Jump to content

Zugriff auf interne Netzwerk Ressourcen einschränken

Cynrik

Von Cynrik
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Cynrik Explorer

Cynrik   10

Geschrieben
Geschrieben

Hallo.

 

Ein Kunde möchte nur mehr bestimmte Endgeräte Zugriff auf seine internen Netzwerk Ressourcen von extern und intern erlauben.

Interne Netzwerk Ressourcen entspricht Netzwerk Freigaben, Remotedesktop Server, Remotedesktop Gateway, SQL Server, usw.

 

Was für Möglichkeiten gibt es, damit man nur bestimmten Computer Zugriff auf interne Netzwerk Ressourcen erlaubt?

 

Grüße,

Cynrik

Link zu diesem Kommentar
cj_berlin Veteran

cj_berlin   1.137

Geschrieben
Geschrieben

Moin,

 

die Frage, die man heutzutage stellen sollte: Meine ich wirklich "Computer" oder sprechen wir eigentlich von "Usern", denen der Zugriff gewährt werden soll oder nicht?

 

Für Computer im LAN gibt es als Mittel der Wahl das Network Access Control (NAC). Dies verbunden mit VLANs und Firewalls.

Für Computer außerhalb sprechen wir entweder von VPN oder von einer "Veröffentlichung". In beides kann man über das Gerätemanagement auch die Computer-Identität einarbeiten.

 

Im Sinne von Zero Trust soll man bei sowas eigentlich immer versuchen, den Zugriff primär durch die Identität des Users zu steuern.

Link zu diesem Kommentar
Cynrik Explorer

Cynrik   10

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Hallo,

 

Die MItarbeiter sollen nur mit den Geräten arbeiten, die ihnen vom Unternehmen zur Verfügung gestellt wird.

Sie dürfen zum Beispiel nicht von einem öffentlichen Computer (Flughafen, Hotel, Internet Cafe, ...) auf interne Zugriff zugreifen, oder private Endgeräte (Computer, Smartphones, Tablets,..) im LAN anstecken.

Also es ein Zero Trust Ansatz.

 

Für die Microsoft 365 Ressourcen lässt mit "Bedingter Zugriff" das Thema schon mal gut lösen.

Bei Zugriff von Internet auf interne Ressourcen und das sperren von unbekannten Endgeräte im LAN, muss ich noch eine Lösung finden.

 

Ich schau mir mal das NAC an.

bearbeitet von Cynrik
Link zu diesem Kommentar
Nobbyaushb Grand Master

Nobbyaushb   1.359

Geschrieben
Geschrieben
vor 21 Minuten schrieb Cynrik:

Bei Zugriff von Internet auf interne Ressourcen und das sperren von unbekannten Endgeräte im LAN, muss ich noch eine Lösung finden.

Das sollte eigentlich jeder halbwegs vernünftige Switch können, Sperren anhang der MAC-Adresse

Deine eigenen Geräte kennst du und hast eine Tabelle dafür, also los...

:-)

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.785

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

solche Anforderungen sind etwas aus der Mode geraten, weil sie sich nur sehr begrenzt wirklich umsetzen lassen. Sobald ein ausreichend kompetenter Angreifer ein erlaubtes Gerät in den Händen hat, ist es relativ wahrscheinlich, dass er die Zugriffs-Genehmigung auf ein anderes Gerät übertragen kann. Das kann man nur erschweren, aber nicht zuverlässig ausschließen. 

 

Das ist ein wesentlicher Grund, warum man von dem Fokus auf Geräte weg ist und den Benutzer in den Mittelpunkt stellt. Damit löst man auch nicht alles, aber da man die Rechtezuweisung zentral vornimmt und nicht an ein unkontrollierbares externes Gerät koppelt, ist es prinzipiell besser zu steuern.

 

Gruß, Nils

PS. die MAC-Adresse ist ein schönes Beispiel, wird immer als erstes genannt und ist so ziemlich am einfachsten zu spoofen.

 

bearbeitet von NilsK
Link zu diesem Kommentar
Cynrik Explorer

Cynrik   10

Geschrieben
  • Autor
Geschrieben
vor 53 Minuten schrieb NilsK:

Das ist ein wesentlicher Grund, warum man von dem Fokus auf Geräte weg ist und den Benutzer in den Mittelpunkt stellt. Damit löst man auch nicht alles, aber da man die Rechtezuweisung zentral vornimmt und nicht an ein unkontrollierbares externes Gerät koppelt, ist es prinzipiell besser zu steuern.

Die Annahme ist, das fremde Geräte unsicher sind.

Hat sich an der Herngehensweise etwas geändert?

Wie sieht dann eine mögiche Umsetzung aus?

 

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.785

Geschrieben
Geschrieben

Moin,

 

nein, gerade weil man annimmt, dass fremde Geräte unsicher sind, legt man den Fokus heute anders. Man hat nämlich parallel eingesehen, dass man fremde Geräte nicht wirksam aussperren kann. Und dass man auch bekannten Geräten nicht unbedingt trauen kann.

 

Allenfalls könnte dies ein zusätzlicher Mechanismus sein, aber das primäre Paradigma lautet heute "Identity is the new perimeter", sprich jeder Zugriff muss geprüft und authentifiziert werden, auch wenn er von einem bekannten Gerät kommt (bzw. zu kommen scheint).

 

Gruß, Nils

 

  • Like 2
Link zu diesem Kommentar
cj_berlin Veteran

cj_berlin   1.137

Geschrieben
Geschrieben
vor einer Stunde schrieb Cynrik:

Die Annahme ist, das fremde Geräte unsicher sind.

 

Die ist auch korrekt. Irrig hingegen ist die implizite, nicht ausgesprochene, aber dennoch bestehende Annahme, dass nicht-fremde Geräte nicht unsicher sind :-)

 

So richtig umsetzen kannst Du aber nur, wenn Du von den Downlevel-Protokollen wie SMB, SQL usw. wegkommst und alles nur über "moderne" Zugriffsprotokolle, also Abwandlungen von HTTPS, läuft. Bis das umgesetzt wurde, bleibt Dir eine Firewall, die Benutzer-Anmeldungen auswertet und das Regelwerk aufgrund der User-Identität dynamisch anpasst.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...