51
Internes LAN direkt mit Internet Router verbunden.
Hallo zusammen,
wir haben in unserem Netzwerk festgestellt, dass wir eine direkte Verbindung (Patchkabel) von unserem internen LAN zu unserem Internet Router haben (jetzt hatten).
Vorbei an allen Firewalls,Proxy und etc.. Der Kollege der das Netzwerk betreut meint, dass auf Grund dessen dass ja das Routing intern keinen anderen Weg zu lässt das kein
kritisches Problem wäre. Ich denke da anders, wir haben eine physikalische Verbinung aus dem internen LAN ins Internet.
Was meint ihr dazu, seht ihr das auch als kritisch an oder nicht?
wir haben in unserem Netzwerk festgestellt, dass wir eine direkte Verbindung (Patchkabel) von unserem internen LAN zu unserem Internet Router haben (jetzt hatten).
Vorbei an allen Firewalls,Proxy und etc.. Der Kollege der das Netzwerk betreut meint, dass auf Grund dessen dass ja das Routing intern keinen anderen Weg zu lässt das kein
kritisches Problem wäre. Ich denke da anders, wir haben eine physikalische Verbinung aus dem internen LAN ins Internet.
Was meint ihr dazu, seht ihr das auch als kritisch an oder nicht?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 245108
Url: https://administrator.de/contentid/245108
Printed on: April 18, 2024 at 10:04 o'clock
51 Comments
Latest comment
Guten Abend,
Gruß,
Dani
Was meint ihr dazu, seht ihr das auch als kritisch an oder nicht?
Um das objektiv zu beurteilen, fehlt uns der Überblick über euer Netzwerk und Sicherheitsmaßnahmen. Ist es wirklich ein reiner Router oder doch eine (UTM-Firewall)? Wundern würde es mich nicht, dazu habe ich schon verrückte Netzwerkaufbauten gesehen und Wegelenkung mit statischen Routen. Vom Design her, ist vieles möglich. Das hängt einfach von zu vielen Faktoren ab.kritisches Problem wäre. Ich denke da anders, wir haben eine physikalische Verbinung aus dem internen LAN ins Internet.
Ich würde sagen, du kannst das nicht beurteilen ohne einen Blick auf Firewall, Netzwerkdesign, etc... zu werfen.Gruß,
Dani
1
Hallo Dani,
unser Aufbau sieht grundsätzlich so aus.
Internes LAN --> Proxy --> Firewall --> Internet Router. Zusätzlich war jetzt noch ein Patchkabel von einem Switch im internen LAN zu dem Internet Router.
unser Aufbau sieht grundsätzlich so aus.
Internes LAN --> Proxy --> Firewall --> Internet Router. Zusätzlich war jetzt noch ein Patchkabel von einem Switch im internen LAN zu dem Internet Router.
Hallo,
das meinte Dani nicht. Hier geht es zu dem um das Routing, welche IP Bereiche etc. Aber auch das kann man jetzt wohl nicht mehr unbedingt sagen, nachdem alles schnell umgestöpselt wurde.
Weisst du denn etwas dazu, wann das gemacht wurde und v.a warum?
Grüße,
Christian
das meinte Dani nicht. Hier geht es zu dem um das Routing, welche IP Bereiche etc. Aber auch das kann man jetzt wohl nicht mehr unbedingt sagen, nachdem alles schnell umgestöpselt wurde.
Weisst du denn etwas dazu, wann das gemacht wurde und v.a warum?
Grüße,
Christian
1
Hallo,
ich schließe mich Dani an; ohne genauere Informationen ist die Struktur nicht zu beurteilen.
Wenn das so ist, wie Du oben beschrieben hast, ist das Patchkabel ein Bypass zu all´euren Sicherheitsmaßnahmen (Firewall, Proxy). Kreuz gefährlich!!
Außerdem habt ihr euch einen Loop im Ethernet-Netzwerk gebaut.
Es kann aber auch sein, dass der Port am Router als DMZ konfiguriert ist und der Switch nur die DMZ realisiert.
Ohne eine genaue Sicht auf die Struktur eures Netzwerkes ist alles nur lesen in der Glaskugel.
Jürgen
ich schließe mich Dani an; ohne genauere Informationen ist die Struktur nicht zu beurteilen.
Wenn das so ist, wie Du oben beschrieben hast, ist das Patchkabel ein Bypass zu all´euren Sicherheitsmaßnahmen (Firewall, Proxy). Kreuz gefährlich!!
Außerdem habt ihr euch einen Loop im Ethernet-Netzwerk gebaut.
Es kann aber auch sein, dass der Port am Router als DMZ konfiguriert ist und der Switch nur die DMZ realisiert.
Ohne eine genaue Sicht auf die Struktur eures Netzwerkes ist alles nur lesen in der Glaskugel.
Jürgen
1
Vielleicht kann ich es noch etwas detaillierter beschreiben. Also wir haben einen Router (von unserem Provider) der zehn öffentliche IPs hat (genau gesagt zwei IP Netze mit der Mask /29). Meines Erachtens läuft da keine Firewall drauf. Da wir die Ports auf unseren Linux Firewalls selbst freigeben können. Neulich war bpsw. RDP über extern auf unseren VPN Server möglich. Jetzt zum Glück nicht mehr, deshalb jetzt diese kritisxhe Analyse unseres Netzwerkes.Von dem Router geht es zu einem Switch der wiederum direkt auf den gleichen internen Switch geht an dem all unsere Server mit ihren internen NiCs hängen. Weiterhin führt von dem "Internet Switch" auch ein Netzwerkkabel zur Firewall, was meines Erachtens der einzig richtige Weg sein kann.
Sein oder nicht sein, solange du nicht sagen kannst, ob Router1 nur Router1 ist und nicht auch irgendwie FW1 ist...open. Wer hat das denn so eingerichtet? Gibt es eine Doku?
Grüße,
Christian
Grüße,
Christian
1
Mach doch mal ´ne Zeichnung! Kann doch nicht so schwer sein.
Und wo ist die Firewall (ein oder zwei Netzwerkkarten?) und der Proxy einzuordnen? Sind die beiden Switch quasi kaskadiert? Und wenn JA, warum?
Wieviele interne Ports hat der Router und wie sind die konfiguriert?
Jürgen
Und wo ist die Firewall (ein oder zwei Netzwerkkarten?) und der Proxy einzuordnen? Sind die beiden Switch quasi kaskadiert? Und wenn JA, warum?
Wieviele interne Ports hat der Router und wie sind die konfiguriert?
Jürgen
1
Eine Zeichnung reicht da aber nicht mehr aus @ct, das eine "querverbindung" da war ist unstreitig. Daher ist die Config wichtiger, als der Aufbau.
Eine Zeichnung habe ich schon. Habs nur vorhin nicht gefunden wie ich die hier einfügen kann (sorry bin neu im Forum).
Also Router ist nur Router (ohne Firewall) von dort gehts zum nem Switch (nennen wir ihn Dirty DMZ) von diesem geht ein Kabel zur Firewall (Linux Server mit drei Nics) auf NIC1. Von NIC2 der Firewall wieder auf einen Switch (genannt Protected DMZ) von dort geht ein Netzwerkkabel zu Proxy NIC1. NIC2 vom Proxy geht dann ins interne Lan.
Also Router ist nur Router (ohne Firewall) von dort gehts zum nem Switch (nennen wir ihn Dirty DMZ) von diesem geht ein Kabel zur Firewall (Linux Server mit drei Nics) auf NIC1. Von NIC2 der Firewall wieder auf einen Switch (genannt Protected DMZ) von dort geht ein Netzwerkkabel zu Proxy NIC1. NIC2 vom Proxy geht dann ins interne Lan.
Hallo,
Wie schon erwähnt, mach eine Zeichnung mit allen Kabeln und IP Adressen aller Geräte die hier ins Spiel kommen.
Gruß,
Peter
Wie schon erwähnt, mach eine Zeichnung mit allen Kabeln und IP Adressen aller Geräte die hier ins Spiel kommen.
Also wir haben einen Router (von unserem Provider) der zehn öffentliche IPs hat
Oha, schon nicht ohne und nicht alltäglich mehr.Meines Erachtens läuft da keine Firewall drauf.
Solange du keine Hersteller und Modelle nennst kann das außer dir keiner wissen. Das dort aber ein Software in irgendeiner Art läuft, diese dann noch mehrfache WANs kann spricht das es sich wohl nicht um ein Speedport Router handelt.was meines Erachtens der einzig richtige Weg sein kann.
Nicht zwingend. Warum 2 Kabel?Gruß,
Peter
1
Moin,
Die Kollegen haben ja schon vieles dazu gesagt. Daher hier noch einige wenige Ergänzungen.
Die Provider stellen normalerweise nur access-Router hin, aus denen das Netz "herausfällt", daß dem Kunden zugewiesen wurde und der muß dann schauen, wie er das "hinter" eine Firewall bekommt.
Wenn das kabel nur auf patchpanel geht, kann es auch sein, daß der Anschluß an eine Spezielle Kiste geht, die direktten Internetzugang braucht. das kenne ich z.B. von diversen maschinensteuerungen, bei denen der herstelelr sich ausbedingt, für Wartungszwecke einen "dierktzugang" zu haben. Nciht schön, kommt aber vor.
Dann kann das auch durahcaus vorkommen, weil manche Pfennigfuchser mißbrauchen eine VLAN-fähigen switch als DMZ-Ersatz.
Dann betreibt man zwei IP-Netze im gleichen LAyer-2-netz mit allen vor und Nachteilen. Wie kollge aqui schon mehrfach ausgeführt hat, kann das zu problemen führen (muß aber ncith, wenn man genau weiß, was man tut). Alelrdins ist dann die trennung nciht gegeben, weil jeder, der seinen PC "richtig" konfiguriert, dann direkt mit dem "nackten Arsch" im Internet ist.
Aber was genau der fall ist, kannst uns nur Du sagen, wenn Du die netsprechende Konfiguration herausrückst.
lks
PS: Ich nwürde einfach mal einen nmap ins LAN loslassen, um zu schauen, ob jemand auf die /29-adressen antwortet oder eine wireshark mitlaufen lassen.
Die Kollegen haben ja schon vieles dazu gesagt. Daher hier noch einige wenige Ergänzungen.
- Wenn der Router vomm Provider gestelt wurde, wird der vermutlich nur routen.
Die Provider stellen normalerweise nur access-Router hin, aus denen das Netz "herausfällt", daß dem Kunden zugewiesen wurde und der muß dann schauen, wie er das "hinter" eine Firewall bekommt.
- Ging das "bypass-Kabel" denn wirtklich in einen switch im LAN oder ging der aufs Patchpanel?
Wenn das kabel nur auf patchpanel geht, kann es auch sein, daß der Anschluß an eine Spezielle Kiste geht, die direktten Internetzugang braucht. das kenne ich z.B. von diversen maschinensteuerungen, bei denen der herstelelr sich ausbedingt, für Wartungszwecke einen "dierktzugang" zu haben. Nciht schön, kommt aber vor.
- Ging das kabel eventuell auf eien VLAN-fähigen switch?
Dann kann das auch durahcaus vorkommen, weil manche Pfennigfuchser mißbrauchen eine VLAN-fähigen switch als DMZ-Ersatz.
- Oder hängt as Kabel direkt auf einem "normalen" switch im LAN, der die netze nicht trennt?
Dann betreibt man zwei IP-Netze im gleichen LAyer-2-netz mit allen vor und Nachteilen. Wie kollge aqui schon mehrfach ausgeführt hat, kann das zu problemen führen (muß aber ncith, wenn man genau weiß, was man tut). Alelrdins ist dann die trennung nciht gegeben, weil jeder, der seinen PC "richtig" konfiguriert, dann direkt mit dem "nackten Arsch" im Internet ist.
Aber was genau der fall ist, kannst uns nur Du sagen, wenn Du die netsprechende Konfiguration herausrückst.
lks
PS: Ich nwürde einfach mal einen nmap ins LAN loslassen, um zu schauen, ob jemand auf die /29-adressen antwortet oder eine wireshark mitlaufen lassen.
Servus. Also was ich sicher sagen kann ist dass das Kabel auf einen internen Switch der Vlan kann aber sicher mit nur einem Vlan arbeitet geht. Wenn mir jemand sagen kann wir ich Bilder einfügen kann füge ich morgen aus der Arbeit eines hinzu. Die Firewall und Proxy Konfiguration kann ich leider nicht einsehen. Nur der Kollege der das betreut hatte auch unseren VPN Server von extern per RDP erreichbar gemachzt(ist jetzt nicht mehr so). Soviel zu Thema "wenn man weiß was man tut kann man dass so machen".
Zitat von @hiasewase:
Wenn mir jemand sagen kann wir ich Bilder einfügen kann füge ich morgen aus der Arbeit eines hinzu.
Wenn mir jemand sagen kann wir ich Bilder einfügen kann füge ich morgen aus der Arbeit eines hinzu.
Beitrag bearbeiten anklicken, Bild hinzufügen anklicken, Bild hochladen, BILD-URL in Beitrag oder Kommentar hinzufügen.
lks
Danke Iks. Probiere ich dann morgen mal aus
Wie schon erwähnt, mach eine Zeichnung mit allen Kabeln und IP Adressen aller Geräte die hier ins Spiel kommen.
Und auch dann, kann kannst du keine klare Aussage treffen. Denn Sobald Routing ins Spiel kommt, ist der Netwerkplan eine Basis. Ich glaube kaum, dass dort Regelwerk und Routingmechanismen eingezeichnet sind.Gruß,
Dani
1
Hier mal eine Zeichnung:
Die IP Adressen sind natürlich nicht die gleichen die wir tatsächlich haben.
So wie das aussieht, hat sich da einer einen "zweitzugang" gelegt. Dazu wird er vermutlich sich einfach eine Adresse aus dem Netz 123.45.67.89/29 herusgepickt haben.
jedenfalls ist auf diese Weise ein abschnorcheln von eurem netz möglich. Jeder der Zugriff auf den Internet-Router hat (und das sind manchmal nicht nur die ISPs) kann "in euer Netz" schauen.
lks
Hallo Iks,
also dann sehe nivht nur ich dass als kritisch an oder?
Wären wir so auch ein leichtes Opfer für Angreifer? Wenn ja welche Methoden wären da so denkbar? Was hältst du von dem offenen RDP Port?
Gruß Matias
also dann sehe nivht nur ich dass als kritisch an oder?
Wären wir so auch ein leichtes Opfer für Angreifer? Wenn ja welche Methoden wären da so denkbar? Was hältst du von dem offenen RDP Port?
Gruß Matias
Hallo!
Ich empfehle dir absperrbare Racks und eine neue Firewallconfig...
Firewall:
Alles von außen wird blockiert
außer
VPN
(und die benötigten Dienste, z.B. Webserver, Email, ...)
Alles von innen wird blockiert außer
HTTP, HTTPS, was auch immer benötigt wird...
Grüße
Bei RDP übers Internet sagen fast alle das man das über ein VPN machen sollte.. was auch Sinn macht.
Solange kein Exploit gefunden/genutzt wird sollte theoretisch nichts schief gehen können... außer Bruteforce!(wie sehen deine Kennwortrichtlinien aus?)
Ich empfehle dir absperrbare Racks und eine neue Firewallconfig...
Firewall:
Alles von außen wird blockiert
außer
VPN
(und die benötigten Dienste, z.B. Webserver, Email, ...)
Alles von innen wird blockiert außer
HTTP, HTTPS, was auch immer benötigt wird...
Grüße
Bei RDP übers Internet sagen fast alle das man das über ein VPN machen sollte.. was auch Sinn macht.
Solange kein Exploit gefunden/genutzt wird sollte theoretisch nichts schief gehen können... außer Bruteforce!(wie sehen deine Kennwortrichtlinien aus?)
Und es gibt auch mit dieser Zeichnung noch etliche Szenarien, welche solch einen Aufbau erklären würden.
- Welches Modell nutzt ihr als Internet-Router? Wie werden die beiden öffentlichen Netze verwaltet? Wie seid Ihr ans Netz angebunden?
- Wie sehen eure grundsätzlichen Firewallregeln aus?
- Welche Switche benutzt ihr? Sind sie managbar, unterstützen sie irgendwelche Sonderfunktionen?
-Was ist euer Hauptgeschäftsbereich? Wie dringend seit Ihr auf das Internet angewiesen? Sterben Menschen oder fahrt ihr unglaublichen Verlust, wenn das Netz weg ist?
-Plan eures Routing und Switching?
-Existieren noch andere netzwerkfähige Geräte zwischen Router und internem LAN?
- Gibt es einen Grund, warum zwischen Router und Firewall ein Switch klemmt? Und warum bitte dieser Name?
Erst wenn alle diese Fragen beantwortet wurden, kann hier "vielleicht" eine sinnvolle Aussage getroffen werden. Alles andere ist ein blindes Stochern im Dunkeln.
- Welches Modell nutzt ihr als Internet-Router? Wie werden die beiden öffentlichen Netze verwaltet? Wie seid Ihr ans Netz angebunden?
- Wie sehen eure grundsätzlichen Firewallregeln aus?
- Welche Switche benutzt ihr? Sind sie managbar, unterstützen sie irgendwelche Sonderfunktionen?
-Was ist euer Hauptgeschäftsbereich? Wie dringend seit Ihr auf das Internet angewiesen? Sterben Menschen oder fahrt ihr unglaublichen Verlust, wenn das Netz weg ist?
-Plan eures Routing und Switching?
-Existieren noch andere netzwerkfähige Geräte zwischen Router und internem LAN?
- Gibt es einen Grund, warum zwischen Router und Firewall ein Switch klemmt? Und warum bitte dieser Name?
Erst wenn alle diese Fragen beantwortet wurden, kann hier "vielleicht" eine sinnvolle Aussage getroffen werden. Alles andere ist ein blindes Stochern im Dunkeln.
1Jepp. mann muß eischon einen sehr guten Grund haben, warum, man das so macht. Wie geagt, wenn für diesen "shortcut" ein extra VLAN eingerichtet ist, könnten da noch durchaus sinnvolle Sachen passieren, auch wenn das nicht das gelbe vom ei ist. es köntne aber auch einfach ein "versehen" oder ein Provisorium gewesen sein, daß nie aufgefallen ist.
Wären wir so auch ein leichtes Opfer für Angreifer?
kommt drauf an- jedenfalls würde es einem potentiellen Angreifer eien Abkürzung bieten.
Wenn ja welche Methoden wären da so denkbar? Was hältst
du von dem offenen RDP Port?
du von dem offenen RDP Port?
Ein offener RDP-Port sollte möglichst vermieden werden. Es kommt zwar im wesentlichen drauf an, welches "Sicherheitsstufe" für die RDP-verbindung genutzt wird, aber da sind so viele mögliche fehlerquellen, daß es sinnvoller ist, RDp gleich abzudrehen, bzw nur üebr eien VPN-verbindung zu erlauben.
lks
1
Der Kollege ist der Meinung dass nur wichtig ist dass von Außen nach Innen Richtlinien greifen, von Innen nach Außen sieht er keine Gefahr. Bzw. dass von Außen nur Gefahr drohen würden wenn jemand intern sich eine der externen IPs geben würde. Anderfalls würde da nichts passieren können.
Ich würde zu gerne die Firewallregeln auf den Linuxservern prüfen, aber von Iptables verstehe ich nicht viel.
Standardmäßig wird von Innen nach Außen und umgekehrt alles über Proxy --> Firewall --> Router geroutet. Nur haben wir ja eben festgestellt dass mit dem Patchkabel all diese Sicherheitsfunktionen übergangen werden können.
In welchem Geschäftsfeld wir arbeiten ist meines Erachtens nicht relevant, ich denk man sollte immer sein möglichstes tun (klar wenn wir in der Rüstunsbranche wären müssten wir mehr für Sicherheit tun als wenn wir ein Schreinerwerkstatt wären) um seine IT-Infrastruktur abzusichern. 100 prozentige Sicherheit gibt es nie, aber wenn es schon an den absulten Basics fehlt kann man dass nicht hinnehmen.
Ich würde zu gerne die Firewallregeln auf den Linuxservern prüfen, aber von Iptables verstehe ich nicht viel.
Standardmäßig wird von Innen nach Außen und umgekehrt alles über Proxy --> Firewall --> Router geroutet. Nur haben wir ja eben festgestellt dass mit dem Patchkabel all diese Sicherheitsfunktionen übergangen werden können.
In welchem Geschäftsfeld wir arbeiten ist meines Erachtens nicht relevant, ich denk man sollte immer sein möglichstes tun (klar wenn wir in der Rüstunsbranche wären müssten wir mehr für Sicherheit tun als wenn wir ein Schreinerwerkstatt wären) um seine IT-Infrastruktur abzusichern. 100 prozentige Sicherheit gibt es nie, aber wenn es schon an den absulten Basics fehlt kann man dass nicht hinnehmen.
Zitat von @hiasewase:
Der Kollege ist der Meinung dass nur wichtig ist dass von Außen nach Innen Richtlinien greifen, von Innen nach Außen
sieht er keine Gefahr. Bzw. dass von Außen nur Gefahr drohen würden wenn jemand intern sich eine der externen IPs geben
würde. Anderfalls würde da nichts passieren können.
Der Kollege ist der Meinung dass nur wichtig ist dass von Außen nach Innen Richtlinien greifen, von Innen nach Außen
sieht er keine Gefahr. Bzw. dass von Außen nur Gefahr drohen würden wenn jemand intern sich eine der externen IPs geben
würde. Anderfalls würde da nichts passieren können.
Falsch: jede Kiste im, LAN kann damit daten nach außen schaffen oder daten von außen herinholen. Das müssen die benutze rnciht mal bewußt machen. man muß nur auf einer der internen Kisten entsprechende Software plazieren. Diese fällt vermutliche Euren malwarescanner nicht einmal auf.
Ich würde zu gerne die Firewallregeln auf den Linuxservern prüfen, aber von Iptables verstehe ich nicht viel.
Dann hold Dir jemanden, der das auseinanderdröseln kann.
Standardmäßig wird von Innen nach Außen und umgekehrt alles über Proxy --> Firewall --> Router
geroutet. Nur haben wir ja eben festgestellt dass mit dem Patchkabel all diese Sicherheitsfunktionen übergangen werden können.
geroutet. Nur haben wir ja eben festgestellt dass mit dem Patchkabel all diese Sicherheitsfunktionen übergangen werden können.
jepp.
In welchem Geschäftsfeld wir arbeiten ist meines Erachtens nicht relevant, ich denk man sollte immer sein möglichstes
tun (klar wenn wir in der Rüstunsbranche wären müssten wir mehr für Sicherheit tun als wenn wir ein
Schreinerwerkstatt wären) um seine IT-Infrastruktur abzusichern. 100 prozentige Sicherheit gibt es nie, aber wenn es schon an
den absulten Basics fehlt kann man dass nicht hinnehmen.
tun (klar wenn wir in der Rüstunsbranche wären müssten wir mehr für Sicherheit tun als wenn wir ein
Schreinerwerkstatt wären) um seine IT-Infrastruktur abzusichern. 100 prozentige Sicherheit gibt es nie, aber wenn es schon an
den absulten Basics fehlt kann man dass nicht hinnehmen.
"100% Sicherheit" ist nur ein Buzzwort für das bullshit-Bingo.
Was in der Security relevant ist, ist eine Risikoabwägung, die sich druch bewertung der Risiken und Kosten sich gegen diese Risiken zu wehren ergibt, z.B. wie hoch ist der Schaden, wenn der Konkurrenzschreiner euch das Design für den neuesten meinungsvertärker klaut.
Ihr sollte einfach mal einen nmap-Scan in eurem LAN nach den öffentlichen IP-Adressen machen, um zu schauen, ob da eine Kiste rumsteht, die verbindugn nach außen hat.
lks
1Mir kommt es übrigens so vor, als redest du ziemlich viel von der Meinung deines Kollegen und übersiehst alles, was nicht gegen diese Meinung geht. Du solltest mal ein offenes Gespräch mit diesem Kollegen anstreben und einen Weg finden mit ihm zu arbeiten anstatt gegen ihn. Dann wird ein gemeinsames Arbeiten auch gleich viel entspannter.
Zitat von @hiasewase:
Ich würde zu gerne die Firewallregeln auf den Linuxservern prüfen, aber von Iptables verstehe ich nicht viel.
Ich würde zu gerne die Firewallregeln auf den Linuxservern prüfen, aber von Iptables verstehe ich nicht viel.
Das scheint auch ein gravierendes Problem zu sein. Du kennst dich scheinbar nicht mit der Firewall, dem Routing und dem Aufbau eurer logischen Netzwerkinfrastruktur aus. Welche Funktion übernimmst du in eurem Betrieb und warum kümmert sich nicht der Kollege mit dem entsprechendem Fachwissen darum?
Und du beantwortest oder kennst die Antworten nicht oder ignorierst alle weiteren Fragen, ohne die dir hier nicht sinnvoll geholfen werden kann
Zitat von @hiasewase:
In welchem Geschäftsfeld wir arbeiten ist meines Erachtens nicht relevant, ich denk man sollte immer sein möglichstes
tun (klar wenn wir in der Rüstunsbranche wären müssten wir mehr für Sicherheit tun als wenn wir ein
Schreinerwerkstatt wären) um seine IT-Infrastruktur abzusichern. 100 prozentige Sicherheit gibt es nie, aber wenn es schon an
den absulten Basics fehlt kann man dass nicht hinnehmen.
In welchem Geschäftsfeld wir arbeiten ist meines Erachtens nicht relevant, ich denk man sollte immer sein möglichstes
tun (klar wenn wir in der Rüstunsbranche wären müssten wir mehr für Sicherheit tun als wenn wir ein
Schreinerwerkstatt wären) um seine IT-Infrastruktur abzusichern. 100 prozentige Sicherheit gibt es nie, aber wenn es schon an
den absulten Basics fehlt kann man dass nicht hinnehmen.
Also wenn ihr ein medizinisches Unternehmen seid und bei einem Ausfall des Internets die Ärzte im OP plötzlich keine Infos mehr bekommen, dann würd ich mal behaupten, dass es bei einer Fehlfunktion der Firewall wichtiger ist die Verbindung erstmal wieder herzustellen. Und in diesem Fall, den betreffenden, bisher gesperrten Netzwerkport auf den Switch zu aktivieren zeugt eher von einer Art Notfallmanagement als von einem Versagen.
Nicht das beste Notfallmanagement, wie ich zugeben muss, aber immerhin.
Wenn ihr aber ne Schreinerwerkstatt seid, mit einer Internetanbindung für n paar Holzbestellungen braucht, dann kannst du eher von einer Fehlplanung ausgehen.
Aber bei 10 öffentlichen IP-Adressen gehe ich mal davon aus, dass hier eine eher empfindlichere Infrastruktur hinterhängt. Und auf die Gefahr hin mich immer zu wiederholen .... Ohne alle Infos, kann dir nicht sicher geholfen werden. Es sind alles nur Vermutungen und Mutmaßungen
1
Hallo Iks,
erstmal vielen Dank für die vielen Infos und die Anregungen. Den nmap Scan werde ich die Tage mal machen. Danke für den Tipp.
Gruß Matias
erstmal vielen Dank für die vielen Infos und die Anregungen. Den nmap Scan werde ich die Tage mal machen. Danke für den Tipp.
Gruß Matias
Zitat von @EURADIA:
> Zitat von @hiasewase:
>
> Der Kollege ist der Meinung ...
Mir kommt es übrigens so vor, als redest du ziemlich viel von der Meinung deines Kollegen und übersiehst alles, was
nicht gegen diese Meinung geht. Du solltest mal ein offenes Gespräch mit diesem Kollegen anstreben und einen Weg finden mit
ihm zu arbeiten anstatt gegen ihn. Dann wird ein gemeinsames Arbeiten auch gleich viel entspannter.
> Zitat von @hiasewase:
>
> Der Kollege ist der Meinung ...
Mir kommt es übrigens so vor, als redest du ziemlich viel von der Meinung deines Kollegen und übersiehst alles, was
nicht gegen diese Meinung geht. Du solltest mal ein offenes Gespräch mit diesem Kollegen anstreben und einen Weg finden mit
ihm zu arbeiten anstatt gegen ihn. Dann wird ein gemeinsames Arbeiten auch gleich viel entspannter.
Es ist nicht so als hätten wir nicht schon x-mal versucht ein offenes Gespräch zu führen, leider ohne Erfolg. Uns werden Informationen vorenthalten oder falsch weitergegeben. Nach dem Motto: Wenn ich einen Fehler mache, vertusche ich ihn lieber anstatt mit meinen Kollegen gemeinsam zu überlegen wie wir das Problem lösen könnten.
> Zitat von @hiasewase:
> Ich würde zu gerne die Firewallregeln auf den Linuxservern prüfen, aber von Iptables verstehe ich nicht viel.
Das scheint auch ein gravierendes Problem zu sein. Du kennst dich scheinbar nicht mit der Firewall, dem Routing und dem Aufbau
eurer logischen Netzwerkinfrastruktur aus. Welche Funktion übernimmst du in eurem Betrieb und warum kümmert sich nicht
der Kollege mit dem entsprechendem Fachwissen darum?
Mein Aufgabengebiet betrifft eher die Windows Server, aber wenn wir gravierende Mängel feststellen müssen wir uns doch in die Thematik reinhängen.
Und du beantwortest oder kennst die Antworten nicht oder ignorierst alle weiteren Fragen, ohne die dir hier nicht sinnvoll
geholfen werden kann
Welche weiteren sinnvollen Fragen hast du denn noch gestellt?
- Welches Modell nutzt ihr als Internet-Router? Ist uninteressant!
Es ist ein Router ohne Firewall (siehe weiter oben im Thread)
Wie werden die beiden öffentlichen Netze verwaltet?
Was meinst du mit verwaltet?
Wie seid Ihr ans Netz angebunden?
Router --> Patchkabel --> Switch (siehe weiter oben im Thread)
- Wie sehen eure grundsätzlichen Firewallregeln aus?
Die erfahren wir ja nicht!
- Welche Switche benutzt ihr?
Hersteller ist denke ich egal.
Sind sie managbar, unterstützen sie irgendwelche Sonderfunktionen?
Sie sind managbar, aber mit keiner Extrafunktion kofiguriert (außer SpanningTree) (siehe weiter oben im Thread)
-Was ist euer Hauptgeschäftsbereich?
Meines Erachtens nicht relevant an der Stelle. Wir wollen mit normalem Aufwand und normalem Budget eine Grundsicherheit erreichen, welche ich als Basics definieren würde. Bspw. nur Port nach außen hin zu öffnen für die notwendig sind. Und dass wiederum nur für die Server die diese Dienste auch bereitstellen.
Wie dringend seit Ihr auf das Internet angewiesen?
Gibt es noch Betriebe die das nicht sind?
Sterben Menschen oder fahrt ihr unglaublichen Verlust, wenn das Netz weg ist? Nein es stribt niemand. Aber kein Internet heißt eingeschränktes Arbeiten für 200 Personen
-Plan eures Routing und Switching?
(siehe weiter oben im Thread)
-Existieren noch andere netzwerkfähige Geräte zwischen Router und internem LAN?
(siehe weiter oben im Thread)
- Gibt es einen Grund, warum zwischen Router und Firewall ein Switch klemmt?
Und warum bitte dieser Name? Ich habe den nicht verbaut, darum kann ich das nicht beantworten.
> Zitat von @hiasewase:
> In welchem Geschäftsfeld wir arbeiten ist meines Erachtens nicht relevant, ich denk man sollte immer sein
möglichstes
> tun (klar wenn wir in der Rüstunsbranche wären müssten wir mehr für Sicherheit tun als wenn wir ein
> Schreinerwerkstatt wären) um seine IT-Infrastruktur abzusichern. 100 prozentige Sicherheit gibt es nie, aber wenn es
schon an
> den absulten Basics fehlt kann man dass nicht hinnehmen.
Also wenn ihr ein medizinisches Unternehmen seid und bei einem Ausfall des Internets die Ärzte im OP plötzlich keine
Infos mehr bekommen, dann würd ich mal behaupten, dass es bei einer Fehlfunktion der Firewall wichtiger ist die Verbindung
erstmal wieder herzustellen. Und in diesem Fall, den betreffenden, bisher gesperrten Netzwerkport auf den Switch zu aktivieren
zeugt eher von einer Art Notfallmanagement als von einem Versagen.
Nicht das beste Notfallmanagement, wie ich zugeben muss, aber immerhin.
Wenn ihr aber ne Schreinerwerkstatt seid, mit einer Internetanbindung für n paar Holzbestellungen braucht, dann kannst du
eher von einer Fehlplanung ausgehen.
Aber bei 10 öffentlichen IP-Adressen gehe ich mal davon aus, dass hier eine eher empfindlichere Infrastruktur
hinterhängt. Und auf die Gefahr hin mich immer zu wiederholen .... Ohne alle Infos, kann dir nicht sicher geholfen werden. Es
sind alles nur Vermutungen und Mutmaßungen
Hallo,
mal abgesehen davon, dass der Typ des eingesetzten Routers bzw. des Switch kein Staatsgeheimnis ist, kann man aus dem Typ auf die Funktionalität des Gerätes schließen!
Bsp: Router ist ´ne FritzBox --> die 4 internen Ports sind nur ein "dummer" Switch. Ist der Router ein Daytek Virgo kann man die Ports einzeln zu Gruppen zusammenfassen und sie unterschiedlichen Funktionen (Intern, WAN, DMZ) zuordnen. Und dann ist es schon ein Unterschied, ob und wo man ein Patchkabel rein steckt.
Und so "dumm" und unkonfiguriert kann euer Router ja nicht sein, wenn er mit 2 externen Subnetzen klar kommt.
Und wie ihr mit 200 Clients ohne Strukturierung, VLANs usw. klar kommt, ist sicher auch eine Überlegung wert.
Wenn die physische Struktur des Netzes OK ist (scheint ja mittlerweile wieder so zu sein), kommt es nur auf das Routing und die Firewall-Regel an. Das wurde ja nun schon des öfteren gesagt. Und wenn Du uns diese Infos nicht geben kannst oder willst, ist alles andere nur "Lesen in der Glaskugel.
Ich habe aber das Gefühl, Eurer oder besser Dein Problem ist der für die Sicherheit in der IT zuständige Mitarbeiter (Kollege??). Du vertraust ihm nicht, weil er nicht tranzparent arbeitet.
Dann ist das ganze kein technisches Problem, sondern ein Personalproblem. Und dafür ist das hier das falsche Forum.
Geh´zu Deinem Vorgesetzten, erkläre ihm die Situation; verweise darauf, dass Du die Sicherheit der Firma gefährdet siehst und bitte ihn um eine Lösung des Problems.
Jürgen
mal abgesehen davon, dass der Typ des eingesetzten Routers bzw. des Switch kein Staatsgeheimnis ist, kann man aus dem Typ auf die Funktionalität des Gerätes schließen!
Bsp: Router ist ´ne FritzBox --> die 4 internen Ports sind nur ein "dummer" Switch. Ist der Router ein Daytek Virgo kann man die Ports einzeln zu Gruppen zusammenfassen und sie unterschiedlichen Funktionen (Intern, WAN, DMZ) zuordnen. Und dann ist es schon ein Unterschied, ob und wo man ein Patchkabel rein steckt.
Und so "dumm" und unkonfiguriert kann euer Router ja nicht sein, wenn er mit 2 externen Subnetzen klar kommt.
Und wie ihr mit 200 Clients ohne Strukturierung, VLANs usw. klar kommt, ist sicher auch eine Überlegung wert.
Wenn die physische Struktur des Netzes OK ist (scheint ja mittlerweile wieder so zu sein), kommt es nur auf das Routing und die Firewall-Regel an. Das wurde ja nun schon des öfteren gesagt. Und wenn Du uns diese Infos nicht geben kannst oder willst, ist alles andere nur "Lesen in der Glaskugel.
Ich habe aber das Gefühl, Eurer oder besser Dein Problem ist der für die Sicherheit in der IT zuständige Mitarbeiter (Kollege??). Du vertraust ihm nicht, weil er nicht tranzparent arbeitet.
Dann ist das ganze kein technisches Problem, sondern ein Personalproblem. Und dafür ist das hier das falsche Forum.
Geh´zu Deinem Vorgesetzten, erkläre ihm die Situation; verweise darauf, dass Du die Sicherheit der Firma gefährdet siehst und bitte ihn um eine Lösung des Problems.
Jürgen
2Zitat von @chiefteddy:
Bsp: Router ist ´ne FritzBox --> die 4 internen Ports sind nur ein "dummer" Switch.
Bsp: Router ist ´ne FritzBox --> die 4 internen Ports sind nur ein "dummer" Switch.
Schon falsch.
Der 4 Ports sind Anschlüsse eineas ASIC, das diese 4 Ports i.d.R. als einfacher switch konfiguriert hat. Wenn man ein gastnetz dazunimmt, hat man im prinzip zqwei getrennte Segmente.
Man kann durch passende Firmware (oder Software) diesen wieder so umkonfigurieren, daß man 5 getrennte Netze hat.
lks
1
Seh ich auch so. Hatten wir hier ja schon öfters, da kam am Ende auch nichts dabei heraus. Entweder du fragst das intern nach oder du gibst uns die Infos (wenn du dazu befugt bist). Ansonsten: Warum sollte das Sicherheitssystem einer Firma Transparent sein? Solange es verifiziert wurde und die entsprechenden Arbeitsgesetze eingehalten beim Scan des Traffics eingehalten wurden hat das gar nicht Hinz und Kunz zu interessieren.
1Zitat von @chiefteddy:
Ist der Router ein Daytek
Virgo kann man die Ports einzeln zu Gruppen zusammenfassen und sie unterschiedlichen Funktionen (Intern, WAN, DMZ) zuordnen. Und
dann ist es schon ein Unterschied, ob und wo man ein Patchkabel rein steckt.
Und so "dumm" und unkonfiguriert kann euer Router ja nicht sein, wenn er mit 2 externen Subnetzen klar kommt.
Ist der Router ein Daytek
Virgo kann man die Ports einzeln zu Gruppen zusammenfassen und sie unterschiedlichen Funktionen (Intern, WAN, DMZ) zuordnen. Und
dann ist es schon ein Unterschied, ob und wo man ein Patchkabel rein steckt.
Und so "dumm" und unkonfiguriert kann euer Router ja nicht sein, wenn er mit 2 externen Subnetzen klar kommt.
Wenn ch den TO richtig verstanden habe, hat der ISp denen den Route rhingesteltl udn gesagt, daß aus dem ethernetport zwei IP-netze rausfallen. er wird keien Möglichkeit haben, an der Konfiguration des Routers herumzudoktern oder diese auszulesen.
lks
1Zitat von @Lochkartenstanzer:
> Zitat von @chiefteddy:
>
> Ist der Router ein Daytek
> Virgo kann man die Ports einzeln zu Gruppen zusammenfassen und sie unterschiedlichen Funktionen (Intern, WAN, DMZ) zuordnen.
Und
> dann ist es schon ein Unterschied, ob und wo man ein Patchkabel rein steckt.
>
> Und so "dumm" und unkonfiguriert kann euer Router ja nicht sein, wenn er mit 2 externen Subnetzen klar kommt.
Wenn ch den TO richtig verstanden habe, hat der ISp denen den Route rhingesteltl udn gesagt, daß aus dem ethernetport zwei
IP-netze rausfallen. er wird keien Möglichkeit haben, an der Konfiguration des Routers herumzudoktern oder diese auszulesen.
lks
> Zitat von @chiefteddy:
>
> Ist der Router ein Daytek
> Virgo kann man die Ports einzeln zu Gruppen zusammenfassen und sie unterschiedlichen Funktionen (Intern, WAN, DMZ) zuordnen.
Und
> dann ist es schon ein Unterschied, ob und wo man ein Patchkabel rein steckt.
>
> Und so "dumm" und unkonfiguriert kann euer Router ja nicht sein, wenn er mit 2 externen Subnetzen klar kommt.
Wenn ch den TO richtig verstanden habe, hat der ISp denen den Route rhingesteltl udn gesagt, daß aus dem ethernetport zwei
IP-netze rausfallen. er wird keien Möglichkeit haben, an der Konfiguration des Routers herumzudoktern oder diese auszulesen.
lks
Moin LKS, kennst du den ISP? Ich bin mir nichtmal sicher, ob der TO der Hauptzuständige Admin ist (korrigier mich, wenn ich falsch liege). Ich kenne ein paar lokale ISPs, die den Router vorkonfiguriert hinstellen und man trotzdem selbst managen kann (dann aber auf eigene Gefahr). Ist also nicht immer zwingend so, dass nur der ISP da dann noch zugreifen kann, wenn der Router vorkonfiguriert ist.
Aber ohne mehr Infos: Glaskugel. Vielleicht wäre ein Sicherheitsaudit aber die sinnvollste Lösung.
Grüße
1
Hallo,
Router ist ein technicolor TG670i, der von unserem ISP installiert wurde. Wir konfigurieren auf dem Router nichts eigenes. D.h. das Ding steht da wie vom ISP geliefert.
Damit da endlich etwas Struktur reinkommt haben wir uns jetzt zwei Tage damit beschäftigt und das was wir einsehen können (Verkabelung, von wo geht welches Kabel wo hin etc..) geprüft. Als nächstes Ziel haben wir natürlich auf dem Zettel dass wir die Firewallkonfiguration und das Routing prüfen wollen. Nur um überhaupt den Anspruch stellen zu können, dass das was der Kollege bisher im Geheimen tut einsehen zu wollen brauchen wir Gründe. Einer davon ist dass bspw. der RDP Port von extern auf zwei Server offen war obwohl es nicht notwendig war. Ein zweiter ist dieses ominöse Kabel welches an allen Sicherheitsvorkehrungen vorbei läuft.
Und ja genau dass ist unser Problem, der Kollege arbeitet total intransparent (bspw. haben wir festgestellt dass unsere Linuxserver auf dem Stand von 2009 laufen)
Die Aussage auf dererlei Anfragen war immer "der Kernel ist sicher". Mehr haben wir nicht erfahren.
Wir sind jetzt an einem Punkt wo wir eben weil wir immer wieder kiritische Sicherheitslücken gefunden haben, das Ganze tranparent machen wollen.
Router ist ein technicolor TG670i, der von unserem ISP installiert wurde. Wir konfigurieren auf dem Router nichts eigenes. D.h. das Ding steht da wie vom ISP geliefert.
Damit da endlich etwas Struktur reinkommt haben wir uns jetzt zwei Tage damit beschäftigt und das was wir einsehen können (Verkabelung, von wo geht welches Kabel wo hin etc..) geprüft. Als nächstes Ziel haben wir natürlich auf dem Zettel dass wir die Firewallkonfiguration und das Routing prüfen wollen. Nur um überhaupt den Anspruch stellen zu können, dass das was der Kollege bisher im Geheimen tut einsehen zu wollen brauchen wir Gründe. Einer davon ist dass bspw. der RDP Port von extern auf zwei Server offen war obwohl es nicht notwendig war. Ein zweiter ist dieses ominöse Kabel welches an allen Sicherheitsvorkehrungen vorbei läuft.
Und ja genau dass ist unser Problem, der Kollege arbeitet total intransparent (bspw. haben wir festgestellt dass unsere Linuxserver auf dem Stand von 2009 laufen)
Die Aussage auf dererlei Anfragen war immer "der Kernel ist sicher". Mehr haben wir nicht erfahren.
Wir sind jetzt an einem Punkt wo wir eben weil wir immer wieder kiritische Sicherheitslücken gefunden haben, das Ganze tranparent machen wollen.
Schon falsch.
Der 4 Ports sind Anschlüsse eineas ASIC, das diese 4 Ports i.d.R. als einfacher switch konfiguriert hat. Wenn man ein gastnetz dazunimmt, hat man im prinzip zqwei getrennte Segmente.
Man kann durch passende Firmware (oder Software) diesen wieder so umkonfigurieren, daß man 5 getrennte Netze hat.
lks
Ja, hast recht. Ich wollte nur das Problem etwas bildlicher darstellen. Aber alle Vergleiche hinken eben.
Jürgen
Der 4 Ports sind Anschlüsse eineas ASIC, das diese 4 Ports i.d.R. als einfacher switch konfiguriert hat. Wenn man ein gastnetz dazunimmt, hat man im prinzip zqwei getrennte Segmente.
Man kann durch passende Firmware (oder Software) diesen wieder so umkonfigurieren, daß man 5 getrennte Netze hat.
lks
Ja, hast recht. Ich wollte nur das Problem etwas bildlicher darstellen. Aber alle Vergleiche hinken eben.
Jürgen
1
Nochmal: Ihr (Du) habt (hast) ein Personalproblem. Du versuchts eine "Palastrevolution" anzuzetteln. Das kann (unabhängigt von der Richtigkeit der Beanstandung) ganz leicht nach "hinten" losgehen.
Geh´zu Deinem Vorgesetzten und rede mit ihm über Deine Befürchtungen. Und wenn der "Sicherheits-Administrator" nicht gerade der Schwiegersohn des Geschäftsführers ist,
wird man sich des Problems annehmen. Wenn nicht, hat die Firma es nicht besser verdient.
Und Vorsicht: Ein unautorisierter Penetrations-Test ist Hacking und damit strafbar. Unabhängig davon, ob man es "in guter Absicht" getan hat.
Jürgen
Geh´zu Deinem Vorgesetzten und rede mit ihm über Deine Befürchtungen. Und wenn der "Sicherheits-Administrator" nicht gerade der Schwiegersohn des Geschäftsführers ist,
wird man sich des Problems annehmen. Wenn nicht, hat die Firma es nicht besser verdient.Und Vorsicht: Ein unautorisierter Penetrations-Test ist Hacking und damit strafbar. Unabhängig davon, ob man es "in guter Absicht" getan hat.
Jürgen
1
Danke für die Anregungen. Für mich ist letzendlich klar, dass wir die kritischen Bereich gemeinsam anschauen und bewerten müssen. Evtl ist ein exterenes Audit sinnvoll, das wiederum muss dann mein Chef entscheiden. Ich möchte meinem Kollegen ja nix böses, ich möchte lediglich ein möglichst sicheres Netz.
Wie gesagt vielen Dank nochmal.
Grüße
Matias
Wie gesagt vielen Dank nochmal.
Grüße
Matias
Zitat von @hiasewase:
Für mich ist letzendlich klar, dass wir die kritischen Bereich gemeinsam anschauen und
bewerten müssen.
Für mich ist letzendlich klar, dass wir die kritischen Bereich gemeinsam anschauen und
bewerten müssen.
Wer ist "Wir" und warum solltet ihr den kritischen Bereich gemeinsam bewerten dürfen?
Habt ihr eine spezielle Zusatzausbildung, Zertifikate oder besonders viel Erfahrung darin so etwas zu bewerten. Etwas das euch über die Erfahrung und Ausbildung des betreffenden Mitarbeiters stellt?
Aber die wichtigste Frage hierbei ist: "Hat der Verantwortliche für eure IT oder dein Chef dich mit dieser Bewertung beauftragt?".
Und wenn dies der Fall ist, warum holt sich dein Chef dann nicht selber diese Informationen vom betreffenden Mitarbeiter?
Dazu eine persönliche Frage am Rande. Gibt es bei euch keine Dokumentation oder hast du nur keine Berechtigung für den Zugriff darauf?
Zitat von @hiasewase:
Evtl ist ein exterenes Audit sinnvoll, das wiederum muss dann mein Chef entscheiden.
Evtl ist ein exterenes Audit sinnvoll, das wiederum muss dann mein Chef entscheiden.
Ja, ein externes Audit ist ziemlich sinnvoll. Aber ich denke mal, du wirst danach exakt so schlau sein wie vorher, da du dadurch selber keinen einzigen Blick auf die Regeln werfen wirst. Die werden bei sowas normalerweise nur mit dem betreffenden Mitarbeiter, dem IT-Verantwortlichen und der Geschäftsleitung besprochen.
Zitat von @hiasewase:
Ich möchte meinem Kollegen ja nix böses, ich möchte lediglich ein möglichst sicheres Netz.
Ich möchte meinem Kollegen ja nix böses, ich möchte lediglich ein möglichst sicheres Netz.
Kann natürlich sein, dass es nicht so ist. Aber aufgrund deiner vorherigen Posts stellt es sich für mich ebenfalls so dar, dass ihr ein Personalproblem habt, du mit ihm unzufrieden bist und ihm nun eine auswischen willst.
1
Was bist DU denn in dem Betrieb, klär uns doch mal etwas auf?
Zitat von @EURADIA:
> Zitat von @hiasewase:
> Für mich ist letzendlich klar, dass wir die kritischen Bereich gemeinsam anschauen und
> bewerten müssen.
Wer ist "Wir" und warum solltet ihr den kritischen Bereich gemeinsam bewerten dürfen?
Ganz einfach weil es sonst keiner macht. Zudem sind wir ein Recht kleines Team, so dass jeder seine Erfahrungen mit einbringen muss damit möglichst viele Aspekte bedacht werden.> Zitat von @hiasewase:
> Für mich ist letzendlich klar, dass wir die kritischen Bereich gemeinsam anschauen und
> bewerten müssen.
Wer ist "Wir" und warum solltet ihr den kritischen Bereich gemeinsam bewerten dürfen?
Habt ihr eine spezielle Zusatzausbildung, Zertifikate oder besonders viel Erfahrung darin so etwas zu bewerten. Etwas das euch
über die Erfahrung und Ausbildung des betreffenden Mitarbeiters stellt?
Nein, gesunder Menschenverstand reicht ob schon aus, siehe Patchkabel direkt ins Internet, keine Ports wie bspw. den RDP Port öffnen wenn man sie nicht braucht.über die Erfahrung und Ausbildung des betreffenden Mitarbeiters stellt?
Aber die wichtigste Frage hierbei ist: "Hat der Verantwortliche für eure IT oder dein Chef dich mit dieser Bewertung
beauftragt?".
Und wenn dies der Fall ist, warum holt sich dein Chef dann nicht selber diese Informationen vom betreffenden Mitarbeiter?
Dazu eine persönliche Frage am Rande. Gibt es bei euch keine Dokumentation oder hast du nur keine Berechtigung für den
Zugriff darauf?
Einzige Dokumentation ist ein Netzwerkplan und natürlich habe ich die Berechtigung für diesen. Firewall und Routing sind nicht dokumentiert!Dazu eine persönliche Frage am Rande. Gibt es bei euch keine Dokumentation oder hast du nur keine Berechtigung für den
Zugriff darauf?
> Zitat von @hiasewase:
> Evtl ist ein exterenes Audit sinnvoll, das wiederum muss dann mein Chef entscheiden.
Ja, ein externes Audit ist ziemlich sinnvoll. Aber ich denke mal, du wirst danach exakt so schlau sein wie vorher, da du dadurch
selber keinen einzigen Blick auf die Regeln werfen wirst. Die werden bei sowas normalerweise nur mit dem betreffenden Mitarbeiter,
dem IT-Verantwortlichen und der Geschäftsleitung besprochen.
> Zitat von @hiasewase:
> Ich möchte meinem Kollegen ja nix böses, ich möchte lediglich ein möglichst sicheres Netz.
Kann natürlich sein, dass es nicht so ist. Aber aufgrund deiner vorherigen Posts stellt es sich für mich ebenfalls so
dar, dass ihr ein Personalproblem habt, du mit ihm unzufrieden bist und ihm nun eine auswischen willst.
Hauptsächlich der Admin der Windows Server (Mail,WSUS,File,DC usw..). Alledings müssen wir im Team ja auch in Vertretung andere Zuständigkeiten übernehmen.
Da hab ich bspw. auch eine für das Netzwerk.
Mich ärgert der Tenor, du willst deinem Kollegen nur eine auswischen, nein!! Ziel ist es unseren Betrieb nicht zu gefährden. Und dazu müssen einfach bestimmte Basics eingehalten werden. Und wenn an der Stelle Mist gebaut wird bin ich meines Erachtens in der Pflicht da Abhilfe zu schaffen - notfalls gegen den Willen des Firwall/Routing Admins. Und wie man sieht war dort einiges an Missständen. Und ich könnte noch weitere nennen, bspw. dass die Dokumentationen zu 30 Prozent fehlerbehaftet waren (Server nicht mehr existent, Ports falsch beschriftet, Leitungswege falsch, fehlende Netzwerkkomponenten usw..)
Dann solltest du das aber erstmal intern klären und das scheint hier nicht so zu sein. Sorry, aber wir hatten hier schon einige "Admins", die im Grunde nur DAU waren, aber meinten ihrem Admin vergehen nachweisen zu müssen. Respektive die Plattform zur Ideenfindung nutzten.
1
Das kann ich schon verstehen. Kann ja jeder daher kommen und nach Fehlern von Admins suchen. MIr ist wichtig die Mängel anzusprechen und zu beheben.
Davon mal abgesehen haben wir unseren Netzwerk/Firewall usw. Admin ja darüber auch schon informiert. Ziel ist ja nicht ihn schlech zu machen sondern die Fehler zu beheben. Wenn dann aber Antworten wie "solange intern niemand eine externe IP verwendet kann nichts passieren" oder "RDP Port soll offen bleiben damit man falls VPN nicht geht remote auf die Maschine kann (nur wußte niemand davon)" dann verärgert einen dass.
Mein Ziel hier war, eine Einschätzung zu gewinnen welchem Risiko wir mit diesem einen Patchkabel ausgeliefert waren. Mein Fazit: Nicht ungefährlich aber auch kein komplett offenes Scheunentor.
Davon mal abgesehen haben wir unseren Netzwerk/Firewall usw. Admin ja darüber auch schon informiert. Ziel ist ja nicht ihn schlech zu machen sondern die Fehler zu beheben. Wenn dann aber Antworten wie "solange intern niemand eine externe IP verwendet kann nichts passieren" oder "RDP Port soll offen bleiben damit man falls VPN nicht geht remote auf die Maschine kann (nur wußte niemand davon)" dann verärgert einen dass.
Mein Ziel hier war, eine Einschätzung zu gewinnen welchem Risiko wir mit diesem einen Patchkabel ausgeliefert waren. Mein Fazit: Nicht ungefährlich aber auch kein komplett offenes Scheunentor.
Das stimmt auch so. Wenn er die Linie security by obs... fährt, wer weiss, vielleicht meint er das gar nicht so schlecht und ich muss leider sagen, dass es in den letzten paar Jahren nicht nur einmal vor kam, dass ein VPN nicht mehr geht. Ist bei einem Rootserver natürlich kritischer und wer weiss, vielleicht hat er den RDP Zugriff ja noch eingeschränkt. Ist natürlich keine "daily use Option"
Nur als Anmerkung dazu.
Grüße
Nur als Anmerkung dazu.
Grüße
1Diesen Tenor hast du aufgrund deiner Ausdrucksweise und deiner Wortwahl selber gesetzt.
Ziel ist es unseren Betrieb nicht zu gefährden. Und dazu müssen einfach bestimmte Basics eingehalten werden.
Und wer bestimmt was diese Basics sind, die für euren Betrieb gelten. "Eurer IT-Leiter oder Chef!"Und wenn an der Stelle Mist gebaut wird bin ich meines Erachtens in der Pflicht da Abhilfe zu schaffen - notfalls gegen den Willen des Firwall/Routing Admins.
Nein, da bist du nicht in der Pflicht. Das liegt alles in der Hand des betreffenden Mitarbeiters. Er allein hat die Rechten und Pflichten sich darum zu kümmern.
Deine Pflicht ist es so etwas an euren IT-Leiter oder Chef zu melden. Dieser wird sich dann darum kümmern....oder eben nicht...
Und wie man sieht war dort einiges an Missständen. Und ich könnte noch weitere nennen, bspw.
Die solltest du sogar DRINGEND nennen. Und zwar deinem IT-Leiter oder Chef!dass die Dokumentationen zu 30 Prozent fehlerbehaftet waren (Server nicht mehr existent, Ports falsch > beschriftet, Leitungswege falsch, fehlende Netzwerkkomponenten
Sagtest du nicht, es gibt keine Dokumentation? Oder sprichst du nur von dem Netzwerkplan?
Dies solltest du übrigens auch ziemlich eindringlich deinem IT-Leiter oder Chef melden, damit dieser sich dransetzen kann eine vernünftige IT-Dokumentation incl. Notfallpläne, Wiederanlaufpläne, Richtlinien, System- und Prozessdokumentation sowie der dazugehörigen Rahmendokumente auf den Weg zu bringen.
1Zitat von @EURADIA:
> Zitat von @hiasewase:
>
> Mich ärgert der Tenor, du willst deinem Kollegen nur eine auswischen, nein!!
Diesen Tenor hast du aufgrund deiner Ausdrucksweise und deiner Wortwahl selber gesetzt.
Stimmt nicht, ich versuche lediglich herauszufinden welche Auswirkungen die groben Schnitzer für unsere IT-Sicherheit haben.> Zitat von @hiasewase:
>
> Mich ärgert der Tenor, du willst deinem Kollegen nur eine auswischen, nein!!
Diesen Tenor hast du aufgrund deiner Ausdrucksweise und deiner Wortwahl selber gesetzt.
> Ziel ist es unseren Betrieb nicht zu gefährden. Und dazu müssen einfach bestimmte Basics eingehalten werden.
Und wer bestimmt was diese Basics sind, die für euren Betrieb gelten. "Eurer IT-Leiter oder Chef!"
> Und wenn an der Stelle Mist gebaut wird bin ich meines Erachtens in der Pflicht da Abhilfe zu schaffen - notfalls gegen den
Willen des Firwall/Routing Admins.
Nein, da bist du nicht in der Pflicht. Das liegt alles in der Hand des betreffenden Mitarbeiters. Er allein hat die Rechten und
Pflichten sich darum zu kümmern.
Er hat weder allein die Rechte noch die Pflichten dazu. Sicherheit unserer Umgebung geht vor Persönlichem.
Deine Pflicht ist es so etwas an euren IT-Leiter oder Chef zu melden. Dieser wird sich dann darum kümmern....oder eben
nicht...
> Und wie man sieht war dort einiges an Missständen. Und ich könnte noch weitere nennen, bspw.
Die solltest du sogar DRINGEND nennen. Und zwar deinem IT-Leiter oder Chef!
> dass die Dokumentationen zu 30 Prozent fehlerbehaftet waren (Server nicht mehr existent, Ports falsch > beschriftet,
Leitungswege falsch, fehlende Netzwerkkomponenten
Sagtest du nicht, es gibt keine Dokumentation? Oder sprichst du nur von dem Netzwerkplan?
Dies solltest du übrigens auch ziemlich eindringlich deinem IT-Leiter oder Chef melden, damit dieser sich dransetzen kann
eine vernünftige IT-Dokumentation incl. Notfallpläne, Wiederanlaufpläne, Richtlinien, System- und
Prozessdokumentation sowie der dazugehörigen Rahmendokumente auf den Weg zu bringen.
Wäre schön, nur diese Dokumentationen machen wir und nicht unser Chef. Jeder hier bei uns inkl. Chef hat sein "Spezialgebiet" und jeder hat weiter Zuständigkeiten (teilweise auch Vertretungen wie bspw. ich beim Netzwerk). Somit muss auch jeder für sein Gebiet die Dokus usw. erstellen.eine vernünftige IT-Dokumentation incl. Notfallpläne, Wiederanlaufpläne, Richtlinien, System- und
Prozessdokumentation sowie der dazugehörigen Rahmendokumente auf den Weg zu bringen.
Zitat von @hiasewase:
> Zitat von @EURADIA:
>
> > Zitat von @hiasewase:
> >
Stimmt nicht, ich versuche lediglich herauszufinden welche Auswirkungen die groben Schnitzer für unsere IT-Sicherheit haben.
>
> Zitat von @EURADIA:
>
> > Zitat von @hiasewase:
> >
Stimmt nicht, ich versuche lediglich herauszufinden welche Auswirkungen die groben Schnitzer für unsere IT-Sicherheit haben.
>
Das ist schlicht unsicher, ob es grobe Schnitzer sind. Da du ja derzeit nicht überblicken kannst, wie es aufgebaut ist.
1Zitat von @falscher-sperrstatus:
Das stimmt auch so. Wenn er die Linie security by obs... fährt, wer weiss, vielleicht meint er das gar nicht so schlecht und
ich muss leider sagen, dass es in den letzten paar Jahren nicht nur einmal vor kam, dass ein VPN nicht mehr geht.
In diesem Fall muss halt jemand schnell ins Büro fahren, wir wohnen ja alle nicht weit weg.Das stimmt auch so. Wenn er die Linie security by obs... fährt, wer weiss, vielleicht meint er das gar nicht so schlecht und
ich muss leider sagen, dass es in den letzten paar Jahren nicht nur einmal vor kam, dass ein VPN nicht mehr geht.
Ist bei einem Rootserver natürlich kritischer und wer weiss, vielleicht hat er den RDP Zugriff ja noch eingeschränkt. Ist
natürlich keine "daily use Option"
Der RDP Zugriff ist nicht weiter eingeschränkt, Passwort des lokalen Administrators auf dem VPN (den betreut auch der Kollege) ist in etwa abcabc.natürlich keine "daily use Option"
Und das schlimmste ist er wusste ja nicht mal dass der Port für alle extern erreichbaren Server offen war. Und es hat drei Anläufe gebraucht bis die Ports gesperrt waren. Sorry aber da schwindet das Vertrauen.
Nur als Anmerkung dazu.
Grüße
Wir sind alle nicht er, aber hier lässt du bereits durchscheinen, dass du auch persönlich ein ziemliches Problem mit ihm hast, welches besser nicht in dem Forum behandelt werden sollte. Wie gesagt: Entweder ihr schaut das Netz in gänze mal durch oder lasst es durch schauen. Nach dem Status wissen wir nur, dass es erhebliche Spannungen gibt, die sollten hier kein Thema sein, was zurück auf das die Empfehlung von oben führt.
1
Zitat von @hiasewase:
> > Mich ärgert der Tenor, du willst deinem Kollegen nur eine auswischen, nein!!
> > Mich ärgert der Tenor, du willst deinem Kollegen nur eine auswischen, nein!!
Doch, eindeutig!
> eine vernünftige IT-Dokumentation incl. Notfallpläne, Wiederanlaufpläne, Richtlinien, System- und
> Prozessdokumentation sowie der dazugehörigen Rahmendokumente auf den Weg zu bringen.
Wäre schön, nur diese Dokumentationen machen wir und nicht unser Chef. Jeder hier bei uns inkl. Chef hat sein
"Spezialgebiet" und jeder hat weiter Zuständigkeiten (teilweise auch Vertretungen wie bspw. ich beim Netzwerk).
Somit muss auch jeder für sein Gebiet die Dokus usw. erstellen.
> Prozessdokumentation sowie der dazugehörigen Rahmendokumente auf den Weg zu bringen.
Wäre schön, nur diese Dokumentationen machen wir und nicht unser Chef. Jeder hier bei uns inkl. Chef hat sein
"Spezialgebiet" und jeder hat weiter Zuständigkeiten (teilweise auch Vertretungen wie bspw. ich beim Netzwerk).
Somit muss auch jeder für sein Gebiet die Dokus usw. erstellen.
Dann betreibt ihr bei euch aber alle einen ziemlichen Pfusch. Ein Admin, der seine Dokus nicht sauber hält..... reden wir nicht davon.....
IMHO will dir Euradia damit durch die Blume sagen, dass dein Chef mal die Samthandschuhe ausziehen sollte um euch allen gaaaanz kräftig in den Arsch treten und euch dazu zu bringen euren Job vernünftig zu machen!
1
Dem Post schliesse ich mich an.
Nur weil Du an den Windows-Büchsen herumfuchtelst, macht Dich das noch lange nicht zu einem Security-Experten. Zumal Du hier nicht mal grundlegende Dinge zur Security beantworten konntest und immer noch nicht kannst. Deswegen wäre ich erst einmal vorsichtig dem Kollegen "Fahrlässigkeit" zu unterstellen. Hier würde ich erst einmal das persönliche Gespräch mit dem Kollegen suchen. Wenn das nicht fruchtet, und ihr ja so ein tolles Familiäres Team seid, dann würde ich das beim Teammeeting offen ansprechen.
By the way:
Ich lasse auch nicht jeden Windows-Admin an meine Citrix-Server, ausser er ist mein Stellvertreter. Ansonsten hat auf der Farm niemand was zu suchen. Deswegen gibt es ja auch Fachbereiche. Und gerade ihr übereifrige Windows-Admins habt mir durch absolute Unkenntniss, respektive Halbwissen, schon so manche Citrix Farm ins Schleudern gebracht. Euch übereifrigen sitzen mir (persönlich) die Finger etwas zu locker auf den Maustasten um es mal höflich auszudrücken. Deswegen kann ich Deinen Kollegen sogar in gewisser Weise verstehen. Also: Schuster bleib bei Deinen Leisten.
Tante Edith:
Und wie hier schon von mehreren Kollegen erwähnt wurde: Hat Dein "Sergent Chef" gewisse Entscheidungen zu treffen/anzustossen und nicht Du
Nur weil Du an den Windows-Büchsen herumfuchtelst, macht Dich das noch lange nicht zu einem Security-Experten. Zumal Du hier nicht mal grundlegende Dinge zur Security beantworten konntest und immer noch nicht kannst. Deswegen wäre ich erst einmal vorsichtig dem Kollegen "Fahrlässigkeit" zu unterstellen. Hier würde ich erst einmal das persönliche Gespräch mit dem Kollegen suchen. Wenn das nicht fruchtet, und ihr ja so ein tolles Familiäres Team seid, dann würde ich das beim Teammeeting offen ansprechen.
By the way:
Ich lasse auch nicht jeden Windows-Admin an meine Citrix-Server, ausser er ist mein Stellvertreter. Ansonsten hat auf der Farm niemand was zu suchen. Deswegen gibt es ja auch Fachbereiche. Und gerade ihr übereifrige Windows-Admins habt mir durch absolute Unkenntniss, respektive Halbwissen, schon so manche Citrix Farm ins Schleudern gebracht. Euch übereifrigen sitzen mir (persönlich) die Finger etwas zu locker auf den Maustasten um es mal höflich auszudrücken. Deswegen kann ich Deinen Kollegen sogar in gewisser Weise verstehen. Also: Schuster bleib bei Deinen Leisten.
Tante Edith:
Und wie hier schon von mehreren Kollegen erwähnt wurde: Hat Dein "Sergent Chef" gewisse Entscheidungen zu treffen/anzustossen und nicht Du
