Sicherheitskonzept

[Nierewa]

Hallo,

ich habe folgendes Abschlußprojekt.

Es besteht ein kleines Netzwerk (Digital Signage) aus ein paar Werbetafeln und einem Server.

Nun soll der Server Zugang zum Internet erhalten um über VPN mit einer Weiteren Tafel zu kommunizieren.

Ich dachte das regelt man am Besten mit einer zweiten Netzwerkkarte und verlagert die Clients der Werbetafeln und die erste Netzwerkarte in ein anderes Netz, also z.Bsp. 10.0.1.0

In der Projektarbeiten muß ich ja weiter Möglichkeiten zur Absicherung anbieten und davon eine umsetzten.

Mir fällt da nur eine DMZ ein. Was spricht dagegen? Reicht die oben genannte Maßnahme.

Sollte ich eine Hardware-Firewall zur Verbindung mit dem Internet nutzen?

Welche anderen Möglichkeiten bestehen?

P.S Das Konzept wurde von jemand anders entwickelt und würde ja auch funktionieren. Aber da ich das weiß beschränkt es meine Sicht- und Denkweise. Soll heißen ich komm immer wieder darauf zurück :confused:

[DarkMaster]

stell mal einen ausführlichen Projektantrag ein. So kann ich irgendwie nicht viel damit anfangen.....

ist das jetzt dein Projekt oder des eines anderen?

[Prowler]

Anbei ein paar Gedanken zu deiner Projektidee, ohne zu wissen obs in die richtig Richtung geht, weil ohne Antrag ist das irgendwie schwer

Wie du richtig geschrieben hast, musst du Entscheidungen treffen und unterschiedliche Möglichkeiten gegeneinander abwägen.

Als erstes würde ich erst mal unterschiedliche Technologien vergleichen, z.B. ssl oder ipsec (ggf -> bezug aufs osi-modell herstellen = steilvorlage fürs fachgespräch!? )

Wenn du dich für zB ipsec entschieden hast, geht es daran wie du das implementierst. mit hardware? Software? Hier hast du faktoren wie kosten/nutzen/performance. Danach kommen die Überlegungen in welche Netze du das Pakst, das ist zwar wichtig, aber für die Projektdoku der ihk eher unbedeutend, denn wichtig ist hier eher die entscheidungsfindung.

Und eine DMZ hat eher wenig mit verschlüsselter Kommunikation über das internet zu tun. Gegen eine DMZ spricht in der Regel relativ wenig, sobald du Server hast (z.B. Proxy Mailserver DNS) die sowohl aus dem LAN und Internet erreicht werden müssen ;-)

[Nierewa]

Danke erst mal für die Antworten. Ich schreib nochmal genauer um was es geht.

Also zur (hoffentlich) besseren Erklärung:

Es besteht ein Netzwerk. Dieses ist unabhängig und hat keine Verbindung zum Internet.

Nun ist geplant, dieses Netzwerk um einen weiteren Client zu erweitern. Dieser ist aber nur per Internet über TV-Kabel Netz zu erreichen, welches die Firma ebenfalls anbietet.

Somit wäre das Netzwerk nicht mehr autark.

Die Aufgabe ist nun das Netzwerk gegen Angriffe von außen abzusichern, da ja eine Anbindung an das Internet erfolgen muß.

Mein Vorgänger hatte bereits ein Konzept entwickelt:

1. Der Server erhält eine zweite Netzwerkarte

• Die Clients an der 1. Karte werden in ein anderes Netwerk verlagert (z.Bsp: 10.0.1.0)

• an der zweiten Karte wird das Internet bzw. der neue Client über einen Router angeschlossen (Netz-ID z.Bsp: 10.0.0.0)

Alles was ich dazu noch sagen kann, oder was mir einfällt ist:

1. Hostanzahl über Subnetzmaske eingrenzen

2. AD auf Server installieren -> Gruppenrichtlinien

3. Antivierenlösung installieren

4. Windows-Firewall: nur die Ports für AD öffnen

5. Verbindung mit Client über Internet per VPN absichern

Und genau hier brauche ich Hilfe. Was kann noch gemacht werden?

P.S Was die DMZ betrifft. So wie ich das verstanden habe, werden hier ja Server und internes LAN getrennt. Das bedeutet also:

LAN -> Server -> Internet = erlaubt

Internet -> Server = erlaubt

Server -> LAN = verboten

Somit fällt diese Möglichkeit aus, da der Server Daten an die Client senden muß

[Prowler]

1. Der Server erhält eine zweite Netzwerkarte

• Die Clients an der 1. Karte werden in ein anderes Netwerk verlagert (z.Bsp: 10.0.1.0)

• an der zweiten Karte wird das Internet bzw. der neue Client über einen Router angeschlossen (Netz-ID z.Bsp: 10.0.0.0)

Was soll das bringen?

Alles was ich dazu noch sagen kann, oder was mir einfällt ist:

1. Hostanzahl über Subnetzmaske eingrenzen

2. AD auf Server installieren -> Gruppenrichtlinien

3. Antivierenlösung installieren

4. Windows-Firewall: nur die Ports für AD öffnen

5. Verbindung mit Client über Internet per VPN absichern

zu1: Ich spiel jetzt mal gemein ihk prüfer "und wenn in zukunft noch mehr geräte dazu kommen ändern Sie alles ab? Sicherheitstechnisch ist das auch nicht wirklich sinnvoll, da es zwar verhindert, dass sich ein weiterer client mit neuer ip ins netz hängt, aber gegen angriffe z.B. auf osi 2 hilft dir das absolut gar nichts

zu 2: Windows AD und Netzwerksicherheit? Auch hier sind OSI2 attacken weiterhin möglich

zu 4. WINDOWS FIREWALL?!?!?!?!?!?!?!1^

zu 5. Ja. (siehe unten)

P.S Was die DMZ betrifft. So wie ich das verstanden habe, werden hier ja Server und internes LAN getrennt. Das bedeutet also:

LAN -> Server -> Internet = erlaubt

Internet -> Server = erlaubt

Server -> LAN = verboten

Genau das ist der Sinn einer DMZ

Inet -> FW -> DMZ/Server -> FW -> LAN

mit den Zwei firewalls kannst du das von dir oben genannte umsetzen. Ziel ist es, dass wenn dein Server gekapert werden sollte, der Bösewicht nicht weiter ins LAN vordringen kann (siehe gema hack )

Das beste vorgehen wäre wohl an beiden Enden ein VPN-Gateway in Form eines Routers zu installieren und zwischen diesen einen Tunnel aufzubauen (ipsec).

[Nierewa]

...wenn in zukunft noch mehr geräte dazu kommen ändern Sie alles ab?

Die Clients die dazu kommen irgendwann wären mit abgedeckt. Allerdings bis sie ins Netzwerk kommen wäre ein einhängen ja möglich.

Wäre es dann günstig einen DHCP einzurichten und IPs an bestimmte MAC-Adressen zu verteilen?

...aber gegen angriffe z.B. auf osi 2 hilft dir das absolut gar nichts

Welche wären das und was kann man dagegen tun?

...Windows AD und Netzwerksicherheit? Auch hier sind OSI2 attacken weiterhin möglich

Die AD dient hauptsächlich für die Verwaltung. Über Gruppenrichtlinien kann man da ja aber auch was machen. Installationen verhindern usw.

...Ziel ist es, dass wenn dein Server gekapert werden sollte, der Bösewicht nicht weiter ins LAN vordringen kann

Das Problem an der Sache ist, das die Software die Inhalte an die Clients verteilt vom Server aus die Clients permanent abfragt und wenn nötig Daten abgleicht. Das ganze läuft über einen Tomcat Server. Also ist eine DMZ doch nicht möglich, oder sehe ich das falsch?

Das beste vorgehen wäre wohl an beiden Enden ein VPN-Gateway in Form eines Routers zu installieren und zwischen diesen einen Tunnel aufzubauen (ipsec).

Meinst Du damit die Enden der DMZ? Die kann ich doch aber nicht einsetzten (siehe Punkt vorher)

Ich bin voll am Verzweifeln. Nicht nur das sich gravierende Lücken in der Ausbildung auftun ich bekomm die totale Panik weil mir einfach nichts einfällt. Es fühlt sich an als würden mir die grundlegendsten Dinge fehlen. Ich hab Aaaangst...

[Nierewa]

Ich glaub ich mach mir ne größere Panik als ich haben müßte. Hab mir nochmal meinen Projektantrag hergenommen, der genehmigt worden ist. Und da steht drin:

...Durch den Prüfling ist diese Anbindungen zu realisieren und verschiedene Möglichkeiten aufzuzeigen, welche:

- eine Sichere Anbindung ermöglichen.

- die Verteilung von Updates über Client-Server-Strukuren bereitstellen, da diese derzeit aufwendig von Hand erfolgt.

- die zentrale Verwaltung der Tafeln über ein geeignetes Gruppenrichtlinienkonzept beinhaltet.

Das bedeutet doch, ich soll "nur" den Client der über das Internet angebunden werden soll sicher anbinden. Sprich VPN. Oder was es da sonst noch? Stimmt ihr mir da zu?

[robotto7831a]

Wer hat eigentlich den Projektantrag geschrieben?

[Prowler]

Hab mir nochmal meinen Projektantrag hergenommen, der genehmigt worden ist. Und da steht drin:

Also du hast einen Projektantrag, der genehmigt wurde? Dann Teile den doch mal mit uns!

Ansonsten geht die Diskussion hier in eine total falsche Richtung, weil hier komplett aus dem zusammenhang gerissene Details diskutiert werden, die evtl. für dein Fachgespräch wichtig sind, aber nicht für deine Projektarbeit.

Deine Fragen:

DHCP: Sicherlich eine nette sache, kommt auf die Anzahl der IPs an - wenn der Overhead zu groß ist nutzt es dir nicht wirklich viel

Thema DMZ: Ich kenne jetzt euere Software im Detail nicht, aber wieso soll das nicht gehen? Du hast Drei Netze: Außen, DMZ, Innen. Zwischen diesen wird geroutet, wenn es entsprechende FW Regeln gibt. Wenn du in der Firewall dem Server erlaubst mit den Clients zu quatschen, wieso soll das dann nicht gehen?

Angriff auf OSI2: Typisch wäre eine Man-in-the-Middle Attacke mittels arpspoofing. Verhindern kannst du das, indem du Netze aufteilst und zwischen den Netze routest bzw eine FW dazwischen klemmst.

Was du eigentlich tun solltest:

Zu den ersten beiden Punkten kann dir hier warscheinlich keiner einen Tipp geben, weil keiner euere Systeme kennt.

verschiedene Möglichkeiten aufzuzeigen.. eine Sichere Anbindung ermöglichen.

D.h. du sollst verschiede Möglichkeiten Diskutieren und dich für eine Entscheiden.

Zunächst hasta du mal die Möglichkeit mittels "Secureprotokollen" zu verschlüsseln - sprich https, sftp, ssh etc.

Dann natürlich noch die Möglichkeit einfach mittels ipsec, wobei du nichts an deiner Software ändern musst und mittels Tunnel verhindern kannst, dass jemand aus oder einbricht. Die DMZ schottet deinen Server dann soweit ab, dass er zwar noch aus beiden Netzen erreichbar ist, aber man nicht direkt im LAN steht, wenn doch jemand die kiste übernimmt.

Mit was realisiert man VPNs: Natürlich stellen alle großen Netzwerkhersteller entsprechende hard- und software zur verfügung, aber die kostet. Was mir immer wieder über den Weg läuft, ich jedoch bis jetzt nicht selbst getestet habe ist pfsence. Das ist eine Firewall, die Kosten sind eher moderat und neben Firewalling sollte auch VPN unterstützt werden.

[Nierewa]

Wer hat eigentlich den Projektantrag geschrieben?

Der Projektantrag wurde vielleicht vier mal geschrieben mit Hilfe meines Betreuers. Er wurde jedoch abgelehnt. Dann haben wir ihn wieder und wieder geändert und er wurde genehmigt. Deshalb wußte ich nicht mehr genau was drin stand.

Also du hast einen Projektantrag, der genehmigt wurde? Dann Teile den doch mal mit uns!

Das habe ich im letzten Post geschrieben.

In ein bestehendes Digital Signage ist eine weitere Werbtafel einzubinden.

Durch den Prüfling ist diese Anbindungen zu realisieren und verschiedene Möglichkeiten aufzuzeigen, welche:

- eine Sichere Anbindung ermöglichen.

- die Verteilung von Updates über Client-Server-Strukuren bereitstellen, da diese derzeit aufwendig von Hand erfolgt.

- die zentrale Verwaltung der Tafeln über ein geeignetes Gruppenrichtlinienkonzept beinhaltet.

Wenn du in der Firewall dem Server erlaubst mit den Clients zu quatschen, wieso soll das dann nicht gehen?

Aber ist dann nicht der Sinn einer DMZ dahin? Ich denke der Server darf keine Verbindung in das LAN aufbauen:

Zitat DMZ selbst gebaut von heise:

...Sie ist so konfiguriert, dass die LAN-PCs auf die Server in der DMZ zugreifen können, von dort jedoch keine Verbindungen aktiv ins LAN hergestellt werden.[/PHP]

Zu den ersten beiden Punkten kann dir hier warscheinlich keiner einen Tipp geben, weil keiner euere Systeme kennt.

Das System ist einfach ein Computer auf dem ein Apache Tomcat läuft. Dieser soll mit einem PC (Werbetafel) über Internet (TV-Kabel) eine sichere Verbindung aufbauen, da er mit diesem ständig den Inhalt der abgespielt werden soll abgleicht.

[Prowler]

1) Sorry, dachte der Projektantrag wäre länger

2) DMZ schirmt systeme ab, die von außen und innen zugänglich sein müssen:

Du hast z.B. 4 Netze: LAN, WAN (die Werbetafel übers inet angebunden), Werbetafel-LAN, DMZ.

Jetzt kannst du dem Server erlauben auf das Werbetafel-LAN auf port 123 (beispiel) zuzugreifen. Dennoch hast du dein LAN geschützt + die Werbetafel PCs, da man sich vom Server aus nicht per ssh oder so auf andere Kisten aufschalten kann.

eine FW ist ja keine schwarz/weiß geschichte, sondern du kannst schon recht genau steuern wer in welches Netz mit welchem protokoll zugreifen darf.