thenwn
Goto Top

UTM bzw. NGFW für kleine Firma notwendig?

Hallo,

ähnlich wie in vielen anderen Threads (Firewall fรผr kleines Firmennetzwerk) komme ich wieder mit der blöden Frage um die Ecke:
Wie viel Netzwerk-Security ist im Kleinunternehmen angemessen?
Der Kunde hat nur
- eine Fritzbox mit VDSL 250,
- eine Telefonanlage (ISDN) am S0 der FB,
- eine NAS Synology DiskStation 718+
- eine alte Backup-NAS (auch DiskStation), die sich ein Backup der ersten zieht (derzeit an zweitem Ethernet-Port der 718+)
- 5 Windows-10-PCs am Ethernet (Sicherung durch Veeam Agent per SMB + 2 Network Shares an NAS),
- 1 Druck-/Scan-/Kopier-Kombination und 2 reine Drucker
- WLAN intern und
- WLAN Gast.
VPN wird nicht benutzt und ist auch nicht in Planung, Port Forwarding nur für die BMA.

Als Verbesserungkonzept angedacht hatte ich Folgendes:

Portbasiertes VLAN mit MikroTik hAP ac3 (5 Ethernet-Ports):

  • VLAN 1 ("Client-LAN"): LAN 2 an Switch für PCs und WLAN intern
→ Firewall:
OUT to WAN (Port 1) any
IN from WAN only established, related, untracked / drop invalid
Drucker ggf. blockieren (WAN)

  • VLAN 2 ("NAS"): LAN 3 an NAS (Port 1)
→ Firwewall:
OUT to WAN nur für Updates bei Bedarf aktiviert
IN from WAN blockieren (außer für Updates, dann only established, related, untracked / drop invalid)
IN/OUT from/to VLAN 1 SMB und ggf. HTTPS
IN/OUT from/to VLAN 3 nur Ports für "Hyper Backup"

  • VLAN 3 ("Backup-NAS"): LAN 4 an Backup-NAS
→ Firwewall:
IN/OUT from/to VLAN 2 nur Ports für "Hyper Backup"

  • VLAN 4 ("DMZ"): LAN 5 derzeit nur an die BMA
→ Firewall:
OUT to WAN nur wenn von Hersteller Freigaben erfordert
IN from WAN nur Port/Protokoll xx
Von allen anderen VLANs isoliert

  • VLAN 5 ("Gast"): WLAN Gast, kein Ethernet
→ Firewall:
OUT to WAN any
IN from WAN only established, related, untracked / drop invalid

MT ist super vielseitig aber eben ohne "intelligente" Traffic-Überwachung, wie das teurere Produkte als Next-Generation-Firwall bzw. USG verkaufen. Wurde in dem anderen Thread ja auch schon angerissen.
Die kleinste Fortinet (FortiWiFi 40F) für ca. 500 € nett plus 200 oder 300 € im Jahr für Thread Protection würde das bieten. Ist das als Alternative (Flexibilität?) oder Ergänzung überhaupt "branchenüblich"? Oder zumindest etwas wie "Axiom Shield"?
Office-Makros sind alle ohne Benachrichtigung blockiert und werden nicht gebraucht, Sicherheitssoftware McAfee, dennoch macht mir Malware per E-Mail o. ä. Sorgen. Eine frühzeitige Erkennung durch die NGFW wäre cool. Ein ITler ist nicht ständig im Gebäude.
Und grundsätzlich: Verbesserungsvorschläge sind sehr willkommen.

Danke

Nico

Content-Key: 73680446651

Url: https://administrator.de/contentid/73680446651

Printed on: May 28, 2024 at 07:05 o'clock

Member: Boomercringe
Boomercringe Apr 24, 2024 at 14:44:50 (UTC)
Goto Top
Ist das als Alternative (Flexibilität?) oder Ergänzung überhaupt "branchenüblich"

Da kommt es primär darauf an, wie dein Kunde das Thema Sicherheit insgesamt bewertet, und auch in welcher Branche dein Kunde tätig ist. Unüblich ist es sicher nicht, aber der Regelfall ist es in dieser Unternehmensgröße sicher auch nicht. Liegt natürlich auch etwas an dir, den davon zu überzeugen.

Wenn dann der gesponsorte Link in seiner Google suche nicht funktioniert, da du Werbung in seiner Firewall blockst, klingelt halt dein Telefon...so geht es mir jedenfalls.
Member: erikro
erikro Apr 24, 2024 at 15:09:11 (UTC)
Goto Top
Moin,

5 VLANs für 5 Clients? Im Ernst? Warum? Warum willst Du in so einer Kleinstumgebung das Netz in so kleine Häppchen zerhacken. Du hast hinterher für jeden Rechner praktisch ein eigenes VLAN. Das wird nur Ärger geben. Intern würde ich alles so lassen, wie es ist und mich nur um die Absicherung nach Außen kümmern.

Was ich überhaupt nicht verstehe: Was soll die DMZ? Was soll da rein? BMA? Brandmeldeanlage? Wenn ja, dann sollte die komplett neben her laufen. Die muss ja auch funktionieren, wenn der Router brennt. face-wink

my 2 cents

Erik

P.S.: Es gibt sicherlich Kleinstunternehmen, bei denen das sinnvoll ist. Ich hatte mal einen Kunden, der brauchte für sich und seine zwei Angestellten drei getrennte VLANs (die dann nochmal unterteilt wurden), weil er drei rechtlich unabhängige Steuer- und Vermögensberatungsgesellschaften in einem Büro betrieben hat und das Trennungsgebot es vorschreibt, dass das nicht über ein Netz laufen darf. Aber das sind Spezialfälle.
Member: MysticFoxDE
MysticFoxDE Apr 24, 2024 updated at 16:53:15 (UTC)
Goto Top
Moin @thenwn,

Wie viel Netzwerk-Security ist im Kleinunternehmen angemessen?

na ja, was den WAN/Internetanschluss angeht, so steht dieser meiner Erfahrung nach, bei einem kleinen Unternehmen fast genau so unter Beschuss wie auch bei den grossen Unternehmen. Daher sollte dieser, auch bei einem kleinen Unternehmen, grundsätzlich ebenfalls ordentlich abgesichert werden.
Bei den ganzen Problemen die die Palo Alto's oder Fortinet oder Cisco SGW in letzter Zeit gehabt haben, bin ich mit mittlerweile aber nicht mehr ganz sicher, ob die entsprechenden SGW's, wirklich ein besserer Schutz sind. ๐Ÿ˜”
Theoretisch definitiv ja, praktisch müssen jedoch einige deren Hersteller, meiner Ansicht nach jedoch schnell einen Zahn zulegen, damit das auch wirklich so ist.

Was den Rest angeht ... es sind nur 5 Clients ... sprich, bitte die Kirche im Dorf lassen, vor allem mit den ganzen VLAN's. Denn alleine eine saubere Konfiguration und auch Pflege der entsprechenden Regelwerke des SGW's, würde den Kunden dieser Grösse wahrscheinlich sehr schnell ruinieren und wenn du zwischen den internen netzen eh nur mit any to any durchlassen wolltest, dann kannst du dir die VLAN's auch gleich sparen.

Gruss Alex
Member: Boomercringe
Boomercringe Apr 24, 2024 at 17:42:17 (UTC)
Goto Top
Bei den ganzen Problemen die die Palo Alto's oder Fortinet oder Cisco SGW in letzter Zeit gehabt haben, bin ich mit mittlerweile aber nicht mehr ganz sicher, ob die entsprechenden SGW's, wirklich ein besserer Schutz sind. ๐Ÿ˜”

+1

McAffee würd ich jetzt z.B. auch nicht einsetzen...
Member: MayBeSec
MayBeSec Apr 24, 2024 at 18:55:10 (UTC)
Goto Top
Und ich dachte immer, dass das (Netzwerk)-Sicherheitskonzept sich nach den zu schützenden Unternehmenswerten, Prozessen, Werten und deren Gefährdungen etc. zu orientieren hat.

Aber ich lerne immer noch gerne dazu face-wink
Member: MysticFoxDE
MysticFoxDE Apr 24, 2024 at 19:20:00 (UTC)
Goto Top
Moin @Boomercringe,

McAffee würd ich jetzt z.B. auch nicht einsetzen...

so sehe ich das auch.

Ich sage nur ...

1987 - Gründung
1994 - Börsengang
1997 - Fusion mit Network General

... bis hierhin hat sich das Unternehmen eigentlich ganz gut entwickelt und nun zu der Talfahrt ...

2011 Übernahme durch Intel
2016 Übernahme durch TPG (Finanzinvestor) ... ๐Ÿคฎ
2021 Übernahme durch eine Gruppe diverser Finanzinvestoren ... ๐Ÿคฎ๐Ÿคฎ

... . ๐Ÿ˜”

Gruss Alex
Member: commodity
commodity Apr 24, 2024 updated at 21:53:06 (UTC)
Goto Top
also zur Kernfrage:
Die (wenigen) UTMs, die ich bislang in Kleinunternehmen gesehen habe waren faktisch unkonfiguriert. Oder eigentlich verkonfiguriert, bis hin zur überflüssigen Öffnung von außen. Von Nutzung der "intelligenten" Funktionen keine Spur (was ich prinzipiell ok finde - aber so war es nicht "verkauft"). Faktisch wurden die Geräte als VPN-Gateway genutzt, weil die VPN-Funktionen so schön simpel gehalten sind. Entsprechend sah der Rest der IT-Dienstleistung dort aus: Außer Spesen nichts gewesen... Wohlgemerkt nicht von irgendwelchen Kunden im self-service eingerichtet, sondern von zertifizierten Partnern des Herstellers. Oha. Da hat sich die Schulung aber gelohnt. Hoffentlich hat wenigstens der Kaffee geschmeckt.

Die meisten KUs, die ich kenne (und nicht betreue) laufen auf Fritzbox oder ähnlichem. Und existieren - erstaunlicher Weise - immer noch face-wink Meine Kunden selbst rüste ich jeweils auf Mikrotik um, wenn die Zeit reif ist. Wird eine Firewall gewünscht, gibt es eine #Sense für's WAN.
Wer im Netzwerk in Echtzeit mit Router OS gearbeitet hat, bekommt eh bei den lahmen Browserlogs der UTMs das Schreien. Davon abgesehen sind die Teile auch beim Featureset befremdlich rudimentär und leistungsarm sowieso. Geht ja um Sicherheit, nicht um Netzwerknutzen. Für mich ist ein sicheres Netz in erster Linie ein transparentes Netz und diese Transparenz bietet Mikrotik wie niemand sonst. Jedenfalls auf KMU-Niveau. Konzerne mögen ganz andere Tools haben.

Von den (möglichen) pseudo"intelligenten" Funktionen einer UTM hat mich bislang niemand überzeugen können - und ich freue mich, eines Besseren belehrt zu werden. Bitte jederzeit gern. Ich lerne hier jeden Tag und freue mich drüber.

Ich finde TLS-interception inakzeptabel, sie widerspricht allen Sicherheitsaspekten einer end-to-end-encryption und ist in KU in denen oftmals auch privater Datenverkehr gestattet ist auch rechtlich erheblich problematisch. IMO bringt das mehr Unsicherheit als Sicherheit, siehe zB auch hier und hier.

Zudem sehe auch den Einsatznutzen eines UTM nicht wirklich.
Ein von außen erreichbarer Server steht in der DMZ und hat ggf. eigene Schutzvorkehrungen.
Ein interner Client hat den Defender o.a. an Bord. Soll ich glauben, dass der UTM-"Virenschutz", den ich über den aufgebrochenen Traffic jage, "besser" ist?
Ein nur intern genutzer Server braucht keinen Virenschutz. (Freu mich schon auf die Kommentare face-wink)
Vor was also schützt mich das UTM?

Sinnvoll am UTM ist (wenn aktiv) der DNS-Filter. Den bekomme ich aber mit einem PiHole jedoch für 50 EUR hin (zukünftig wohl auch in Router OS enthalten). Da brauche ich keine UTM für ein paar kEUR über die Lebenszeit.

Bleiben am Ende noch denkbare verhaltensbezogene Schutzmaßnahmen eines UTM. Wenn das Gerät das denn wirklich (und der DL es einrichten) kann. Das ist nämlich ausgesprochen komplex, bestimmte Verhaltensmuster zu definieren, bei denen das dann anspringen (und nicht ständig false positives bringen) soll. Es hat sicher Gründe, dass ich das noch nie in Aktion sehen durfte. Zumindest von einem Sophos-Partner hätte ich ansonsten die Einrichtung erwartet.

Bessere Firewalls, so habe ich mir erklären lassen, arbeiten mit Watchdogs auf Servern zusammen und reagieren entsprechend. Das ist prinzipiell interessant, habe ich auf einer KU-UTM aber noch nicht gesehen und wäre dort auch vielleicht übertrieben.

Spekulativ: Man kann wohl davon ausgehen, das (sogar) Microsoft seine Netze mit einigem mehr schützt, als Du je aufzubieten in der Lage bist. Dennoch tummeln sich dort bekanntlich Russen, Chinesen (wer auch immer) und klauen Keys, Mails und Quellcode. Wenn also die "intelligenten" Funktionen nicht einmal dort helfen... - ja was sagt uns das?

Wenn Du Deinen Kunden schützen willst, denke zunächst vielleicht mal ans Backup. Das ist nämlich in der o.b. Konstellation Mist - aber das ist einen eigenen Thread wert. Bedenke: Man kann noch so aufrüsten, wirkliche Sicherheit erreicht man nie. Deshalb wird ein wirklich verlässliches Backup immer gebraucht. Hier lohnt es sich, Energien reinzustecken. Der Rest darf solide sein. Voodoo braucht es hingegen nicht.

Viele Grüße, commodity
Member: MayBeSec
MayBeSec Apr 25, 2024 at 05:00:18 (UTC)
Goto Top
Ein nur intern genutzer Server braucht keinen Virenschutz. (Freu mich schon auf die Kommentare )

Ich freue mich ja immer, wenn mir dann erklärt wird, was "nur intern" bedeutet.

Aber das ist völlig losgelöst von der Frage "Virenschutz".
Member: MysticFoxDE
MysticFoxDE Apr 25, 2024 updated at 05:59:17 (UTC)
Goto Top
Moin @commodity:

Die (wenigen) UTMs, die ich bislang in Kleinunternehmen gesehen habe waren faktisch unkonfiguriert. Oder eigentlich verkonfiguriert, bis hin zur überflüssigen Öffnung von außen. Von Nutzung der "intelligenten" Funktionen keine Spur (was ich prinzipiell ok finde - aber so war es nicht "verkauft"). Faktisch wurden die Geräte als VPN-Gateway genutzt, weil die VPN-Funktionen so schön simpel gehalten sind. Entsprechend sah der Rest der IT-Dienstleistung dort aus: Außer Spesen nichts gewesen... Wohlgemerkt nicht von irgendwelchen Kunden im self-service eingerichtet, sondern von zertifizierten Partnern des Herstellers. Oha. Da hat sich die Schulung aber gelohnt. Hoffentlich hat wenigstens der Kaffee geschmeckt.

solche Dinge kenne ich auch, jedoch liegt das Problem dabei oft auch bei den Kunden, die die komplexe Konfiguration eines SGW's und auch dessen Wartung, selber nicht beherrschen und andere nicht bezahlen möchten.
Denn eines möchte ich gleich festhalten, Sicherheit kostet Geld und das nicht nur in der IT Branche.
Und je mehr Sicherheit man haben möchte umso mehr muss man dafür bezahlen/opfern.

Wer im Netzwerk in Echtzeit mit Router OS gearbeitet hat, bekommt eh bei den lahmen Browserlogs der UTMs das Schreien.

Geh einfach per Shell auf ne XGW und schau dir dort die Logs an, dort sind sie genau so flink wie auf einem Router und ausserdem sieht man in diesen auch viel mehr. ๐Ÿ˜‰

Von den (möglichen) pseudo"intelligenten" Funktionen einer UTM hat mich bislang niemand überzeugen können - und ich freue mich, eines Besseren belehrt zu werden. Bitte jederzeit gern. Ich lerne hier jeden Tag und freue mich drüber.

OK, dann las uns einen Termin vereinbaren, und ich zeige dir dabei sehr gerne, was ein richtig konfiguriertes SGW, so alles drauf haben kann.

Ich finde TLS-interception inakzeptabel, sie widerspricht allen Sicherheitsaspekten einer end-to-end-encryption und ist in KU in denen oftmals auch privater Datenverkehr gestattet ist auch rechtlich erheblich problematisch. IMO bringt das mehr Unsicherheit als Sicherheit, siehe zB auch hier und hier.

Das habe ich vor ganz langer Zeit, mal auch so gedacht, die Realität hat mich jedoch eines besseren belehrt.
Denn auch die Bösewichte kommunizieren über verschlüsselte Verbindungen und um eine solche Kommunikation erkennen und unterbinden zu können, muss man den verschlüsselten Datenverkehr zwangsweise aufbrechen und reinschauen. ๐Ÿ˜‰


Ein interner Client hat den Defender o.a. an Bord. Soll ich glauben, dass der UTM-"Virenschutz", den ich über den aufgebrochenen Traffic jage, "besser" ist?

Es geht hier in erster Linie nicht um besser, sondern eher um eine weitere/zusätzliche Schutzbarriere, die im besten Fall dafür sorgt, dass schadhafte Daten den "internen" Client/Server erst gar nicht erreichen.

Ein nur intern genutzer Server braucht keinen Virenschutz. (Freu mich schon auf die Kommentare face-wink)

Ganz einfach, weil viele Angriffe nicht nur von aussen kommen, sondern auch von innen. ๐Ÿ˜”

Vor was also schützt mich das UTM?

Z.B. davor, dass ein Schädling kontakt zu seinem CC aufnimmt und das ist nur eines von duzenden Beispielen, die ich dir jetzt aufzählen könnte.

Bessere Firewalls, so habe ich mir erklären lassen, arbeiten mit Watchdogs auf Servern zusammen und reagieren entsprechend. Das ist prinzipiell interessant, habe ich auf einer KU-UTM aber noch nicht gesehen und wäre dort auch vielleicht übertrieben.

Das kann die Sophos XGS übrigens auch, mitunter daher ist auch ein Sophos AV Schutz auf den entsprechenden Clients oder Server sehr sinnvoll.

Spekulativ: Man kann wohl davon ausgehen, das (sogar) Microsoft seine Netze mit einigem mehr schützt, als Du je aufzubieten in der Lage bist. Dennoch tummeln sich dort bekanntlich Russen, Chinesen (wer auch immer) und klauen Keys, Mails und Quellcode. Wenn also die "intelligenten" Funktionen nicht einmal dort helfen... - ja was sagt uns das?

Der Laden ist schlichtweg zu gross und absolut miserabel organisiert und konzentriert sich zudem viel zu sehr auf die Steigerung des Umsatz durch seine Produkte, als auf deren Sicherheit.

Wenn Du Deinen Kunden schützen willst, denke zunächst vielleicht mal ans Backup. Das ist nämlich in der o.b. Konstellation Mist - aber das ist einen eigenen Thread wert. Bedenke: Man kann noch so aufrüsten, wirkliche Sicherheit erreicht man nie. Deshalb wird ein wirklich verlässliches Backup immer gebraucht. Hier lohnt es sich, Energien reinzustecken.

Ja, Backup ist definitiv mitunter das Wichtigste ... aber ... auch das sollte ordentlich gemacht sein.
Denn ein vom Angreifer verschlüsseltes Backup, ist im Nachgang = kein Backup.

Gruss Alex
Member: SlainteMhath
SlainteMhath Apr 25, 2024 at 06:53:55 (UTC)
Goto Top
Zitat von @MayBeSec:

Und ich dachte immer, dass das (Netzwerk)-Sicherheitskonzept sich nach den zu schützenden Unternehmenswerten, Prozessen, Werten und deren Gefährdungen etc. zu orientieren hat.

Danke, ich wollte eben genau das gleiche Posten face-smile
Member: erikro
erikro Apr 25, 2024 at 08:02:25 (UTC)
Goto Top
Zitat von @SlainteMhath:

Zitat von @MayBeSec:

Und ich dachte immer, dass das (Netzwerk)-Sicherheitskonzept sich nach den zu schützenden Unternehmenswerten, Prozessen, Werten und deren Gefährdungen etc. zu orientieren hat.

Danke, ich wollte eben genau das gleiche Posten face-smile

Da habt Ihr ja durchaus recht. Aber wenn es nicht ein Handwerker oder ähnliches wäre, hätte das der TO sicherlich erwähnt.
Member: commodity
commodity Apr 25, 2024 updated at 08:41:46 (UTC)
Goto Top
Hallo @MayBeSec
was "nur intern" bedeutet.
Damit meine ich, dass ein "Server" nicht von außen erreichbar ist, sondern lediglich im internen Netz von ein paar Leutchen, z.B. als Datengrab, genutzt wird. IMO einer der häufigsten Fälle in Kleinumgebungen. Klar, man kann immer argumentieren, dass ein Server ja zumindest nach außen kommuniziert und sich "was wegholen" kann. Dies wäre dann aber ein erfolgreicher Supply-Chain-Angriff - da würde ich mal sagen, in solchen Fällen wäre ein Virenschutzprogramm ebenfalls hilflos.

@MysticFoxDE
Zitat von @MysticFoxDE:
Hallo Alex,
solche Dinge kenne ich auch, jedoch liegt das Problem dabei oft auch bei den Kunden, die die komplexe Konfiguration eines SGW's und auch dessen Wartung, selber nicht beherrschen und andere nicht bezahlen möchten.
Korrekte Aussage (aus Deiner Sicht - der Sicht eines qualifizierten und engagierten DL face-wink ). Die Realität sieht im Felde anders aus. Selbst wenn der Kunde das Glück hätte, auf solch einen DL zu stoßen, ist er (KU) im Regelfall nicht bereit oder finanziell in der Lage, etliche kEUR für die Einrichtung und Pflege einer UTM zur Abwehr einer zwar realen, aber dennoch eher unwahrscheinlichen Gefahr für seine kleine Struktur aufzubringen.

Wozu auch? Der Kunde hat da oft eine realere Sicht als wir, die wir täglich schlechte Nachrichten lesen, was bekannter Maßen die Paranoia anheizt. Gerade gestern hat mir ein Chirurg erklärt "unser Werkzeug sind unsere Hände, die Daten sind für die Behandlung total nachrangig."
... je mehr Sicherheit man haben möchte umso mehr muss man dafür bezahlen/opfern.
Nenne Zahlen, dann wird das klarer, was ein Kleinkunde da (nicht) zahlen will/kann. Wenn IT-Sicherheit nur etwas für exklusive Zirkel sein sollte, liefe was falsch.
Auch hier ist die Realität eine andere, wie die fortwährende Existenz einer überwiegenden Zahl von immer noch lebenden Kleinunternehmen hinter Fritzboxen (und unkonfigurierten UTMs) belegt.
Geh einfach per Shell auf ne XGW und schau dir dort die Logs an, dort sind sie genau so flink wie auf einem Router
Seit wann arbeitest Du denn mit Router OS? Der Vergleich hinkt IMO nicht nur ein bisschen.

Unter Router OS kannst Du das Logging in Echtzeit sehr bequem (in GUI oder Shell) aufs differenzierteste filtern, wenn Du willst, bis auf das letzte Paket einer bestimmten Verbindung auf einem einzelnen Interface. Mach das auf einer Sophos dann mit tail und grep face-wink Ich bin ja wirklich gern auf der Konsole, aber was das Netzwerkhandling ist Mikrotik um Welten weiter. Und ich dachte immer, die UTMs wollen komfortabel Sicherheit schaffen. Für mich ist das (manchmal) schöner Schein. Router OS hingegen ein Arbeitsmittel.

Es geht eben bei Router OS nicht um "einen" Router. Was der "Router" hier so loggt und filtert vermittelt dieser kleine Handbuchauszug vielleicht (Stichwort "Topics". Auch die Sophos loggt fleißig und ordentlich (viele Dienste, viele Logs). Was anderes würde man unter Linux aber nicht erwarten, oder?
ausserdem sieht man in diesen auch viel mehr. ๐Ÿ˜‰
Da hätte ich doch gern einen Auszug aus einem Beispiellog face-smile Das wäre ja ein Ereignis, wenn die Sophos, die ebenso ein Linux ist, wie jede andere UTM und auch Router OS, da mehr sichtbar machen kann als das OS selbst.
Mit den paar Tools, die Sophos unter der Stichwortkombi Shell + Manual reichlich lustlos offeriert aber nicht, oder?
https://support.sophos.com/support/s/article/KB-000035558?language=de
https://community.sophos.com/sophos-xg-firewall/f/recommended-reads/1173 ...
OK, dann las uns einen Termin vereinbaren, und ich zeige dir dabei sehr gerne, was ein richtig konfiguriertes SGW, so alles drauf haben kann.
Das ist total super, das nehme ich gern an, wenn ich den nicht bezahlen muss face-big-smile. Machen wir gern per PN was aus face-smile Freue mich ohnehin, mal mit Dir nicht nur zu schreiben.
Denn auch die Bösewichte kommunizieren über verschlüsselte Verbindungen
Das ist schon klar, aber kein Grund den "guten" Verkehr aufzubrechen. Noch dazu mit einer Closed-Source-Implementierung, bei der einiges dafür spricht, dass sie eher Unsicherheit schafft, als Sicherheit (siehe den Golem-Artikel oben). Du bist doch bei MS so aufmerksam und weißt, was "Closed" bedeutet. Meinst Du das ist nur bei MS so? Überall, wo dem Menschen nicht auf die Finger geschaut wird, kommt der Schlendrian rein. Früher oder Später. Schau nur die 3CX an, die ich immer gern als Standardbeispiel heraushole. Kommerzielle Unternehmen zielen naturgemäß auf das Optimum zwischen Aufwand und Marge.
Es geht hier in erster Linie nicht um besser, sondern eher um eine weitere/zusätzliche Schutzbarriere,
Nein, doppelt gemoppelt ist in der IT Unsinn, soweit es nicht um Redundanz geht. Nur wenn ein zweites Tool zusätzliche Sicherheit bietet, ist es berechtigt. Die Verdoppelung von Prüfpunkten ist keine zusätzliche Sicherheit.
Auch der Punkt, dass die UTM den Virus schon früher blocken könnte als der Client-Virenschutz ist für mich nicht valide. Wo der Virenschutz blockt ist ja nun wirklich egal. Der Virus in der Leitung zwischen Firewall und Client springt ja nicht frei im Netzwerk herum.
Ganz einfach, weil viele Angriffe nicht nur von aussen kommen, sondern auch von innen. ๐Ÿ˜”
Das ändert gar nichts. Legt der Angreifer ein bösartiges File auf dem Server ab, ist es Aufgabe des Client-Virenschutzes, die Ausführung zu verhindern. Hat der Angreifer Rechte, Schadcode direkt auf dem Server zur Ausführung zu bringen, ist der Server bereits übernommen. Dann hilft auch ein Virenschutz nicht mehr. Wirken kann der Virenschutz überhaupt nur in der Interimsphase (Angreifer intern, Server nicht übernommen, aber mit gefährdetem Dienst). Dann müsste der Virenschutz also verhindern, dass eine bis dato unerkannte Schwachstelle aktiv ausgenutzt werden kann (bekannte Schwachstellen hast du ja gepatcht face-smile). Sorry, das rutscht für mich ins Religiöse. Wer an den Schutz vor Zerodays durch kommerzielle Virenscanner o.ä. glauben mag, mag das tun. Ich tue es nicht und sehe auch kein Verhältnis von Aufwand und Nutzen für diesen Grenzfall. Schon gar nicht in einem KU, dass ich mit einem ordentlichen Backup selbst als Einzelkämpfer nach spätestens einem Tag wieder am Arbeiten habe.

An dieser Stelle hätte ich sehr gern auch nur ein einziges Beispiel aus Fachliteratur, -Presse oder eigener fachllicher Erfahrung, wo ein Angriff von intern mittels eines Servers erfolgte, den der Angreifer nicht bereits übernommen hatte. Ich bin kein Sicherheitseperte, sondern nur ein Klein-Admin, vielleicht weiß ich nur deshalb nichts drüber. Bis ich aber so ein Beispiel kenne und verstehe, halte ich Virenschutz auf Servern eher für Marketing als nützlich.
Z.B. davor, dass ein Schädling kontakt zu seinem CC aufnimmt und das ist nur eines von duzenden Beispielen, die ich dir jetzt aufzählen könnte.
Ersteres ist der Standardtask. Meist wird das über den DNS-Filter realisiert. Für den ich keine UTM brauche. Die anderen Beispiele sind?
Klar, mit Mustererkennung bei aufgebrochenem Traffic kann man da fraglos mehr rausholen und unterbinden. Punkt für die UTM. Praktische Relevanz? IMO eher gering. In diesem Fall muss ja zunächst schon ein Schädling am Virenschutz vorbei gekommen sein. Ob dieser Punkt zudem das unsicher machen des gesamten Netzes durch den Aufbruch von TLS rechtfertigt, muss jeder für sich entscheiden. Wie immer: Es gibt hier keine absolute Wahrheit face-smile
Aber für die UTM-Lösung sehr absoluten Kosten- und Pflege-Aufwand) face-wink
... mitunter daher ist auch ein Sophos AV Schutz auf den entsprechenden Clients oder Server sehr sinnvoll.
Tja, wenn man denn erwartet, dass der was taugt. Nun ist es leider auch bei Sophos so, dass Produkte hinzugekauft und/oder zum Hauptprodukt hinzugestrickt werden, dabei eher lustlos umgesetzt (Stichwort Wifi-AP und awetool). Explizit ist das das ist dann Glückssache und wir sind wieder beim Glauben. Kritisch formuliert ist das eine Form des modernen Ablasshandels face-smile
Der Laden ist schlichtweg zu gross und absolut miserabel organisiert und konzentriert sich zudem viel zu sehr auf die Steigerung des Umsatz durch seine Produkte, als auf deren Sicherheit.
Ja, klar, ein KU wird an dieser Stelle genau das Leisten, was MS nicht schafft.
Das Problem ist doch, dass der Marketingterminus "UTM" suggeriert, dass man die Sicherheit konfektioniert einkaufen kann, es aber real nicht so ist. Nicht für MS und nicht für's KU. Und auch nicht für alle dazwischen.
Denn ein vom Angreifer verschlüsseltes Backup, ist im Nachgang = kein Backup.
Davor zu schützen, ist nicht die Aufgabe der Firewall. Wer diesen Basic-Task nicht beherrscht, dem hilft sicher auch keine UTM aus der Patsche face-big-smile

Zitat von @MayBeSec:
Und ich dachte immer, dass das (Netzwerk)-Sicherheitskonzept sich nach den zu schützenden Unternehmenswerten, Prozessen, Werten und deren Gefährdungen etc. zu orientieren hat.
+1, schöner kann man es kaum formulieren. Bin aber, wie gesagt, nicht vom Fach face-smile
Das UTM-Marketing suggeriert leider anderes. Zumindest sahen das diejenigen so, die ich zu ihrer Anschaffung befragen konnte. Die dachten, viel hilft viel. Bzw. die dachten nichts, der DL hat es ihnen so verkauft. Religion eben. Hatten 'ne UTM am Perimeter aber ihr "Hyper-"Backup auf nem NAS im im selben Netz im selben Rack...

Viele Grüße, commodity
Member: MysticFoxDE
MysticFoxDE Apr 25, 2024 at 09:14:32 (UTC)
Goto Top
Moin @commodity,

Das ist total super, das nehme ich gern an, wenn ich den nicht bezahlen muss face-big-smile. Machen wir gern per PN was aus face-smile Freue mich ohnehin, mal mit Dir nicht nur zu schreiben.

die Kontaktdaten hast du gleich per PN und ich freue mich ebenfalls mal am Telefon mit dir etwas zu quatschen. ๐Ÿ˜

Bei der Konfig die ich dir zeigen würde, sind übrigens so gut wie alle Zähne scharf und im Einsatz. ๐Ÿคช

Und nein, du muss dafür nichts bezahlen.
Du darfst mich im Gegenzug aber auch nicht für den einen oder anderen Schock den ich dir mit meinen Geschichten eventuell bereite, verklagen. ๐Ÿ˜‰

Gruss Alex
Member: commodity
commodity Apr 25, 2024 at 09:25:12 (UTC)
Goto Top
Hallo Alex!
Das nenne ich mal einen tollen Kollegen! Aber das wussten wir ja bereits face-big-smile
Klagen lohnt sich in D ohnehin nicht. Da müssten wir schon US-Recht vereinbaren face-big-smile

Viele Grüße, commodity
Member: thenwn
thenwn Apr 25, 2024 updated at 11:01:45 (UTC)
Goto Top
Danke euch allen für die zahlreichen Überlegungen!

Zitat von @erikro:

Moin,

5 VLANs für 5 Clients? Im Ernst? Warum? Warum willst Du in so einer Kleinstumgebung das Netz in so kleine Häppchen zerhacken. Du hast hinterher für jeden Rechner praktisch ein eigenes VLAN. Das wird nur Ärger geben. Intern würde ich alles so lassen, wie es ist und mich nur um die Absicherung nach Außen kümmern.

Die Idee war, dass alles untereinander per Firewall abgeriegelt werden kann - Schadensbegrenzung für den Fall, dass Malware einen PC infiziert.

Was ich überhaupt nicht verstehe: Was soll die DMZ? Was soll da rein? BMA? Brandmeldeanlage? Wenn ja, dann sollte die komplett neben her laufen. Die muss ja auch funktionieren, wenn der Router brennt. face-wink

Ist richtig, ja, laut Kommentar zur Regel Brandmeldeanlage. Kam mir jetzt auch komisch vor, ich habe noch mal nachgehakt - es ist nur eine Alarmanlage.

Zitat von @MayBeSec:

Und ich dachte immer, dass das (Netzwerk)-Sicherheitskonzept sich nach den zu schützenden Unternehmenswerten, Prozessen, Werten und deren Gefährdungen etc. zu orientieren hat.

Auch wahr, da hätte ich mal mehr ins Detail gehen sollen. Hier geht es konkret um Baugewerbe, also ist das Gros des Kapitals in Form von Maschinen, Personal und Grund gebunden. Keine fremden Patienten-/Steuer-/Patent-/Sicherheitsunterlagen und ähnliches. Arztpraxen bspw. sind ja ohnehin besonders schützenswert, da hätte ich in der Tat drauf hingewiesen.

Zitat von @MysticFoxDE:
Was den Rest angeht ... es sind nur 5 Clients ... sprich, bitte die Kirche im Dorf lassen, vor allem mit den ganzen VLAN's. Denn alleine eine saubere Konfiguration und auch Pflege der entsprechenden Regelwerke des SGW's, würde den Kunden dieser Grösse wahrscheinlich sehr schnell ruinieren und wenn du zwischen den internen netzen eh nur mit any to any durchlassen wolltest, dann kannst du dir die VLAN's auch gleich sparen.

Hast schon recht. Ich hielt es für wichtig, mal drüber nachzudenken. Und ich halte das Personal regelmäßig an, bei Auffälligkeiten sofort Meldung zu geben - was bisher auch funktioniert. Man muss eben dann auch reagieren, sonst wird die Entscheidung doch wieder vom Nutzer selbst getroffen, dass es im Zweifel leider "keine Malware" ist ...
Any/any galt ja bloß in Richtung Internet. Der Rest soll Kaskadierung bezwecken. Ich bin schon froh, ohne einen Windows Server hier auszukommen aber ein Risiko bleibt ja auch bei PC und NAS.
Member: thenwn
thenwn Apr 25, 2024 updated at 11:28:45 (UTC)
Goto Top
Zitat von @commodity:

also zur Kernfrage:
Die (wenigen) UTMs, die ich bislang in Kleinunternehmen gesehen habe waren faktisch unkonfiguriert. Oder eigentlich verkonfiguriert, bis hin zur überflüssigen Öffnung von außen. Von Nutzung der "intelligenten" Funktionen keine Spur (was ich prinzipiell ok finde - aber so war es nicht "verkauft"). Faktisch wurden die Geräte als VPN-Gateway genutzt, weil die VPN-Funktionen so schön simpel gehalten sind. Entsprechend sah der Rest der IT-Dienstleistung dort aus: Außer Spesen nichts gewesen... Wohlgemerkt nicht von irgendwelchen Kunden im self-service eingerichtet, sondern von zertifizierten Partnern des Herstellers. Oha. Da hat sich die Schulung aber gelohnt. Hoffentlich hat wenigstens der Kaffee geschmeckt.

Die meisten KUs, die ich kenne (und nicht betreue) laufen auf Fritzbox oder ähnlichem. Und existieren - erstaunlicher Weise - immer noch face-wink Meine Kunden selbst rüste ich jeweils auf Mikrotik um, wenn die Zeit reif ist.

Mikrotik hab ich auch bei Zweien im Einsatz und macht wirklich Spaß, wenn man sich mit anfreunden kann. Insbesondere vom Speedport kommend kann man so ein Routerboard-basiertes Kistchen dem ein oder anderen Kunden schnell allein als VPN-Gateway schmackhaft machen, weil die WireGuard-Performance vom Speedport unterirdisch ist. Auf einigen Fritzboxen ebenfalls, insbesondere wenn die nur IPSec können oder alt sind.
Einzig den WLAN-Handshake habe ich auf den hAPs (Connect und DHCP) noch nicht so zackig hinbekommen wie bei der FB - keine Ahnung woran das liegt. Es vergehen immer etwa 5 - 10 Sekunden bis die Verbindung steht.

Ich finde TLS-interception inakzeptabel, sie widerspricht allen Sicherheitsaspekten einer end-to-end-encryption und ist in KU in denen oftmals auch privater Datenverkehr gestattet ist auch rechtlich erheblich problematisch. IMO bringt das mehr Unsicherheit als Sicherheit, siehe zB auch hier und hier.

Datenschutzrechtlich wär das hier weniger ein Problem, aber hast schon recht - irgendwie unsauber. Ich glaube, dass auch kaum eine Firma ohne Ausnahmen bei der Interception zurecht kommt, insbesondere wenn HSTS passiert.

Bleiben am Ende noch denkbare verhaltensbezogene Schutzmaßnahmen eines UTM. Wenn das Gerät das denn wirklich (und der DL es einrichten) kann. Das ist nämlich ausgesprochen komplex, bestimmte Verhaltensmuster zu definieren, bei denen das dann anspringen (und nicht ständig false positives bringen) soll.

Danke, da hätte ich mich von den Werbeversprechen blenden lassen, die das immer als sehr KI-artige Automatik anpreisen. Da sind wir aber wohl noch nicht.

Wenn Du Deinen Kunden schützen willst, denke zunächst vielleicht mal ans Backup. Das ist nämlich in der o.b. Konstellation Mist - aber das ist einen eigenen Thread wert. Bedenke: Man kann noch so aufrüsten, wirkliche Sicherheit erreicht man nie. Deshalb wird ein wirklich verlässliches Backup immer gebraucht. Hier lohnt es sich, Energien reinzustecken.

Ja, so 100 % zufrieden bin ich nicht mit der Backup-Strategie.
Zusätzlich wird regelmäßig noch auf eine externe HDD gesichert. Aber Tipps kann ich hier gut gebrauchen!

Zitat von @MysticFoxDE:

Ganz einfach, weil viele Angriffe nicht nur von aussen kommen, sondern auch von innen. ๐Ÿ˜”

Vor was also schützt mich das UTM?

Z.B. davor, dass ein Schädling kontakt zu seinem CC aufnimmt und das ist nur eines von duzenden Beispielen, die ich dir jetzt aufzählen könnte.

Ja, so war der Gedanke - dass ich mit einer "tut nur was ich sage"-Firewall im Mikrotik o. ä. sicherlich kein Verbindung zum C&C-Server erkennen geschweige denn blockieren kann. Jedoch kann ich zumindest verhindern, dass sich die Malware irgendwelche mies abgesicherten Ports in Drucker, NAS usw. vom Client-PC aus als Ziel aussucht, wenn nur spezielle Protokolle/Ports intern dorthin zugelassen werden.

Das kann die Sophos XGS übrigens auch, mitunter daher ist auch ein Sophos AV Schutz auf den entsprechenden Clients oder Server sehr sinnvoll.

Könnt ihr Sophos AV auch prinzipiell ohne XGS empfehlen? Ich hänge nicht an McAfee. Kaspersky will ja auch keiner mehr.
Member: MayBeSec
MayBeSec Apr 25, 2024 updated at 19:14:57 (UTC)
Goto Top
@commodity

Damit meine ich, dass ein "Server" nicht von außen erreichbar ist, sondern lediglich im internen Netz von ein paar Leutchen, z.B. als Datengrab, genutzt wird. IMO einer der häufigsten Fälle in Kleinumgebungen. Klar, man kann immer argumentieren, dass ein Server ja zumindest nach außen kommuniziert und sich "was wegholen" kann. Dies wäre dann aber ein erfolgreicher Supply-Chain-Angriff - da würde ich mal sagen, in solchen Fällen wäre ein Virenschutzprogramm ebenfalls hilflos.

Gutes Beispiel wie unterschiedlich "nur intern" interpretiert werden kann. Dass die paar Leutchen, die auf diesen Server zugreifen ggf. allerdings selbst über externe Anbindungen, sei es nun Internet oder was auch immer an Netzwerkverbindungen, verfügen, wird dann gerne mal übersehen. Und dann brauche ich auch keine Verbindungen, die der Server selbst nach außen aufbaut.

Ich verstehe unter intern tatsächlich intern, d.h. komplette physische Trennung, keine Netzwerkverbindungen nach innen oder noch außen, und das gilt für alle Systeme innerhalb dieser Security-Zone. Du musst zwingend physischen Zugriff haben und selbst innerhalb dieses Netzwerks wird zwischen den Systemen noch "gefiltert" um bei einem möglichen Einschleusen von Schädlingen das Schadensausmaß zu reduzieren.
Member: commodity
commodity Apr 25, 2024, updated at Apr 26, 2024 at 07:24:56 (UTC)
Goto Top
Hallo @MayBeSec,
es geht hier ja (nur) um meine These, der ("interne") Server benötigt keinen Virenscanner. Das Argument hierzu ist: Der Virenscan erfolgt auf den (zugreifenden) Clients. Auf mittelbare
externe Anbindungen
(die bei meiner Beschreibung ja selbstverständlich sind) kommt es mithin nicht an. Ein weiterer Scan auf dem Server wäre nicht mehr als Doppelmoppel nach dem Prinzip "viel hilft viel" und IMO Unsinn.
Wir können also die Frage, wer was wie als "intern" definiert in diesem Fall glatt außen vor lassen.

Ich finde es dennoch total gut, wenn hier jemand vom Fach auf die Begrifflichkeiten schaut. Wenn das eine anerkannte Definition ist, wie Du "intern" beschreibst, hast Du vielleicht noch eine Fundstelle dafür? Meine Doku freut sich immer über erläuternde Links.

@thenwn
Einzig den WLAN-Handshake habe ich auf den hAPs (Connect und DHCP) noch nicht so zackig hinbekommen
mach vielleicht gelegentlich einen Thread dafür auf.

Ich hatte im Übrigen (schon heute) eine nicht nur ausgesprochen nette, sondern auch höchst informative und fachlich versierte Demonstration einer XGS im Betrieb durch den lieben Kollegen @MysticFoxDE. Auf den ersten Blick ist die XGS in hohem Maße weiter entwickelt als die SG, was sich aber auch in einer beachtlichen Komplexität wieder spiegelt. Für einen Router OS Lover wie mich war das kein Problem, aber für Kollegen die da nicht so tief drin stecken (wollen) ist die Eignung als Werkzeug schon deshalb etwas fragwürdig. Wenn, dann sollte so ein Maschinchen schon mit dem gebotenen Verständnis und Eifer konfiguriert werden.
Insgesamt hat sich an meiner Position zu UTM (bislang) nichts geändert. Im KU < 50 MA ist das Overkill. Der Nutzen bleibt zumindest fraglich. Positive Resonanz aus der Forschung habe ich nicht gefunden - nur negative Berichte dazu. Kollege @MayBeSec hat hier vielleicht noch ein paar Primärquellen. Ich nur sekundäre (wenn überhaupt - aber immerhin):
https://www.golem.de/news/https-interception-sicherheitsprodukte-gefaehr ...
https://www.privacy-handbuch.de/handbuch_90a1.htm
https://www.golem.de/news/antivirensoftware-die-schlangenoel-branche-161 ...

In etwas größeren Strukturen bietet ein UTM mit einer modernen Firewall klar den Vorteil eines zentraleren Managements, insbesondere wenn man sich dafür entscheidet, auch die Endpoints damit zu verwalten. Was aber sicherheitstechnisch insofern fragwürdig ist, als man sein Sicherheitskonzept von der Qualität eines Herstellers abhängig macht. Deshalb arbeitet man in deutlich größeren Strukturen, soweit ich gehört habe, auch mit einem Herstellermix.

Im KU ist Letzteres aber ohnehin kein Punkt von Bedeutung. Dort lässt sich ein sogar besseres Schutzniveau IMO mit der Kombi aus einem sauber konfigurierten Firewall-Router und der Verwendung von Applocker erreichen. Wenn dann auch artig Updates eingespielt werden und es ein Backup gibt, was den Namen verdient, noch ein kleiner PiHole oben drauf, dann hast Du aus meiner Sicht Deinen Job ordentlich gemacht.

Viele Grüße, commodity
Member: MysticFoxDE
MysticFoxDE Apr 26, 2024 updated at 06:21:46 (UTC)
Goto Top
Moin @commodity,

Ich hatte im Übrigen (schon heute) eine nicht nur ausgesprochen nette, sondern auch höchst informative und fachlich versierte Demonstration einer XGS im Betrieb durch den lieben Kollegen @MysticFoxDE.

Danke, war mir ebenfalls eine Freude.

Auf den ersten Blick ist die XGS in hohem Maße weiter entwickelt als die SG, was sich aber auch in einer beachtlichen Komplexität wieder spiegelt. Für einen Router OS Lover wie mich war das kein Problem, aber für Kollegen die da nicht so tief drin stecken (wollen) ist die Eignung als Werkzeug schon deshalb etwas fragwürdig. Wenn, dann sollte so ein Maschinchen schon mit dem gebotenen Verständnis und Eifer konfiguriert werden.

Ja, ein solches Geschoss muss man schon richtig beherrschen können, sprich, man muss sich bei der Einrichtung und auch dem späteren Betrieb solcher Geräte, zumindest wenn man deren zusätzliche Sicherheitsfeatures auch alle richtig nutzen möchte, auch von Layer 1 bis Layer 7 auskennen und nicht nur von Layer 1 bis Layer 4.
Leider erwarten jedoch einige unserer Kollegen, dass sich eine SGW auch mit nur Layer 1 bis Layer 4 Wissen bezwingen lassen muss und dann kommt genau das raus, was du leider auch bei bei einem deiner Kunden sehen/erleben durftest. ๐Ÿ˜”

So, jetzt muss ich aber ganz schnell weiterflitzen.

Gruss Alex
Member: commodity
commodity Apr 28, 2024 at 19:34:33 (UTC)
Goto Top
Da der Kollege @MayBeSec leider keine Fundstelle nachgereicht hat, nur noch kurz nachgetragen, was ChatGPT unter einem "internen Server" versteht. Ich denke, die Terminologie kann danach bis auf Weiteres als geklärt gelten:
Ein "interner" Server bezieht sich im Allgemeinen auf einen Server, der innerhalb eines privaten Netzwerks oder einer Organisation betrieben wird und nur für interne Benutzer oder Geräte zugänglich ist. Im Gegensatz zu einem "externen" Server, der über das Internet öffentlich zugänglich sein kann, ist ein interner Server normalerweise nur über das lokale Netzwerk oder über spezifische Netzwerkkonfigurationen erreichbar.
(weiter gehende Erläuterungen gekappt, da ohne Relevanz)

Viele Grüße, commodity
Member: MysticFoxDE
MysticFoxDE Apr 29, 2024 at 05:45:50 (UTC)
Goto Top
Moin @commodity,

Da der Kollege @MayBeSec leider keine Fundstelle nachgereicht hat, nur noch kurz nachgetragen, was ChatGPT unter einem "internen Server" versteht. Ich denke, die Terminologie kann danach bis auf Weiteres als geklärt gelten:
Ein "interner" Server bezieht sich im Allgemeinen auf einen Server, der innerhalb eines privaten Netzwerks oder einer Organisation betrieben wird und nur für interne Benutzer oder Geräte zugänglich ist. Im Gegensatz zu einem "externen" Server, der über das Internet öffentlich zugänglich sein kann, ist ein interner Server normalerweise nur über das lokale Netzwerk oder über spezifische Netzwerkkonfigurationen erreichbar.
(weiter gehende Erläuterungen gekappt, da ohne Relevanz)

so einfach ist das fürchte ich nicht wirklich, weil die Klassifizierung "interner Server", alleine für sich nicht eindeutig ist, sondern vielmehr von der jeweiligen Fragestellung/Betrachtung abhängig ist.

Denn als "internen Server" bezeichnet der Eine die Server die er auch besitzt, der Andere die, die er verantwortet. Für den Nächste sind "interne Server" alle Server die innerhalb seines internen Produktivnetzes stehen, nicht aber die aus der DMZ und der Übernächste bezeichnet wiederum sämtliche Server die auf seinem Gelände stehen als "intern". Dann gibt es auch welche, die Server die in der Cloud laufen, ebenfalls als "intern" bezeichnen, weil diese 1:1 (AD Sync/AD Member) in die interne Umgebung integriert sind, u.s.w.

Gruss Alex
Member: commodity
commodity Apr 29, 2024 updated at 06:44:10 (UTC)
Goto Top
Na ja, mich hatte primär interessiert, ob es eine offizielle Terminologie gibt, da der Kollege hier als Berater i.S. Sicherheit auftritt. Spezialisten arbeiten ja üblicherweise dicht an der Wissenschaft und verfügen daher normaler Weise über entsprechende Quellen aus der Fachliteratur. Vielleicht kommt ja noch was.

Auch wenn es keine wirkliche "Quelle" ist: Die Interpretation eines KI-Sprachmodells, das zudem sehr technisch geprägt ist, ist für mich als allgemeine Beschreibung des Begriffes erstmal eine nutzbare Basis. Deine Darstellung (und auch die Interpretation des Kollegen) belegen aber, dass es oftmals sinnvoll ist, die Terminologie abzuklären, bevor man ins Gespräch steigt.

Ich freue mich, dass immerhin hiernach offenbar Einverständnis besteht, dass die von mir beschriebenen Server keinen Virenschutz benötigen. Darum ging es ja in der Sache. face-smile

Viele Grüße, commodity
Member: MysticFoxDE
MysticFoxDE Apr 29, 2024 at 13:21:05 (UTC)
Goto Top
Moin @commodity,

Deine Darstellung (und auch die Interpretation des Kollegen) belegen aber, dass es oftmals sinnvoll ist, die Terminologie abzuklären, bevor man ins Gespräch steigt.

๐Ÿ‘

Ich freue mich, dass immerhin hiernach offenbar Einverständnis besteht, dass die von mir beschriebenen Server keinen Virenschutz benötigen. Darum ging es ja in der Sache. face-smile

Ich fürchte, dass du für diesen Punkt hier eher wenig Zusprache bekommst und ich selbst, muss dieser Annahme leider auch widersprechen. Im Gegenteil, ich würde sogar sagen, dass der Betrieb, insbesondere eines Windows-Servers, ohne AV, in den meisten Fällen eher gefährlich ist.

Und auch das BSI, empfiehlt ausdrücklich die Verwendung von Virenscannern auf den Servern.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendi ...

ops.1.1.4.a3

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Ko ...

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Ko ...

Gruss Alex
Member: commodity
commodity Apr 29, 2024 at 13:41:30 (UTC)
Goto Top
face-big-smile
Ich brauche keine Zusprache. Der Widerspruch hielt sich ja sichtbar in Grenzen. Und die fachlichen Argumente fehlen gänzlich face-wink

Es gibt IMO auch keine technische Begründung dafür (dazu habe ich oben schon ausgeführt).
Wenn auf den zugreifenden Clients ein Virenschutz läuft, ist der Verkehr auf den Server bereits gefiltert. Mit Durchlauferhitzern kann man Duschen, auf dem Server braucht man sie nicht. Der Virus kommt ja nicht durch die Luft geflogen face-smile

Auch das BSI bestätigt Dich da nicht (davon mal abgesehen, dass der altbackene bürokratische Laden kaum Maßstab sein kann - wenn man nicht muss). Die sprechen im Screenshot oben von Systemen, die dem Datenaustausch dienen und packen es in den Kontext zu Gateways. Damit ist doch klar, dass ein interner Server nicht erfasst ist, sondern die Systemgrenze zu schützen ist. System ist hier allein die Struktur Server>-<Clients und die ist ja mit dem Client-Schutz geschützt.

dass der Betrieb, insbesondere eines Windows-Servers, ohne AV, in den meisten Fällen eher gefährlich ist
Diese Erklärung wäre, deiner Interpretation des BSI folgend, total widersprüchlich. Warum sollten dann nur Windows-Server geschützt werden? Das Internet besteht im Wesentlichen aus Linux-Servern. Die stehen zumeist sogar offen am Netz. Linux verfügt faktisch über keine Virenscanner (jedenfalls keine tauglichen). Es ist eine Binsenweisheit, dass für Linux ebenso aktive Schädlinge existieren wie Windows. Nach Deiner These wäre das Netz längst zusammen gebrochen. Ich stimme Dir aber zu, dass der Betrieb eines Windows-Servers per se eine Sicherheitslücke darstellt face-wink da kommen wir aber nicht drum rum und der Virenschutz bewahrt uns hier auch nicht.
Dennoch, durch die Luft wird auch der Windows-Server nicht angesprochen, deshalb sehe ich Deinen Punkt nicht.

Viele Grüße, commodity
Member: Boomercringe
Boomercringe Apr 29, 2024 at 16:43:45 (UTC)
Goto Top
Wovon reden wir eigentlich genau, wenn wir von Virenschutz sprechen? Windows Defender ist doch heute Bestandteil jedes Windows Betriebssystems.
Member: MayBeSec
MayBeSec Apr 29, 2024 at 20:35:47 (UTC)
Goto Top
@commodity
Ich denke, wir beide verfolgen grundlegend unterschiedliche Ansätze.

Fangen wir also mal mit deinem Zitat aus ChatGPT an
"Ein "interner" Server bezieht sich im Allgemeinen auf einen Server, der innerhalb eines privaten Netzwerks oder einer Organisation betrieben wird und nur für interne Benutzer oder Geräte zugänglich ist. Im Gegensatz zu einem "externen" Server, der über das Internet öffentlich zugänglich sein kann, ist ein interner Server normalerweise nur über das lokale Netzwerk oder über spezifische Netzwerkkonfigurationen erreichbar"

Was steht denn da nun?

"bezieht sich im Allgemeinen", innerhalb eines "privaten Netzwerks", "normalerweise nur über".

Wenn Du diese ChatGPT-Fragment tatsächlich konkret bewertet steht da gar nichts als "Allgemeinverbindliche Definition". Aber Schwamm drüber.
Schlimmer finde ich, dass Du eine allgemeingültige Definition für etwas erwartest in einem Sicherheitskontext, und alles, was zu einer verlässlichen Definition in diesem notwendig wäre, komplett außen vor lässt.

Mein Ansatz ist dagegen, was sind meine schützenswerten Assets, welche gesetzlichen, regulatorischen, vertraglichen Anforderungen wirken, welche Risiken mit welchen Gefährdungen greifen und was bedeutet das für meine Definition "intern".

"Intern" sagt in der ChatGPT-Antwort genau NULL darüber aus, was ich versuchte Dir schon oben in meiner etwas provokanten Aussage "Ich freue mich ja immer, wenn mir dann erklärt wird, was "nur intern" bedeutet."

So gesehen freue ich mich noch immer.

Denn die Defintion "nur intern", die du bzw. ChatGPT geliefert haben, sagen im Kontext Security rein gar nichts. Genau NULL. Schlicht, weil es diese nicht geben kann, denn im Kontext Security gibt es je nach Scope ganz unterschiedliche Sicherheitszonen für "intern".

Das einzige das deine Definition von intern sagt, und das ist schon wohlwollend formuliert, ist, dass es etwas außerhalb und etwas innerhalb gibt. Mehr nicht.

So kann man das natürlich gerne machen und wenn das für dich die Lösung ist, ok, go for it. Nur, wenn du den Server als "intern" definierst und deswegen keine AV darauf anwenden möchtest, wieso siehst du dann deine Clients, die darauf zugreifen und ebenfalls nach deiner Definition "intern" sind, durchaus für AV relevant?

Vielleicht löst ja dieses Beispiel den gedanklichen Knoten hinsichtlich "was ist intern" dahingehend, dass es dich nicht voranbringt, sondern dass du einen anderen Ansatz bereits heute zumindest in Teilen ja schon anders handhabst, sonst würdest du nicht für "interne" Systeme heute schon unterschiedliche Sicherheitsanforderungen umsetzen und formulieren.

Und jetzt darfst du vielleicht nochmal über die Frage nachdenken: "Was ist nur intern?"
Member: MayBeSec
MayBeSec Apr 29, 2024 at 20:56:14 (UTC)
Goto Top
Es gibt IMO auch keine technische Begründung dafür (dazu habe ich oben schon ausgeführt).
Wenn auf den zugreifenden Clients ein Virenschutz läuft, ist der Verkehr auf den Server bereits gefiltert. Mit Durchlauferhitzern kann man Duschen, auf dem Server braucht man sie nicht. Der Virus kommt ja nicht durch die Luft geflogen

Auch hierzu übrigens mal noch eine Anmerkung, die du völlig außer Betracht lässt und das ist unabhängig von irgendeinem OS:

Du betrachtest nur den Client-Zugriff und stellst die steile Behauptung auf, dass über deren AV-Schutz der Server ja schon gesichert sei.

Ich, und eigentlich jeder, der sich etwas vernünftig damit befasst, betrachtet in einer Risikobewertung auch den physischen Zugriff und wie hierüber, um bei AV-Schutz zu bleiben, mögliche Schädlinge in das System eingeschleust werden können, vom berühmten angestöpselten USB-Stick bis zu direkt von dort aufgebauten Verbindungen, ohne dass ein Client eingebunden ist.

Du hast also eine ganz erhebliche Lücke in Deiner Risikobewertung bzw. in der tatsächlichen Absicherung.

Aber ok, auch da wieder, wenn du glaubst, dass das die Lösung für dich ist: go for it!
Member: commodity
commodity Apr 29, 2024 updated at 22:50:12 (UTC)
Goto Top
Hallo @MayBeSec,
danke für Deine Ausführungen. Die von Dir völlig zutreffend angesprochenen Anforderungen sind IMO ohne Einfluss auf die verwendete Terminologie. Vereinheitlichte Begriffe sind die Basis jeden Meinungsaustausches (und ein Sicherheitskonzept erstellt man ja ganz sicher nicht allein). Es geht nicht darum, was Du oder ich als "intern" ansehen oder nicht. Mich hatte lediglich interessiert, ob Deine oben verwendete "andere" Definition von "intern" eine Eigenkreation oder ein belegbarer Sprachgebrauch ist. Das ist nun klar.

Dass wir Dinge aus unterschiedlichen Perspektiven betrachten ist nicht verwunderlich. Du bezeichnest (wenn überhaupt) den Typus eines Gerätes nach den bestehenden Sicherheitsanforderungen, ich hingegen typisiere zuerst und fange, von dort ausgehend an, die Sicherheit zu gestalten. Vielleicht ist das für Dich zu pragmatisch, aber aus administrativer Sicht sind mir Deine Fragen nach
was sind meine schützenswerten Assets, welche gesetzlichen, regulatorischen, vertraglichen Anforderungen wirken,
völlig Wumpe. Für mich sind nichtöffentliche Daten grundsätzlich so zu schützen, dass sie nicht geklaut oder vernichtet werden. Und wenn doch, sollten sie zumindest wiederherstellbar sein.
Das gilt in erster Stufe völlig unabhängig von ihrem Wert. Dieser und weitere Aspekte, die Du oben ansprichst, wie zB Bedrohungslage und -wahrscheinlichkeiten spielen dann natürlich in weiteren Ebenen eines Sicherheitskonzepts eine Rolle und da dürfen dann auch die regulatorischen Anforderungen kommen. Mein Netz muss aber bereits einen ausreichenden Angriffsschutz bieten, bevor die Bürokraten kommen face-smile und im KU spielen die auch kaum keine Rolle. Hier im Thread geht es um ein KU und dessen Server. Und meine Aussage war und ist: Ein solcher Server braucht keinen Virenschutz. face-smile

Den von Dir vermuteten "Knoten" sehe ich nicht. Es ist keine besondere Erkenntnis, dass auch ein (meine Def.: ) "interner" Server mittelbar aus dem bösen Internet (oder auch dem bösen Intranet) erreicht wird. Das spielt aber für die hier diskutierte Frage überhaupt keine Rolle, wie bereits mehrfach ausgeführt.
Wenn man einen Virenschutz überhaupt für erforderlich hält (die Frage sprichst Du IMO zu Recht an), dann genügt der Virenschutz am (wie das BSI im vom Kollegen @MysticFoxDE oben übermittelten Bild ja auch im Prinzip formuliert) Netzübergang bzw. dem Gerät, das den Datenaustausch zwischen zwei Netzen aktiv betreibt. Setzt man nicht bereits Virenschutz am Perimeter ein, ist der den Datenverkehr nach innen vermittelnde Client der Austauschpunkt und das ist auch der Ort, wo der Virenschutz sinnvoll sein kann, weil über den Client ja auch von innen Schadcode zum Server gebracht werden könnte. Kein einzelnes böses Bit aber kommt auf den (aus Sicht des Internets) hinter den Clients liegenden Server, das in diesem Fall nicht bereits einen Virenschutz passiert hat.

Falls Du das überhaupt anders siehst und etwas dazu sagen willst: Als Fachfrau/Fachmann/fachlich Interessierte(r) beschreibe doch einen Angriffsvektor, der den Virenschutz auf einem Server in einem klassischen Server - Clientsystem, wie es der TO oben beschreibt, rechtfertigen könnte. Als kleiner Admin muss ich ja nicht alles wissen. Ich äußere hier nur meine (immerhin praktizierte) Meinung, um Überlegungen und Erfahrungen weiter zu geben, aber auch um von der Erfahrung anderer zu lernen.

Im Übrigen bin ich total bei Dir, dass ein Sicherheitskonzept natürlich etwas sehr Individuelles ist. Aber darum ging es mir nicht. Diesen Aspekt hast Du ja schon in Deinem allerersten Post vorbildlich thematisiert.

Und jetzt darfst du vielleicht nochmal über die Frage nachdenken: "Was ist nur intern?"
Muss ich nicht, denn die Frage wurde nie gestellt. Es ging und geht nicht um die allgemeine Frage "was ist intern" und was nicht, sondern darum, ob ein Server, den ich rein zur sprachlichen Veranschaulichung als internen Server definiert habe, einen Virenschutz benötigt.
Ein Client würde dieses Attribut vielleicht gar nicht bekommen können. Der stünde zwar bei einer Netzwerkbetrachtung auch intern, wäre nach meiner Definition aber nicht so zu sehen, weil er faktisch den Übergang zum Internet bildet.

@Boomercringe, korrekt. Auch den kann man bei einem "intern" verwendeten Server getrost abschalten, falls hier nicht noch jemand einen Angriffsvektor nachträgt. Meist werden eh die produktiven Verzeichnisse ausgeschlossen, aber auch das ist egal. Doppelt macht es jedenfalls nicht besser. MS geht wohl davon aus, dass man deren Server auch ins Internet hängt. Wer das macht und das Gerät von dort direkt befüttern lässt, kann über die Aktivierung des Defenders nachdenken. Ich würde selbst hier ein paar Fragezeichen machen, habe mich mit der Frage aber noch nie auseinandersetzen müssen.

Edit: @MayBeSec: Während ich obiges schrieb, wirst Du doch noch etwas konkreter. Das ist super.
... jeder, der sich etwas vernünftig damit befasst, betrachtet in einer Risikobewertung auch den physischen Zugriff und wie hierüber, um bei AV-Schutz zu bleiben, mögliche Schädlinge in das System eingeschleust werden können, vom berühmten angestöpselten USB-Stick bis zu direkt von dort aufgebauten Verbindungen, ohne dass ein Client eingebunden ist.
Ich finde es prima, dass Du Dich mit IT-Sicherheit befasst, aber mit Administration hast Du eher nichts zu tun, korrekt? Klingt doch zu sehr nach Trockenschwimmen.
Keiner der von dir beschriebenen Aspekte ist ein Angriffsvektor, den ein Virenschutz abfängt. Dazu ist er weder gemacht noch tauglich. Und - um beim Thema zu bleiben: Ich habe nur etwas zum (überflüssigen Virenschutz gesagt. Nicht zu sonstigen Sicherungen face-smile

a) phyischer Zugriff. Klar. Ist wichtig, hat aber nichts mit Virenschutz zu tun. Am Thema vorbei. Sitzt der Hacker am Gerät, schraubt er es auf, startet er einen Bootstick u.ä. ist die Sicherheit passé.

b) USB-Stick - fällt eigentlich auch unter physischen Zugriff, aber davon mal abgesehen: Wie kommen denn die "bösen" Daten des Sticks Deiner Ansicht nach auf das Gerät? Da müsste ja jemand am Server sitzen und ein administratives Login haben... Wir können uns vorstellen, was derjenige wohl mit dem Virenschutz machen würde face-smile Der Fall des "bösen" Bootsticks fällt hingegen unter a) und wir haben das doch wohl im UEFI ausgeschlossen?
Virenschutz ist - jedenfalls im KU - sicher nichts, was vor bösartigen Administratoren schützen soll und kann.

c) direkt aufgebaute Verbindungen: Mit welcher "Verbindung" schleust Du denn den Schadcode ein? Administrativ sind da ja nun erstmal das AD und (bei etwas höheren Anforderungen) Radius davor. Auch wer von intern auf einen Server zugreifen möchte, braucht erstmal Rechte. Hat er die, ist der Virenschutz bereits tot. Was darüber hinaus (immer) möglich ist, ist dass von intern freigegebene Dienste angegriffen werden. Das erfasst aber kein Virenscanner sondern (evtl) ein IDS und/oder ein Watchdog.

Viele Grüße, commodity
Member: MayBeSec
MayBeSec Apr 29, 2024 updated at 22:17:47 (UTC)
Goto Top
Du hast immer noch nicht den physischen Zugriff, um auf meine zweite Anmerkungen zurückzukommen, in deiner Betrachtung.

Dem angestöpselten USB-Stick und den darauf befindlichen Schädlingen ist es völlig egal, wie dein Perimeter-Schutz auf Netzwerkebene realisiert ist und auch, ob deine Clients eine AV haben. Du lässt physischen Zugriff komplett außen vor.

Du hast am Ende eine Sicherheitslücke, ist einfach so.

Aber ich will das auch gar nicht weiter diskutieren, soll ja selbst jeder für sich und für sein Unternehmen selbst entscheiden, was für ihn der gangbare Weg ist.

Nach manchen Aussagen was im K(M)U-Umfeld nicht wichtig sei und eigentlich Wumpe sollte sich allerdings auch niemand wundern wenn dann die Statistiken über die Sicherheitsvorfälle aufgeteilt nach Kleinen, Mittleren und Großunternehmen ausfallen, wie sie eben ausfallen, wobei der ersten beiden genannten Bereiche nahezu 95% ausmachen.

Ist halt nicht so wichtig face-wink
Member: commodity
commodity Apr 29, 2024 at 22:43:32 (UTC)
Goto Top
Doch, ich kann nur nicht so schnell schreiben, wie Du gepostet hast face-smile
Beschreibe gern noch die von Dir gesehenen Angriffsvektoren etwas genauer, dann können wir da tiefer einsteigen. Ich lasse mich auch wirklich sehr gern überzeugen. Das wiederum geschieht durch Fakten, bitte nicht durch solch Gejammer, das Du jetzt hier oben drüber anschlägst.

Klartext: Wir (also die aktiven Kollegen in diesem Forum) admistrieren hier tagtäglich im Feld und tragen Verantwortung (selbst ich im KU) für Millionenwerte. Und Du kommst mit physischem Zugriff, USB-Sticks und internen Angriffen (welche Art auch immer Du meinen mögest) wenn wir über Virenschutz sprechen?
Der Satz von Dir
Und ich dachte immer, dass das (Netzwerk)-Sicherheitskonzept sich nach den zu schützenden Unternehmenswerten, Prozessen, Werten und deren Gefährdungen etc. zu orientieren hat.
war richtig gut, klingt aber jetzt doch sehr nach Broschüre, denn im substanziellen Verständnis der Zusammenhänge bestehen ersichtlich noch erhebliche Defizite. Aber das kann ja noch werden.

Viele Grüße, commodity
Member: MysticFoxDE
MysticFoxDE Apr 30, 2024 at 04:20:53 (UTC)
Goto Top
Moin @Boomercringe,

Wovon reden wir eigentlich genau, wenn wir von Virenschutz sprechen? Windows Defender ist doch heute Bestandteil jedes Windows Betriebssystems.

ja, der Defender ist heute sowohl bei den Servern als auch bei den Client immer mit dabei und bei dem letzteren, lässt er sich auch nicht entfernen und beim ersteren bleibt er per default an, auch dann, wenn eine andere AV installiert wurde. ๐Ÿคข

Und ja, mag sein, dass seine Erkennung mittlerweile ganz OK ist, seine Verwaltung und auch das Monitoring, ist ohne ein Microsoft Konto, für meinen Geschmack jedoch absolut gruselig. Und auch die Tatsache, dass man dem Defender mit erhöhten Rechten, ratzt fatz die alle Zähne ziehen kann, weil dessen Manipulationsschutz absolut lächerlich ist, sollte man ebenfalls nicht übersehen.

Gruss Alex
Member: MayBeSec
MayBeSec Apr 30, 2024 at 05:12:00 (UTC)
Goto Top
@commodity
Du hast mich überzeugt, man braucht auf "internen" Servern keinen Virenschutz!

Belassen wir es dabei, dass ich Theoretiker bin ohne Verantwortung und nur Broschüren runterbete in Deinen Augen und Du der Praktiker mit der unzähligen Erfahrung und Verantwortung für Millionenwerte.
Member: MysticFoxDE
MysticFoxDE Apr 30, 2024 updated at 05:47:47 (UTC)
Goto Top
Moin @commodity,

bin aktuell im Stress, daher kann ich mich zu dem Folgenden, nur sehr kurz äussern.

Wenn man einen Virenschutz überhaupt für erforderlich hält (die Frage sprichst Du IMO zu Recht an), dann genügt der Virenschutz am (wie das BSI im vom Kollegen @MysticFoxDE oben übermittelten Bild ja auch im Prinzip formuliert) Netzübergang bzw. dem Gerät, das den Datenaustausch zwischen zwei Netzen aktiv betreibt. Setzt man nicht bereits Virenschutz am Perimeter ein, ist der den Datenverkehr nach innen vermittelnde Client der Austauschpunkt und das ist auch der Ort, wo der Virenschutz sinnvoll sein kann, weil über den Client ja auch von innen Schadcode zum Server gebracht werden könnte.

Deine Auslegung der BSI Aussage, ist so leider nicht korrekt.

ops.1.1.4.a3_d

Denn der BSI empfehlt (der Freien Wirtschaft), respektive, schreibt den Behörden ausdrücklich vor ("MUSS"), einen Virenschutz sowohl auf einem Gateway, als auch auf deren IT-Systemen zu betreiben und mit IT-Systemen, mein der BSI nicht nur die Clients, sondern insbesondere auch die Server, aber auch NAS-Geräte, u.s.w., sprich, im Grunde am Besten auf allem, wo relevante/kritische Daten verarbeitet und insbesondere auch abgelegt werden.

Ferner ist deinen Annahme, dass ein AV-Schutz auf einer NGFW oder einem SGW, genau denselben Schutz bieten soll wie auch der lokal installierte Virenscanner, in mehrfacher Hinsicht leider auch nicht richtig.
Aus Zeitmangel kann ich jetzt jedoch nur auf den wesentlichsten Punkt davon eingehen.
Eine AV Erkennung auf einer/m NGFW/SGW ist, sofern es sich um einen Schädling für Windows oder auch MacOS handelt, nur signaturbasiert möglich und zwar aus einem ganz einfachen Grund. Die meisten NGFW's und auch SGW's sind Linux basiert und können daher auch keine Verhaltenserkennung für die oben genannten Schädlinge vornehmen, weil sie schlichtweg (und auch zum Glück) diese nicht ausführen und deren verhalten "studieren/überwachen" können. Zudem reagiert eine reine signaturbasierte Erkennung auch nicht wirklich gut bei 0-Day's.

Auf einem Client oder Server, kann ein Virenscanner hingegen auch mit der Verhaltenserkennung den Schädling auf den Zahn fühlen und die schlägt bei unseren Kunden, mittlerweile mindestens genauso so häufig an, wie die signaturbasierte Erkennung.
Sprich, ja, ein gewisser Teil der Schädlinge, vor allem die oben bereits angesprochenen 0-Day's, können leider durch ein(e) NGFW/SGW durchspazieren und werden dann hoffentlich, entweder von der verhaltensbasierten Erkennung auf dem Client/Server aufgehalten und wenn nicht, dann hoffentlich bei einem späteren Vollscann dankt aktualisierter Signaturen entdeckt. Wenn auf den Servern jedoch keine AV installiert ist, dann kann man im Nachgang auf diesen auch keinen Schädling ausfindig machen.
Und nein, bloss weil sich ein Schädling auf einem System einnisten konnte, heisst das noch lange nicht, dass er auch die AV lahmlegen kann. Zumindest bei Sophos, ist das, korrekte Konfiguration natürlich vorausgesetzt (Manipulationsschutz + Heartbeat), nicht wirklich so einfach möglich.

Ausserdem bieten moderne AV Lösungen nicht nur reine Viruserkennung, sondern auch Device-Control und App-Control und meist noch einen Haufen anderen, mal mehr mal weniger nützlichen Security-Schnickschnack.

So, jetzt muss ich aber ganz schnell weiterflitzen.
https://tenor.com/de/view/play-fox-bounce-bounce-ball-gif-8180197

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Apr 30, 2024 at 06:39:48 (UTC)
Goto Top
Moin @MayBeSec,

Belassen wir es dabei, dass ich Theoretiker bin ohne Verantwortung und nur Broschüren runterbete in Deinen Augen und Du der Praktiker mit der unzähligen Erfahrung und Verantwortung für Millionenwerte.

bitte sachlich bleiben, auch @commodity, denn dieses persönliche gerupfte, hilft hier am Ende des Tages nicht wirklich jemandem und vor allem nicht euch beiden.

Ausserdem habe ich bei Milliardenwerten, schon viel sportlichere Aussagen gehört. ๐Ÿ™ƒ

Wir sollten versuchen "Gemeinsam- und voneinander" und nicht "Einsam- und gegeneinander" zu lernen und auch zu leben. โ˜ฎ๏ธ๐Ÿ•Š๏ธ

Gruss Alex
Member: commodity
commodity Apr 30, 2024 updated at 15:48:51 (UTC)
Goto Top
Hallo Alex,
bitte sachlich bleiben
Der Forumskollege gibt sich als "Berater Sicherheit" aus und parliert mit (durchaus vernünftigen) Allgemeinplätzen über IT-Sicherheit, um dann, wenn er technisch konkret wird, direkt zu belegen, dass er einfachste administrative Zusammenhänge nicht versteht, geschweige denn beherrscht. Es ist völlig ok (und sogar wünschenswert), wenn jemand hier etwas nicht weiß, das geht allen mal so und darum sind wir u.a. hier.
Wer aber gleich mit dicker Hose einsteigt, eine Weile auf die Kacke haut und sich dann derart kenntnisfrei (und vor allem ohne Verständnis für den geäußerten Unsinn) outet, muss auch den "Trockenschwimmer" aushalten. Solch substanzloses Gelaber ist in einem Fachforum noch überflüssiger, als der Virenschutz auf dem beschriebenen Server. face-smile
Das richtet sich nicht gegen den Forumskollegen persönlich, sondern gegen die Art und Weise, wie er mit offenbar gut gepflegtem Nichtwissen hier auf Security Advisor macht. Er hat es selbst in der Hand, daran zu arbeiten.

können leider durch ein(e) NGFW/SGW durchspazieren und werden dann hoffentlich, entweder von der verhaltensbasierten Erkennung auf dem Client/Server aufgehalten
Jajaja - Du hast den Punkt schon wieder übersehen: Zum Server spaziert nichts, was nicht durch den/einen Client kommt. Deshalb ist das gedoppelt, wenn der Virenschutz schon auf den Clients werkelt. Und doppelt hält hier nicht besser, sondern heizt. face-smile
Auch Du benennst bislang an keiner Stelle den vermeintlichen Angriffsvektor, den dieser (zweite) Virenscanner im System abfangen soll. Ohne Angriffsvektor aber kein Schutzbedarf, sind wir uns da wenigstens einig?

Deine Interpretation der Aussage des BSI ist eine Auslegung - wie auch meine face-smile Nur Du verabsäumst IMO, den Kontext des BSI zu berücksichtigen: Die Definition "IT-Systeme, die dem Datenaustausch dienen" ist ja völlig ungreifbar, denn dazu dient IMO jedes IT-System. Da wird es aber ganz schnell albern. Gemeint ist hier der Datenaustausch mit einem "fremden" Netz, wie auch der Terminus Gateway verdeutlicht. Und den haben wir beim "internen" Server nicht.

Viele Grüße, commodity
Member: MysticFoxDE
MysticFoxDE May 01, 2024 updated at 06:27:43 (UTC)
Goto Top
Moin @commodity,

Jajaja - Du hast den Punkt schon wieder übersehen: Zum Server spaziert nichts, was nicht durch den/einen Client kommt. Deshalb ist das gedoppelt, wenn der Virenschutz schon auf den Clients werkelt.

nein habe ich nicht, daher auch der Wink mit dem 0-Day, die meistens durch die/das NGFW/SGW und auch die Clients und deren AV, "durchspazieren" und sich dann z.B. auf einem Server ohne AV, dauerhaft einnisten können.
Und das ist nur eine von sehr vielen Möglichkeiten.

Und doppelt hält hier nicht besser, sondern heizt. face-smile

Das ist nicht korrekt, vor allem da wir über Security sprechen, den hier gilt nicht wirklich das Kernprinzip sondern eher das Zwiebelschalenprinzip/Schichtenmodell.

Auch Du benennst bislang an keiner Stelle den vermeintlichen Angriffsvektor, den dieser (zweite) Virenscanner im System abfangen soll.

Doch das habe ich, siehe ...

"und wenn nicht, dann hoffentlich bei einem späteren Vollscann dankt aktualisierter Signaturen entdeckt"

... und mehr möchte ich zu diesem Thema, sprich einem möglichen Angriffsweg, hier auch nicht wirklich in einem öffentlichen Beitrag schreiben, da ich schlichtweg absolut keinen Bock darauf habe, dass mir entweder Aqui oder gar Frank, mein Fell über die Ohren zieht, weil ich mich an eines der heiligsten Gebote, sprich, "Regel Nr. 5: Verbotene Inhalte" nicht gehalten habe.

Aber, ich möchte dir zu diesem Thema gerne das folgende Video empfehlen ...

https://www.youtube.com/watch?v=ndiq3haQWAk

... in welchem nicht Theoretiker sondern sehr erfahrene Praktiker darüber sprechen/berichten.
Für die Frau Silvana Rössler, verbürge ich mich übrigens persönlich.
Ich habe mit ihr schon den einen oder anderen Incident wieder zur Ruhe geschaukelt und glaub mir, was IT-Security und vor allem das Wissen um mögliche Angriffsvektoren angeht, steckt die uns alle hier locker in die Tasche.

Ohne Angriffsvektor aber kein Schutzbedarf, sind wir uns da wenigstens einig?

Ja schon, aber weder du noch ich kennen alle möglichen Angriffsvektoren weil es schlichtweg zu viele davon gibt und täglich kommen neue hinzu. Daher darf man beim Thema Sicherheit auch nie nur vom Möglichen ausgehen, sondern muss auch immer das Unmögliche im Auge behalten.
Und leider gehört der Bereich IT-Security zu denen, wo ich bisher die meisten Pferde vor der Apotheke habe kotzen sehen müssen. ๐Ÿ˜”

Deine Interpretation der Aussage des BSI ist eine Auslegung - wie auch meine face-smile

Ich fürchte nicht ganz, den ich habe mit dem BSI schon direkt das eine oder andere durchgevespert, insbesondere das Thema SGW's. ๐Ÿ˜‰

Schau dir bitte das folgende Dokument nochmals genauer an.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Ko ..?

"Schadprogramme können grundsätzlich auf allen Betriebssystemen und IT-Systemen ausgeführt werden. Dazu gehören neben klassischen IT-Systemen wie Clients und Servern auch mobile Geräte wie Smartphones. Netzkomponenten wie Router, Industriesteuerungsanlagen und sogar IoT-Geräte wie vernetzte Kameras sind heutzutage ebenfalls vielfach durch Schadprogramme gefährdet."

"Es MUSS ein Konzept erstellt werden, das beschreibt, welche IT-Systeme vor Schadprogrammen geschützt werden müssen. Hierbei MÜSSEN auch IoT-Geräte und Produktionssysteme berücksichtigt werden. Außerdem MUSS festgehalten werden, wie der Schutz zu erfolgen hat. Ist kein verlässlicher Schutz möglich, so SOLLTEN die identifizierten IT-Systeme NICHT betrieben werden. Das Konzept SOLLTE nachvollziehbar dokumentiert und aktuell gehalten werden."

"Abhängig vom verwendeten Betriebssystem, anderen vorhandenen Schutzmechanismen sowie der Verfügbarkeit geeigneter Virenschutzprogramme MUSS für den konkreten Einsatzzweck ein entsprechendes Schutzprogramm ausgewählt und installiert werden. Für Gateways und IT-Systeme, die dem Datenaustausch dienen, MUSS ein geeignetes Virenschutzprogramm ausgewählt und installiert werden"

Und, nicht oder.

Und auch in der folgenden Doku ...

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Ko ...

... die sowohl für Clients als auch für Server gilt, steht ausdrücklich das folgende geschrieben.

"Sofern nicht gleich- oder höherwertige Maßnahmen, wie z. B. Ausführungskontrolle, zum Schutz des IT-Systems vor einer Infektion mit Schadsoftware getroffen wurden, MUSS eine spezialisierte Komponente zum Schutz vor Schadsoftware auf Windows-Clients eingesetzt werden."

Das "Windows-Clients" am Ende bezieht sich übrigens mehr auf im Sinne von Netzwerkclients,
womit im Sinne des Betriebssystems, sowohl ein Windows-(Server)-Client als auch ein Windows-(Client)-Client gemeint ist. Ich weis, verwirrend, aber so ist das mit dem BSI manchmal eben. ๐Ÿ™ƒ

Nur Du verabsäumst IMO, den Kontext des BSI zu berücksichtigen: Die Definition "IT-Systeme, die dem Datenaustausch dienen" ist ja völlig ungreifbar, denn dazu dient IMO jedes IT-System.

s.O.

Da wird es aber ganz schnell albern.

Ähm, ja, das kann beim Thema IT-Security, leider auch ganz schnell passieren. ๐Ÿ˜”

Gemeint ist hier der Datenaustausch mit einem "fremden" Netz, wie auch der Terminus Gateway verdeutlicht. Und den haben wir beim "internen" Server nicht.

Es ist eher der generelle Datenaustausch, sprich auch Intern zu Intern und nicht nur Intern zu Extern oder umgekehrt gemeint. Denn auch das BSI liebt das Zwiebelschalenprinzip ... für meinen Geschmack manchmal sogar viel zu übertrieben.

Gruss Alex
Member: commodity
commodity May 02, 2024 updated at 08:09:01 (UTC)
Goto Top
Hallo Alex, danke für Deine Erläuterung face-smile
nein habe ich nicht, daher auch der Wink mit dem 0-Day, die meistens durch die/das NGFW/SGW und auch die Clients und deren AV, "durchspazieren" und sich dann z.B. auf einem Server ohne AV, dauerhaft einnisten können.
Das ist ein erster Ansatz. Ich gehe unten drauf ein.
Und das ist nur eine von sehr vielen Möglichkeiten.
Das hingegen ist nur eine Behauptung.
Das ist nicht korrekt, vor allem da wir über Security sprechen, den hier gilt nicht wirklich das Kernprinzip sondern eher das Zwiebelschalenprinzip/Schichtenmodell.
Ersteres ist eine Marketing-Phrase, die ein (sinnvolles) Bekleidungsprinzip geklaut hat, zweiteres meint Tiering. Ein zweiter Virenschutz ist keine Schicht i.S. der Tiering-Prinzipien. Passt hier nicht recht. Tiering ist absolut wichtig, keine Frage. Hat jedoch mit dem Thema "Virenschutz auf internem Server" nichts zu tun.
... und mehr möchte ich zu diesem Thema, sprich einem möglichen Angriffsweg, hier auch nicht wirklich in einem öffentlichen Beitrag schreiben,
Dann muss ich davon ausgehen, dass es das war, mit den eigenen Gründen. Die Forenregel bezieht sich auf "Anleitungen zu Straftaten". Die abstrakte Erörterung denkbarer Angriffsvektoren ist keine Straftat und auch mit dem Beispiel "Knacken einer Software" nicht zu vergleichen. Das ist ein bisschen wie bei Deiner Auslegung des BSI: Du bastelst Dir da was zurecht.

Im übrigen danke ich Dir für den Link. Ich werde das Video durchsehen und nachtragen, wenn sich daraus noch etwas ergibt.
Links sind allerdings keine Argumente. Eine Fundstelle kann in einer Erörterung u.U. ein Argument/einen technischen Ansatz untermauern, nicht aber ersetzen.

Das einzige technische Argument, das ein von mir sehr geschätzter und höchst kompetenter Administratorenkollege in diesem langen Thread für den Einsatz von Virenschutz auf einem internen Server bringt, ist also der Durchlauf eines Zerodays bis hin zum Server.
Das spricht, damit Du mich nicht missverstehst, überhaupt nicht gegen Deine Fachkompetenz, nicht im Geringsten. Es stützt vielmehr meine These, dass ein solcher Virenschutz überflüssig ist. Denn sonst hätte ein solcher Administratorkollege fraglos (mehr) fachliche Argumente.

Dann mal konkret:
Was macht der Zeroday? Wie spaziert er durch?
Ich gehe davon aus, dass wir uns einig sind, dass ein Angreifer, um "durchzuspazieren", zunächst den Client erfolgreich hacken muss. Er kommt ja nur über den Client an den Server heran. Selbst dann könnte höchstens eine Dateiablage auf dem Server erfolgen, jedoch nicht die Ausführung von Code, denn Clients dürfen auf Servern (jedenfalls auf KU-Servern) IMO keinerlei Code ausführen. Und Clients haben auch keinen Zugriff auf Bereiche, in denen ausführbarer Code auf dem Server liegt. Selbst wenn es also einem Hacker gelänge, Schadcode über den Client auf den Server zu bringen, führt dieser sich dort nicht magisch von allein aus. Code muss immer noch aufgerufen werden. Dies könnte ein Client tun. Die Ausführung in diesem Fall würde aber auf dem Client erfolgen, nicht auf dem Server - und auf dem Client hast Du ja Virenschutz face-smile

Dies mal außer Acht gelassen: Wenn ein Zeroday einen Client übernommen hat und dieser eines Tages entdeckt wird. Würde dann jemand, der verantwortungsvoll arbeitet sagen: Oh, ein Virus auf dem Client, na, auf den Servern haben wir ja Virenschutz, also müssen wir nichts weiter machen, als den Client platt?
Nein, der verantwortliche Rat wäre es, in diesem Fall das ganze System zu prüfen. Dann kann ich als eine von vielen Maßnahmen einen Scanner über den Server laufen lassen.

Zerodays im Übrigen, wachsen nicht auf Bäumen, sondern werden gezielt eingesetzt. Auch wenn im KU durchaus Millionenwerte in Frage stehen können, ist die Wahrscheinlichkeit, dass ein Angreifer seinen Zeroday u.U. in einem KU "verheizt" (denn jede Ausnutzung steigert das Risiko der Entdeckung) äußerst gering. KUs (und auch KMUs) sind sicher nicht die bevorzugten Ziele von Zeroday-Angriffen. Die werden gehütet wie ein Schatz, um dann auf das "richtige" Opfer angesetzt zu werden.

Die Zitate des BSI kannst Du allen Lesern ersparen. Sie sagen - konkret - nicht das Geringste zur Fragestellung aus, wie jeder lesen kann. Das sind juristisch determinierte Beschreibungen, die, wie alle Regeln, generalisieren und daher ausgelegt werden müssen. Dies wiederum ist nicht das Handwerk des Administrators. Das Eis sollten wir lassen, es gibt in diesem Forum schon genügend Hobbyjuristen, von denen sich noch keiner mit Ruhm bekleckert hat face-wink

Ich freue mich im Übrigen über die Einigkeit
Ohne Angriffsvektor aber kein Schutzbedarf, ...>
Ja schon,
und sehe den Punkt
... weder du noch ich kennen alle möglichen Angriffsvektoren
als stärkstes bisheriges Argument an. Einzig, es ist kein technisches, sondern ein psychologisches.

Für Virenschutz auf dem Server gibt es hiernach zwei Gründe:
1. Zur Beruhigung vor technisch nicht rational begründbaren Gefahren
2. Zur Einhaltung der AVB einer Versicherung (die kein KU, das ich gesehen habe, je hätte einhalten können)

Viele Grüße, commodity

P.S. Für mich ist - weiterhin - ein echtes Backup immer noch die wichtigste Maßnahme des Angriffschutzes in einem KU. Mit diesem sind auch die physischen und psychischen Aspekte, die hier im Fred angesprochen wurden abgedeckt. Ich betone das hier nochmals, weil ich immer wieder sehe, dass zwar (in gedankenloser Selbstverständlichkeit) zu UTM und Virenschutz gegriffen, beim Backup aber massiv geschludert wird. Was dann die Versicherung auch nicht zufrieden stellt face-wink
Abschließend veranschaulicht dieses schöne Beispiel nochmals, wie das BSI so etwas formuliert. Sinnvoll, aber so generalistisch bzw. so wenig konkret und verklausuliert, dass jedenfalls ein KU (oder sein Admin) daraus kaum eine ausreichende Datensicherung bauen wird. Der Sicherheit förderlich ist diese Art der Betrachtung IMO nicht, aber das ist ein anderes Thema. face-smile
Member: MysticFoxDE
MysticFoxDE May 02, 2024 at 18:52:10 (UTC)
Goto Top
Moin @commodity,

Hallo Alex, danke für Deine Erläuterung face-smile

sehr gerne, denn das Thema liegt mir aus mehreren Gründen sehr am Herzen.

Und das ist nur eine von sehr vielen Möglichkeiten.
Das hingegen ist nur eine Behauptung.

Nein, das ist eine Aussage, die auf mittlerweile sehr viel Erfahrung basiert.

Das ist nicht korrekt, vor allem da wir über Security sprechen, den hier gilt nicht wirklich das Kernprinzip sondern eher das Zwiebelschalenprinzip/Schichtenmodell.
Ersteres ist eine Marketing-Phrase, die ein (sinnvolles) Bekleidungsprinzip geklaut hat, zweiteres meint Tiering. Ein zweiter Virenschutz ist keine Schicht i.S. der Tiering-Prinzipien. Passt hier nicht recht. Tiering ist absolut wichtig, keine Frage. Hat jedoch mit dem Thema "Virenschutz auf internem Server" nichts zu tun.

Doch hat es, den auch hier übersiehst du mitunter mein zuvor genannten Wink mit „SGW nur signaturbasiert und Client/Server = signatur- und verhaltensbasiert“. ๐Ÿ˜‰

Dann muss ich davon ausgehen, dass es das war, mit den eigenen Gründen. Die Forenregel bezieht sich auf "Anleitungen zu Straftaten". Die abstrakte Erörterung denkbarer Angriffsvektoren ist keine Straftat und auch mit dem Beispiel "Knacken einer Software" nicht zu vergleichen.

Ich habe absolut kein Problem damit, dir diverseste Angriffsvektoren z.B. bei einem gemütlichen Telefonat zu erzählen und auch zu erklären, aber hier werde ich das ganz sicher nicht machen und wenn wir das Gespräch hinter uns haben, dann verstehst du auch ganz sicher warum ich das so handhabe.

Das ist ein bisschen wie bei Deiner Auslegung des BSI: Du bastelst Dir da was zurecht.

OK, dann anders herum. Hattest du schon jemals persönlich Kontakt mit dem BSI und hast du mit diesem auch schon ein Projekt wo es auch um die Einhaltung vom erhöhtem Schutzbedarf geht durchdiskutiert und hat dir daraufhin der BSI bestätigt, dass ein Teil dieses Konzeptes, bei dem es übrigens um ein SGW-Cluster ging, sogar über dem Stand der Technik ist?

Im übrigen danke ich Dir für den Link. Ich werde das Video durchsehen und nachtragen, wenn sich daraus noch etwas ergibt.
Links sind allerdings keine Argumente. Eine Fundstelle kann in einer Erörterung u.U. ein Argument/einen technischen Ansatz untermauern, nicht aber ersetzen.

Schau dir den Film an, denn in diesem werden mehr als duzend Argumente genannt.

Das einzige technische Argument, das ein von mir sehr geschätzter und höchst kompetenter Administratorenkollege in diesem langen Thread für den Einsatz von Virenschutz auf einem internen Server bringt, ist also der Durchlauf eines Zerodays bis hin zum Server.

Genaugenommen habe ich geschrieben, dass das nur eine von sehr vielen Möglichkeiten ist, wie man ein System kompromittieren kann und dabei bleibe ich auch.


Dann mal konkret:
Sehr gerne, aber nur bis zu einem bestimmten Mass. ๐Ÿ˜

Was macht der Zeroday? Wie spaziert er durch?
Ich gehe davon aus, dass wir uns einig sind, dass ein Angreifer, um "durchzuspazieren", zunächst den Client erfolgreich hacken muss.

Nö, keineswegs, des es gibt mittlerweile genug Geräte im Umlauf, die ein Backdoor schon von Haus aus mitbringen. Ich sage nur, von Microsoft Signierte Treiber mit Backdoors oder NAS-Geräte deren Firmware/OS von Haus aus infiziert ist, oder IP-Kameras mit Backdoors oder IP-Telefone, u.s.w..

https://news.sophos.com/en-us/2024/04/09/smoke-and-screen-mirrors-a-stra ...
https://www.heise.de/news/Unterwanderte-3CX-VoIP-Software-kann-auch-Back ...
https://www.security-insider.de/das-nas-system-als-backdoor-zum-netzwerk ...
https://cryptsus.com/blog/supply-chain-backdoor-attack-cctv-ip-camera.ht ...


Er kommt ja nur über den Client an den Server heran.

Der 0-Day meistens ja, ein Angreifer kann dazu aber auch z.B. jeden Netzwerkanschluss oder auch das W-LAN missbrauchen.

Selbst dann könnte höchstens eine Dateiablage auf dem Server erfolgen, jedoch nicht die Ausführung von Code, denn Clients dürfen auf Servern (jedenfalls auf KU-Servern) IMO keinerlei Code ausführen.

Wenn der Angreifer sich einmal erhöhte Rechte (Domänenadmin) verschafft hat, was insbesondere im KU Umfeld, meist alles andere als schwierig ist, dann kann er auf jedem beliebigen Windows-Server der sich ebenfalls in der Domäne befindet, theoretisch und meist auch praktisch, so viel Schadcode einschleusen wie er möchte und diesen auch zur Ausführung bringen. Vor allem dann, wenn sich auf dem entsprechenden Server kein entsprechender Schutz befindet. ๐Ÿ˜”

Und Clients haben auch keinen Zugriff auf Bereiche, in denen ausführbarer Code auf dem Server liegt. Selbst wenn es also einem Hacker gelänge, Schadcode über den Client auf den Server zu bringen, führt dieser sich dort nicht magisch von allein aus.

SMB + Remote Powershell oder per RDP und schon ist der ๐ŸŸ im ๐Ÿชฃ und zwar mit Bordmitteln.

Dies mal außer Acht gelassen: Wenn ein Zeroday einen Client übernommen hat und dieser eines Tages entdeckt wird. Würde dann jemand, der verantwortungsvoll arbeitet sagen: Oh, ein Virus auf dem Client, na, auf den Servern haben wir ja Virenschutz, also müssen wir nichts weiter machen, als den Client platt?
Nein, der verantwortliche Rat wäre es, in diesem Fall das ganze System zu prüfen.

So ist das, also das Letztere. ๐Ÿ˜‰

Dann kann ich als eine von vielen Maßnahmen einen Scanner über den Server laufen lassen.

Das machst du dann 2-3 Mal und dann lässt du die AV auf dem Server gleich mitlaufen. Ausserdem bekommst du einen Enterprise-AV-Scanner, heutzutage nicht mal so geschwind und schon gar nicht für umme.


Zerodays im Übrigen, wachsen nicht auf Bäumen, sondern werden gezielt eingesetzt. Auch wenn im KU durchaus Millionenwerte in Frage stehen können, ist die Wahrscheinlichkeit, dass ein Angreifer seinen Zeroday u.U. in einem KU "verheizt" (denn jede Ausnutzung steigert das Risiko der Entdeckung) äußerst gering. KUs (und auch KMUs) sind sicher nicht die bevorzugten Ziele von Zeroday-Angriffen. Die werden gehütet wie ein Schatz, um dann auf das "richtige" Opfer angesetzt zu werden.

Also „Infiltriert“ werden auch KU’s zu genüge durch 0-Day’s, weil das heutzutage fast immer vollautomatisiert geschieht. ๐Ÿ˜”

Die Zitate des BSI kannst Du allen Lesern ersparen. Sie sagen - konkret - nicht das Geringste zur Fragestellung aus, wie jeder lesen kann. Das sind juristisch determinierte Beschreibungen, die, wie alle Regeln, generalisieren und daher ausgelegt werden müssen.

Bei „und“ und „MUSS“ gibt es nichts Auszulegen und den Rest so ab „SOLL“, kannst du getrost den Hasen zum fressen geben. ๐Ÿ˜‰

Dies wiederum ist nicht das Handwerk des Administrators.

Doch ganz sicher, da er zum Teil auch persönlich für seine Taten haftet, vor allem bei groben Verstössen. Und spätestens externe IT-Dienstleister oder gar die GF der Unternehmen die solche beschäftigen oder gar selbst noch Hand an die IT anlegen, sollten um dieses Thema auf keinen Fall einen Bogen machen. Und da ich zu allen oben angesprochenen Gattungen, ein stückweit dazugehöre, kann ich mich wohl schlecht nun davonschleichen. ๐Ÿ™ƒ


Für Virenschutz auf dem Server gibt es hiernach zwei Gründe:
1. Zur Beruhigung vor technisch nicht rational begründbaren Gefahren

Nur weil du selbst etwas nicht kennst oder noch nicht erlebt hast, heisst das noch lange nicht, dass es auch nicht möglich ist.

2. Zur Einhaltung der AVB einer Versicherung (die kein KU, das ich gesehen habe, je hätte einhalten können)

Nicht nur Versicherung, denn heutzutage möchten z.B. auch die zuständigen Wirtschaftsprüfer einiges über die interne IT und vor allem derer Absicherung wissen und auch die Banken, bei Vergabe grösserer Unternehmenskredite u.s.w..

P.S. Für mich ist - weiterhin - ein echtes Backup immer noch die wichtigste Maßnahme des Angriffschutzes in einem KU. Mit diesem sind auch die physischen und psychischen Aspekte, die hier im Fred angesprochen wurden abgedeckt.

Ja, das Backup ist mitunter das wichtigste.
Aber, wenn du einen Incident hattest bei dem z.B. auch Daten abgeflossen sind und du erwähnst bei der Meldung, dass das entsprechende Serversystem auf dem die abgeflossenen Daten lagen, nicht mindestens durch einen lokal laufenden AV Scanner geschützt war, dann wird dich entweder zuerst der Landesdatenschutzbeauftragte ordentlich rupfen und oder die Versicherung dich vierteilen.

Ich betone das hier nochmals, weil ich immer wieder sehe, dass zwar (in gedankenloser Selbstverständlichkeit) zu UTM und Virenschutz gegriffen, beim Backup aber massiv geschludert wird.

Du bist noch zu sehr darauf bedacht, den Kunden so schnell wie möglich zum Laufen zu bringen, was ja auch sehr lobenswert ist und auch unserer eigenen Taktik sehr ähnelt.
Aber ... in der heutigen Zeit, kann dir, respektive deinem Kunden, der Abfluss von Daten über kurz oder lang, leider auch das Genick brechen. ๐Ÿ˜”

Gruss Alex
Member: commodity
commodity May 06, 2024 at 08:05:10 (UTC)
Goto Top
Hallo Alex,
Nein, das ist eine Aussage, die auf mittlerweile sehr viel Erfahrung basiert.
Ich hätte bitte gern Fakten, keine väterlichen Sprüche. face-wink

Doch hat es, den auch hier übersiehst du mitunter mein zuvor genannten Wink mit „SGW nur signaturbasiert und Client/Server = signatur- und verhaltensbasiert“. ๐Ÿ˜‰
Wir sprechen nicht über den Virenschutz auf einem SGW und sein Verhältnis zum Rest. Du springst also wieder mal kurz aus dem Thema raus. Wir sprechen über die Frage der Notwendigkeit von Virenschutz auf einem Server, wenn der Client bereits auf Viren prüft. Das Verhältnis von Client und Server hat nichts mit Tiering zu tun.
Ich habe absolut kein Problem damit, dir diverseste Angriffsvektoren z.B. bei einem gemütlichen Telefonat zu erzählen und auch zu erklären, aber hier werde ich das ganz sicher nicht machen und wenn wir das Gespräch hinter uns haben, dann verstehst du auch ganz sicher warum ich das so handhabe.
jetzt verstehe ich es jedenfalls nicht face-sad Zu viel Gerede um genau Null Fakten. Das ist, jedenfalls noch, zu dünne.

OK, dann anders herum. Hattest du schon jemals persönlich Kontakt mit dem BSI und hast du mit diesem auch schon ein Projekt wo es auch um die Einhaltung vom erhöhtem Schutzbedarf geht durchdiskutiert und hat dir daraufhin der BSI bestätigt, dass ein Teil dieses Konzeptes, bei dem es übrigens um ein SGW-Cluster ging, sogar über dem Stand der Technik ist?
Bauchpinselei hilft bei dem Thema niemandem. Wo ist das technische Argument?
Genaugenommen habe ich geschrieben, dass das nur eine von sehr vielen Möglichkeiten ist, wie man ein System kompromittieren kann und dabei bleibe ich auch.
Du bleibst immer bei allem, das ist in diesem Forum nicht neu ;-D Hier bleibst Du vor allem dabei, keine technischen Argumente zu nennen und das wäre schade, wenn Du tatsächlich welche hättest. Aber ich habe verstanden, wir telefonieren dazu. Das ist ja auch viel netter. Und bis hier liest eh keiner face-wink

Nö, keineswegs, des es gibt mittlerweile genug Geräte im Umlauf, die ein Backdoor schon von Haus aus mitbringen. Ich sage nur, von Microsoft Signierte Treiber mit Backdoors oder NAS-Geräte deren Firmware/OS von Haus aus infiziert ist, oder IP-Kameras mit Backdoors oder IP-Telefone, u.s.w..
Und Du meinst, das Gerät mit der Backdoor lädt dann Code nach und greift den Server per Zeroday an, wenn ich Dich richtig verstehe. Und das im KU. Ist das noch Fantasie oder schon Paranoia? face-wink
In diesem hübsch konstruierten Fall würde der Virenscanner natürlich Luftlöcher schauen, denn ein Zeroday ist ein Zeroday und wird nicht verhindert. In diesem Falle ist der Server dann übernommen, der Angreifer hat volle Rechte und wird wohl kaum den Virenschutz laufen lassen face-wink
Ist es hingegen kein Zeroday, ist das Gerät mit der Backdoor zwar in der Lage, das Netz auszuspähen, nicht aber ausführbaren Code auf den Server zu bringen oder gar auszuführen.
Klassisch wird mit einer Backdoor das Netz ausgespäht oder gebruteforced, um sich Rechte zu verschaffen und/oder Schwachstellen zu finden und/oder Daten zu klauen. Das erkennt aber, ich schrieb es oben schon mal, nicht der Virenscanner, sondern ein IDS. Das KUs üblicher Weise ebenso nicht haben und auch nicht benötigen face-wink (anderes Thema) Und sind die Rechte erstmal verschafft, weil die Clients nicht gepacht sind und der Admin sein Stammpasswort auch für die Domäne nimmt, nützt die schöne Virenscannerei gar nichts mehr.

Beispiele sind oft hilfreich. Deine leider nicht für unser Thema:
Verseuchte chinesische Setup-Datei, die mit einem MS-Code-Signingzertifikat validiert war.
PC-Desktop-Phone-Software zur Infektion des Clients eingesetzt.
Null-Session Angriff führt zum Ausspähen des Benutzernamens. Rest per Bruteforce.
Umbiegen der IP-Kameraverbindung, so dass der Hacker die Kamerabilder sieht.

Auswertung:
Beispiel 1 und 2 waren Clientsoftware, die vom Virenscanner auf dem Client erkannt wird. Oder auch nicht.
Beispiel 3 und 4 liegen nicht im Erkennungsfeld eines Virenscanners.
Ergebnis: Die Beispiele bringen leider keinerlei technische Fakten zur Fragestellung.

Fraglos ist der Betrieb einer IT-Anlage mit Gefahren verbunden. Darum geht es hier (immer noch) nicht. Es geht um den Nutzen eines Virenscanners auf dem Server. Frage: Warum führst Du - neben keinen technischen Argumenten - Deinen Erfahrungsschatz und dann völlig unpassende Beispiele an? Verstehe ich ehrlich gesagt nicht.

... ein Angreifer kann dazu aber auch z.B. jeden Netzwerkanschluss oder auch das W-LAN missbrauchen.
Um dann - genau was zu tun? Du ahnst meine Worte schon: Du verallgemeinerst schon wieder.

Wenn der Angreifer sich einmal erhöhte Rechte (Domänenadmin) verschafft hat, was insbesondere im KU Umfeld, meist alles andere als schwierig ist, dann kann er auf jedem beliebigen Windows-Server der sich ebenfalls in der Domäne befindet, theoretisch und meist auch praktisch, so viel Schadcode einschleusen wie er möchte und diesen auch zur Ausführung bringen. Vor allem dann, wenn sich auf dem entsprechenden Server kein entsprechender Schutz befindet. ๐Ÿ˜”
Das sind ja gaanz bahnbrechende Aussagen. Und? Was sagt das über das Erfordernis eines Virenscanners? Was ist der Nutzen, wenn die Rechteausweitung erfolgt ist? Genau: Null face-smile

SMB + Remote Powershell oder per RDP und schon ist der ๐ŸŸ im ๐Ÿชฃ und zwar mit Bordmitteln.
Äh, langsam: Per SMB kann der Client erstmal nichts als Files lesen und schreiben - und vielleicht löschen. Ein Client kann darüber hinaus bei Dir gar Remote-Powershell auf dem Server ausführen? Ein Client kommt bei Dir per RDP auf den Server? Mit administrativen Rechten? Meine Güte. Wenn das geht (gestatte mir die Ironie), wird der Virenscanner natürlich sicher helfen.

Das machst du dann 2-3 Mal und dann lässt du die AV auf dem Server gleich mitlaufen. Ausserdem bekommst du einen Enterprise-AV-Scanner, heutzutage nicht mal so geschwind und schon gar nicht für umme.
Wenn man gerade kein Desinfec't zur Hand hat, muss man dennoch nicht kaufen. Wie bereits oben erwähnt, ist der Defender ja im Regelfall ohnehin vorhanden. face-smile
Also „Infiltriert“ werden auch KU’s zu genüge durch 0-Day’s, weil das heutzutage fast immer vollautomatisiert geschieht. ๐Ÿ˜”
Das ist eine frei erfundene Behauptung. Belege diese bitte, wenn Du sie aufrecht erhalten willst. Ich stimme Dir zu, dass (auch) manche KUs infiltriert werden. Dass dabei Zerodays, die "Juwelen" der Branche eingesetzt werden, entspricht Deiner Fantasie (und ich lese es jetzt schon: Wahrscheinlich Deiner Erfahrung).

Bei „und“ und „MUSS“ gibt es nichts Auszulegen und den Rest so ab „SOLL“, kannst du getrost den Hasen zum fressen geben. ๐Ÿ˜‰
Du merkst es nicht einmal, dass Du nicht das "und" auslegst, sondern das "IT-Systeme, die dem Datenaustausch dienen", selbst nachdem ich Dich 3x drauf hingewiesen habe. Dazu gehört ein Telefon und ein Drucker dann auch. Wäre mir neu, dass das BSI für diese Geräte ein Virenschutzprogramm fordert. Du definierst Deinen Server einfach zum Bereichsgrenzengerät hoch, diese Interpretation ist eine Meinung von Dir, keine Tatsache. Aber wir drehen uns im Kreis. Zum den Kompetenzen bei juristischen Auslegungen in diesem Administrator-Forum habe ich ja schon Stellung genommen.

Dies wiederum ist nicht das Handwerk des Administrators.
Doch ganz sicher, da er zum Teil auch persönlich für seine Taten haftet,
Ganz sicher legt der Administrator keine juristischen Vorgaben aus. Wenn er das so gern möchte, gibt es dafür eine hübsch lange Ausbildung in einem einschlägigen Studienfach face-wink
Allein ein Fuchs, der meint, so schlau zu sein, dass er alles weiß, tappt vielleicht in diese Falle. face-wink

Nur weil du selbst etwas nicht kennst oder noch nicht erlebt hast, heisst das noch lange nicht, dass es auch nicht möglich ist.
Das ist ja wieder ein vorzügliches technisches Argument. Soll mich das überzeugen? Dann gehe ich gleich mal einen Bunker bauen, denn das mit dem Meteor ist ja auch nicht unmöglich.

Nicht nur Versicherung, denn heutzutage möchten z.B. auch die zuständigen Wirtschaftsprüfer einiges über die interne IT und vor allem derer Absicherung wissen und auch die Banken, bei Vergabe grösserer Unternehmenskredite u.s.w..
Du hast jetzt völlig den Fokus verloren. Konzentrier' Dich bitte mal. Wir sprechen hier von einem KU mit 5 Clients, wenn ich mich recht erinnere face-big-smile

Aber, wenn du einen Incident hattest bei dem z.B. auch Daten abgeflossen sind und du erwähnst bei der Meldung, dass das entsprechende Serversystem auf dem die abgeflossenen Daten lagen, nicht mindestens durch einen lokal laufenden AV Scanner geschützt war, dann wird dich entweder zuerst der Landesdatenschutzbeauftragte ordentlich rupfen und oder die Versicherung dich vierteilen.
Wieder so eine schöne Behauptung und so gänzlich nicht belegt. Ich sage mal ja, wenn der Datenschutzbeauftragte mit dem selben Mangel an technischen Argumenten antritt wie Du, dann wird er mich rupfen. Spätestens der Gutachter im Bußgeldverfahren wird aber um die technischen Fragen nicht herum kommen. Und der Richter nicht um die Kausalität. Wenn der Virenscanner keinen (Mehr-)Nutzen (also einen Schutz, der den Abfluss verhindert hätte) bringt, gibts auch kein (erlaubtes) Gerupfe. Deine obigen Beispiele (und dieser Thread insgesamt) legen den mangelnden Nutzen ja offen. In keinem hätte der Virenscanner geholfen. Ich warte immer noch auf ein technisches Argument.

Statt dessen kommst Du zum Abschluss nochmal mit väterlicher persönlicher Hellsicht - die, ups, schon wieder, ... frei von Fakten ist:
Du bist noch zu sehr darauf bedacht, den Kunden so schnell wie möglich zum Laufen zu bringen, was ja auch sehr lobenswert ist ...
Schon interessant, dass Deine Expertise sich jetzt schon auf meine Arbeitsweise bezieht.
(Ich nehme Dir das nicht übel, ich kenne Deine Schreibe ja durch mehrjährige Forenlektüre ein Wenig und weiß zudem, dass Du sehr nett bist)
Man könnte aber auch sagen: Genau so zusammeninterpretiert, wie der Rest. Schade, ich hätte wirklich lieber technische Fakten erörtert. Dachte immer, Administration ist ein technischer Beruf. face-smile Kommt dann bei Gelegenheit hoffentlich telefonisch.

Viele Grüße, commodity
Member: MysticFoxDE
MysticFoxDE May 06, 2024 updated at 18:33:51 (UTC)
Goto Top
Moin commodity,

ich hatte einen etwas stressigen Tag und muss noch was zum Futter suchen, daher nur die Kurzfassung.

Du hast jetzt völlig den Fokus verloren. Konzentrier' Dich bitte mal. Wir sprechen hier von einem KU mit 5 Clients, wenn ich mich recht erinnere.

Ja, wir sprechen von einem KU mit 5 Clients und ...

- eine NAS Synology DiskStation 718+
- eine alte Backup-NAS (auch DiskStation), die sich ein Backup der ersten zieht (derzeit an zweitem Ethernet-Port der 718+)

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Synology

Und ja, ich habe die FW Konfig des TO's gesehen, die für einen KU, im positiven Sinnen jedoch sehr aussergewöhlich ist.

Übrigens, als KU's gelten alle Unternehmen mit 10-50 Mitarbeiter und oder einer Bilanzsumme von zwischen 2 und 10 Mille, daher sprechen wir bei KU's auch nicht immer über die ganz ganz kleinen Fische.

Spätestens der Gutachter im Bußgeldverfahren wird aber um die technischen Fragen nicht herum kommen. Und der Richter nicht um die Kausalität. Wenn der Virenscanner keinen (Mehr-)Nutzen (also einen Schutz, der den Abfluss verhindert hätte) bringt, gibts auch kein (erlaubtes) Gerupfe.

Ähm, ja, das mit der Kausalität ist mir durchaus bekannt/bewusst. Aber, die heutigen Enterprise-Virenscanner (Stichwort: Stand der Technik) können aber ungewollten Datenabfluss mitunter auch erkennen und diesen auch unterbinden und mache können sogar eine "feindliche" Verschlüsselung stoppen. ๐Ÿ˜‰

Man könnte aber auch sagen: Genau so zusammeninterpretiert, wie der Rest. Schade, ich hätte wirklich lieber technische Fakten erörtert. Dachte immer, Administration ist ein technischer Beruf. Kommt dann bei Gelegenheit hoffentlich telefonisch.

Commodity, es hat dir bisher noch niemand hier zugestimmt, dass ein interner Server eines KU's grundsätzlich keine AV benötigt und ich bin so wie es aussieht auch der letzte Übriggebliebene, der dir noch versucht zu erklären, dass das keine wirklich gute Idee ist und zwar sowohl aus sicherheitstechnischer Sicht, als auch aus rechtlicher Sicht und das nicht basierend auf Theorien, sondern auf sehr viel Erfahrung, die meistens übrigens nicht wirklich schön war.

Statt dessen kommst Du zum Abschluss nochmal mit väterlicher persönlicher Hellsicht - die, ups, schon wieder, ... frei von Fakten ist:
Du bist noch zu sehr darauf bedacht, den Kunden so schnell wie möglich zum Laufen zu bringen, was ja auch sehr lobenswert ist ...

Ähm, Moment ...

P.S. Für mich ist - weiterhin - ein echtes Backup immer noch die wichtigste Maßnahme des Angriffschutzes in einem KU. Mit diesem sind auch die physischen und psychischen Aspekte, die hier im Fred angesprochen wurden abgedeckt.

+

Schon gar nicht in einem KU, dass ich mit einem ordentlichen Backup selbst als Einzelkämpfer nach spätestens einem Tag wieder am Arbeiten habe.

= ~ "Du bist noch zu sehr darauf bedacht, den Kunden so schnell wie möglich zum Laufen zu bringen, was ja auch sehr lobenswert ist"

und zwar ganz ohne Hellsehen. ๐Ÿ˜‰

So, jetzt muss ich schnell in Essen noch was zum Essen suchen. ๐Ÿคช

Gruss Alex
Member: MayBeSec
MayBeSec May 07, 2024 at 04:21:44 (UTC)
Goto Top
Ich will auf die persönlichen Angriffe gar nicht weiter eingehen, bringt mich nicht weiter und vermutlich alle anderen auch nicht.

Ich würde einfach nur anmerken wollen, dass man doch einfach mal nur die diversen an einem Gesamtsystem beteiligten Systeme betrachtet und dann im Lichte von Gefährdungen (man kann dafür als Beispiel die vom BSI bereitgestellten "Elementaren Gefährdungen" G.0.1 - G.0.47 betrachtet.

Jedenfalls hilft eine sehr beschränkte Sicht darauf, das diverse Gefährdungen ausblendet, die an unterschiedlichen am Gesamtsystem beteiligten Komponenten innewohnen nicht wirklich weiter, auch wenn das auf den ersten Blick so erscheint.

Um weiterhin beim meinem Beispiel mit dem physischen Zugriff auf ein System zu bleiben:
Auf dem hier angeführten Server ist eben weiterhin ein physischer Zugriff möglich (logischerweise) und nicht alles was darauf hierüber ausgeführt werden kann ist zuvor zwingenderweise über einen Client, der ein AV-Programm hat, überprüft worden. Da kommt gegebenenfalls mal ein Servicetechniker, der etwas an der Hardware bastelt, seinen USB-Stick anschließt, von dem nicht klar ist, ob dieser auf Schadprogramme geprüft wurde. Oder da gibt es den "Innentäter", auch durchaus mal ein frustrierter Admin, oder die berühmte "Putzfrau", die des Abends durch die Hallen wandelt und einen manipuliertes USB-Gerät anstöpselt usw. usf.

All das kategorisch auszuschließen und zu behaupten, das ein Server kein AV oder gar weitergehende Sicherheitssoftware benötigt, halte ich, mindestens für gewagt, wenn nicht gar fahrlässig (auch im juristischen Sinne).

Noch etwas kurz zum Abschluss: Ich verstehe mich als "Berater", allerdings nicht in dem Sinne, wie es commodity interpretiert. Jedenfalls trage ich formell und formeljuristisch genügend Verantwortung für das Thema (IT)-Sicherheit sowohl intern wie gegenüber den uns beaufsichtigenden Behörden. Natürlich wirken auf "mein" Unternehmen ganz andere Gefährdungen und wir haben viel höhere Anforderungen, aber grundlegende Gefährdungen wie physischer Zugriff auf Systeme wirken auf jedes Unternehmen, ganz egal welcher Branche und welcher Unternehmensgröße.
Member: commodity
commodity May 08, 2024 at 08:28:08 (UTC)
Goto Top
Hallo Alex,
Commodity, es hat dir bisher noch niemand hier zugestimmt, dass ein interner Server eines KU's grundsätzlich keine AV benötigt ...
Nein, es gibt auch wenige Administratoren, die sich mit der Frage befassen (wollen). In den IT-Abteilungen oder größeren Systemhäusern sind es andere, die entscheiden, in den kleinen Systembetreuungsbutzen oder Systemhäusern stellt man einen solch hübschen Zuverdienst nicht in Frage. Zumal man so hübsch vom Marketing befeuert wird face-smile

Ich allerdings muss nicht begründen, warum ich ein Produkt nicht benötige face-smile. Von jemandem, der ein technisches Produkt zu einem technischen Zweck einsetzt, erwarte ich, dass er den technischen Grund belegbar darstellen kann. Produktwahl nach Bauchgefühl ist mir zu wenig.
Gerade weil Du Deine Erfahrung immer wieder betonst, hätte ich erwartet, dass daraus auch technische Schlussfolgerungen resultieren, deren Grundlage man hier skizzieren kann.
Das was kam, war an leider ziemlich der Sache vorbei. Ich verstehe weiterhin nicht, weshalb Du oben Beispiele als angebliche Belege postest, die nicht im Geringsten etwas mit dem Virenschutz zu tun haben.

Wir können das hier abschließen: Ein technischer Grund für den hier diskutierten (spezifischen) Einsatzzweck wurde, warum auch immer nicht genannt. Wir behalten das mal im Hinterkopf und lassen es bis zum nächsten Fred reifen. Meine Erfahrung sagt mir, die Erkenntnis braucht manchmal Zeit. face-smile

An einem stillen Abend in Essen kannst Du ja hier nochmal reinlesen. Ist vielleicht oben durchgerutscht, da hatte ich das schon mal verlinkt. Hanno Böck, der den Artikel geschrieben hat, ist ja in der Branche nicht irgendwer - und er stellt letztlich auch nur Forschungsergebnisse dar.

Viele Grüße, commodity