst dann halt keine Schadsoftware drauf lassen.
Wie mach ich das in der Praxis, bezogen auf das Thema (siehe Überschrift und Beitrag #1)?
Gar nicht. Du sagst ja selber, dass das System nicht abgeschottet werden kann. Aber da war ja jetzt auch nicht deine neue Fragestellung.
Member: erikro
erikro Feb 20, 2024 at 08:13:23 (UTC)
Goto Top
Moin,

Zitat von @nachgefragt:

Zitat von @kpunkt:
Du darfst dann halt keine Schadsoftware drauf lassen.
Wie mach ich das in der Praxis, bezogen auf das Thema (siehe Überschrift und Beitrag #1)?

Wenn Du keine Kontrolle über das System hast, gar nicht. Und deshalb (neben diverser anderer Gründe) kann das so nicht umgesetzt werden.

Liebe Grüße

Erik
Member: Penny.Cilin
Penny.Cilin Feb 20, 2024 at 08:38:32 (UTC)
Goto Top
In einer der der Antworten von @nachgefragt war die Rede von ERP, PDM Systemen.

Wieso sollen auf diesen Systemen die Administratoren KEINEN Zugriff haben?
Schließlich müssen dieses Systeme auch gewartet werden.

Wer macht das dann?

Schatten IT ist immer schlecht, weil man keinen Überblick / keine Kontrolle über die möglichen Konsequenzen hat.

@nachgefragt:
Hier ein paar Fragen, welche sich mir stellen. Das wäre eine Möglichkeit, die Risiken / Nebenwirkungen den zuständigen Personen / Verantwortlichen mit einem Fragenkatalog antworten zu lassen. Dir fallen bestimmt auch weitere Fragen ein. Oder auch den Forumsteilnehmern.
  • Wer ist auf diese abstruse Idee gekommen?
  • Stelle dem Personenkreis einen dedizierten Fragenkatalog
    • Wer ist für die Administration der Systeme verantwortlich?
    • Warum soll die interne IT aus der Administration / Zugriff / Verwaltung ausgeschlossen werden?
    • Wer übernimmt die Verantwortung bei Ausfall?
    • Wer übernimmt die Verantwortung bei Virenbefall / Verschlüsselung?
    • Wer übernimmt die Verantwortung, wenn die komplette Unternehmens IT durch diese Schatten IT lahmgelegt wird?

Gruss Penny.
Member: ThePinky777
ThePinky777 Feb 20, 2024 at 08:43:17 (UTC)
Goto Top
ich würde ein eigenes VLAN erstellen, das System dort allein reinhängen.
Dann per Hardware Firewall Rules klar definieren was es darf und nicht darf.
Bedeutet es darf defintiv nicht in unser Netz Daten kommunizieren.
VLAN >> normales LAN >> DENY ALL

Möchte man Daten Transferieren dann nur per PULL aus dem LAN.

Also z.B. Server aus dem LAN darf auf den Share von der Maschine und synct per AUfgaben Planer alle 5 Minuten
ein Share von dem Dedizierten Gerät raus auf einen File Server Share >> und / oder umgekehrt Daten rein.
Das ist dann die Datenschleuse.

Und von mir aus darf man dann auch per RDP auf die Maschine drauf vom LAN >> auf die Giftige Maschine.

Internet bekommt die Maschine auch nicht und wenn dann nur Punktuell... und in dem kleinen Netzwerkgefängnis darf sie dann machen was sie will...

So oder eben nicht, wenns nicht gefällt.

Alternative die Abteilung holt sich nen Cloud Virtuellen Rechner im Internet und kann sich dann per RDP hin verbinden wie sie wollen... aber nicht bei uns im Firmengelände und Netzwerk.
Und ohne IT Support, sprich existiert dann einfach nicht...
Member: nachgefragt
nachgefragt Feb 20, 2024 at 09:58:26 (UTC)
Goto Top
@ThePinky777
Die Idee ist nett, aber geht leider nicht weil:
  • Eine bidirektionale Verbindung mit Teilen des Intranets ist notwendig, und auch das Intranet kann nicht ohne weiteres tiefer segmentiert werden.
  • SMB Port 139 braucht es nicht, den würde ich auch nicht zusätzlich öffnen müssen.
    • Die Idee mit der Datenschleuse fällt damit weg, ebenfalls Cloud.
  • RDP ist auf der "giftige Maschinen" ebenfalls ein Port den ich zulassen dürfte, und auch gar nicht aktivieren könnte da administrative Rechte fehlten mir einen RDP Benutzer einzurichten.
Member: Bingo61
Bingo61 Feb 20, 2024 updated at 13:08:47 (UTC)
Goto Top
Servus,
verstehe echt die Frage nicht, das System soll Zugriff auf den TS haben, aber dennoch eigene Clients anbinden? Dann musst schon mal das ganze an den DC anbinden und da hört sich der Spass auf bei einer solchen Konstellation.
Ist das eine Überwachungsanlage die Kameras an Arbeitsplätzen verwaltet ? klingt so ganz danach.

Würde mich da strikt weigern, ein solches System einzubinden.
Member: nachgefragt
nachgefragt Feb 20, 2024 at 13:48:57 (UTC)
Goto Top
Zitat von @Bingo61:
verstehe echt die Frage nicht
Das macht nichts, die bisher Kommentierenden konnten den Kern schon erfassen, ziemlich einstimmig.
Member: erikro
erikro Feb 20, 2024 at 15:49:46 (UTC)
Goto Top
Moin,

Zitat von @Penny.Cilin:

* Wer ist auf diese abstruse Idee gekommen?
  • Stelle dem Personenkreis einen dedizierten Fragenkatalog
    • Wer ist für die Administration der Systeme verantwortlich?
    • Warum soll die interne IT aus der Administration / Zugriff / Verwaltung ausgeschlossen werden?
    • Wer übernimmt die Verantwortung bei Ausfall?
    • Wer übernimmt die Verantwortung bei Virenbefall / Verschlüsselung?
    • Wer übernimmt die Verantwortung, wenn die komplette Unternehmens IT durch diese Schatten IT lahmgelegt wird?

  • Wer macht die Backups?
  • Wer spielt Sie zurück?
  • Wer macht die Updates?
  • Wer administriert das Netz, in dem die Büchse steht?
  • Was soll das eigentlich? face-wink

Liebe Grüße

Erik
Member: nachgefragt
nachgefragt Feb 21, 2024 at 08:37:07 (UTC)
Goto Top
Zitat von @erikro:
  • Was soll das eigentlich? face-wink
Im Beispielfall musst du erklären warum ein Fremdsystem im Intranet nichts verloren hat, welche Gefahren es mit sich bringt und wie ein Versicherungsvertreter Risiken gegen Kosten abwägen.

Zum Schluss sollst du noch verbindlich aufzeigen wie ein möglicher Angriff aussieht, du aber selbst kein Hacker bist. Aussagen wie z.B. "Das System hat dann noch kein Internet, ist doch dann sicher",... kommen auf dich zu.
Member: kpunkt
kpunkt Feb 21, 2024 at 13:31:30 (UTC)
Goto Top
Also doch eine Hausaufgabe.
Na dann mach das doch, was die wollen.
Member: nachgefragt
nachgefragt Feb 22, 2024 updated at 08:01:06 (UTC)
Goto Top
Zitat von @kpunkt:
Also doch eine Hausaufgabe.
face-wink Naja zumindest deute ich, dass es Mehrheitlich wirklich nur Theorie ist, d.h. in der Praxis nicht wirklich zur Debatte steht. Aber wir wissen ja, Ausnahmen bestätigen jede Regel.
Member: erikro
erikro Feb 22, 2024 at 08:34:55 (UTC)
Goto Top
Zitat von @nachgefragt:

Zitat von @erikro:
  • Was soll das eigentlich? face-wink
Im Beispielfall musst du erklären warum ein Fremdsystem im Intranet nichts verloren hat, welche Gefahren es mit sich bringt und wie ein Versicherungsvertreter Risiken gegen Kosten abwägen.

Na wenn da eine Versicherung beteiligt ist, dann wird das nichts. Die wird die Prämie derart exorbitant erhöhen, dass jede GF nein sagt. face-wink
Member: nachgefragt
nachgefragt Feb 22, 2024 at 10:18:49 (UTC)
Goto Top
Zitat von @erikro:
Na wenn da eine Versicherung beteiligt ist, dann wird das nichts. Die wird die Prämie derart exorbitant erhöhen, dass jede GF nein sagt. face-wink
Ja, wie schon erwähnt hätte mich die Bewertung einer Versicherung auch interessiert, nur würden von der Analyse bis hin zum Vertragsabschluss Wochen vergehen.
Member: kpunkt
kpunkt Feb 22, 2024 at 10:35:10 (UTC)
Goto Top
Die Bewertung der Versicherung ist da ganz einfach. Ist es so wie du beschrieben hast, dann zeichnet da keine Versicherung. Zumindest, wenn da eine gebräuchliche Leistung dahinter steht. Ist die ebenfalls selbstgestrickt, dann findet sich schon der ein oder andere Underwriter, der zustimmt. Aber mit sehr hohem Beitrag und einem sehr niedrigem Risiko für den explizit vereinbarten Leistungsfall.

Das Risiko ist einfach zu hoch, dass der Leistungsfall eintritt. Da könnte sogar die BaFin was dagegen haben, bzw. müsste der Versicherer eine entsprechende Erklärung abgeben (was er aber nicht können wird).
Member: Fabezz
Fabezz Feb 24, 2024 at 14:49:08 (UTC)
Goto Top
Hallo,
Gerät abschotten.
Dann ein https://guacamole.apache.org/ davor dass somit nur 80/443 auf den RDP Server darf.
BZW. Ne Sophos hat ein HTML Gateway drin.
Vielleicht wäre sowas die Lösung.
Kein Copy&Paste etc.

Gruß
Member: nachgefragt
nachgefragt Feb 26, 2024 at 09:37:12 (UTC)
Goto Top
Zitat von @Fabezz:
Gerät abschotten.
Wie bereits erwähnt ist eine bidirektionale Verbindung erforderlich.
Das bringt mir welchen Nutzen?
dass somit nur 80/443 auf den RDP Server darf.
Und dann ist Angriffe über den unverschlüsselten Port 80 oder über SLL Port 443 100% unmöglich?
https://www.google.com/search?q=port+443+sicherheitsl%C3%BCcke