6
Zero Trust - zumindest etwas davon
Moin,
einige von uns wird die NIS2-Umsetzung in den kommenden Monaten/Jahren beschäftigen. Wir sind kein großer multinationaler Konzern mit €-Millionen an IT-Budget, so dass jedes IT-Vorhaben gründlich geprüft werden muss. Daher mache ich mir schon einige Gedanken wie man das Zero Trust Prinzip umsetzen kann. Vielleicht nicht alles was technisch möglich ist aber zumindest einige Punkte davon.
Aktuell befasse ich mich mit einer möglichen Absicherung des Netzwerkes und des Zugriffes darauf. Alles erst mal in der Theorie, später in einer kleinen Teststellung. Als Basis ist Folgendes schon vorhanden:
Zur grundlegenden Absicherung des Netzwerks dachte ich an eine Kombination aus 802.1x und dynamischen VLANs. Per Default bekommt jeder Client seitige Netzwerkport nur z.B. ein Gäste-Internet VLAN und erst nach entsprechender 802.1x Authentifizierung das entsprechende VLAN.
Hier stellen sich mir folgende Fragen:
Darüber hinaus: kann man mit 802.1x den Zugriff auf bestimmte VLANs steuern? Also Peter aus dem Einkauf darf in seiner Rolle nur Client und Office-Server VLAN, Mark aus der Verwaltung in seiner Rolle aber auch zusätzlich das IP-Kamera VLAN.
einige von uns wird die NIS2-Umsetzung in den kommenden Monaten/Jahren beschäftigen. Wir sind kein großer multinationaler Konzern mit €-Millionen an IT-Budget, so dass jedes IT-Vorhaben gründlich geprüft werden muss. Daher mache ich mir schon einige Gedanken wie man das Zero Trust Prinzip umsetzen kann. Vielleicht nicht alles was technisch möglich ist aber zumindest einige Punkte davon.
Aktuell befasse ich mich mit einer möglichen Absicherung des Netzwerkes und des Zugriffes darauf. Alles erst mal in der Theorie, später in einer kleinen Teststellung. Als Basis ist Folgendes schon vorhanden:
- AD-Domäne mit interner CA (Benutzer- und Computerzertifikate werden verteilt)
- NPS-Server (nur für WPA2-Enterprise WLAN aktuell)
- L3-Core, L2-Access-Switche und Firewall sind für 802.1x (RADIUS) vorbereitet
Zur grundlegenden Absicherung des Netzwerks dachte ich an eine Kombination aus 802.1x und dynamischen VLANs. Per Default bekommt jeder Client seitige Netzwerkport nur z.B. ein Gäste-Internet VLAN und erst nach entsprechender 802.1x Authentifizierung das entsprechende VLAN.
Hier stellen sich mir folgende Fragen:
- Wie kann man eine Authentifizierung von Druckern/Kopierern vornehmen?
- IP-Telefone mit Switchport - Voice VLAN über LLDP-MED, der PC-Port wie?
- Access-Points - aktuell Management VLAN - ein separates erstellen?
Darüber hinaus: kann man mit 802.1x den Zugriff auf bestimmte VLANs steuern? Also Peter aus dem Einkauf darf in seiner Rolle nur Client und Office-Server VLAN, Mark aus der Verwaltung in seiner Rolle aber auch zusätzlich das IP-Kamera VLAN.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3115174104
Url: https://administrator.de/contentid/3115174104
Printed on: June 20, 2024 at 12:06 o'clock
6 Comments
Latest comment
Frage, wie sieht deine DoTo-Checkliste konkret zu NIS2 aus?
Für mich ist in NIS2 nichts Neues drin, was man nicht schon vorher hätte haben sollen bzw. jährlich konsolidiert, nicht zuletzt in der Budgetplanung. NIS2 ist also vielmehr Nachdruck als eine wirkliche Neuheit.
Beispiel
a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
b) Bewältigung von Sicherheitsvorfällen;
c) Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;
d) Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;
e) Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;
f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
g) grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
h) Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
j) Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Quelle: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L255 ...
Für mich ist in NIS2 nichts Neues drin, was man nicht schon vorher hätte haben sollen bzw. jährlich konsolidiert, nicht zuletzt in der Budgetplanung. NIS2 ist also vielmehr Nachdruck als eine wirkliche Neuheit.
Beispiel
a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
b) Bewältigung von Sicherheitsvorfällen;
c) Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;
d) Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;
e) Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;
f) Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
g) grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
h) Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
i) Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
j) Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Quelle: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L255 ...
@nachgefragt aktuell ist NIS2 (noch) nicht ins Dt. Recht umgesetzt, d.h. es besteht keine Verpflichtung etwas zu machen.
Dass es im Oktober umgesetzt wird, bezweifle ich stark. Eine vollständige Checkliste haben wir nicht und das tut auch nicht Not. Es wird im Moment sowieso viel zu viel Panik gemacht und mit Beratung, Service und Software viel Geld abverlangt, die nicht unbedingt nötig sind.
Die vollständige Umsetzung nach NIS2 wird nicht von heute auf morgen gefordert, so dass man locker 2-3 Jahre Umsetzungszeit haben wird. Die organisatorischen Maßnahmen werden mit der Zeit geplant. Zuerst konzentriere ich mich auf das was vorhanden ist und wie man Etwas technisch umsetzen kann. Wo die Erfahrung bzw. Wissen fehlt, wird sicher externe Hilfe heran geholt, wenn es sein muss.
Dass es im Oktober umgesetzt wird, bezweifle ich stark. Eine vollständige Checkliste haben wir nicht und das tut auch nicht Not. Es wird im Moment sowieso viel zu viel Panik gemacht und mit Beratung, Service und Software viel Geld abverlangt, die nicht unbedingt nötig sind.
Die vollständige Umsetzung nach NIS2 wird nicht von heute auf morgen gefordert, so dass man locker 2-3 Jahre Umsetzungszeit haben wird. Die organisatorischen Maßnahmen werden mit der Zeit geplant. Zuerst konzentriere ich mich auf das was vorhanden ist und wie man Etwas technisch umsetzen kann. Wo die Erfahrung bzw. Wissen fehlt, wird sicher externe Hilfe heran geholt, wenn es sein muss.
Wie gesagt, für mich ist NIS2 keine Neuheit.
So manche Kundenanforderungen, -vereinbarungen,... könnte ISO27001, TISAX,... sein, setzen hier und da solche technischen und organisatorischen Maßnahmen längst voraus.
Für mich ist NIS2 daher eher ein Nachdruck sich dem Thema anzunehmen und nicht weiter aufzuschieben.
So manche Kundenanforderungen, -vereinbarungen,... könnte ISO27001, TISAX,... sein, setzen hier und da solche technischen und organisatorischen Maßnahmen längst voraus.
Für mich ist NIS2 daher eher ein Nachdruck sich dem Thema anzunehmen und nicht weiter aufzuschieben.
Wie kann man eine Authentifizierung von Druckern/Kopierern vornehmen?
Ich kenne die Auftragsbox, wenn du den Druck abholen möchtest hast du deinen PIN einzugeben, heute schon für Personal und FIBU Pflicht (bei uns).IP-Telefone mit Switchport - Voice VLAN über LLDP-MED, der PC-Port wie?
Wir halten das Telefonnetz soweit wie möglich raus aus dem Intranet, wäre nur für CTI notwendig.Access-Points - aktuell Management VLAN - ein separates erstellen?
Segmentierung ist ein Dauerbrenner, da kann man immer nachoptimieren.
Hi,
Ich schreib dir mal auf, was meiner Meinung nach best practice wäre, kosmetische Anpassungen fallen in jedem Laden anders aus
Die Authentifizierung von Druckern oder Kopieren setzt einen 802.1x Client an Bord voraus oder du machst die Authentifizierung per MAB, das wäre mein Rat, da der Aufwand nicht den Nutzen rechtfertigt. Du müsstest sonst eben noch manuell Zertifikate verteilen per CSR und die Drucker dann manuell pflegen vor Ablauf der Zertifikate, das lohnt sich nur wenn ein SCEP an Bord ist. Weiterhin benötigst du ein Computerobjekt in der AD, das Microsoft vor einiger Zeit das Certificate Mapping angepasst hat, steckt da jetzt schon Aufwand dahinter non domain joined Clients per EAP TLS zu authentifizieren.
Bau dir User in die AD, die dann die MAC Adresse des Druckers als Benutzernamen verwenden. Weiterhin musst du rausfinden, was deine Switch supporten und wie sie MAB verarbeiten, also welches Passwort sie an den Radius schicken. Bei manchen muss das Passwort dem Benutzernamen des ADUsers übereinstimmen, andere lassen ein globales Passwort zu. Findest du im Handbuch.
Gib das VLAN dynamisch über den NPS mit als Radius Attribut und nutze ein VLAN, welches per ACL nur ein Minimum in andere Netze freigibt, das kommt auf dein Netzwerk an.
Wenn du den Rechner direkt an den embedded Switch des VoIP-Phone hängst, ist es notwendig in der 802.1x Config dafür zu sorgen, dass jeder Client am Switchport sich gesondert authentifiziert. Den Rest erledigt dann der NPS bei richtiger Config.
Achte im besten Fall darauf wie bei den Druckern PEAP-MSCHAPv2 zu nutzen, das ist die aktuell sicherste Variante bei MAB, Faxen wie EAP MD5 oder CHAP oder PAP sind nur schwach verschlüsselt oder wie PAP überhaupt nicht. Weiterhin müsstest du sonst die umkehrbare Verschlüsselung von Passwörtern erlauben und in der Registry rumfummeln um EAP MD5 zum laufen zu bringen, würde von Microsoft aufgrund schwacher Schlüssel bereits deaktiviert.
Darüber hinaus: kann man mit 802.1x den Zugriff auf bestimmte VLANs steuern? Also Peter aus dem Einkauf darf in seiner Rolle nur Client und Office-Server VLAN, Mark aus der Verwaltung in seiner Rolle aber auch zusätzlich das IP-Kamera VLAN.
Auch hier gibt es zahlreiche Wege, abhängig von deiner Switch Hardware. Per Radius Attribute kannst du entweder ACLs mitgeben in der du genau das bestimmst oder du baust deine VLANs eben so auf, dass bei der dynamischen VLAN Zuweisung routing technisch alles so läuft wie du es dir wünschst.
Ich würde dir zur Automatisierung mit EAP TLS raten, indem du die Authentifizierung über die Computerobjekte machst, die CA per GPO die passenden Zertifikate verteilt und du eben noch per GPO den Dienst für die Authentifizierung für Kabelnetzwerke aktivierst und dort noch die 802.1x Authentifizierung an der Netzwerkkarte mitgibst.
Am Ende hast du im Idealfall auf allen Switchen bis auf wenige Ausnahmen eine einheitliche Switch Konfiguration und eine Authentifizierung die vollautomatisch läuft.
.
Ich schreib dir mal auf, was meiner Meinung nach best practice wäre, kosmetische Anpassungen fallen in jedem Laden anders aus
Aktuell befasse ich mich mit einer möglichen Absicherung des Netzwerkes und des Zugriffes darauf. Alles erst mal in der Theorie, später in einer kleinen Teststellung. Als Basis ist Folgendes schon vorhanden:
Zur grundlegenden Absicherung des Netzwerks dachte ich an eine Kombination aus 802.1x und dynamischen VLANs. Per Default bekommt jeder Client seitige Netzwerkport nur z.B. ein Gäste-Internet VLAN und erst nach entsprechender 802.1x Authentifizierung das entsprechende VLAN.
Hier stellen sich mir folgende Fragen:
- AD-Domäne mit interner CA (Benutzer- und Computerzertifikate werden verteilt)
- NPS-Server (nur für WPA2-Enterprise WLAN aktuell)
- L3-Core, L2-Access-Switche und Firewall sind für 802.1x (RADIUS) vorbereitet
Zur grundlegenden Absicherung des Netzwerks dachte ich an eine Kombination aus 802.1x und dynamischen VLANs. Per Default bekommt jeder Client seitige Netzwerkport nur z.B. ein Gäste-Internet VLAN und erst nach entsprechender 802.1x Authentifizierung das entsprechende VLAN.
Hier stellen sich mir folgende Fragen:
- Wie kann man eine Authentifizierung von Druckern/Kopierern vornehmen?
Die Authentifizierung von Druckern oder Kopieren setzt einen 802.1x Client an Bord voraus oder du machst die Authentifizierung per MAB, das wäre mein Rat, da der Aufwand nicht den Nutzen rechtfertigt. Du müsstest sonst eben noch manuell Zertifikate verteilen per CSR und die Drucker dann manuell pflegen vor Ablauf der Zertifikate, das lohnt sich nur wenn ein SCEP an Bord ist. Weiterhin benötigst du ein Computerobjekt in der AD, das Microsoft vor einiger Zeit das Certificate Mapping angepasst hat, steckt da jetzt schon Aufwand dahinter non domain joined Clients per EAP TLS zu authentifizieren.
Bau dir User in die AD, die dann die MAC Adresse des Druckers als Benutzernamen verwenden. Weiterhin musst du rausfinden, was deine Switch supporten und wie sie MAB verarbeiten, also welches Passwort sie an den Radius schicken. Bei manchen muss das Passwort dem Benutzernamen des ADUsers übereinstimmen, andere lassen ein globales Passwort zu. Findest du im Handbuch.
Gib das VLAN dynamisch über den NPS mit als Radius Attribut und nutze ein VLAN, welches per ACL nur ein Minimum in andere Netze freigibt, das kommt auf dein Netzwerk an.
* IP-Telefone mit Switchport - Voice VLAN über LLDP-MED, der PC-Port wie?
Wenn du den Rechner direkt an den embedded Switch des VoIP-Phone hängst, ist es notwendig in der 802.1x Config dafür zu sorgen, dass jeder Client am Switchport sich gesondert authentifiziert. Den Rest erledigt dann der NPS bei richtiger Config.
* Access-Points - aktuell Management VLAN - ein separates erstellen?
Ja, ebenso wie bei den Druckern ein separates VLAN und per MAB authentifizieren.Achte im besten Fall darauf wie bei den Druckern PEAP-MSCHAPv2 zu nutzen, das ist die aktuell sicherste Variante bei MAB, Faxen wie EAP MD5 oder CHAP oder PAP sind nur schwach verschlüsselt oder wie PAP überhaupt nicht. Weiterhin müsstest du sonst die umkehrbare Verschlüsselung von Passwörtern erlauben und in der Registry rumfummeln um EAP MD5 zum laufen zu bringen, würde von Microsoft aufgrund schwacher Schlüssel bereits deaktiviert.
Darüber hinaus: kann man mit 802.1x den Zugriff auf bestimmte VLANs steuern? Also Peter aus dem Einkauf darf in seiner Rolle nur Client und Office-Server VLAN, Mark aus der Verwaltung in seiner Rolle aber auch zusätzlich das IP-Kamera VLAN.
Auch hier gibt es zahlreiche Wege, abhängig von deiner Switch Hardware. Per Radius Attribute kannst du entweder ACLs mitgeben in der du genau das bestimmst oder du baust deine VLANs eben so auf, dass bei der dynamischen VLAN Zuweisung routing technisch alles so läuft wie du es dir wünschst.
Ich würde dir zur Automatisierung mit EAP TLS raten, indem du die Authentifizierung über die Computerobjekte machst, die CA per GPO die passenden Zertifikate verteilt und du eben noch per GPO den Dienst für die Authentifizierung für Kabelnetzwerke aktivierst und dort noch die 802.1x Authentifizierung an der Netzwerkkarte mitgibst.
Am Ende hast du im Idealfall auf allen Switchen bis auf wenige Ausnahmen eine einheitliche Switch Konfiguration und eine Authentifizierung die vollautomatisch läuft.
.
1
@AK-47.2 danke für die ausführliche Beschreibung. Werde ich auf jeden Fall testen. Die großen Kopierer können mit Zertifikaten zwar umgehen aber die anderen Geräte, die nicht so ein komplexes Webinterface haben, können dann wohl nur mit MAB authentifiziert werden.
Ich muss noch auf die neuen L2-Access-Switche warten (Cisco C1200), dann kann das los gehen mit den Tests.
Ich muss noch auf die neuen L2-Access-Switche warten (Cisco C1200), dann kann das los gehen mit den Tests.
Bedenke Bei deiner Planung immer die einheitliche Authentifizierung. Meiner Meinung nach reicht MAB bei den Druckern aus, separates VLAN mit einem Minimum an Freigaben per ACL.
Es bringt nichts einzelne Geräte in einem VLAN mit EAP TLS zu authentifizieren, wenn nicht jeder Drucker dies beherrscht und du einen Mix aus MAB und EAP TLS hast. Sollte ein Angreifer eine MAC herausfinden und fälschen, bringt dir EAP TLS auch nichts mehr.
Das Client Netz sollte durchgehend mit EAP TLS authentifiziert werden, da das Netz in der Regel das wertvollste ist, welches zu den Ports führt, die Mitarbeiter physisch erreichen können.
Ansonsten mein Tipp: setze dich mit deiner Switchhardware gründlich auseinander bezüglich 802.1x, plane und teste ausführlich.
Bedenke auch Besonderheiten: wie betankt ihr Rechner?
Auch hierfür kann ein Installationsnetz mit notwendigen Firewall freigaben sinnvoll sein, wo eben AD-Ports, Ports für die CA und eben der PXE-Server samt SMB Freigaben und TFTP erreicht werden müssen. Ist 802.1x einheitlich ausgerollt, benötigst du eben die Möglichkeit neue Clients zu authentifizieren. Da diese erst nach Betankung in der Domäne sind authetifizierst du diese eben zum Betanken per MAB oder machst bei bestimmten, physisch abgesicherten Switchports eine Ausnahme bezüglich 802.1x.
Es bringt nichts einzelne Geräte in einem VLAN mit EAP TLS zu authentifizieren, wenn nicht jeder Drucker dies beherrscht und du einen Mix aus MAB und EAP TLS hast. Sollte ein Angreifer eine MAC herausfinden und fälschen, bringt dir EAP TLS auch nichts mehr.
Das Client Netz sollte durchgehend mit EAP TLS authentifiziert werden, da das Netz in der Regel das wertvollste ist, welches zu den Ports führt, die Mitarbeiter physisch erreichen können.
Ansonsten mein Tipp: setze dich mit deiner Switchhardware gründlich auseinander bezüglich 802.1x, plane und teste ausführlich.
Bedenke auch Besonderheiten: wie betankt ihr Rechner?
Auch hierfür kann ein Installationsnetz mit notwendigen Firewall freigaben sinnvoll sein, wo eben AD-Ports, Ports für die CA und eben der PXE-Server samt SMB Freigaben und TFTP erreicht werden müssen. Ist 802.1x einheitlich ausgerollt, benötigst du eben die Möglichkeit neue Clients zu authentifizieren. Da diese erst nach Betankung in der Domäne sind authetifizierst du diese eben zum Betanken per MAB oder machst bei bestimmten, physisch abgesicherten Switchports eine Ausnahme bezüglich 802.1x.