jktz84
Goto Top

Vorschläge zur Verbesserung der IT Sicherheit

Hallo,


ich würde euch gerne mal um eine Empfehlung bitten, wie die Sicherheit im Bezug auf Internetzugriff in meinem Unternehmen verbessert werden kann.

Momentan schützt lediglich ein Lancom Router (deny-all Strategie mit Portfreigabe 443 und Stealthmodus) meinen Server, welcher hinter einer Fritzbox geschaltet ist. Dieser dient hier als Terminal -u. Datenbankserver.
Ich will um jeden Preis vermeiden, dass ein Zugriff von außen erfolgen kann. Internet wird dabei lediglich für Updates, Remotezugriff und Https Dienste benötigt (leider nicht zu vermeiden).
Emails / 'unsicheres' Surfen kommt bei uns nicht vor (ggf. an Arbeitsstationen vor dem Lancom).

Wie würdet ihr vorgehen? Was wäre das Wichtigste, um sicher zu gehen, dass niemand unberechtigten Zugriff zum Server erlangt? Zugang zum Internet nur über VPN / dedizierzte Hardware Firewall?


Danke,
Jan
Kommentar vom Moderator tomolpi am Mar 03, 2020 um 19:04:48 Uhr
Verweis auf Dienstleister entfernt

Content-Key: 552252

Url: https://administrator.de/contentid/552252

Printed on: May 26, 2024 at 05:05 o'clock

Member: aqui
aqui Feb 28, 2020 updated at 01:35:49 (UTC)
Goto Top
Eine adäquate Firewall ist nur ein ganz kleiner Punkt von ganz vielen ! Zwei Billigrouter als Durchlauferhitzer zu koppeln bringt keinen Deut mehr Sicherheit als eine anständige SPI Firewall. Idealerweise noch mit einem IDS/IPS onboard.
Der Server sollte natürlich auch räumlich gesichert sein und entsprechende Zugangsrestriktionen haben.
Dazu gehört in erster Linie auch eine Absicherung des internen Netzes und User Authentisierung z.B. mit 802.1x und entsprechender Login Sicherheit. Wie jeder weiss kommen ja bekanntlich über 70% der gefährlichen Angriffe von innen und nicht von außen.
Tödlich ist es auch Server im gleichen IP Netz wie WLAN und Clients zu betreiben (Thema Segmentierung, VLANs) und und und...
Backup und Datensicherheit der nächste größer Brocken in dem ganzen Themenkomplex.
Solche grundlegenden und wenig differenzierten Killerfragen die kein Mensch mit nur 3 Sätzen umfassend und zielführend beantworten kann sprengt wie immer den Rahmen eines Admin Forums !
Member: maretz
maretz Feb 28, 2020 at 04:04:36 (UTC)
Goto Top
und nebenbei bringt die Frage auch nix wenn man nicht die Umgebung kennt.. Du kannst den Server auch physikalisch in nen Berg einbauen - dann ist der selbst gegen grössere Bombenangriffe geschützt. Wenns aber nur die Dev-Maschine ist die eh alle 4-8 Wochen geplättet wird ist das ggf. nicht nötig.

Von daher - das erste was man überlegen muss -> wieviel will man überhaupt reinstecken. Es kann ja z.B. auch sein das dir der Lan-Com reicht und wenn das Ding doch mal angegriffen wurde haust du einfach das Backup vom Vortag wieder rein und kümmerst dich dann um das "wie". Wenn das aber der zentrale Server der lokalen Bank ist auf dem alle Kontobewegungen laufen wäre das möglichweise nicht die beste Strategie...
Member: it-fraggle
it-fraggle Feb 28, 2020 at 04:56:11 (UTC)
Goto Top
Da die meisten Angriffe von innen kommen, solltest du die Clients anständig mit einem Virenscanner ausstatten, die darüber regelmäßig zentral überwacht werden. Obendrein würde ich zusehen, dass der Server keine Internetverbindung hat und seine Updates woanders (WSUS?) bezieht. Der Server gehört natürlich in eine eigene Zone.
Member: SlainteMhath
SlainteMhath Feb 28, 2020 at 06:34:55 (UTC)
Goto Top
Moin,

also solch eine komplexe (und Unternehmenskritische) Frage über ein Forum klären zu wollen, spricht alleine schnon Bände...

Ernst gemeinter Tipp: Wende dich an ein kompetentes Systemhaus deines Vertrauens und lass dir ein entsprechendes Sicherheitskopnzept ausarbeiten.

lg,
Slainte
Member: SeaStorm
SeaStorm Feb 28, 2020 at 07:00:30 (UTC)
Goto Top
Hi

und was genau macht der Lancom da? Der hat ja nichts in Richtung IPS, SSL-Inspection oÄ.
Wenn du sagst, das der Server ein TS ist, dann hoffe ich mal das der nicht seinen RDP Port ins Internet hängt...
Und in welche Richtung geht der Port 443. Eingehend? Warum? Ist das ein Webserver?
Wenn Ausgehend, dann bringt dir da ein Lancom wieder nix. Der kann nicht in den Traffic sehen.

Alles was eingehend ist: Pack die Dienste auf einen eigenen Server und diesen in eine DMZ
Bitte erkläre uns erst mal genauer die Situation. Was genau macht der Server und in welche Richtung soll da was genau geschützt werden.
Member: Vision2015
Vision2015 Feb 28, 2020 at 07:40:11 (UTC)
Goto Top
moin...
Zitat von @jktz84:

Hallo,


ich würde euch gerne mal um eine Empfehlung bitten, wie die Sicherheit im Bezug auf Internetzugriff in meinem Unternehmen verbessert werden kann.

Momentan schützt lediglich ein Lancom Router (deny-all Strategie mit Portfreigabe 443 und Stealthmodus) meinen Server, welcher hinter einer Fritzbox geschaltet ist. Dieser dient hier als Terminal -u. Datenbankserver.
wozu eine Portfreigabe auf 443) was soll die Lancom / Fritzbox kombi?
Ich will um jeden Preis vermeiden, dass ein Zugriff von außen erfolgen kann. Internet wird dabei lediglich für Updates, Remotezugriff und Https Dienste benötigt (leider nicht zu vermeiden).
was für https dienste? das es ein wiederspruch in sich ist, sollte dir beim schreiben schon aufgefallen sein!
Emails / 'unsicheres' Surfen kommt bei uns nicht vor (ggf. an Arbeitsstationen vor dem Lancom).

Wie würdet ihr vorgehen? Was wäre das Wichtigste, um sicher zu gehen, dass niemand unberechtigten Zugriff zum Server erlangt? Zugang zum Internet nur über VPN / dedizierzte Hardware Firewall?
deine fragestellung hat lücken.... du schreibst:
um sicher zu gehen, dass niemand unberechtigten Zugriff zum Server erlangt
meinst du intern? oder extern? ok, extern ist erstmal einfach, mach alles eingehende dicht!
ich denke auch, ein eine ordenliche Firewall lösung & Vlans sind nötig.... und vor allen ein Systemhaus was dich vor ort betreut!


Danke,
Jan
Frank
Member: falscher-sperrstatus
falscher-sperrstatus Feb 28, 2020 at 08:08:01 (UTC)
Goto Top
Merci, darf er face-wink

LG,

Christian
certifiedit.net
Member: jktz84
jktz84 Feb 29, 2020 at 14:24:03 (UTC)
Goto Top
Meine Beschreibung war sicherlich etwas kurz gefasst, darum noch einmal etwas genauer:

die vorgeschaltete Fritzbox dient dazu 1-2 Arbeitsstationen mit Internet zu versorgen (um z.B hier Emails, Facebook zu verwenden) als auch WiFi zu ermöglichen.
Der Lancom wiederum grenzt das Netzwerk der Fritzbox vom eigentlichen RDP Server ab. Innerhalb des Server-Netzwerks befindet sich dabei ausschließlich der TS (mit darauf zu schützenden Datenbanken) als auch die RDP Clients.
Der Server ist gegen physischen Zugriff geschützt und Mitarbeiter sind geschult nur die vorhandenen Anwendungen zu benutzen. Surfen etc ist natürlich untersagt und wird auch nicht gemacht.
Die Datenbanken kann ich aus Kostengründen leider nicht auf eigenen Server und damit in ein eigenes VLAN packen.

Meine größte Sorge ist, dass ein Zugriff über das Internet auf den Server erfolgt und Daten geklaut werden könnten. Mein Dilemma ist, dass der TS für Updates / Anwendungen eine Internet Portfreigabe für 443 (ausgehend) benötigt.

Deswegen Lancom -> Deny all mit einzelne Freigabe für Port 433 für TS (ausgehend).

Meine Frage ist: reicht ein Lancom 1790va (der ja wenn auch nur über eine abgespeckte Stateful Inspection Firewall verfügt), oder muss mehr investiert werden, wenn ausschließlich ausgehende Verbindungen vom TS ins Internet gewünscht sind?
Gibt es dabei eine andere Gefahr, außer dass z.B ein Trojaner über Port 443 die Daten entwendet?

Danke,
Jan
Member: falscher-sperrstatus
falscher-sperrstatus Feb 29, 2020 at 14:28:36 (UTC)
Goto Top
Die Datenbanken kann ich aus Kostengründen leider nicht auf eigenen Server und damit in ein eigenes VLAN packen.

Warum nicht? VMs?
Member: jktz84
jktz84 Feb 29, 2020 at 14:43:48 (UTC)
Goto Top
Ich habe bereits einige VMs auf dem Server laufen und würde aus Performancegründen ungerne die Datenbanken auslagern. Außerdem bin ich mir nicht sicher inwieweit meine Programme, die monatlich die Datenbanken aktualisieren, damit klarkommen würden.

Außerdem bräuchte ja auch - ähnlich wie der TS - auch die VM mit den Datenbank regelmäßige Updates. Und falls ich dafür keine Internetverbindung aufbauen will müsste ich auf dem TS ein WSUS einrichten.
Member: falscher-sperrstatus
falscher-sperrstatus Feb 29, 2020 at 14:49:07 (UTC)
Goto Top
Ich glaube die brauchst eine Revision der Gesamtstrategie. Das ist aber kein Task für das Forum mehr.
Member: SeaStorm
SeaStorm Feb 29, 2020 updated at 16:09:14 (UTC)
Goto Top
Hi

also wenn eingehend kein Port weitergeleitet wird und "sichergestellt" ist, das die User keinen ### am Server machen, dann passiert da nix, weil ja eingehend keine Verbindung erfolgt.
Optimalerweise würde ich in der Firewall vom Lancom den Server so einschränken, das nur die IP(s) zu den entsprechenden Updateservern erlaubt sind. Dann ist für die User so oder so Essig mit Surfen und blödsinn machen.
Member: aqui
aqui Feb 29, 2020 at 17:05:24 (UTC)
Goto Top
also wenn eingehend kein Port weitergeleitet wird
Und vor allem UPnP am Router deaktiviert ist !!
Member: falscher-sperrstatus
falscher-sperrstatus Feb 29, 2020 at 17:12:45 (UTC)
Goto Top
das die User keinen ### am Server machen, dann passiert da nix, weil ja eingehend keine Verbindung erfolgt.

Damit wäre ich vorsichtig.
Member: jktz84
jktz84 Feb 29, 2020 at 21:41:07 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:
Ich glaube die brauchst eine Revision der Gesamtstrategie. Das ist aber kein Task für das Forum mehr.

Das ist ja gerade die Frage. Ich benötige keine ausgefeilte Firewalllösung die eingehende Verbindung zulässt o.Ä. .
Die Frage ist, inwieweit eine basic Firewall von Lancom ohne Zusatzfeatures wie Deep Packet Inspection etc geeignet ist, um sensible Daten zu schützen, wenn lediglich ein ausgehender Port verwendet wird (und angenommen natürlich alle Mitarbeiter verhalten sich entsprechend).
Member: falscher-sperrstatus
falscher-sperrstatus Feb 29, 2020 at 21:49:38 (UTC)
Goto Top
Nein das sind mehr Fragen und viele die du vermutlich per Forum nicht geklärt bekommst. Nein ich denke der lancom reicht, neben dem Konzept, nicht
Member: jktz84
jktz84 Feb 29, 2020 at 22:19:41 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:

Nein das sind mehr Fragen und viele die du vermutlich per Forum nicht geklärt bekommst. Nein ich denke der lancom reicht, neben dem Konzept, nicht

Wie würde denn ein Angriffsszenario aussehen?
Member: falscher-sperrstatus
falscher-sperrstatus Feb 29, 2020 at 22:26:42 (UTC)
Goto Top
das kommt darauf an, was man bei dir wirklich vorfindet. Dafür schauen wir das Kundennetz an und geben danach an, wo die Schwachstellen sind und wie man sie am besten angeht.
Member: Vision2015
Vision2015 Feb 29, 2020, updated at Mar 03, 2020 at 19:04:32 (UTC)
Goto Top
moin...
Zitat von @jktz84:

Zitat von @falscher-sperrstatus:
Ich glaube die brauchst eine Revision der Gesamtstrategie. Das ist aber kein Task für das Forum mehr.

Das ist ja gerade die Frage. Ich benötige keine ausgefeilte Firewalllösung die eingehende Verbindung zulässt o.Ä. .
Die Frage ist, inwieweit eine basic Firewall von Lancom ohne Zusatzfeatures wie Deep Packet Inspection etc geeignet ist, um sensible Daten zu schützen, wenn lediglich ein ausgehender Port verwendet wird (und angenommen natürlich alle Mitarbeiter verhalten sich entsprechend).
also du schreibst immer von sensiblen daten, wichtige DB´s... und ausgehende (port 443) verbindungen....
dann schreibst du über fritten, und nen lancom router... irgendwie passt das alles nicht zusammen!

Frank
Member: falscher-sperrstatus
falscher-sperrstatus Feb 29, 2020 at 22:54:10 (UTC)
Goto Top
Das Versuch ich ihm auch klar zu machen, UND, dass man das eben einfach nicht mehr kurz per Forum umreissen könnte - oder sollte. - In seines AG Interesse.
Member: maretz
maretz Mar 01, 2020 at 04:58:38 (UTC)
Goto Top
Die Frage bleibt doch um was für Daten es sich handelt und was für Mitarbeiter du hast. Hast du auf deinem Server z.B. die gesamten Konstruktionspläne eurer Firma und die Mitarbeiter wechseln häufig wg. schlechter Stimmung würde ich ganz andere Konzepte machen als wenn die Mitarbeiter üblicherweise erst zur Rente das Unternehmen verlassen oder auf dem Server liegt zwar ne DB aber an die kommst du auch nur mit ner speziellen Software (so würde dir z.B. die Kopie meiner DB nicht viel bringen ohne die passende Software dazu).

Und das sind ja noch die einfachen Fälle - daher kannst du hier kein Konzept erwarten was genau auf deine Firma passt. Da hängt eben mehr dran als nur ne Firewall irgendwo hinzuwerfen und davon auszugehen das es jetzt Sicher ist. Andersrum kann man aber eben auch das komplexeste Konzept aufstellen mit 100 Zeichen-Passwörtern und du wirst das Passwort dann nur abgespeichert auf dem Client-Rechner finden...
Member: sklchris
sklchris Mar 02, 2020 at 13:29:43 (UTC)
Goto Top
Machst mir etwas Angst, weil ich hab auch Kunden die noch an einer Fritz Box hängen, die ja was die Firewall und Sicherheit angeht, wirklich unterste Schmerzgrenze ist, also da gibts nicht mal ein Firewall Log, obwohl ich das bei AVM schon seit Jahren vorgeschlagen habe. Also das sind kleine Handwerkerfirmen dann auch teilweise mit Lancom Routern - und mache da auch Portscans und Penetrationstests auf die IP Adresse - und "hielt" das für die den Umständen entsprechend ausreichende Sicherheit.

Klar kannst Du mit Hardware Firewall und IPS Lösungen da eine deutlich höhere Sicherheit erreichen, aber halt auch bei deutlich höheren Kosten, die wie ich bisher dachte, für große Firmen oder Banken etc. dann sinnvoll sind, aber bei kleinen Handwerker Firmen m.A. nach etwas übertrieben, oder nicht?

Ich hatte auch einen Fall, wo dann die Nachfolge Firma dem Kunden direkt gleich eine recht teure Firewall Lösung verkaufte, die ihn jährlich alleine nur 600 Euro Lizenzgebühren kostete - kann man schon machen, immerhin wird er beim Verkauf und der Installation und Wartung gut verdienen - aber ich muss doch für den Kunden die beste Lösung suchen, und nicht Amazon ITler Wunschliste spielen, oder wie macht ihr das?

Also klar hätte ich bei vielen Kunden gerne eine andere Hardware drin, oder auch eine Firewall Lösung uvm. aber eben da versuche ich aus der bestehenden Hardware das beste zu machen.
Member: falscher-sperrstatus
falscher-sperrstatus Mar 02, 2020 at 13:34:42 (UTC)
Goto Top
Hallo SKL,

600€ können viel und wenig sein. Was machen deine Handwerker denn für Umsätze? Wie viele Familien hängen im Zweifel daran? Welche Kosten kommen auf die Firmen zu, wenn alles weg ist?

VG
Member: jktz84
jktz84 Mar 02, 2020 at 13:57:37 (UTC)
Goto Top
Ich bin hier um Empfehlungen zu bekommen, nicht um Angebote zu überteuerten Firewalllösungen zu bekommen.

Die Frage, welches Risiko besteht, wenn ausschließlich ausgehende Verbindungen auf einem Port erlaubt werden, ist immer noch nicht beantwortet worden. Was machen teure Firewalls bei der Abwehr von Angriffen von AUßEN(!) besser, als ein Lancom?
Member: falscher-sperrstatus
falscher-sperrstatus Mar 02, 2020 updated at 14:09:33 (UTC)
Goto Top
Zitat von @jktz84:

Ich bin hier um Empfehlungen zu bekommen, nicht um Angebote zu überteuerten Firewalllösungen zu bekommen.

Die Frage, welches Risiko besteht, wenn ausschließlich ausgehende Verbindungen auf einem Port erlaubt werden, ist immer noch nicht beantwortet worden. Was machen teure Firewalls bei der Abwehr von Angriffen von AUßEN(!) besser, als ein Lancom?

Achso, du willst also kostenlose Beratung für Dienste, die du dann weiter verkaufst? Was die besser machen wurde hier schon zig mal genannt und in der Zeit hättest du dir das auch selbst aneignen können. Wenn du aber nur eine völlig fehldimensionierte Firewall (nach deiner Äußerung, hochkritisch...) platzieren willst - dann tu das.
Member: Vision2015
Vision2015 Mar 02, 2020 at 17:52:25 (UTC)
Goto Top
moin...
Zitat von @jktz84:

Ich bin hier um Empfehlungen zu bekommen, nicht um Angebote zu überteuerten Firewalllösungen zu bekommen.
eine Empfehlung? für was genau?
du hast Empfehlungen bekommen, wenn die für dich berteuert sind, sind die daten ich nicht wichtig....
mit anderen worten, du hast etwas übertrieben, was die wichtigkeit und schutzbedarf angeht!

Die Frage, welches Risiko besteht, wenn ausschließlich ausgehende Verbindungen auf einem Port erlaubt werden, ist immer noch nicht beantwortet worden. Was machen teure Firewalls bei der Abwehr von Angriffen von AUßEN(!) besser, als ein Lancom?

du hast nicht eine frage von uns beantwortet, und nein du hast nicht nur ausgehende Verbindungen....
du hast nicht mal geschrieben was dein ausgehender port ist, und wohin diese geht!

Frank
Member: SlainteMhath
SlainteMhath Mar 03, 2020 at 07:19:30 (UTC)
Goto Top
Die Frage, welches Risiko besteht, wenn ausschließlich ausgehende Verbindungen auf einem Port erlaubt werden
Es besteht das Risiko, das die für via Drive-By Download, verseuchtem docx/xslx/pptx eine (Crypto-)Trojaner einfängst, der dann dein komplettes Netzwerk verschlüsselt und damit deine Firma lahmlegt. Die FritzBox wie auch der Lancom sind dagegen absolut machtlos.
Member: maretz
maretz Mar 04, 2020 at 05:59:21 (UTC)
Goto Top
Was machen die besser? NIX - ganz einfach.. selbst deine Fritte von aussen macht nix besser oder schlechter bei Angriffen von aussen. Wenn du erst mal keine Port-Forwarding usw. hast sind über 90% der täglichen Angriffe bereits erfolglos - selbst nen Win-Server (mit aktiver Firewall) ins Netz gepackt ist da kein Problem...

Nur: Was machen die bei einem ERFOLGREICHEN Angriff besser? Da fängt das erste mit den Logs an - du kannst überhaupt mal sehen was da passiert ist und was so passiert und kannst was tun...
Was machen die gegen Angriffe ANDERS (nicht immer besser!): Ne halbwegs gute Firewall macht heute eben mehr - ich kann nicht mehr einfach nen anderen Port wählen und Pakete durchleiten weil die stumpf auf Ports basierend Ja/Nein sagt...
Was machen die beim Schutz deines INTERNEN Netzes besser? Deine Fritte und Co sagen halt portbasiert "Ja/Nein". Toll, wenn dein Kollege also via "ichBinDerGanzBöseVirus.de" via SSL alles runterlädt is das ja ok -> die Fritte sieht "innen nach aussen is ok" und legt sich schlafen. GUTE Firewalls schauen auch dann noch in den Traffic und sagen das es zwar ein legitimer Port ist ABER das da drinne trotzdem doof aussieht... Oder die haben Blacklists für Domains die - je nach Abo und Anbieter - entsprechend gepflegt sind. Da sagt man dann halt einfach mal "blocke porno-seiten fürs Office" und gut ist. Damit hast du dann nicht alle Seiten weg aber schon ein grosser Teil

Es würde aber sicherlich nicht schaden wenn man sich mit sowas ausgekennt bevor man damit beim Kunden auf der Matte steht... Denn das ist eigentlich etwas besseres Grundwissen und es sieht schon peinlich aus wenn du beim Kunden stehst und deinen Kram anpreist während dessen Computer-Bild lesender Schüler aus der 8ten Klasse Realschule schon nur noch den Kopf traurig schüttelt...