wznutzer 32 Geschrieben 16. Januar Melden Teilen Geschrieben 16. Januar (bearbeitet) Guten Tag, ich habe die Anforderung für ein Partnerunternehmen eine Applikation zur Verfügung zu stellen. Da ich die IT des Partnerunternehmens als nicht vertrauenswürdig einstufe, soll das komplett getrennt von *meinem* Netz stattfinden. Das Partnerunternehmen hat ein AD und würde auch gerne die Benutzer aus diesem AD verwenden. Da ich die IT des Unternehmens als "Kraut und Rüben" einstufe, will ich alle Eventualitäten absichern. Lokal bei mir ein separates VLAN, von diesem VLAN gibt es keinerlei erlaubte eingehende Verbindungen in die anderen Netze ==> VLAN 90 Die VMs laufen auf einem separaten Host, der ebenfalls in einem separaten VLAN ist ==> VLAN 91 VPN vom Partnerunternehmen in das lokale VLAN 90 Lokal gibt es ein SQL-Server, RDSH und ein RDSH-Gateway Die Applikation wird auf dem RDSH installiert. Auf dem RDSH ist Applocker aktiv und natürlich korrekt konfiguriert. Zugriff auf die Applikation / RDSH nur via HTML5-Client oder RDP-Client, Port 443 (über das Gateway) Direkte RDP-Verbindungen würden vom Partnerunternehmen aus nicht erlaubt, ebenso die Anmeldung mit lokalen Usern. Bis auf den Host würde ich alle VMs in das AD des Partnerunternehmens aufnehmen, so können die Nutzer ihre gewohnten Zugangsdaten verwenden. Firewallkonfiguration vom Partnerunternehmen in das VLAN, HTTPS und alles was die Domäne braucht: https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts Nun stelle ich mir die Frage, ob es irgendeinen denkbaren Weg gibt, wie Malware aus dieser Umgebung ausbrechen und auf mein lokales Netzwerk übergreifen könnte. Zugangsdaten aus dem lokalen Netzwerk landen niemals im VLAN 90/91. Es gibt keine erlaubten eingehenden Verbindungen aus dem VLAN 90/91 in *mein* Netz. Auch die Firewall ist nicht aus diesem VLAN erreichbar (Konsole, Konfigurationswebseite), ebenso natürlich nicht die Switche, einfach nichts. Aber Es wird per RDP / HTML5 vom lokalen Netzwerk auf die Applikation im VLAN zugegriffen ==> Sicherheitslücke im RDP-Client die sich irgendwie ausnützen lässt. Ein Backup (SQL-Server *.bak) der Applikation ist notwendig und soll in das lokale Backup integriert werden. Dazu würde aber das Backup aus dem lokalen Netzwerk abgeholt. Also eine ausgehende Verbindung vom lokalen Netzwerk per SMB in das VLAN 90/91. Solles es jemand schaffen die Domäne des Partnerunternehmens zu übernehmen, könnte dieser jemand z. B. per GPO (Anmeldeskripte usw.) versuchen Malware auf dem RDSH zu installieren. Fazit: Es ist nicht auszuschließen, dass die VMs kompromittiert werden, weil diese eben Mitglied der unsicheren Domäne sind. Der einzig denkbare Weg wie die Malware (lateral Movement) in *meinem* Netzwerk aktiv werden könnte, wäre der Weg über den RDP-Client. Liege ich hier richtig oder habe ich an etwas nicht gedacht? Grüße und noch einen schönen Tag. bearbeitet 16. Januar von wznutzer Link hinzugefügt Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.