Vorschläge zur Verbesserung der IT Sicherheit
Hallo,
ich würde euch gerne mal um eine Empfehlung bitten, wie die Sicherheit im Bezug auf Internetzugriff in meinem Unternehmen verbessert werden kann.
Momentan schützt lediglich ein Lancom Router (deny-all Strategie mit Portfreigabe 443 und Stealthmodus) meinen Server, welcher hinter einer Fritzbox geschaltet ist. Dieser dient hier als Terminal -u. Datenbankserver.
Ich will um jeden Preis vermeiden, dass ein Zugriff von außen erfolgen kann. Internet wird dabei lediglich für Updates, Remotezugriff und Https Dienste benötigt (leider nicht zu vermeiden).
Emails / 'unsicheres' Surfen kommt bei uns nicht vor (ggf. an Arbeitsstationen vor dem Lancom).
Wie würdet ihr vorgehen? Was wäre das Wichtigste, um sicher zu gehen, dass niemand unberechtigten Zugriff zum Server erlangt? Zugang zum Internet nur über VPN / dedizierzte Hardware Firewall?
Danke,
Jan
ich würde euch gerne mal um eine Empfehlung bitten, wie die Sicherheit im Bezug auf Internetzugriff in meinem Unternehmen verbessert werden kann.
Momentan schützt lediglich ein Lancom Router (deny-all Strategie mit Portfreigabe 443 und Stealthmodus) meinen Server, welcher hinter einer Fritzbox geschaltet ist. Dieser dient hier als Terminal -u. Datenbankserver.
Ich will um jeden Preis vermeiden, dass ein Zugriff von außen erfolgen kann. Internet wird dabei lediglich für Updates, Remotezugriff und Https Dienste benötigt (leider nicht zu vermeiden).
Emails / 'unsicheres' Surfen kommt bei uns nicht vor (ggf. an Arbeitsstationen vor dem Lancom).
Wie würdet ihr vorgehen? Was wäre das Wichtigste, um sicher zu gehen, dass niemand unberechtigten Zugriff zum Server erlangt? Zugang zum Internet nur über VPN / dedizierzte Hardware Firewall?
Danke,
Jan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Kommentar vom Moderator tomolpi am 03.03.2020 um 20:04:48 Uhr
Verweis auf Dienstleister entfernt
Content-ID: 552252
Url: https://administrator.de/contentid/552252
Ausgedruckt am: 24.11.2024 um 14:11 Uhr
28 Kommentare
Neuester Kommentar
Eine adäquate Firewall ist nur ein ganz kleiner Punkt von ganz vielen ! Zwei Billigrouter als Durchlauferhitzer zu koppeln bringt keinen Deut mehr Sicherheit als eine anständige SPI Firewall. Idealerweise noch mit einem IDS/IPS onboard.
Der Server sollte natürlich auch räumlich gesichert sein und entsprechende Zugangsrestriktionen haben.
Dazu gehört in erster Linie auch eine Absicherung des internen Netzes und User Authentisierung z.B. mit 802.1x und entsprechender Login Sicherheit. Wie jeder weiss kommen ja bekanntlich über 70% der gefährlichen Angriffe von innen und nicht von außen.
Tödlich ist es auch Server im gleichen IP Netz wie WLAN und Clients zu betreiben (Thema Segmentierung, VLANs) und und und...
Backup und Datensicherheit der nächste größer Brocken in dem ganzen Themenkomplex.
Solche grundlegenden und wenig differenzierten Killerfragen die kein Mensch mit nur 3 Sätzen umfassend und zielführend beantworten kann sprengt wie immer den Rahmen eines Admin Forums !
Der Server sollte natürlich auch räumlich gesichert sein und entsprechende Zugangsrestriktionen haben.
Dazu gehört in erster Linie auch eine Absicherung des internen Netzes und User Authentisierung z.B. mit 802.1x und entsprechender Login Sicherheit. Wie jeder weiss kommen ja bekanntlich über 70% der gefährlichen Angriffe von innen und nicht von außen.
Tödlich ist es auch Server im gleichen IP Netz wie WLAN und Clients zu betreiben (Thema Segmentierung, VLANs) und und und...
Backup und Datensicherheit der nächste größer Brocken in dem ganzen Themenkomplex.
Solche grundlegenden und wenig differenzierten Killerfragen die kein Mensch mit nur 3 Sätzen umfassend und zielführend beantworten kann sprengt wie immer den Rahmen eines Admin Forums !
und nebenbei bringt die Frage auch nix wenn man nicht die Umgebung kennt.. Du kannst den Server auch physikalisch in nen Berg einbauen - dann ist der selbst gegen grössere Bombenangriffe geschützt. Wenns aber nur die Dev-Maschine ist die eh alle 4-8 Wochen geplättet wird ist das ggf. nicht nötig.
Von daher - das erste was man überlegen muss -> wieviel will man überhaupt reinstecken. Es kann ja z.B. auch sein das dir der Lan-Com reicht und wenn das Ding doch mal angegriffen wurde haust du einfach das Backup vom Vortag wieder rein und kümmerst dich dann um das "wie". Wenn das aber der zentrale Server der lokalen Bank ist auf dem alle Kontobewegungen laufen wäre das möglichweise nicht die beste Strategie...
Von daher - das erste was man überlegen muss -> wieviel will man überhaupt reinstecken. Es kann ja z.B. auch sein das dir der Lan-Com reicht und wenn das Ding doch mal angegriffen wurde haust du einfach das Backup vom Vortag wieder rein und kümmerst dich dann um das "wie". Wenn das aber der zentrale Server der lokalen Bank ist auf dem alle Kontobewegungen laufen wäre das möglichweise nicht die beste Strategie...
Da die meisten Angriffe von innen kommen, solltest du die Clients anständig mit einem Virenscanner ausstatten, die darüber regelmäßig zentral überwacht werden. Obendrein würde ich zusehen, dass der Server keine Internetverbindung hat und seine Updates woanders (WSUS?) bezieht. Der Server gehört natürlich in eine eigene Zone.
Hi
und was genau macht der Lancom da? Der hat ja nichts in Richtung IPS, SSL-Inspection oÄ.
Wenn du sagst, das der Server ein TS ist, dann hoffe ich mal das der nicht seinen RDP Port ins Internet hängt...
Und in welche Richtung geht der Port 443. Eingehend? Warum? Ist das ein Webserver?
Wenn Ausgehend, dann bringt dir da ein Lancom wieder nix. Der kann nicht in den Traffic sehen.
Alles was eingehend ist: Pack die Dienste auf einen eigenen Server und diesen in eine DMZ
Bitte erkläre uns erst mal genauer die Situation. Was genau macht der Server und in welche Richtung soll da was genau geschützt werden.
und was genau macht der Lancom da? Der hat ja nichts in Richtung IPS, SSL-Inspection oÄ.
Wenn du sagst, das der Server ein TS ist, dann hoffe ich mal das der nicht seinen RDP Port ins Internet hängt...
Und in welche Richtung geht der Port 443. Eingehend? Warum? Ist das ein Webserver?
Wenn Ausgehend, dann bringt dir da ein Lancom wieder nix. Der kann nicht in den Traffic sehen.
Alles was eingehend ist: Pack die Dienste auf einen eigenen Server und diesen in eine DMZ
Bitte erkläre uns erst mal genauer die Situation. Was genau macht der Server und in welche Richtung soll da was genau geschützt werden.
moin...
ich denke auch, ein eine ordenliche Firewall lösung & Vlans sind nötig.... und vor allen ein Systemhaus was dich vor ort betreut!
Danke,
Jan
Frank
Zitat von @jktz84:
Hallo,
ich würde euch gerne mal um eine Empfehlung bitten, wie die Sicherheit im Bezug auf Internetzugriff in meinem Unternehmen verbessert werden kann.
Momentan schützt lediglich ein Lancom Router (deny-all Strategie mit Portfreigabe 443 und Stealthmodus) meinen Server, welcher hinter einer Fritzbox geschaltet ist. Dieser dient hier als Terminal -u. Datenbankserver.
wozu eine Portfreigabe auf 443) was soll die Lancom / Fritzbox kombi?Hallo,
ich würde euch gerne mal um eine Empfehlung bitten, wie die Sicherheit im Bezug auf Internetzugriff in meinem Unternehmen verbessert werden kann.
Momentan schützt lediglich ein Lancom Router (deny-all Strategie mit Portfreigabe 443 und Stealthmodus) meinen Server, welcher hinter einer Fritzbox geschaltet ist. Dieser dient hier als Terminal -u. Datenbankserver.
Ich will um jeden Preis vermeiden, dass ein Zugriff von außen erfolgen kann. Internet wird dabei lediglich für Updates, Remotezugriff und Https Dienste benötigt (leider nicht zu vermeiden).
was für https dienste? das es ein wiederspruch in sich ist, sollte dir beim schreiben schon aufgefallen sein!Emails / 'unsicheres' Surfen kommt bei uns nicht vor (ggf. an Arbeitsstationen vor dem Lancom).
Wie würdet ihr vorgehen? Was wäre das Wichtigste, um sicher zu gehen, dass niemand unberechtigten Zugriff zum Server erlangt? Zugang zum Internet nur über VPN / dedizierzte Hardware Firewall?
deine fragestellung hat lücken.... du schreibst:Wie würdet ihr vorgehen? Was wäre das Wichtigste, um sicher zu gehen, dass niemand unberechtigten Zugriff zum Server erlangt? Zugang zum Internet nur über VPN / dedizierzte Hardware Firewall?
um sicher zu gehen, dass niemand unberechtigten Zugriff zum Server erlangt
meinst du intern? oder extern? ok, extern ist erstmal einfach, mach alles eingehende dicht!ich denke auch, ein eine ordenliche Firewall lösung & Vlans sind nötig.... und vor allen ein Systemhaus was dich vor ort betreut!
Danke,
Jan
Hi
also wenn eingehend kein Port weitergeleitet wird und "sichergestellt" ist, das die User keinen ### am Server machen, dann passiert da nix, weil ja eingehend keine Verbindung erfolgt.
Optimalerweise würde ich in der Firewall vom Lancom den Server so einschränken, das nur die IP(s) zu den entsprechenden Updateservern erlaubt sind. Dann ist für die User so oder so Essig mit Surfen und blödsinn machen.
also wenn eingehend kein Port weitergeleitet wird und "sichergestellt" ist, das die User keinen ### am Server machen, dann passiert da nix, weil ja eingehend keine Verbindung erfolgt.
Optimalerweise würde ich in der Firewall vom Lancom den Server so einschränken, das nur die IP(s) zu den entsprechenden Updateservern erlaubt sind. Dann ist für die User so oder so Essig mit Surfen und blödsinn machen.
moin...
dann schreibst du über fritten, und nen lancom router... irgendwie passt das alles nicht zusammen!
Frank
Zitat von @jktz84:
Das ist ja gerade die Frage. Ich benötige keine ausgefeilte Firewalllösung die eingehende Verbindung zulässt o.Ä. .
Die Frage ist, inwieweit eine basic Firewall von Lancom ohne Zusatzfeatures wie Deep Packet Inspection etc geeignet ist, um sensible Daten zu schützen, wenn lediglich ein ausgehender Port verwendet wird (und angenommen natürlich alle Mitarbeiter verhalten sich entsprechend).
also du schreibst immer von sensiblen daten, wichtige DB´s... und ausgehende (port 443) verbindungen....Zitat von @certifiedit.net:
Ich glaube die brauchst eine Revision der Gesamtstrategie. Das ist aber kein Task für das Forum mehr.
Ich glaube die brauchst eine Revision der Gesamtstrategie. Das ist aber kein Task für das Forum mehr.
Das ist ja gerade die Frage. Ich benötige keine ausgefeilte Firewalllösung die eingehende Verbindung zulässt o.Ä. .
Die Frage ist, inwieweit eine basic Firewall von Lancom ohne Zusatzfeatures wie Deep Packet Inspection etc geeignet ist, um sensible Daten zu schützen, wenn lediglich ein ausgehender Port verwendet wird (und angenommen natürlich alle Mitarbeiter verhalten sich entsprechend).
dann schreibst du über fritten, und nen lancom router... irgendwie passt das alles nicht zusammen!
Frank
Die Frage bleibt doch um was für Daten es sich handelt und was für Mitarbeiter du hast. Hast du auf deinem Server z.B. die gesamten Konstruktionspläne eurer Firma und die Mitarbeiter wechseln häufig wg. schlechter Stimmung würde ich ganz andere Konzepte machen als wenn die Mitarbeiter üblicherweise erst zur Rente das Unternehmen verlassen oder auf dem Server liegt zwar ne DB aber an die kommst du auch nur mit ner speziellen Software (so würde dir z.B. die Kopie meiner DB nicht viel bringen ohne die passende Software dazu).
Und das sind ja noch die einfachen Fälle - daher kannst du hier kein Konzept erwarten was genau auf deine Firma passt. Da hängt eben mehr dran als nur ne Firewall irgendwo hinzuwerfen und davon auszugehen das es jetzt Sicher ist. Andersrum kann man aber eben auch das komplexeste Konzept aufstellen mit 100 Zeichen-Passwörtern und du wirst das Passwort dann nur abgespeichert auf dem Client-Rechner finden...
Und das sind ja noch die einfachen Fälle - daher kannst du hier kein Konzept erwarten was genau auf deine Firma passt. Da hängt eben mehr dran als nur ne Firewall irgendwo hinzuwerfen und davon auszugehen das es jetzt Sicher ist. Andersrum kann man aber eben auch das komplexeste Konzept aufstellen mit 100 Zeichen-Passwörtern und du wirst das Passwort dann nur abgespeichert auf dem Client-Rechner finden...
Machst mir etwas Angst, weil ich hab auch Kunden die noch an einer Fritz Box hängen, die ja was die Firewall und Sicherheit angeht, wirklich unterste Schmerzgrenze ist, also da gibts nicht mal ein Firewall Log, obwohl ich das bei AVM schon seit Jahren vorgeschlagen habe. Also das sind kleine Handwerkerfirmen dann auch teilweise mit Lancom Routern - und mache da auch Portscans und Penetrationstests auf die IP Adresse - und "hielt" das für die den Umständen entsprechend ausreichende Sicherheit.
Klar kannst Du mit Hardware Firewall und IPS Lösungen da eine deutlich höhere Sicherheit erreichen, aber halt auch bei deutlich höheren Kosten, die wie ich bisher dachte, für große Firmen oder Banken etc. dann sinnvoll sind, aber bei kleinen Handwerker Firmen m.A. nach etwas übertrieben, oder nicht?
Ich hatte auch einen Fall, wo dann die Nachfolge Firma dem Kunden direkt gleich eine recht teure Firewall Lösung verkaufte, die ihn jährlich alleine nur 600 Euro Lizenzgebühren kostete - kann man schon machen, immerhin wird er beim Verkauf und der Installation und Wartung gut verdienen - aber ich muss doch für den Kunden die beste Lösung suchen, und nicht Amazon ITler Wunschliste spielen, oder wie macht ihr das?
Also klar hätte ich bei vielen Kunden gerne eine andere Hardware drin, oder auch eine Firewall Lösung uvm. aber eben da versuche ich aus der bestehenden Hardware das beste zu machen.
Klar kannst Du mit Hardware Firewall und IPS Lösungen da eine deutlich höhere Sicherheit erreichen, aber halt auch bei deutlich höheren Kosten, die wie ich bisher dachte, für große Firmen oder Banken etc. dann sinnvoll sind, aber bei kleinen Handwerker Firmen m.A. nach etwas übertrieben, oder nicht?
Ich hatte auch einen Fall, wo dann die Nachfolge Firma dem Kunden direkt gleich eine recht teure Firewall Lösung verkaufte, die ihn jährlich alleine nur 600 Euro Lizenzgebühren kostete - kann man schon machen, immerhin wird er beim Verkauf und der Installation und Wartung gut verdienen - aber ich muss doch für den Kunden die beste Lösung suchen, und nicht Amazon ITler Wunschliste spielen, oder wie macht ihr das?
Also klar hätte ich bei vielen Kunden gerne eine andere Hardware drin, oder auch eine Firewall Lösung uvm. aber eben da versuche ich aus der bestehenden Hardware das beste zu machen.
Zitat von @jktz84:
Ich bin hier um Empfehlungen zu bekommen, nicht um Angebote zu überteuerten Firewalllösungen zu bekommen.
Die Frage, welches Risiko besteht, wenn ausschließlich ausgehende Verbindungen auf einem Port erlaubt werden, ist immer noch nicht beantwortet worden. Was machen teure Firewalls bei der Abwehr von Angriffen von AUßEN(!) besser, als ein Lancom?
Ich bin hier um Empfehlungen zu bekommen, nicht um Angebote zu überteuerten Firewalllösungen zu bekommen.
Die Frage, welches Risiko besteht, wenn ausschließlich ausgehende Verbindungen auf einem Port erlaubt werden, ist immer noch nicht beantwortet worden. Was machen teure Firewalls bei der Abwehr von Angriffen von AUßEN(!) besser, als ein Lancom?
Achso, du willst also kostenlose Beratung für Dienste, die du dann weiter verkaufst? Was die besser machen wurde hier schon zig mal genannt und in der Zeit hättest du dir das auch selbst aneignen können. Wenn du aber nur eine völlig fehldimensionierte Firewall (nach deiner Äußerung, hochkritisch...) platzieren willst - dann tu das.
moin...
du hast Empfehlungen bekommen, wenn die für dich berteuert sind, sind die daten ich nicht wichtig....
mit anderen worten, du hast etwas übertrieben, was die wichtigkeit und schutzbedarf angeht!
Die Frage, welches Risiko besteht, wenn ausschließlich ausgehende Verbindungen auf einem Port erlaubt werden, ist immer noch nicht beantwortet worden. Was machen teure Firewalls bei der Abwehr von Angriffen von AUßEN(!) besser, als ein Lancom?
du hast nicht eine frage von uns beantwortet, und nein du hast nicht nur ausgehende Verbindungen....
du hast nicht mal geschrieben was dein ausgehender port ist, und wohin diese geht!
Frank
Zitat von @jktz84:
Ich bin hier um Empfehlungen zu bekommen, nicht um Angebote zu überteuerten Firewalllösungen zu bekommen.
eine Empfehlung? für was genau?Ich bin hier um Empfehlungen zu bekommen, nicht um Angebote zu überteuerten Firewalllösungen zu bekommen.
du hast Empfehlungen bekommen, wenn die für dich berteuert sind, sind die daten ich nicht wichtig....
mit anderen worten, du hast etwas übertrieben, was die wichtigkeit und schutzbedarf angeht!
Die Frage, welches Risiko besteht, wenn ausschließlich ausgehende Verbindungen auf einem Port erlaubt werden, ist immer noch nicht beantwortet worden. Was machen teure Firewalls bei der Abwehr von Angriffen von AUßEN(!) besser, als ein Lancom?
du hast nicht eine frage von uns beantwortet, und nein du hast nicht nur ausgehende Verbindungen....
du hast nicht mal geschrieben was dein ausgehender port ist, und wohin diese geht!
Frank
Die Frage, welches Risiko besteht, wenn ausschließlich ausgehende Verbindungen auf einem Port erlaubt werden
Es besteht das Risiko, das die für via Drive-By Download, verseuchtem docx/xslx/pptx eine (Crypto-)Trojaner einfängst, der dann dein komplettes Netzwerk verschlüsselt und damit deine Firma lahmlegt. Die FritzBox wie auch der Lancom sind dagegen absolut machtlos.
Was machen die besser? NIX - ganz einfach.. selbst deine Fritte von aussen macht nix besser oder schlechter bei Angriffen von aussen. Wenn du erst mal keine Port-Forwarding usw. hast sind über 90% der täglichen Angriffe bereits erfolglos - selbst nen Win-Server (mit aktiver Firewall) ins Netz gepackt ist da kein Problem...
Nur: Was machen die bei einem ERFOLGREICHEN Angriff besser? Da fängt das erste mit den Logs an - du kannst überhaupt mal sehen was da passiert ist und was so passiert und kannst was tun...
Was machen die gegen Angriffe ANDERS (nicht immer besser!): Ne halbwegs gute Firewall macht heute eben mehr - ich kann nicht mehr einfach nen anderen Port wählen und Pakete durchleiten weil die stumpf auf Ports basierend Ja/Nein sagt...
Was machen die beim Schutz deines INTERNEN Netzes besser? Deine Fritte und Co sagen halt portbasiert "Ja/Nein". Toll, wenn dein Kollege also via "ichBinDerGanzBöseVirus.de" via SSL alles runterlädt is das ja ok -> die Fritte sieht "innen nach aussen is ok" und legt sich schlafen. GUTE Firewalls schauen auch dann noch in den Traffic und sagen das es zwar ein legitimer Port ist ABER das da drinne trotzdem doof aussieht... Oder die haben Blacklists für Domains die - je nach Abo und Anbieter - entsprechend gepflegt sind. Da sagt man dann halt einfach mal "blocke porno-seiten fürs Office" und gut ist. Damit hast du dann nicht alle Seiten weg aber schon ein grosser Teil
Es würde aber sicherlich nicht schaden wenn man sich mit sowas ausgekennt bevor man damit beim Kunden auf der Matte steht... Denn das ist eigentlich etwas besseres Grundwissen und es sieht schon peinlich aus wenn du beim Kunden stehst und deinen Kram anpreist während dessen Computer-Bild lesender Schüler aus der 8ten Klasse Realschule schon nur noch den Kopf traurig schüttelt...
Nur: Was machen die bei einem ERFOLGREICHEN Angriff besser? Da fängt das erste mit den Logs an - du kannst überhaupt mal sehen was da passiert ist und was so passiert und kannst was tun...
Was machen die gegen Angriffe ANDERS (nicht immer besser!): Ne halbwegs gute Firewall macht heute eben mehr - ich kann nicht mehr einfach nen anderen Port wählen und Pakete durchleiten weil die stumpf auf Ports basierend Ja/Nein sagt...
Was machen die beim Schutz deines INTERNEN Netzes besser? Deine Fritte und Co sagen halt portbasiert "Ja/Nein". Toll, wenn dein Kollege also via "ichBinDerGanzBöseVirus.de" via SSL alles runterlädt is das ja ok -> die Fritte sieht "innen nach aussen is ok" und legt sich schlafen. GUTE Firewalls schauen auch dann noch in den Traffic und sagen das es zwar ein legitimer Port ist ABER das da drinne trotzdem doof aussieht... Oder die haben Blacklists für Domains die - je nach Abo und Anbieter - entsprechend gepflegt sind. Da sagt man dann halt einfach mal "blocke porno-seiten fürs Office" und gut ist. Damit hast du dann nicht alle Seiten weg aber schon ein grosser Teil
Es würde aber sicherlich nicht schaden wenn man sich mit sowas ausgekennt bevor man damit beim Kunden auf der Matte steht... Denn das ist eigentlich etwas besseres Grundwissen und es sieht schon peinlich aus wenn du beim Kunden stehst und deinen Kram anpreist während dessen Computer-Bild lesender Schüler aus der 8ten Klasse Realschule schon nur noch den Kopf traurig schüttelt...