Cynrik 10 Posted August 30 Report Share Posted August 30 Hallo. Ein Kunde möchte nur mehr bestimmte Endgeräte Zugriff auf seine internen Netzwerk Ressourcen von extern und intern erlauben. Interne Netzwerk Ressourcen entspricht Netzwerk Freigaben, Remotedesktop Server, Remotedesktop Gateway, SQL Server, usw. Was für Möglichkeiten gibt es, damit man nur bestimmten Computer Zugriff auf interne Netzwerk Ressourcen erlaubt? Grüße, Cynrik Quote Link to comment
cj_berlin 970 Posted August 30 Report Share Posted August 30 Moin, die Frage, die man heutzutage stellen sollte: Meine ich wirklich "Computer" oder sprechen wir eigentlich von "Usern", denen der Zugriff gewährt werden soll oder nicht? Für Computer im LAN gibt es als Mittel der Wahl das Network Access Control (NAC). Dies verbunden mit VLANs und Firewalls. Für Computer außerhalb sprechen wir entweder von VPN oder von einer "Veröffentlichung". In beides kann man über das Gerätemanagement auch die Computer-Identität einarbeiten. Im Sinne von Zero Trust soll man bei sowas eigentlich immer versuchen, den Zugriff primär durch die Identität des Users zu steuern. Quote Link to comment
Cynrik 10 Posted August 31 Author Report Share Posted August 31 (edited) Hallo, Die MItarbeiter sollen nur mit den Geräten arbeiten, die ihnen vom Unternehmen zur Verfügung gestellt wird. Sie dürfen zum Beispiel nicht von einem öffentlichen Computer (Flughafen, Hotel, Internet Cafe, ...) auf interne Zugriff zugreifen, oder private Endgeräte (Computer, Smartphones, Tablets,..) im LAN anstecken. Also es ein Zero Trust Ansatz. Für die Microsoft 365 Ressourcen lässt mit "Bedingter Zugriff" das Thema schon mal gut lösen. Bei Zugriff von Internet auf interne Ressourcen und das sperren von unbekannten Endgeräte im LAN, muss ich noch eine Lösung finden. Ich schau mir mal das NAC an. Edited August 31 by Cynrik Quote Link to comment
Nobbyaushb 1,168 Posted August 31 Report Share Posted August 31 vor 21 Minuten schrieb Cynrik: Bei Zugriff von Internet auf interne Ressourcen und das sperren von unbekannten Endgeräte im LAN, muss ich noch eine Lösung finden. Das sollte eigentlich jeder halbwegs vernünftige Switch können, Sperren anhang der MAC-Adresse Deine eigenen Geräte kennst du und hast eine Tabelle dafür, also los... Quote Link to comment
NilsK 2,550 Posted August 31 Report Share Posted August 31 (edited) Moin, solche Anforderungen sind etwas aus der Mode geraten, weil sie sich nur sehr begrenzt wirklich umsetzen lassen. Sobald ein ausreichend kompetenter Angreifer ein erlaubtes Gerät in den Händen hat, ist es relativ wahrscheinlich, dass er die Zugriffs-Genehmigung auf ein anderes Gerät übertragen kann. Das kann man nur erschweren, aber nicht zuverlässig ausschließen. Das ist ein wesentlicher Grund, warum man von dem Fokus auf Geräte weg ist und den Benutzer in den Mittelpunkt stellt. Damit löst man auch nicht alles, aber da man die Rechtezuweisung zentral vornimmt und nicht an ein unkontrollierbares externes Gerät koppelt, ist es prinzipiell besser zu steuern. Gruß, Nils PS. die MAC-Adresse ist ein schönes Beispiel, wird immer als erstes genannt und ist so ziemlich am einfachsten zu spoofen. Edited August 31 by NilsK Quote Link to comment
Nobbyaushb 1,168 Posted August 31 Report Share Posted August 31 vor 6 Minuten schrieb NilsK: PS. die MAC-Adresse ist ein schönes Beispiel, wird immer als erstes genannt und ist so ziemlich am einfachsten zu spoofen. Stimmt, ich bezweifle aber das ein "normaler" Anweder sowas kann Zumindest ist es erst mal der Anfang einer Hürde, ansonsten bin ich bei dir Quote Link to comment
Sunny61 721 Posted August 31 Report Share Posted August 31 vor einer Stunde schrieb Cynrik: das sperren von unbekannten Endgeräte im LAN, muss ich noch eine Lösung finden. 802.1x ist intern ein Teil von vielen Bausteinen. https://de.wikipedia.org/wiki/IEEE_802.1X Quote Link to comment
Cynrik 10 Posted August 31 Author Report Share Posted August 31 vor 53 Minuten schrieb NilsK: Das ist ein wesentlicher Grund, warum man von dem Fokus auf Geräte weg ist und den Benutzer in den Mittelpunkt stellt. Damit löst man auch nicht alles, aber da man die Rechtezuweisung zentral vornimmt und nicht an ein unkontrollierbares externes Gerät koppelt, ist es prinzipiell besser zu steuern. Die Annahme ist, das fremde Geräte unsicher sind. Hat sich an der Herngehensweise etwas geändert? Wie sieht dann eine mögiche Umsetzung aus? Quote Link to comment
NilsK 2,550 Posted August 31 Report Share Posted August 31 Moin, nein, gerade weil man annimmt, dass fremde Geräte unsicher sind, legt man den Fokus heute anders. Man hat nämlich parallel eingesehen, dass man fremde Geräte nicht wirksam aussperren kann. Und dass man auch bekannten Geräten nicht unbedingt trauen kann. Allenfalls könnte dies ein zusätzlicher Mechanismus sein, aber das primäre Paradigma lautet heute "Identity is the new perimeter", sprich jeder Zugriff muss geprüft und authentifiziert werden, auch wenn er von einem bekannten Gerät kommt (bzw. zu kommen scheint). Gruß, Nils 2 Quote Link to comment
cj_berlin 970 Posted August 31 Report Share Posted August 31 vor einer Stunde schrieb Cynrik: Die Annahme ist, das fremde Geräte unsicher sind. Die ist auch korrekt. Irrig hingegen ist die implizite, nicht ausgesprochene, aber dennoch bestehende Annahme, dass nicht-fremde Geräte nicht unsicher sind So richtig umsetzen kannst Du aber nur, wenn Du von den Downlevel-Protokollen wie SMB, SQL usw. wegkommst und alles nur über "moderne" Zugriffsprotokolle, also Abwandlungen von HTTPS, läuft. Bis das umgesetzt wurde, bleibt Dir eine Firewall, die Benutzer-Anmeldungen auswertet und das Regelwerk aufgrund der User-Identität dynamisch anpasst. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.