40
Firewall ohne L2-Trennung ?
Ich will einem Freund eine "HW"-Firewall in sein Netz (kleine Firma, 5 PC an Fritzbox) bauen.
Die Zyxel-FW hat (natürlich) Ports für WAN und LAN, per default wird gar nix reingeroutet.
Ich habe die Ports für teamviewer aufgemacht.
Jetzt die Frage :
Damit im Fehlerfall (meine Fehler
die Konfiguration schnell wieder rückgängig gemacht werden kann, denke ich daran, die WAN - und LAN- Connections in das selbe Layer 2 - Netz zu kontaktieren, also einfach alles in die Fritzbox. Lediglich über die default-gateway Einträge der Rechner wird dann der Internetverkehr in Layer 3 über die FW laufen.
(Sowas ähnliches hatte ich mit einer Linux-basierten FW in einem anderen Netz schon mal einige Jahre problemlos laufen.)
Gibts da grobe Sicherheitsbedenken ?
Dankbar für jeden Tipp, kanngarnix
Die Zyxel-FW hat (natürlich) Ports für WAN und LAN, per default wird gar nix reingeroutet.
Ich habe die Ports für teamviewer aufgemacht.
Jetzt die Frage :
Damit im Fehlerfall (meine Fehler
die Konfiguration schnell wieder rückgängig gemacht werden kann, denke ich daran, die WAN - und LAN- Connections in das selbe Layer 2 - Netz zu kontaktieren, also einfach alles in die Fritzbox. Lediglich über die default-gateway Einträge der Rechner wird dann der Internetverkehr in Layer 3 über die FW laufen.(Sowas ähnliches hatte ich mit einer Linux-basierten FW in einem anderen Netz schon mal einige Jahre problemlos laufen.)
Gibts da grobe Sicherheitsbedenken ?
Dankbar für jeden Tipp, kanngarnix
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4928339868
Url: https://administrator.de/contentid/4928339868
Printed on: April 27, 2024 at 21:04 o'clock
40 Comments
Latest comment
Hallo,
Die default-Gateways der PCs würde ich in Ruhe lassen. Und ich würde keine Netzwerktopologie bauen, bei der man zwischen „Gesichert“ und „Ungesichert“ wählen kann. Wenn Du Angst vor einer Fehlkonfiguration hast, nimm Dir ein Wochenende Zeit und setzt Dich physisch für die Firewall. Dann bastelst Du so lange, wie es halt braucht. Nimm dir ein Mobiltelefon mit Internet mit und schau, dass Du weißt, wie man bei der Firewall einen Werksreset macht.
Wozu öffnest Du TeamViewer-Ports? TeamViewer benötigt keine eingehenden Firewallregeln am WAN-Port.
Grüße
lcer
Die default-Gateways der PCs würde ich in Ruhe lassen. Und ich würde keine Netzwerktopologie bauen, bei der man zwischen „Gesichert“ und „Ungesichert“ wählen kann. Wenn Du Angst vor einer Fehlkonfiguration hast, nimm Dir ein Wochenende Zeit und setzt Dich physisch für die Firewall. Dann bastelst Du so lange, wie es halt braucht. Nimm dir ein Mobiltelefon mit Internet mit und schau, dass Du weißt, wie man bei der Firewall einen Werksreset macht.
Wozu öffnest Du TeamViewer-Ports? TeamViewer benötigt keine eingehenden Firewallregeln am WAN-Port.
Grüße
lcer
Wenn die Firewall alles eingehende blockt, wie kommt ein Teamviewer-Client von außen dann auf den Server im (privaten) Netz ?
Zitat von @kanngarnix:
Wenn die Firewall alles eingehende blockt, wie kommt ein Teamviewer-Client von außen dann auf den Server im (privaten) Netz ?
Wenn die Firewall alles eingehende blockt, wie kommt ein Teamviewer-Client von außen dann auf den Server im (privaten) Netz ?
In dem der Server eine Verbindung zum Teamviewer-Server aufbaut und dort das „mapping“ stattfindet.
Standard bei Teamviewer. Wenn du aber TV ausgehend blockst, wird das nichts…
Nicht böse nehmen, aber glaubst du, du bist für die Aufgabe geeignet?
Wenn da nämlich Mist passiert (Datendiebstahl/ Verschlüsselung/…) aufgrund einer Fehlkonfiguration: wer haftet dann?
Zitat von @kanngarnix:
Wenn die Firewall alles eingehende blockt, wie kommt ein Teamviewer-Client von außen dann auf den Server im (privaten) Netz ?
Wenn die Firewall alles eingehende blockt, wie kommt ein Teamviewer-Client von außen dann auf den Server im (privaten) Netz ?
wenn du das nicht weisst, dann solltest du tunlichst die Finger von einer Firewall lassen denn du bist ziemlich sicher nicht der richtige um Sicherheit herzustellen.
Du hättest jetzt allen ernstes eingehende Ports eingerichtet die da nicht hin gehören. Damit wäre das Netz deutlich unsicherer gewesen als nur mit einer Fritte alleine
1
Moin...
und als fachmann für sicherheits fragen, solltest du wissen, TV braucht keine offenen ports, die werden von innen geöffnet!
also was zum geier machst du da?
Jetzt die Frage :
du hast sicher mehr als eine Frage!
Damit im Fehlerfall (meine Fehler die Konfiguration schnell wieder rückgängig gemacht werden kann, denke ich daran, die WAN - und LAN- Connections in das selbe Layer 2 - Netz zu kontaktieren, also einfach alles in die Fritzbox. Lediglich über die default-gateway Einträge der Rechner wird dann der Internetverkehr in Layer 3 über die FW laufen.
oha! der fehlerfall ist schon eingetreten, bist du sicher das es sich um einen freund handelt?
(Sowas ähnliches hatte ich mit einer Linux-basierten FW in einem anderen Netz schon mal einige Jahre problemlos laufen.)
sowas ähnliches?!?!?!?!
Gibts da grobe Sicherheitsbedenken ?
nicht wenn du auf seite des saboteur bist! 
Dankbar für jeden Tipp, kanngarnix
da ist der name programm
Frank
Zitat von @kanngarnix:
Ich will einem Freund eine "HW"-Firewall in sein Netz (kleine Firma, 5 PC an Fritzbox) bauen.
willst du deinen freund als freund behalten?Ich will einem Freund eine "HW"-Firewall in sein Netz (kleine Firma, 5 PC an Fritzbox) bauen.
Die Zyxel-FW hat (natürlich) Ports für WAN und LAN, per default wird gar nix reingeroutet.
ebend....Ich habe die Ports für teamviewer aufgemacht.
oha... und wozu kaufst du schlösser, wenn du die Türe sowiso offen lässt?und als fachmann für sicherheits fragen, solltest du wissen, TV braucht keine offenen ports, die werden von innen geöffnet!
also was zum geier machst du da?
Jetzt die Frage :
Damit im Fehlerfall (meine Fehler
die Konfiguration schnell wieder rückgängig gemacht werden kann, denke ich daran, die WAN - und LAN- Connections in das selbe Layer 2 - Netz zu kontaktieren, also einfach alles in die Fritzbox. Lediglich über die default-gateway Einträge der Rechner wird dann der Internetverkehr in Layer 3 über die FW laufen.(Sowas ähnliches hatte ich mit einer Linux-basierten FW in einem anderen Netz schon mal einige Jahre problemlos laufen.)
Gibts da grobe Sicherheitsbedenken ?
Dankbar für jeden Tipp, kanngarnix
Frank
Der Server schickt seine Kontaktdaten in eine Datenbank beim Teamviewer-Anbieter ?
Ok, wußt ich nicht, hab Teamviewer selber noch nie benutzt, ich habe immer alle Zugriffe mit selbstgemachten ssh-Tunnels gemacht.
Jetzt bitte nochmal zurück zu meiner Frage :
Welche Sicherheitslöcher gehen auf, wenn die Rechner "hinter" der Firewall im selben L2-Netz hängen, also nur Layer 3 die Netze trennt ?
(ne technische aussage wäre schön, die beschimpfungen reichen schon
Ok, wußt ich nicht, hab Teamviewer selber noch nie benutzt, ich habe immer alle Zugriffe mit selbstgemachten ssh-Tunnels gemacht.
Jetzt bitte nochmal zurück zu meiner Frage :
Welche Sicherheitslöcher gehen auf, wenn die Rechner "hinter" der Firewall im selben L2-Netz hängen, also nur Layer 3 die Netze trennt ?
(ne technische aussage wäre schön, die beschimpfungen reichen schon
Ich habe ernsthaft Probleme zu verstehen was genau deine Frage ist So?
Eine Fritte mit z.B der .1, die stellt das Internet bereit, wird aber nur von der Firewall verwendet
die Firewall mit der .2, der ihr GW ist die .1
und dann die Clients mit .3 bis x, die dann aber als GW die .2 haben ?
Das so aufzubauen wäre in jeder halbwegs ernstzunehmenden Umgebung natürlich undenkbar. Für 5 Rechner in einer SoHo Umgebung aber durchaus OK.
Sicherheitsbedenken wären vor allem mal das man natürlich die Firewall einfach umgehen kann indem man das GW auf die .1 abändert. Dem könnte man entgegen wirken indem man die Fritte so konfiguriert das sie nur Verbindungen von der FW annimmt. Keine Ahnung ob das überhaupt geht. Im Zweifelsfall das Subnetz der Fitte auf /30 setzen...
Ausserdem will man eigentlich ein Managementinterface (der Firewall/Fritte oÄ) getrennt von seinen Clients haben. Das geht so halt nicht. Wie gesagt, ist das in der grösse allerdings vielleicht ein bisschen overkill, wenn man da nicht vor hat zu wachsen.
Mir stellt sich allerdings die Frage warum die Firewall da jetzt hin soll, wenn sie dann so halbgar implementiert werden soll.
Ich würde dir Empfehlen das von Anfang an richtig aufzubauen.
Die (DSL?) Fritte entweder los werden und ein Modem nehmen, das an den WAN Port der FW anstöpseln und die FW die Einwahl machen lassen. Oder die Fritte im Passthrough konfigurieren.
Dann ein Management-VLAN erstellen über das die FW eben konfiguriert werden kann.
Die Clients in ein eigenes VLAN .
Jetzt kannst du schon mal Management und Clients voneinander trennen.
Du kannst sicherstellen das die Clients immer durch die Firewall müssen.
Du kannst auf die Fritte als Krücke dazwischen mit Exposed Host oder ähnlichem Unsinn verzichten.
So?Eine Fritte mit z.B der .1, die stellt das Internet bereit, wird aber nur von der Firewall verwendet
die Firewall mit der .2, der ihr GW ist die .1
und dann die Clients mit .3 bis x, die dann aber als GW die .2 haben ?
Das so aufzubauen wäre in jeder halbwegs ernstzunehmenden Umgebung natürlich undenkbar. Für 5 Rechner in einer SoHo Umgebung aber durchaus OK.
Sicherheitsbedenken wären vor allem mal das man natürlich die Firewall einfach umgehen kann indem man das GW auf die .1 abändert. Dem könnte man entgegen wirken indem man die Fritte so konfiguriert das sie nur Verbindungen von der FW annimmt. Keine Ahnung ob das überhaupt geht. Im Zweifelsfall das Subnetz der Fitte auf /30 setzen...
Ausserdem will man eigentlich ein Managementinterface (der Firewall/Fritte oÄ) getrennt von seinen Clients haben. Das geht so halt nicht. Wie gesagt, ist das in der grösse allerdings vielleicht ein bisschen overkill, wenn man da nicht vor hat zu wachsen.
Mir stellt sich allerdings die Frage warum die Firewall da jetzt hin soll, wenn sie dann so halbgar implementiert werden soll.
Ich würde dir Empfehlen das von Anfang an richtig aufzubauen.
Die (DSL?) Fritte entweder los werden und ein Modem nehmen, das an den WAN Port der FW anstöpseln und die FW die Einwahl machen lassen. Oder die Fritte im Passthrough konfigurieren.
Dann ein Management-VLAN erstellen über das die FW eben konfiguriert werden kann.
Die Clients in ein eigenes VLAN .
Jetzt kannst du schon mal Management und Clients voneinander trennen.
Du kannst sicherstellen das die Clients immer durch die Firewall müssen.
Du kannst auf die Fritte als Krücke dazwischen mit Exposed Host oder ähnlichem Unsinn verzichten.
Zitat von @kanngarnix:
Welche Sicherheitslöcher gehen auf, wenn die Rechner "hinter" der Firewall im selben L2-Netz hängen, also nur Layer 3 die Netze trennt ?
Welche Sicherheitslöcher gehen auf, wenn die Rechner "hinter" der Firewall im selben L2-Netz hängen, also nur Layer 3 die Netze trennt ?
Die Annahme, dass L3 „die Netze“ trennt, ist schon falsch: bestenfalls trennt L3 IP-Adresskreise! Deine Idee ist zudem kontraproduktiv, denn du führst zwei bislang getrennte L2-Netze zusammen, d.h. die Rechner auf WAN und LAN-Seite können sich nun munter auf MAC-Basis beeinflussen. ARP-Spoofing oder direkte DoS-Szenarien sind denkbar.
Auch mal dran gedacht, dass die Broadcast-Adresse FF:FF:FF:FF:FF:FF bei verschiedenen L3-IP-Adresskreisen im selben L2-Netz zwangsläufig alle Devices im L2-Netz erreicht? Für einen Angreifer werden somit alle verfügbaren Geräte auf dem Silbertablett serviert. Was soll er sich da noch von Netz zu Netz hangeln müssen.
Wenn du bei Bedarf wirklich „von Innen“ Zugriff auf das LAN haben möchtest, drück‘ deinem Freund eine LTE-Stick in die Hand. Blockiert deine Konfiguration den Zugang zum Internet, soll er den Stick benutzen und dir dann den Weg mit der Remote-Software eurer Wahl frei machen.
Gruß
TA
Man kann grundsätzlich auch in einem Layer 2 Netz problemlos filtern mit einer Firewall:
https://docs.opnsense.org/manual/how-tos/lan_bridge.html
https://docs.netgate.com/pfsense/en/latest/bridges/firewall.html
Allerdings funktioniert das NICHT zwischen dem Internet mit öffentlichen IP Adressen und einem lokalen Netz mit privaten RFC 1918 IPs wo Routing (plus NAT) immer zwingend ist! Firewalling im Bridge Mode kann prinzipbedingt immer nur in einem gemeinsamen L2 Netzwerk passieren. Vergiss diesen Ansatz also gleich wieder!
Fazit:
Setze dem Freund eine klassische Lösung mit einer OPNsense oder pfSense Firewall in sein Netz und konfiguriere ihm (und dir) einen einfachen Zugang per VPN auf diese FW.
So kannst du ohne den gruseligen Temanviewer dazwischen, der die Firemn Datensicherheit gefährdet, einen sicheren Zugang für ihn und auch für dich für die Wartung und remoten Zugang sicherstellen. Teamviewer ist in Firmen aus Datenschutzgründen immer ein NoGo!
Mit der o.a. Lösung einer Firewall und VPN Zugang machst du nichts falsch, da ein simpler Klassiker und da gibt es dann auch keine Sicherheitsbedenken.
Idealerweise nimmst du dann als VPN Zugang ein Protokoll was alle Betriebssysteme wie Winblows, Apple, Linux plus alle mobilen Endgeräte von sich aus schon gleich schon an Bord haben und dir die Fricklelei mit zusätzlicher Software und deren Einrichtung erspart:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
https://docs.opnsense.org/manual/how-tos/lan_bridge.html
https://docs.netgate.com/pfsense/en/latest/bridges/firewall.html
Allerdings funktioniert das NICHT zwischen dem Internet mit öffentlichen IP Adressen und einem lokalen Netz mit privaten RFC 1918 IPs wo Routing (plus NAT) immer zwingend ist! Firewalling im Bridge Mode kann prinzipbedingt immer nur in einem gemeinsamen L2 Netzwerk passieren. Vergiss diesen Ansatz also gleich wieder!
Fazit:
Setze dem Freund eine klassische Lösung mit einer OPNsense oder pfSense Firewall in sein Netz und konfiguriere ihm (und dir) einen einfachen Zugang per VPN auf diese FW.
So kannst du ohne den gruseligen Temanviewer dazwischen, der die Firemn Datensicherheit gefährdet, einen sicheren Zugang für ihn und auch für dich für die Wartung und remoten Zugang sicherstellen. Teamviewer ist in Firmen aus Datenschutzgründen immer ein NoGo!
Mit der o.a. Lösung einer Firewall und VPN Zugang machst du nichts falsch, da ein simpler Klassiker und da gibt es dann auch keine Sicherheitsbedenken.
Idealerweise nimmst du dann als VPN Zugang ein Protokoll was alle Betriebssysteme wie Winblows, Apple, Linux plus alle mobilen Endgeräte von sich aus schon gleich schon an Bord haben und dir die Fricklelei mit zusätzlicher Software und deren Einrichtung erspart:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Vielen Dank !
Das Netz soll im ersten Schritt im Prinzip so konfiguriert sein, wie SeaStorm es beschreibt.
Zweiter Schritt dann (wenn Betriebsurlaub ist) Trennung in 2 L2-Segemnte, eines mit Fritzbox und WAN-Seite der FW, zweites mit LAN-Seite und dem Werkstattnetz. NAT macht dann die Firewall, oder ?
Worüber ich eben überhaupt nichts weiß, ist die Frage, was ein potentieller Angreifer mit dem gemeinsamen Layer 2 alles anfangen kann. Man könnte z.B. über einen ARP-Request die IP aller Beteiligten ermitteln, aber wenn die default-gateways bei den PC auf die LAN-Seite der FW zeigen, ist eine Kommunikation in IP trotzdem von außen nicht möglich, oder ? Daß die Netze durch L3 nicht getrennt werden ist schon klar, ich meinte "IP-Netze". Eine L2-Broadcast-Trennung oder so brauchts bei den paar Rechnern ja nicht.
Kann ein Angriff auf Layer 2 ausgeführt werden ??
Das Netz soll im ersten Schritt im Prinzip so konfiguriert sein, wie SeaStorm es beschreibt.
Zweiter Schritt dann (wenn Betriebsurlaub ist) Trennung in 2 L2-Segemnte, eines mit Fritzbox und WAN-Seite der FW, zweites mit LAN-Seite und dem Werkstattnetz. NAT macht dann die Firewall, oder ?
Worüber ich eben überhaupt nichts weiß, ist die Frage, was ein potentieller Angreifer mit dem gemeinsamen Layer 2 alles anfangen kann. Man könnte z.B. über einen ARP-Request die IP aller Beteiligten ermitteln, aber wenn die default-gateways bei den PC auf die LAN-Seite der FW zeigen, ist eine Kommunikation in IP trotzdem von außen nicht möglich, oder ? Daß die Netze durch L3 nicht getrennt werden ist schon klar, ich meinte "IP-Netze". Eine L2-Broadcast-Trennung oder so brauchts bei den paar Rechnern ja nicht.
Kann ein Angriff auf Layer 2 ausgeführt werden ??
Die FritzBox ist überflüssig, denn so betreibst du eine Router Kaskade mit doppeltem NAT und doppeltem Firewalling. Klappt zwar ist aber technisch nicht optimal.
Deutlich besser ist es wenn du im Falle eine xDSL Anschlusses den Router (FB) durch ein reines NUR Modem ersetzt wie Draytek Vigor 165 oder 167 oder ein Zyxel VMG3006. Damit ist dann das Internet direkt an der FW terminiert ohne die Kaskade als überflüssiger "Routing Durchlauferhitzer".
Ein L2 Angriff kann dann nur aus dem lokalen LAN passieren wenn du das nicht entsprechend mit Port Security wie 802.1x oder MBP absicherst.
Deutlich besser ist es wenn du im Falle eine xDSL Anschlusses den Router (FB) durch ein reines NUR Modem ersetzt wie Draytek Vigor 165 oder 167 oder ein Zyxel VMG3006. Damit ist dann das Internet direkt an der FW terminiert ohne die Kaskade als überflüssiger "Routing Durchlauferhitzer".
Kann ein Angriff auf Layer 2 ausgeführt werden ??
Nein, wenigstens nicht aus dem WAN. Dafür setzt du ja sinnigerweise eine Firewall ein um das wasserdicht zu verhindern. Außerdem existiert zw. WAN und LAN immer ein Routing also L3. L2 gibts da nicht.Ein L2 Angriff kann dann nur aus dem lokalen LAN passieren wenn du das nicht entsprechend mit Port Security wie 802.1x oder MBP absicherst.
Hab aquis Beitrag jetzt erst gelesen.
Grübel, Grübel ... Klar ist mir, daß ich zwischen öffentlichem Netz und privatem nicht bridgen kann. Will ich aber auch gar nicht. Der Router mit NAT (ist ja nach Schichtenmodell gar kein Router sondern ein Gateway, oder ?) ist natürlich zwingend nötig.
Ich betrachte (naiv ?) die IP-Kommunikation als einzige Gefahrenquelle. Wenn die PC alle die LAN-Seite der Zyxel-Firewall als default haben, verwaltet diese den gesamten IP-Verkehr. Mit stateful inspection und allem Drum-und Dran.
Deshalb die Idee, im Sinne einer sanften Migration erstmal den Layer 2 unberührt zu lassen. Das Netz ist "systemrelevant", das stehen ein paar Roboter und SPS und so Zeug rum (alles statische IP), es darf nicht ausfallen.
Daß der Teamviewer Dreck ist, weiß ich spätestens seit der "Kaperung" einer Teamviewer-Session mit einer SPS in meiner alten Firma. Deswegen habe ich ihn bisher noch nie eingesetzt. Eine Fremdsoftware in der Firm meines Freundes besteht aber auf diesem Zugriff (Fernwartung).
Grübel, Grübel ... Klar ist mir, daß ich zwischen öffentlichem Netz und privatem nicht bridgen kann. Will ich aber auch gar nicht. Der Router mit NAT (ist ja nach Schichtenmodell gar kein Router sondern ein Gateway, oder ?) ist natürlich zwingend nötig.
Ich betrachte (naiv ?) die IP-Kommunikation als einzige Gefahrenquelle. Wenn die PC alle die LAN-Seite der Zyxel-Firewall als default haben, verwaltet diese den gesamten IP-Verkehr. Mit stateful inspection und allem Drum-und Dran.
Deshalb die Idee, im Sinne einer sanften Migration erstmal den Layer 2 unberührt zu lassen. Das Netz ist "systemrelevant", das stehen ein paar Roboter und SPS und so Zeug rum (alles statische IP), es darf nicht ausfallen.
Daß der Teamviewer Dreck ist, weiß ich spätestens seit der "Kaperung" einer Teamviewer-Session mit einer SPS in meiner alten Firma. Deswegen habe ich ihn bisher noch nie eingesetzt. Eine Fremdsoftware in der Firm meines Freundes besteht aber auf diesem Zugriff (Fernwartung).
... das ist jetzt ein wenig holprig gewesen, weil wir uns zweimal überschnitten haben, sorry.
ist natürlich zwingend nötig.
Nein! Das ist Unsinn, denn die geplante SPI Firewall routet ja auch und kann das noch viel besser als der überflüssige Router davor. Das Kapitel "Router Kaskade" hast du nicht gelesen oben, oder?Der Router davor ist bei Einsatz einer Firewall immer überflüssig und kann durch ein reines NUR Modem ersetzt werden.
So ist auch die Migration ein Kinderspiel.... Deine neue Firewall (und nur Modem) konfigurierst du in Bezug auf die IP Adressierung identisch zur FritzBox. So kannst du ganz bequem von der FB zum Firewall Konzept wechseln ohne das du irgendwas anfassen oder ändern muss.
Einfacher gehts nicht... 😉
Hallo,
Es kommt auf den Angriff an. Wobei die Frage nicht ist, ob man über Layer2 angreifen kann, sondern was man als Anrgeifer tun kann, wenn man in Deinem Netz ist.
Bei einem primärer Angriff von aussen (WAN) ist deine Topologie kein großes Problem. Allerdings ist der primär erfolgreiche Angriffsvektor oft eine Enduser, der einen präparierten Link anklickt oder einen Emailanhang öffnet. Im zweiten Schritt werden dann auf dem PC lokale Administratorrechte erlangt (Danach kommen Zugriffsrechte auf zentrale Systeme, et. Server, NAS). Mit lokalen Administratorrechten hat der Angreifer Rechte zum Ändern des Default-Gateways. Schön für ihn, wenn er zwischen gesichertem und ungesichertem Gateway wählen kann.
Dein geplantes Szenario erleichtert es Eindringlingen, Deine Firewall zu umgehen.
Grüße
lcer
Es kommt auf den Angriff an. Wobei die Frage nicht ist, ob man über Layer2 angreifen kann, sondern was man als Anrgeifer tun kann, wenn man in Deinem Netz ist.
Bei einem primärer Angriff von aussen (WAN) ist deine Topologie kein großes Problem. Allerdings ist der primär erfolgreiche Angriffsvektor oft eine Enduser, der einen präparierten Link anklickt oder einen Emailanhang öffnet. Im zweiten Schritt werden dann auf dem PC lokale Administratorrechte erlangt (Danach kommen Zugriffsrechte auf zentrale Systeme, et. Server, NAS). Mit lokalen Administratorrechten hat der Angreifer Rechte zum Ändern des Default-Gateways. Schön für ihn, wenn er zwischen gesichertem und ungesichertem Gateway wählen kann.
Dein geplantes Szenario erleichtert es Eindringlingen, Deine Firewall zu umgehen.
Grüße
lcer
Ich weiß, daß für den Datenverkehr statt der Fritzbox ein reines Modem reichen würde.
Der Aufwand ist halt hoch, das so zu tauschen (VoIP usw..).
Ich würde bei der Fritzbox alle konfigurierbaren Funktionen deaktivieren, weil ich den Verdacht habe, daß diese auch nicht 100%-ig wasserdicht ist.
Was, denke ich, geht, ist bei geknackter Fritzbox durch den selben L2-Zugang irgendwas zu versuchen. Man könnte vielleicht L3-Pakete "faken", um sie (ohne Routing durch die Firewall) direkt zu schicken ? Aber von sowas hab ich eben nicht die geringste Ahnung. Deshalb war die Kernfrage : ist ein Angriff durch L2 möglich (kommt das vor ?) ?
Der Aufwand ist halt hoch, das so zu tauschen (VoIP usw..).
Ich würde bei der Fritzbox alle konfigurierbaren Funktionen deaktivieren, weil ich den Verdacht habe, daß diese auch nicht 100%-ig wasserdicht ist.
Was, denke ich, geht, ist bei geknackter Fritzbox durch den selben L2-Zugang irgendwas zu versuchen. Man könnte vielleicht L3-Pakete "faken", um sie (ohne Routing durch die Firewall) direkt zu schicken ? Aber von sowas hab ich eben nicht die geringste Ahnung. Deshalb war die Kernfrage : ist ein Angriff durch L2 möglich (kommt das vor ?) ?
Klar, wenn er ein Attach aufmacht, das dann läuft, ist alles zu spät. Dann kann ich mir aber die Firewall ganz sparen
Ähnlich wohl ein möglicher Einbruch in die Fritzbox.
RDP ist verboten, fraglich eben der Teamviewer.
Ähnlich wohl ein möglicher Einbruch in die Fritzbox.
RDP ist verboten, fraglich eben der Teamviewer.
Der Aufwand ist halt hoch, das so zu tauschen
Wenn du die FB für VoIP brauchst setzt man sie bei so einer Migration immer im lokalen Netzwerk rein nur noch als VoIP Anlage ein. Nicht als Kaskade vor der FW.Generell hat ein billiger Consumer Plaste Router in einem Firmennetzwerk am WAN Port nichts zu suchen.
Wenn du es aber dennoch so behalten willst solltest du dir grundsätzlich überlegen ob du eine Firewall nimmst, denn dann hast du diese mit der FritzBox ja schon. 2 hintereinander wären eigentlich überflüssig.
Sinnvoller ist es dann zur Segmentierung dort einen einfachen Layer 3 VLAN Switch zu verwenden:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Wenn du dich für den MT entscheidest hat der nebenbei übrigens auch noch eine vollständige SPI Firewall mit an Bord! 2 Fliegen also mit einer Klappe... 😉
Hallo,
Bevor Du losbastelst, würde ich mal das gesamte Konzept anschauen. Bei Firewalls stellt sich immer die Frage, was die eigentlich filtern soll. Hast Du Dich damit beschäftigt? Wenn nein, genügt die Fritzbox! Die arbeitet als Stateful Firewall und lässt in der Grundeinstellung nichts rein, was nicht von innen angefordert wurde. Eine unkonfigurierte Profi-Hardwarefirewall macht erst mal auch nichts anderes.
Grüße
lcer
Zitat von @kanngarnix:
Klar, wenn er ein Attach aufmacht, das dann läuft, ist alles zu spät. Dann kann ich mir aber die Firewall ganz sparen
Nein. Das wird ja normalerweise nicht unter Administrator-Berechtigungen geöffnet - oder bei Dir doch? Falls auf den PCs normale Nutzer mit lokalen Adminrechten arbeiten, wäre es wichtiger, das zu ändern, als die Fritzbox zu ersetzen!Klar, wenn er ein Attach aufmacht, das dann läuft, ist alles zu spät. Dann kann ich mir aber die Firewall ganz sparen
Bevor Du losbastelst, würde ich mal das gesamte Konzept anschauen. Bei Firewalls stellt sich immer die Frage, was die eigentlich filtern soll. Hast Du Dich damit beschäftigt? Wenn nein, genügt die Fritzbox! Die arbeitet als Stateful Firewall und lässt in der Grundeinstellung nichts rein, was nicht von innen angefordert wurde. Eine unkonfigurierte Profi-Hardwarefirewall macht erst mal auch nichts anderes.
Grüße
lcer
Klasse, da hab ich jetzt echt was gelernt. Also :
1. Schritt: wie beschrieben. Ist ne Krücke, aber relativ risikolos umzusetzen. Gegen Angriffe aus dem Internet relativ sicher. Der FW im "Plaste Router" (schön !) trau ich nicht, die Zyxel scheint mir überlegen.
2. Schritt: am Anfang der Betriebsferien Fritzbox ins private Netz fürs Telefon, und eines der genannten Kabelmodems (Gateways) als Internetzugang. L2-Aufspaltung in "Mini-DMZ" aus Modem und WAN-Connect (ohne Server oder sonstwas, ist eigentlich dann gar keine DMZ ?) und privates Netz, zwei verschiedene IP-Segmente (die IP im privaten müssen bleiben, da hängen bei den Maschinenbaugeräten Funktionen dran)
Letzte Frage : ... und die FW muß ich gar nicht konfigurieren ? (Es gibt keine nötigen Zugriffe von außen auf das Netz außer der Fernwartung durch den Teamviewer-Kanal.)
Aus Interesse nochmal gefragt : der Teamviewer macht zyklisch Nachrichten "nach Hause", in denen er seine (private) IP verrät. Damit, und mit der Angabe des Quellports, kann dann von außen der Eintrag in der NAT-Liste des Routers benutzt werden, um einen Kommunikationskanal herzustellen. (Sollte ein Angreifer ein Teamviewer-Paket entdecken können und die Adressdaten entschlüsseln, gehen die Lichter aus - was ja bei RDP wohl zu vielen Ransom-Erfolgen geführt hat)
1. Schritt: wie beschrieben. Ist ne Krücke, aber relativ risikolos umzusetzen. Gegen Angriffe aus dem Internet relativ sicher. Der FW im "Plaste Router" (schön !) trau ich nicht, die Zyxel scheint mir überlegen.
2. Schritt: am Anfang der Betriebsferien Fritzbox ins private Netz fürs Telefon, und eines der genannten Kabelmodems (Gateways) als Internetzugang. L2-Aufspaltung in "Mini-DMZ" aus Modem und WAN-Connect (ohne Server oder sonstwas, ist eigentlich dann gar keine DMZ ?) und privates Netz, zwei verschiedene IP-Segmente (die IP im privaten müssen bleiben, da hängen bei den Maschinenbaugeräten Funktionen dran)
Letzte Frage : ... und die FW muß ich gar nicht konfigurieren ? (Es gibt keine nötigen Zugriffe von außen auf das Netz außer der Fernwartung durch den Teamviewer-Kanal.)
Aus Interesse nochmal gefragt : der Teamviewer macht zyklisch Nachrichten "nach Hause", in denen er seine (private) IP verrät. Damit, und mit der Angabe des Quellports, kann dann von außen der Eintrag in der NAT-Liste des Routers benutzt werden, um einen Kommunikationskanal herzustellen. (Sollte ein Angreifer ein Teamviewer-Paket entdecken können und die Adressdaten entschlüsseln, gehen die Lichter aus - was ja bei RDP wohl zu vielen Ransom-Erfolgen geführt hat)
wieder überschnitten ... wir sind zu schnell für das Medium
Korrektur : "in denen er seine (private) IP verrät. Damit, und mit der Angabe des Quellports"
Die IP braucht er gar nicht, es reicht wohl der Quellport, oder ?
Die IP braucht er gar nicht, es reicht wohl der Quellport, oder ?
Ich würde bei der Fritzbox alle konfigurierbaren Funktionen deaktivieren, weil ich den Verdacht habe, daß diese auch nicht 100%-ig wasserdicht ist.
Was ist denn an der Fritzbox "nicht wasserdicht"?! Und was genau kann Deine Zyxel-Firewall – für DEIN Setup – besser?! Es steht - im Prinzip - außer Frage, dass ne Business-Firewall mehr könnte. Bloß, werden diese optionalen Funktionalitäten von Dir auch gehoben? Bisher sehe ich in der von Dir konfigurierten Firewall ein größeres Sicherheitsrisiko als in der Fritze, die ja millionenfach bewiesen hat, dass sie ne idiotensichere "80%-Lösung" ist?!
1
Bitte konkret : Wenn ich die Zyxel ohne jede Konfiguration (ich meine die Firewallregeln) einbaue (sie steht hier schon rum), warum ist die dann schlechter als die Fritzbox ?
(Wir reden ja nur über den ersten von 2 Schritten)
(Wir reden ja nur über den ersten von 2 Schritten)
... ich habe zuerst gefragt
Was wird also - konkret - bezweckt. Sicherheit ist ja ein großes Wort ... noch dazu, wenn es um "gefühlte" (Un-) Sicherheit geht
Was wird also - konkret - bezweckt. Sicherheit ist ja ein großes Wort ... noch dazu, wenn es um "gefühlte" (Un-) Sicherheit geht
Entschuldige, hast recht !
Im Kern geht es darum, Angriffe von außen abzuwehren. Weil in der Firma ziemlich viel wertvolles know-how und sensible Daten auf den Rechnern sind (Backups werden täglich, manchmal sogar zweimal täglich gemacht), ist ein Ransom-Angriff wohl die größte Sorge.
Bei der Fritzbox ist die Sorge, daß sie geknackt wird. Das war doch schon öfter in der Presse, oder ?
Die "HW"-Firewall wird wohl auch in Bezug auf Verfügbarkeit wesentlich besser sein denke ich.
Im Kern geht es darum, Angriffe von außen abzuwehren. Weil in der Firma ziemlich viel wertvolles know-how und sensible Daten auf den Rechnern sind (Backups werden täglich, manchmal sogar zweimal täglich gemacht), ist ein Ransom-Angriff wohl die größte Sorge.
Bei der Fritzbox ist die Sorge, daß sie geknackt wird. Das war doch schon öfter in der Presse, oder ?
Die "HW"-Firewall wird wohl auch in Bezug auf Verfügbarkeit wesentlich besser sein denke ich.
Naja, dieses Risiko ist relativ:
Gemeldete Sicherheitsprobleme AVM:
https://www.cvedetails.com/vendor/435/AVM.html
und die von Zyxel:
https://www.cvedetails.com/vendor/859/Zyxel.html
Das ist aber natürlich nur ein Aspekt zu dem Thema. Die Leistungsfähigkeit der Zyxel wird schon höher sein, wenn man Netzwerküberwachung, vLAN-Unterteilung, usw. mit einbezieht. Aber wenn Du die Stateful-Inspection-Firewall von AVM ganz stumpf durch ne Statefull-Inspection-Firewall von wasweißich tauschst, wird erstmal nix sicherer, sondern das Gesamtrisiko steigt ggfs. durch Deine potenzielle Misskonfiguration.
Und Du (ich ebenso) bist niemand, der das beruflich mit entsprechender Erfahrung macht um diese Feinheiten - fehlerfrei(!) - aus dem Alternativ-Produkt rauszukitzeln. Soll ja Leute geben, sogar mit entsprechender Fortbildung und Erfahrung, die mit sowas richtig Geld verdienen
Aber - um auch Deine Frage zu beantworten - Du kannst die HW natürlich "hintereinanderschalten". Schaden tut das erstmal nicht. Es macht einiges nur umständlicher.
Gemeldete Sicherheitsprobleme AVM:
https://www.cvedetails.com/vendor/435/AVM.html
und die von Zyxel:
https://www.cvedetails.com/vendor/859/Zyxel.html
Das ist aber natürlich nur ein Aspekt zu dem Thema. Die Leistungsfähigkeit der Zyxel wird schon höher sein, wenn man Netzwerküberwachung, vLAN-Unterteilung, usw. mit einbezieht. Aber wenn Du die Stateful-Inspection-Firewall von AVM ganz stumpf durch ne Statefull-Inspection-Firewall von wasweißich tauschst, wird erstmal nix sicherer, sondern das Gesamtrisiko steigt ggfs. durch Deine potenzielle Misskonfiguration.
Und Du (ich ebenso) bist niemand, der das beruflich mit entsprechender Erfahrung macht um diese Feinheiten - fehlerfrei(!) - aus dem Alternativ-Produkt rauszukitzeln. Soll ja Leute geben, sogar mit entsprechender Fortbildung und Erfahrung, die mit sowas richtig Geld verdienen
Aber - um auch Deine Frage zu beantworten - Du kannst die HW natürlich "hintereinanderschalten". Schaden tut das erstmal nicht. Es macht einiges nur umständlicher.
Hallo,
zum Lesen: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebe ...
Kapitel 1.2.2.1 — Beispielhafter Angriffsablauf
Die Gefahr lauert innen - nicht außen!
Grüße
lcer
Zitat von @kanngarnix:
Entschuldige, hast recht !
Im Kern geht es darum, Angriffe von außen abzuwehren. Weil in der Firma ziemlich viel wertvolles know-how und sensible Daten auf den Rechnern sind (Backups werden täglich, manchmal sogar zweimal täglich gemacht), ist ein Ransom-Angriff wohl die größte Sorge.
Erfolgreiche Ransomwareangriffen beginnen meist von innen!Entschuldige, hast recht !
Im Kern geht es darum, Angriffe von außen abzuwehren. Weil in der Firma ziemlich viel wertvolles know-how und sensible Daten auf den Rechnern sind (Backups werden täglich, manchmal sogar zweimal täglich gemacht), ist ein Ransom-Angriff wohl die größte Sorge.
Bei der Fritzbox ist die Sorge, daß sie geknackt wird. Das war doch schon öfter in der Presse, oder ?
Wenn Du- die Fernwartungsfunktion deaktivierst
- keine Portweiterleitungen einstellst
- den Adminzugang nicht auf dem WAN aktivierst
- kein VPN verwendest
Die "HW"-Firewall wird wohl auch in Bezug auf Verfügbarkeit wesentlich besser sein denke ich.
Eine Fritzbox ist leistungsmäßig auf einen normalen Consumer-DSL-Anschluss ausgelegt. Das Nadelöhr ist die DSL-Leitung, nicht die Fritzbox. Zumindest solange man über das WLAN nur ein paar Mobiltelefone betreibt und die PCs und Server an einem separaten Switch hängen.zum Lesen: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebe ...
Kapitel 1.2.2.1 — Beispielhafter Angriffsablauf
Die Gefahr lauert innen - nicht außen!
Grüße
lcer
Alles richtig, natürlich.
Der Ransom-Angriff ist sicher dann easy, wenn ein Admin oder ein User, der leider mit Adminkennung arbeitet, z.b. RDP aufmacht. Das ist aber nicht meine Baustelle, ich administriere hier (bewußt !) nix.
Ich hab nur auf die Bitte, beim Einbau der FW zu helfen, ja gesagt. Mein Spezl machts sonst selber, und der weiß noch weniger.
Beruflich bin (war) ich ein wenig woanders, aber die ganze Theorie ist mir vertraut. Ich hab auch schon selber primitive Linux-Firewalls geschrieben, auf IP-tables basiert. Meine Webserver (selber gehostet) haben damit viele Jahre überlebt.
Aber den professionellen Kram gerne den Profis !
Damit denke ich ist das Thema durch : Danke für die vielen Tipps, wie gesagt habe ich gelernt !
Der Ransom-Angriff ist sicher dann easy, wenn ein Admin oder ein User, der leider mit Adminkennung arbeitet, z.b. RDP aufmacht. Das ist aber nicht meine Baustelle, ich administriere hier (bewußt !) nix.
Ich hab nur auf die Bitte, beim Einbau der FW zu helfen, ja gesagt. Mein Spezl machts sonst selber, und der weiß noch weniger.
Beruflich bin (war) ich ein wenig woanders, aber die ganze Theorie ist mir vertraut. Ich hab auch schon selber primitive Linux-Firewalls geschrieben, auf IP-tables basiert. Meine Webserver (selber gehostet) haben damit viele Jahre überlebt.
Aber den professionellen Kram gerne den Profis !
Damit denke ich ist das Thema durch : Danke für die vielen Tipps, wie gesagt habe ich gelernt !
Moin...
und dann arbeitet ihr mit ner Fritte unf nem Zyxel?!?!? das passt irgendwie nicht zusammen!
wiso wird dort keine richtige Lösung genutzt und von einer Fachfirma betreut?
ohne dir nahe treten zu wollen, aber du mit deiner bastellösung und halbwissen bist da echt fehl am platz!
unterstütze deinen Freund bei der wahl einere Fachfirma und schau dir die planung / ausführung an!
Bei der Fritzbox ist die Sorge, daß sie geknackt wird. Das war doch schon öfter in der Presse, oder ?
ja.. sowie viele Hersteller! ob das jetzt Juniper, Cisco oderr AVM ist....
Frank
Zitat von @kanngarnix:
Entschuldige, hast recht !
Im Kern geht es darum, Angriffe von außen abzuwehren. Weil in der Firma ziemlich viel wertvolles know-how und sensible Daten auf den Rechnern sind (Backups werden täglich, manchmal sogar zweimal täglich gemacht), ist ein Ransom-Angriff wohl die größte Sorge.
da ist eine Firma, mit viel wertvolles know-how und sensible Daten auf den Rechnern!Entschuldige, hast recht !
Im Kern geht es darum, Angriffe von außen abzuwehren. Weil in der Firma ziemlich viel wertvolles know-how und sensible Daten auf den Rechnern sind (Backups werden täglich, manchmal sogar zweimal täglich gemacht), ist ein Ransom-Angriff wohl die größte Sorge.
und dann arbeitet ihr mit ner Fritte unf nem Zyxel?!?!? das passt irgendwie nicht zusammen!
wiso wird dort keine richtige Lösung genutzt und von einer Fachfirma betreut?
ohne dir nahe treten zu wollen, aber du mit deiner bastellösung und halbwissen bist da echt fehl am platz!
unterstütze deinen Freund bei der wahl einere Fachfirma und schau dir die planung / ausführung an!
Bei der Fritzbox ist die Sorge, daß sie geknackt wird. Das war doch schon öfter in der Presse, oder ?
Die "HW"-Firewall wird wohl auch in Bezug auf Verfügbarkeit wesentlich besser sein denke ich.
Frank
1
Da fast alle Lücken über Schwachstellen in Hardware und Software sich heutzutage erschließen, ist der Großteil des Threads hier nicht in der Realität verhaftet.
Gute sichere Software sauber konfiguriert und es ist nicht Mal SPI nötig.
Gute sichere Software sauber konfiguriert und es ist nicht Mal SPI nötig.
Oh, das verstehe ich nicht : "nicht in der Realität verhaftet".
Die Software, die hier läuft, ist irgendwelches Industriezeug, da ist gar nichts (amateurhaft) konfiguriert.
SPS-Entwicklung und Betrieb zum Beispiel. Gilt wohl als sicher, obwohl z.b. Wago oder Sigmatec auch auf Teamviewer setzen beim Support.
Es erfolgen halt Zugriffe nach außen ins Web, und der Teamviewer geht manchmal von außen auf PCs .
Server laufen keine, das ist alles extern gehostet.
Was meinst du mit "nicht in der Realität verhaftet" ?
Die Software, die hier läuft, ist irgendwelches Industriezeug, da ist gar nichts (amateurhaft) konfiguriert.
SPS-Entwicklung und Betrieb zum Beispiel. Gilt wohl als sicher, obwohl z.b. Wago oder Sigmatec auch auf Teamviewer setzen beim Support.
Es erfolgen halt Zugriffe nach außen ins Web, und der Teamviewer geht manchmal von außen auf PCs .
Server laufen keine, das ist alles extern gehostet.
Was meinst du mit "nicht in der Realität verhaftet" ?
Gucke dir Mal die Top 10 Sicherheitslücken eines beliebigen Zeitraumes an. Also wie die funktionieren und wie die ausgenutzt werden.
Dann überlege mal, was von dem was hier erzählt wird mit den Schwachstellen an dich zu tun hat?
Ganz besonderes bei einer SPS, wie verhinderst Du, dass die Speicheradressen gelesen oder gar geschrieben werden können? Wie soll eine Firewall deiner Wahl das machen? Sonstige Ratschläge hier.
Allein die Vorstellung, dass nennenswerte Angriffe von außen durch eine Firewall kommen, oder mit NAT, VLANs oder was auch immer ein Blumentopf zu gewinnen wäre, ist fern der Realität. Siehe aktuelle CVEs jeden Monat.
Bezüglich Wago SPS und dem "Programmieren" mit Codasys rollen sich jedem echten Security-XYZ die Fußnägel hoch.
Wenn 8ch mit meinem FieldPG es in deinen Laden schaffe, bist du erledigt. Und da ich nicht persönlich kommen kann, greife ich über eine Hardware in deinem Netz an, die schwach ist und einfach zu Kapern.
Übers WAN kommt selten was, schon gar nicht initial eingehend.
https://www.cvedetails.com/
https://www.cvedetails.com/vulnerability-list/vendor_id-109/cvssscoremin ...
Dann überlege mal, was von dem was hier erzählt wird mit den Schwachstellen an dich zu tun hat?
Ganz besonderes bei einer SPS, wie verhinderst Du, dass die Speicheradressen gelesen oder gar geschrieben werden können? Wie soll eine Firewall deiner Wahl das machen? Sonstige Ratschläge hier.
Allein die Vorstellung, dass nennenswerte Angriffe von außen durch eine Firewall kommen, oder mit NAT, VLANs oder was auch immer ein Blumentopf zu gewinnen wäre, ist fern der Realität. Siehe aktuelle CVEs jeden Monat.
Bezüglich Wago SPS und dem "Programmieren" mit Codasys rollen sich jedem echten Security-XYZ die Fußnägel hoch.
Wenn 8ch mit meinem FieldPG es in deinen Laden schaffe, bist du erledigt. Und da ich nicht persönlich kommen kann, greife ich über eine Hardware in deinem Netz an, die schwach ist und einfach zu Kapern.
Übers WAN kommt selten was, schon gar nicht initial eingehend.
https://www.cvedetails.com/
https://www.cvedetails.com/vulnerability-list/vendor_id-109/cvssscoremin ...
1Gilt wohl als sicher, obwohl z.b. Wago oder Sigmatec auch auf Teamviewer setzen beim Support.
Muss man in einem Admin sicher nicht mehr kommentieren und enthält deutlich zuviele Konjunktive. Gerade Industrie- und SPS Anwendungen usw. sind in der Vergangenheit durch massive Lücken aufgefallen.https://www.heise.de/select/ct/2020/23/2024809444258724719
https://www.heise.de/news/Kritische-Luecken-bedrohen-Sicherheit-von-krit ...
https://www.heise.de/hintergrund/Einbruch-in-kritische-Infrastrukturen-E ...
usw. usw. die Listen sind endlos.
Na prima.
(Nur nochmal zur Klarstellung : nicht meine Firma, nicht mein Netz ..)
"Wie soll eine Firewall deiner Wahl das machen? Sonstige Ratschläge hier.
Allein die Vorstellung, dass nennenswerte Angriffe von außen durch eine Firewall kommen, oder mit NAT, VLANs oder was auch immer ein Blumentopf zu gewinnen wäre, ist fern der Realität."
... was heißt das für meine Firewall-Topologie ? Eh alles egal ?
Mehr als Zugriffe von außen zu verhindern, indem ich alles sperre, kann ich nicht tun. Wenn irgendwas passiert, weil ein User Quatsch macht oder Teamviewer geleakt wird ist das nicht mein Bier. ImhO ist Internet an Industrie-IT eh Blödsinn, solange die Leute (das sind ja meist Maschinenbauer) nix von Security verstehen. Aber : das hab ich (auch hier) nicht zu entscheiden.
(Nur nochmal zur Klarstellung : nicht meine Firma, nicht mein Netz ..)
"Wie soll eine Firewall deiner Wahl das machen? Sonstige Ratschläge hier.
Allein die Vorstellung, dass nennenswerte Angriffe von außen durch eine Firewall kommen, oder mit NAT, VLANs oder was auch immer ein Blumentopf zu gewinnen wäre, ist fern der Realität."
... was heißt das für meine Firewall-Topologie ? Eh alles egal ?
Mehr als Zugriffe von außen zu verhindern, indem ich alles sperre, kann ich nicht tun. Wenn irgendwas passiert, weil ein User Quatsch macht oder Teamviewer geleakt wird ist das nicht mein Bier. ImhO ist Internet an Industrie-IT eh Blödsinn, solange die Leute (das sind ja meist Maschinenbauer) nix von Security verstehen. Aber : das hab ich (auch hier) nicht zu entscheiden.
ist fern der Realität
Das kann man so nicht pauschal sagen. Es ist meist nicht die Firewall sondern immer der der sie konfiguriert. Wobei auch diverse Firewalls schon unsichere Firmware hatten.Mehr als Zugriffe von außen zu verhindern
Der Prozentsatz der Angriffe von innen ist aber deutlich höher! Hast du das auch beachtet?ImhO ist Internet an Industrie-IT eh Blödsinn, solange die Leute (das sind ja meist Maschinenbauer) nix von Security verstehen.
Da hast du absolut Recht und da ist sehr viel Wahres dran!
Ich würde erstmal gucken, was alles am Netz im Haus kommunizieren kann.
Erfahrungsgemäß ist es ja so, jeder kann mit jedem kommunizieren im Haus und alle gucken aufs WAN, weil man da was schlimmes erwartet.
Dann würde ich gucken, wie effektiv verhindert werden kann, dass unbemerkt neue Geräte im Haus angeschlossen werden können.
Dann muss eine Gefährdungsbeurteilung her. IOT Geräte, MFC Drucker, SPSen usw...
Und wie erwähnt, die Anlagen-Coder coden gerne viel Kot.
Erfahrungsgemäß ist es ja so, jeder kann mit jedem kommunizieren im Haus und alle gucken aufs WAN, weil man da was schlimmes erwartet.
Dann würde ich gucken, wie effektiv verhindert werden kann, dass unbemerkt neue Geräte im Haus angeschlossen werden können.
Dann muss eine Gefährdungsbeurteilung her. IOT Geräte, MFC Drucker, SPSen usw...
Und wie erwähnt, die Anlagen-Coder coden gerne viel Kot.
Halt, halt ..
Ich bin weder verantwortlich noch irgendwie involviert in diese IT . Sehr bewußt !
Ich würde vieles anders machen, bei der extremen Abhängigkeit von der IT z.b. redundante Geräte.
Ich habe nur meine Teilnahme bei der Installation einer Firewall zugesagt, sonst nix.
Dazu hab ich glaub ich was gelernt durch eure Beiträge, danke nochmal !
Ich bin weder verantwortlich noch irgendwie involviert in diese IT . Sehr bewußt !
Ich würde vieles anders machen, bei der extremen Abhängigkeit von der IT z.b. redundante Geräte.
Ich habe nur meine Teilnahme bei der Installation einer Firewall zugesagt, sonst nix.
Dazu hab ich glaub ich was gelernt durch eure Beiträge, danke nochmal !
1
Wenn es das denn nun war bitte dann auch nicht vergessen deinen Thread als erledigt zu markieren!
Trotz heftiger Kritik habe ich das so wie geplant installiert.
Also keine Trennung in Layer 2, nur in Layer 3 trennt die Firewall das lokale Netz ab.
Ging auf die Schnelle nicht anders, weil im Netz eine Reihe von Fremdgeräten agieren, die Internetzugang brauchen, deren Netzanbindung aber nicht vom mir konfiguriert werden kann.
(Längerfristig wäre wohl sowas ähnliches wie eine "DMZ-Struktur" dafür gut)
Jedenfalls geht alles, und die Firewall macht ihren Dienst.
Also keine Trennung in Layer 2, nur in Layer 3 trennt die Firewall das lokale Netz ab.
Ging auf die Schnelle nicht anders, weil im Netz eine Reihe von Fremdgeräten agieren, die Internetzugang brauchen, deren Netzanbindung aber nicht vom mir konfiguriert werden kann.
(Längerfristig wäre wohl sowas ähnliches wie eine "DMZ-Struktur" dafür gut)
Jedenfalls geht alles, und die Firewall macht ihren Dienst.
1