93630
May 06, 2014
2461
12
1
Musthave Netzwerksicherheit
Moin,
wie würdet ihr das Netzwerk eines mittelständischen Unternehmens mit sensiblen/wichtigen Daten absichern?
Ganz klar das Minimum ist:
Was und vor allem warum(!) würdet ihr noch ändern? Eine andere Firewall einsetzen?(Warum?) Honeypot? Andere IDS-Systeme? Was ist noch Must have und was nice to have?
Danke
wie würdet ihr das Netzwerk eines mittelständischen Unternehmens mit sensiblen/wichtigen Daten absichern?
Ganz klar das Minimum ist:
- Firewall aka Lancom Router (LANCOM 1781)
- Virensoftware für den Businessbereich
- Virenschutz-Proxy für den HTTP-Traffic
Was und vor allem warum(!) würdet ihr noch ändern? Eine andere Firewall einsetzen?(Warum?) Honeypot? Andere IDS-Systeme? Was ist noch Must have und was nice to have?
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 237287
Url: https://administrator.de/contentid/237287
Printed on: April 26, 2024 at 17:04 o'clock
12 Comments
Latest comment
Hallo,
was sind für euch sensible/wichtige Daten?
Geht es "nur" um Geschäftszahlen oder auch Entwicklungsdaten und Geheimhaltungsbedürftige Neuentwicklungen?
wie sieht es mit einem Backup Konzept aus?
Ist das Backup ausgelagert?
Zugangsberechtigunengen zum Server Raum?
Wieviele Server laufen insgesamt?
Ist BYOD bei euch reglementiert oder ein Problem bei euch?
Netzwerksicherheit ist, oder sollte, immer ein Teil eines kompletten Sicherheitskonzeptes sein, das ineinander greift und abgestimmt ist, aber auch flexibel genug so das es den täglichen Geschäftsablauf nicht zu sehr beeinflusst.
brammer
mittelständischen Unternehmens mit sensiblen/wichtigen Daten
was sind für euch sensible/wichtige Daten?
Geht es "nur" um Geschäftszahlen oder auch Entwicklungsdaten und Geheimhaltungsbedürftige Neuentwicklungen?
wie sieht es mit einem Backup Konzept aus?
Ist das Backup ausgelagert?
Zugangsberechtigunengen zum Server Raum?
Wieviele Server laufen insgesamt?
Ist BYOD bei euch reglementiert oder ein Problem bei euch?
Netzwerksicherheit ist, oder sollte, immer ein Teil eines kompletten Sicherheitskonzeptes sein, das ineinander greift und abgestimmt ist, aber auch flexibel genug so das es den täglichen Geschäftsablauf nicht zu sehr beeinflusst.
brammer
Zitat von @brammer:
Geht es "nur" um Geschäftszahlen oder auch Entwicklungsdaten und Geheimhaltungsbedürftige Neuentwicklungen?
Vor allem auch Daten von Kunden, die natürlich nicht öffentlich werden dürfen, aber keinen besonderen finanziellen Wert für normale Hacker habe.Geht es "nur" um Geschäftszahlen oder auch Entwicklungsdaten und Geheimhaltungsbedürftige Neuentwicklungen?
wie sieht es mit einem Backup Konzept aus?
Ist das Backup ausgelagert?
Zugangsberechtigunengen zum Server Raum?
Wieviele Server laufen insgesamt?
Ist BYOD bei euch reglementiert oder ein Problem bei euch?
Ist das Backup ausgelagert?
Zugangsberechtigunengen zum Server Raum?
Wieviele Server laufen insgesamt?
Ist BYOD bei euch reglementiert oder ein Problem bei euch?
In dieser Hinsicht ist eigentlich grundsätzlich alles geregelt. Sowohl physische Sicherungen als auch Backup sind ziemlich gut geregelt.(Im Schadensfall kann alles wiederhergestellt werden. Natürlich sind Ausfallzeiten durch Virenschäden oder Datendiebstahl trotzdem Top Themen) Kein BOYD. Es geht vor allem darum das Netzwerk vor Zugriffen von Außen zu schützen. Schutz vor Hackern, Schutz der Produktivdaten vor Viren(vor allem Fileserver mit breiten Zugriffsrechten) Schutz vor Trojanern und was da sonst noch alles so rumschwirrt....
Ich würde als erstes Kriterium des "Must Have" anbringen, jemanden, der bereits Ahnung vom Muss, sollte und kann hat und wie man die drei Steps implementiert. Es bringt im Endeffekt ja nichts, wenn man HW/SW im Wert von zig tausend Euro ordert, diese aber nur ein Haufen Flickenteppich darstellen.
3Zitat von @falscher-sperrstatus:
Ich würde als erstes Kriterium des "Must Have" anbringen, jemanden, der bereits Ahnung vom Muss, sollte und kann
hat und wie man die drei Steps implementiert. Es bringt im Endeffekt ja nichts, wenn man HW/SW im Wert von zig tausend Euro
ordert, diese aber nur ein Haufen Flickenteppich darstellen.
Ich würde als erstes Kriterium des "Must Have" anbringen, jemanden, der bereits Ahnung vom Muss, sollte und kann
hat und wie man die drei Steps implementiert. Es bringt im Endeffekt ja nichts, wenn man HW/SW im Wert von zig tausend Euro
ordert, diese aber nur ein Haufen Flickenteppich darstellen.
Abgesehen davon, dass der Satz kaum zu entziffern ist, ist das keine besondere Hilfestellung.
2
Firewall aka Lancom Router (LANCOM 1781)
Eine Router ist KEINE Firewall und schon gar kein Ersatz dafür ! Da hast du wohl was missverstanden ?!1Zitat von @93630:
> Zitat von @falscher-sperrstatus:
>
> Ich würde als erstes Kriterium des "Must Have" anbringen, jemanden, der bereits Ahnung vom Muss, sollte und
kann
> hat und wie man die drei Steps implementiert. Es bringt im Endeffekt ja nichts, wenn man HW/SW im Wert von zig tausend Euro
> ordert, diese aber nur ein Haufen Flickenteppich darstellen.
Abgesehen davon, dass der Satz kaum zu entziffern ist, ist das keine besondere Hilfestellung.
> Zitat von @falscher-sperrstatus:
>
> Ich würde als erstes Kriterium des "Must Have" anbringen, jemanden, der bereits Ahnung vom Muss, sollte und
kann
> hat und wie man die drei Steps implementiert. Es bringt im Endeffekt ja nichts, wenn man HW/SW im Wert von zig tausend Euro
> ordert, diese aber nur ein Haufen Flickenteppich darstellen.
Abgesehen davon, dass der Satz kaum zu entziffern ist, ist das keine besondere Hilfestellung.
Findest du? Weil er länger als 5 Zeichen + Smiley ist? ;)
Doch, im Grunde ist er eine große Hilfe, weil viele Projekte (ein wenig abstrahiert) genau daran scheitern.
3Zitat von @aqui:
Eine Router ist KEINE Firewall und schon gar kein Ersatz dafür ! Da hast du wohl was missverstanden ?!
Eine Router ist KEINE Firewall und schon gar kein Ersatz dafür ! Da hast du wohl was missverstanden ?!
Das hätte ich gerne mit Begründung, Was kann eine "Firewall" was ein Lancom Router nicht kann?
2
Hi.
Unter einem mittelständischen Unternehmen versteht man doch in der Regel ein Unternehmen mit einigen Mitarbeitern (50-200 vielleicht), einer IT, die nicht nur aus einem Ahnungslosen besteht, sondern mindestens 2-3 gute Leute und dazu auch Geld zur Verfügung hat.
Diese IT kann dann ein Konzept entwickeln, was erstmal damit beginnt, zu definieren, was wogegen geschützt werden soll.
Deine Strichliste sind Einzelmaßnahmen und mit Sicherheit keine Basics, ohne die es gar nicht geht.
Ich frage mich, wo Dich die Antworten hinführen sollen - sei mir nicht böse, aber stellst Du gerade eine Art Security-Einkaufsliste zusammen?
Dann schreib ich da drauf:
-IT gut schulen
-Alle Systeme verschlüsseln
-Kennwortqualität absichern
-Keinen Internetzugang außer über Terminalserver oder ähnliches
-keine private Hardware
-nur sichere Remotezugriffe
-Software aktuell halten
-nur die Rechte/Zugriffsrechte an Mitarbeiter geben, die sie brauchen
-Pentests durchführen lassen und nachbereiten
Unter einem mittelständischen Unternehmen versteht man doch in der Regel ein Unternehmen mit einigen Mitarbeitern (50-200 vielleicht), einer IT, die nicht nur aus einem Ahnungslosen besteht, sondern mindestens 2-3 gute Leute und dazu auch Geld zur Verfügung hat.
Diese IT kann dann ein Konzept entwickeln, was erstmal damit beginnt, zu definieren, was wogegen geschützt werden soll.
Deine Strichliste sind Einzelmaßnahmen und mit Sicherheit keine Basics, ohne die es gar nicht geht.
Ich frage mich, wo Dich die Antworten hinführen sollen - sei mir nicht böse, aber stellst Du gerade eine Art Security-Einkaufsliste zusammen?
Dann schreib ich da drauf:
-IT gut schulen
-Alle Systeme verschlüsseln
-Kennwortqualität absichern
-Keinen Internetzugang außer über Terminalserver oder ähnliches
-keine private Hardware
-nur sichere Remotezugriffe
-Software aktuell halten
-nur die Rechte/Zugriffsrechte an Mitarbeiter geben, die sie brauchen
-Pentests durchführen lassen und nachbereiten
Das hätte ich gerne mit Begründung, Was kann eine "Firewall" was ein Lancom Router nicht kann?
Soviel zum Thema Ahnungslosen....Besser als Kollege DWW kann man es nicht sagen..
Nur damit du was lernst. In einem (Billig) Router (es gibt Ausnahmen z.B. Cisco_880er mit spezieller Firewall Firmware) ist keine SPI Firewall drin, also keine die eine Stateful Inspection des Traffic bzw. der Flows machen kann über OSI Layer 3...sofern du weisst was das ist ?!
Eine "richtige" FW ist immer stateful.
2Und was ist das dann bitte was der lancom hat? http://www.lancom-systems.de/fileadmin/produkte/lc_1781A/1781A_DE.pdf Und seid wann ist ein lancom ein "Billigrouter"? Hast du jemals einen lancom aus der Nähe gesehen?
Wenn du lancom Unfähigkeit unterstellen willst hätte ich das gerne mit fundierter Quelle....
2
Hallo ,
tatsaechlich haben die Router der Lancom 1781 Reihe eine "Firewall" und ne IDS mit an board.
Fuer den Mittelstaendischen Betrieb vollkommen ausreichend solange man keine wirklichen Ansprueche
an Netzwerksicherheit stellt.
Mit einer Firewall , kann ich den Netzwertraffic sehr genau und "einfach" an meine Beduerfnisse anpassen.
Schau ich mir von Lancom die Firewalldokumentation an, brauch ich nicht mal einen Finger in den Hals zu stecken um zu kot...
das ist behindertes Mausgeschubse... ( Aber das ist nur meine Meinung ! )
https://www2.lancom.de/kb.nsf/1275/BB6FD1480986547FC1257433004F0C6B?Open ... <- wer sichs antun will....
Unter Iptables waere das nen 3 zeiler mit pf unter openbsd reichen glaub ich 2 Zeilen.. ( will mich hier aber nicht zu sehr aus dem Fenster lehnen. )
Also:
Lancom Router und wenn Du drauf stehst kannst Du auch die Firewall nutzen....
Virenssoftware ( Sophos,Kaspersky e.t.c ) ( Wo Du unter Sophos z.B auch Data, Applikation und Devicekontroll hast... )
Wir nutzen nen Router und davor ne UTM wo wir sehr genau Traffic filtern koennen.. z.B welche IP darf wohin ? Und was darf Sie nicht !
Mach das mal mit der Lancom Moehre , bevor man die Regel eingerichtet hat ,da bekommt man Augenkrebs oder ne Sehnscheidenentzuendung
Mit dem Proxy fuer den httptraffic bist Du auch auf dem richtigen Weg.
Gruss
tatsaechlich haben die Router der Lancom 1781 Reihe eine "Firewall" und ne IDS mit an board.
Fuer den Mittelstaendischen Betrieb vollkommen ausreichend solange man keine wirklichen Ansprueche
an Netzwerksicherheit stellt.
Mit einer Firewall , kann ich den Netzwertraffic sehr genau und "einfach" an meine Beduerfnisse anpassen.
Schau ich mir von Lancom die Firewalldokumentation an, brauch ich nicht mal einen Finger in den Hals zu stecken um zu kot...
das ist behindertes Mausgeschubse... ( Aber das ist nur meine Meinung ! )
https://www2.lancom.de/kb.nsf/1275/BB6FD1480986547FC1257433004F0C6B?Open ... <- wer sichs antun will....
Unter Iptables waere das nen 3 zeiler mit pf unter openbsd reichen glaub ich 2 Zeilen.. ( will mich hier aber nicht zu sehr aus dem Fenster lehnen. )
Also:
Lancom Router und wenn Du drauf stehst kannst Du auch die Firewall nutzen....
Virenssoftware ( Sophos,Kaspersky e.t.c ) ( Wo Du unter Sophos z.B auch Data, Applikation und Devicekontroll hast... )
Wir nutzen nen Router und davor ne UTM wo wir sehr genau Traffic filtern koennen.. z.B welche IP darf wohin ? Und was darf Sie nicht !
Mach das mal mit der Lancom Moehre , bevor man die Regel eingerichtet hat ,da bekommt man Augenkrebs oder ne Sehnscheidenentzuendung
Mit dem Proxy fuer den httptraffic bist Du auch auf dem richtigen Weg.
Gruss
@93630
Hast du jemals einen Cisco aus der Nähe gesehen?
Dann wüsstest du wovon man spricht !
Wie immer im Leben eine Frage der Perspektive...
Vermutlich reicht dein Lancom aber auch für die Ansprüche die du hast. Per se ist das keine schlechte HW.
Hast du jemals einen Cisco aus der Nähe gesehen?
Dann wüsstest du wovon man spricht !
Wie immer im Leben eine Frage der Perspektive...
Vermutlich reicht dein Lancom aber auch für die Ansprüche die du hast. Per se ist das keine schlechte HW.