Weingeist 157 Geschrieben 16. März 2022 Melden Teilen Geschrieben 16. März 2022 vor 6 Minuten schrieb NorbertFe: Ausgehend is ja eher egal, also Kommunikation von Adress-Range wäre interessanter. Ich definiere mittlerweile immer In und Out inkl. der erlaubten Adress-Ranges für jeden Client/Server. Ein Betriebsfremder PC kommt so auch mit ihm bekannten Credentials nicht ohne weiteres auf irgendwas drauf und vor allem, wird protokolliert. Schafft mir angenehmerweise auch gleich die Telemetrie (teilweise) vom Hals. Auch Out-Traffic für etwas kritischere Protokolle ist dann auch Clientmässig begrenzt. Obs was nützt, keine Ahnung. Halt eine (kleine) Hürde mehr. Mit deaktiviertem IPv6 ist das easy, ohne halt mühsamer und doppelter Pflegeaufwand. Server brauchen halt fixe IP's, im kleinen eh kein Problem bzw. einfacher. Mit ein paar Funktionen des ISA/TMG wäre es deutlich einfacher. Frage mich heute noch ob das nur eine GUI für bestehende aber schlecht dokumentiere Möglichkeiten ist oder ob tatsächlich eigene Funktionalität rein kommt. =) Ist halt das erste mal ein Mordsaufwand. Insbesondere wenn man nciht auf der grünen Wiese beginnen kann. Mit der Zeit hat man aber den dreh raus. Automatisieren ist nicht ganz trivial/aufwändig und erfordert eine gewisse Disziplin (Erweiterung der Konfig-Scripts für Firewall-Regeln). Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 16. März 2022 Melden Teilen Geschrieben 16. März 2022 vor 6 Minuten schrieb Weingeist: Ein Betriebsfremder PC kommt so auch mit ihm bekannten Credentials nicht ohne weiteres auf irgendwas drauf und vor allem, wird protokolliert. Einen betriebsfremden PC unterscheidest du an der Hostfirewall des Servers wie? Anhand der IP ja dann offenbar nicht. Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 16. März 2022 Melden Teilen Geschrieben 16. März 2022 vor einer Stunde schrieb NorbertFe: Einen betriebsfremden PC unterscheidest du an der Hostfirewall des Servers wie? Anhand der IP ja dann offenbar nicht. Doch, ein betriebsfremder erhält ja automtisch eine IP aus dem DHCP Range und jeglicher Zugriff auf die alle/meisten Server und alle Clients wird verwehrt. Gibt so immerhin Log-Einträge und Fehlermeldungen von doppelten IP's etc. wenn er selber eine IP bestimmt. Ich lege sogar die Local-IP für Allow-Regeln fest, damit Mehrfach-IPs pro Adapter nicht ziehen, sprich solange die BFE filtert, solange wird protokolliert wenn etwas geblockt wird. Auch wenn es eine doppelte IP ist. Wenn BFE nicht filtert, dann gibts Fehlermeldungen weil der Dienst nicht läuft und dann ist eh etwas gröber im Argen. Auch Schreibzugriff auf Static-Firewall-Freigaben wird abgedreht/kontrolliert, sprich System hat kein Änderungsrecht (wird eh nur bei Installation angerührt). --> Ich hab meistens fixe und kleine Umgebungen mit sehr wenig mobilen Geräten. Da geht sowas ganz gut. Alles was LAN ist, hat dann fixe IP's. Wenn einer wirklich mehrere LAN's braucht, dann gibts nen kleines Script welches von DHCP auf fix wechselt und anders rum. Mit Umweg über Taskplaner aufgrund der Credentials. Einrichtungsaufwand etwas höher, Wartungsaufwand - so meine Erfahrung - über alles gesehen tiefer. Fixe IP's schaffen mir sämtliche Probleme von Stromunterbrüchen vom Hals. Server wieder hochfahren und gut ist, egal ob die Clients vorher schon oben waren. Fehlendes/geblocktes IPv6 gibt mir weniger Verwaltungsaufwand für die Firewall. ;) Wie gross der Nutzen ist? Keine Ahnung, ist halt hochgradig unüblich und daher stolpert vielleicht die eine oder andere Malware bezüglich verbreitung. Und es wird etwas protokolliert das zudem einfach auszuwerten ist. Insbesondere wenn Telemetrie auch grösstmöglich abgedreht ist. Aber insgesamt gibt es mir weniger Verwaltungsaufwand auch wenn der Einrichtungsaufwand grösser ist. Aber auch überschaubar, wenn es die Regel ist. Erschlage das ja eh mit Scripts. Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 16. März 2022 Melden Teilen Geschrieben 16. März 2022 vor 33 Minuten schrieb Weingeist: Doch, ein betriebsfremder erhält ja automtisch eine IP aus dem DHCP Range und jeglicher Zugriff auf die alle/meisten Server und alle Clients wird verwehrt. Und wie verhinderst du jetzt an der Stelle den Zugriff auf den Server, wenn in der Hostfirewall des Servers dieses IP Segment frei ist, oder trägst du in jeden Server nur die erlaubten IPs der bekannten PCs ein? Ich mein, irgendwie muss ja im Zweifel eine Unterscheidung zwischen betriebseigenen und -fremden PCs erfolgen. Klingt jetzt nicht nach 802.1x bei dir, was dann ja ohne Firewall lösbar wäre. Zitieren Link zu diesem Kommentar
MurdocX 904 Geschrieben 16. März 2022 Melden Teilen Geschrieben 16. März 2022 Es sei in die Runde geschmissen, dass genannte Punkte nicht bzw. sehr begrenzt die Sicherheit erhöhen. Wichtige Punkte wie Pass-The-Hash, Ausführungsverhinderung oder Admin Impersonation vermisse ich. Mit 802.1X wäre ein Anfang in die Richtung gemacht. Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 17. März 2022 Melden Teilen Geschrieben 17. März 2022 vor 21 Stunden schrieb NorbertFe: Und wie verhinderst du jetzt an der Stelle den Zugriff auf den Server, wenn in der Hostfirewall des Servers dieses IP Segment frei ist, oder trägst du in jeden Server nur die erlaubten IPs der bekannten PCs ein? Ich mein, irgendwie muss ja im Zweifel eine Unterscheidung zwischen betriebseigenen und -fremden PCs erfolgen. Klingt jetzt nicht nach 802.1x bei dir, was dann ja ohne Firewall lösbar wäre. Jo, so mache ichs normal im kleinen. 802.1x wäre logischerweise sinnvoller/zusätzlich besser. Bin da auch schon länger am überlegen ob ich das standardisiert einführen könnte. Bis dato hat mich der Aufwand aber abgeschreckt. Also nicht Initial sondern Wartung, Pflege, Fehlerfall etc. WLAN würde ich mich nicht getrauen ohne zu betreiben, aber WLAN setze ich aufgrund der Risiken wie Parkplatztäter, Kiddies mit Spieltrieb, Mitarbeiter mit ihren Privat-Geräten, Monteure mit Laptops etc. sowie dem Absicherungs- und Wartungs- und Monitoring-Aufwandes bis dato nie ein. Schwatze ich immer allen aus. Aber auch da kommen mit Tablets in der Produktionsumgebungen so langsam Anforderungen aufs Tapet, wo eine komplette WLAN-Verweigerung immer schwieriger zu halten ist. Bis jetzt konnte ich immer Kabel-Alternativen aufzeigen. =) Ist immer die Frage wo und wie man die Kompromisse macht. Am Ende des Tages verhindert meines Wissen auch ein 802.1.X keine Kommunikation mit einem anderen Client. Hat er ein Zertifikat, darf er sich im Netz tummeln. So richtig in verschiedene VLANs stecken kann man die Abteilungen ja auch nicht, sonst brauchts wieder Router zwischen den Segmenten und den Servern. Im kleinen wieder too much. Allgemeine Komplexität wird halt massiv hochgeschraubt. Am Ende muss man ein System auch noch "leben" können, sonst bringt alles nix. Ein Einstöpseln vor Ort eines fremden Gerätes erfordert zudem eine gewisse lokale Kriminialität und dieses Risiko ist im kleinen - sofern man nicht in der Rüstung oder sonstigem Unternehmen von Belang tätig ist - doch eher gering. Vielleicht eine Fehlseinschätzung, vielleicht auch nicht. *schulterzuck* Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 17. März 2022 Melden Teilen Geschrieben 17. März 2022 vor 38 Minuten schrieb Weingeist: sofern man nicht in der Rüstung oder sonstigem Unternehmen von Belang tätig ist - doch eher gering. Vielleicht eine Fehlseinschätzung, vielleicht auch nicht. *schulterzuck* Immer die Frage was für wen "von Belang" ist. Bei Stadtwerken "kann" sowas so aussehen: https://www.tagesspiegel.de/gesellschaft/medien/cyberwar-bedingt-abwehrbereit/9763108.html Aber wenn du dir die Arbeit hinsichtlich IP und Firewall sowieso machst, warum dann nicht so, dass es technisch auf der richtigen Ebene abläuft? Wer nicht ins Netz reinkommt, hat schonmal andere Hürde. Danach kann man das Thema Abschottung ja trotzdem noch klären. Bei einigen Kunden kommt man mit Fremdgeräten eben automatisch nur ins Gast LAN bzw. in Quarantäne. Bye Norbert Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 24. März 2022 Melden Teilen Geschrieben 24. März 2022 Am 17.3.2022 um 11:51 schrieb NorbertFe: Aber wenn du dir die Arbeit hinsichtlich IP und Firewall sowieso machst, warum dann nicht so, dass es technisch auf der richtigen Ebene abläuft? Wer nicht ins Netz reinkommt, hat schonmal andere Hürde. Danach kann man das Thema Abschottung ja trotzdem noch klären. Bei einigen Kunden kommt man mit Fremdgeräten eben automatisch nur ins Gast LAN bzw. in Quarantäne. Da hast Du ja durchaus recht, bis jetzt hat mich schlicht der Zusatzaufwand davon abgehalten. Sprich allfällige zusätzliche Infrastruktur-Server + deren Pflege, Sicherung der Up-Time etc. Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 24. März 2022 Melden Teilen Geschrieben 24. März 2022 "Ich habe keine Zeit meine Säge zu schärfen - ich muss Bäume fällen". SCNR 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.