Jump to content

Hafnium, was lernen wir daraus und was können wir besser machen?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Moin, so das Thema Hafnium haben wir ja jetzt vollständig durch oder?
Mein Hafnium Post - war das ein Erlebnis!!! 

Nein, haben wir nicht!

 

Was kann man tun, damit so etwas nicht mehr auftritt oder was kann man an der aktuellen Situation verbessern?

 

Was sagt oder besser empfehlt ihr eueren Kunden?

Da bin ich jetzt mal gespannt. :grins2:

Edited by magicpeter
Link to post

Moin,

ich empfehle - meist vergebens - meinen Kunden den Split Permissions Mode fast so lange wie es das gibt.

Ich empfehle - mit noch geringeren Erfolgsraten - Exchange grundsätzlich in einem separaten Resource Forest zu betreiben. Und dort wieder mit Split Permissions. Und den Trust des Ressource Forest gegenüber dem User Forest zu filtern.

Ich empfehle, Active Directory weder als Identity Management noch als Configuration Management zu missverstehen und folglich zu missbrauchen.

Ich empfehle, Admins in die Protected User oder, besser, in ein Authentication Silo. Und das kombiniert mit Tiering.

 

Die ersten zwei hätten die Übernahme des User Forests im vorliegenden Fall verhindert. Der dritte Punkt hätte, wenn man ihn konsequent umsetzt, den Wiederaufbau nach einer möglichen Übernahme des User Forests zu einer planbaren Übung statt zu einem Disaster gemacht.

 

In der Realität? Die Admins wollen doch nur Bequemlichkeit. Lieber alle paar Jahre einen Breach und Stress und Nachtschichten, als irgendwas in den eigenen Abläufen zu ändern.

  • Like 3
Link to post
vor 2 Stunden schrieb zahni:

Keine Exchange-Dienste außer SMTP ins Internet hängen. Für den mobilen Zugriff gibt es andere Lösungen, z.B. von Blackberry.

...und die sind definitiv und erwiesenermaßen unhackbar und frei von Fehlern, die eine Sicherheitslücke offen lassen ;-)

Link to post

Sicherheitsmechanismen und Konzepte gibt es viele.

 

Wichtig ist in jedem Fall. Patchen.

Ein Tiering Modell ist in jedem Fall auch relativ einfach umzusetzen, ergibt etwas mehr Sicherheit und ist auch eine Basis für andere Sicherheitskonzepte.

 

Link to post
vor 16 Stunden schrieb zahni:

Keine Exchange-Dienste außer SMTP ins Internet hängen. Für den mobilen Zugriff gibt es andere Lösungen, z.B. von Blackberry.

 

Moin, ja aber wenn der Kunde iPhones und Outlook auf seinem PC nutzen möchte sieht das schon schlecht aus oder?
Gibt es da auch eine sichere Lösung?

 

 

vor 11 Stunden schrieb Dukel:

Sicherheitsmechanismen und Konzepte gibt es viele.

 

Wichtig ist in jedem Fall. Patchen.

Ein Tiering Modell ist in jedem Fall auch relativ einfach umzusetzen, ergibt etwas mehr Sicherheit und ist auch eine Basis für andere Sicherheitskonzepte.

 

Patchen ist schon sehr wichtig. Wie erfährt man dann wenn neue Patches rauskommen?
Wir Patchen einmal pro Monat alle Kunden durch. Das könnte aber schon zu spät sein bei einem Angriff wie Hafnium!

 

Mein du so etwas wie Admin Tiers?
https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherheit-teil-1/

 

Link to post

@magicpeter

Ganz einfache Lösung - VPN. Damit können sowohl Laptops auch Handis eine Verbindung  aufbauen. Ich selber habe allerdings ActiveSync über Benutzerzertifikate, eigenes virtuelles Verzeichnis (eigene IIS Seite), GEO-IP an der Firewall, Allowed DeviceIds abgesichert. Ich bin noch am Recherchieren bzgl. eines Reverse Proxy für EAS.

 

 

Edited by winmadness
Link to post
Posted (edited)
vor 37 Minuten schrieb winmadness:

@magicpeter

Ganz einfache Lösung - VPN. Damit können sowohl Laptops auch Handis eine Verbindung  aufbauen. Ich selber habe allerdings ActiveSync über Benutzerzertifikate, eigenes virtuelles Verzeichnis (eigene IIS Seite), GEO-IP an der Firewall, Allowed DeviceIds abgesichert. Ich bin noch am Recherchieren bzgl. eines Reverse Proxy für EAS.

 

 

OK, über einen VPN-Tunnel arbeiten ja auch schon einige Benutzer mit Ihren Laptops aber ein iPhone hat bisher noch keinen VPN gehabt, aber warum nicht. Dann können alle Ports aus 25 zu bleiben und die Benutzer können trotzdem E-Mails abholen.

 

Welche VPN-Lösung (App) nutzt du für das iPhone?

 

Ich teste einmal die OpenVPN Connec‪t‬ App und sag euch wie es klappt.

Edited by magicpeter
Link to post

@magicpeter

Wie beschrieben, habe ich EAS über andere Wege abgesichert. iOS hat einen eigenen VPN Client (über App Einstellungen -> VPN). Ob Du eine eigene App benötigst kommt auf die VPN Server Sofware / Protokoll an. Der eingebaute Client kann IKEv2, IPSec und L2TP, kommt aber nicht mit allen VPN Servern / Protokollen klar. Für OpenVPN gibt es z.B. eine eigene App.

Für SMTP (25) auf jeden Fall noch einen MTA vor dem Exchange Server stellen, unter anderem zur Spamfilterung.

Edited by winmadness
Sch...ß Legasthenie
  • Like 1
Link to post
Posted (edited)
vor 21 Stunden schrieb winmadness:

@magicpeter

Wie beschrieben, habe ich EAS über andere Wege abgesichert. iOS hat einen eigenen VPN Client (über App Einstellungen -> VPN). Ob Du eine eigene App benötigst kommt auf die VPN Server Sofware / Protokoll an. Der eingebaute Client kann IKEv2, IPSec und L2TP, kommt aber nicht mit allen VPN Servern / Protokollen klar. Für OpenVPN gibt es z.B. eine eigene App.

Für SMTP (25) auf jeden Fall noch einen MTA vor dem Exchange Server stellen, unter anderem zur Spamfilterung.

 

War bereits eingerichtet:

Exchange Server mit MTA in der Firewall absichern
1. Der MTA ist auf der Firewall (Lancom UF-200) und prüft alle eingehenden E-Mails auf Schadsoftware und Spam.

 

Wird jetzt auf jedem externen Client (PC, Mac, iPhone,etc) eingerichtet:

Exchange Server absichern - Ports schließen

VPN-Tunnel und iPhone Mail über VPN-Tunnel nutzen

 

1. Exchange Server Ports bis auf 25 in der DMZ schließen


2. Firewall VPN-Tunnel zum LAN / Exchange Server einrichten

VPN-Konfigfile exportieren

3. OpenVPN Connect App auf dem iPhone einrichten
kein besonderen Einstellung im VPN-Client/Konfigfile notwendig (DNS, Gateway)

VPN-Konfigfile importieren


4. Exchange E-Mail Konto einrichten

bestehende E-Mail Konten können weiter genutzt werden
 

Danke dir für einen Kommentar, das hat mir sehr geholfen.

 

Edited by magicpeter
Link to post

Hallo Peter,

wenn Du Dein System weiter absichern willst, hätte ich noch einige Ideen:

  • auf der Firewall Geo IP zur Blockierung von unberechtigten Anfragen. Ich nutze die Datenbank von MaxMind
  • Proxy für ausgehende Verbindungen
  • Block bzw. Begrenzung aller ausgehenden Verbindungen für die Windows Server (Exchange, DC, Fileserver), benötigt einen WSUS
Edited by winmadness
Link to post
vor 2 Stunden schrieb winmadness:

Hallo Peter,

wenn Du Dein System weiter absichern willst, hätte ich noch einige Ideen:

  • auf der Firewall Geo IP zur Blockierung von unberechtigten Anfragen. Ich nutze die Datenbank von MaxMind
  • Proxy für ausgehende Verbindungen
  • Block bzw. Begrenzung aller ausgehenden Verbindungen für die Windows Server (Exchange, DC, Fileserver), benötigt einen WSUS

Oh, danke für deinen Input. 

Das mit dem Geo IP Filter zur Blockierung unberechtigter Anfragen find ich sehr interessant.

 

Ich habe direkt einmal eine Support anfragen an Lancom gestellt. Wir setzen vorrangig die UF-200 von Lancom ein.

 

vor 3 Stunden schrieb winmadness:

Hallo Peter,

wenn Du Dein System weiter absichern willst, hätte ich noch einige Ideen:

  • auf der Firewall Geo IP zur Blockierung von unberechtigten Anfragen. Ich nutze die Datenbank von MaxMind
  • Proxy für ausgehende Verbindungen
  • Block bzw. Begrenzung aller ausgehenden Verbindungen für die Windows Server (Exchange, DC, Fileserver), benötigt einen WSUS

Wie funktioniert bei dir das GeoBlocking?
Mit welcher Firewall hast du das realisiert?

Link to post
vor 32 Minuten schrieb magicpeter:

Wie funktioniert bei dir das GeoBlocking?
Mit welcher Firewall hast du das realisiert?

Hallo Peter,

ich verwende OPNSense. Das GEO Blocking ist dort direkt integriert. Im Grunde liefert MaxMind eine Liste mit IP Adressen und Länderbezug. OPNSense importiert diese Liste und stellt diese in sog. Alias zur Verfügung. Somit kann man z.B. einen Alias anlegen, in dem nur Deutschland aktiviert ist. Dieses Alias wird in der Firewall als "Source IP" eingetragen und als "Invert" gekennzeichnet. Diese Regel blockt dann alle Anfragen, ausser aus Deutschland. Oder man verwendet das Alias für einen bestimmten Port (z.B. EAS) und erlaubt mit der Firewall Regel Zugriffe nur aus Deutschland.

Link to post
Posted (edited)
vor 23 Stunden schrieb winmadness:

Hallo Peter,

ich verwende OPNSense. Das GEO Blocking ist dort direkt integriert. Im Grunde liefert MaxMind eine Liste mit IP Adressen und Länderbezug. OPNSense importiert diese Liste und stellt diese in sog. Alias zur Verfügung. Somit kann man z.B. einen Alias anlegen, in dem nur Deutschland aktiviert ist. Dieses Alias wird in der Firewall als "Source IP" eingetragen und als "Invert" gekennzeichnet. Diese Regel blockt dann alle Anfragen, ausser aus Deutschland. Oder man verwendet das Alias für einen bestimmten Port (z.B. EAS) und erlaubt mit der Firewall Regel Zugriffe nur aus Deutschland.

Moin Winmadness,
das klingt doch schon mal sehr gut. Die Lancom Firewall setzt Intrusion Detection / Prevention System („IDS/IPS“) ein das ist so etwas ähnliches. Nur nicht so allgemein sondern sehr spezifisch.
 

Das Intrusion Detection / Prevention System („IDS/IPS“) pflegt eine Datenbank bekannter Bedrohungen, um die Computer in Ihrem Netzwerk vor einem breiten Spektrum von feindlichen Angriffen zu schützen, Warnmeldungen auszugeben, wenn solche Bedrohungen festgestellt werden, und die Kommunikationsverbindung zu feindlichen Quellen zu beenden. Das System zur Erkennung und Bekämpfung von Netzwerkbedrohungen basiert auf Suricata.

 

 

Seine Bedrohungsdatenbank besteht aus einem von ProofPoint bereitgestellten, ausführlichen Regelsatz. Dieser Regelsatz enthält eine Blacklist mit IP-Adressen, Muster zur Erkennung von Malware in Kommunikationsverbindungen, Muster für Netzwerk-Scans, Muster für Brute-Force-Angriffe und mehr. Im IDS-Modus generiert die IDS / IPS-Vorrichtung lediglich Warnmeldungen, wenn eine Regel auf den Datenverkehr zutrifft. Im IPS-Modus generiert die IDS / IPS-Vorrichtung Warnmeldungen und blockiert bösartigen Datenverkehr zusätzlich. Sobald Sie IDS / IPS aktivieren, sind alle Regeln standardmäßig aktiv. Falls Dienste fälschlicherweise im Netzwerk von IDS / IPS blockiert werden, können Sie die IDS / IPS-Vorrichtung so konfigurieren, dass sie die Regel ignoriert, die den falschen Alarm ausgelöst hat. 

Edited by magicpeter
Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...