departure69
Goto Top

Einzelnen Rechnern Zutritt zum Internet verwehren - ohne Proxy. Möglich?

Hallo.

Die aktuelle Ransomware-Geschichte "WannaCry" hat mir - zum Glück, ohne betroffen gewesen zu sein - klargemacht, daß nicht jeder unserer Server hier zwingend Internet-Zugang haben muß. WU läuft über WSUS, und ansonsten brauchen manche Server einfach kein Internet.

Problem: Es gibt im Aufbau des Netzes bisher keine Stelle (wie z. B. einen Proxy), an der ich einem einzelnen Device mit angeschlossenem und verbundenen LAN den Zugang zum Internet zentral verwehren könnte.
Bei uns ist es so, daß ein Rechner/Server, sobald er am LAN hängt, auch im Internet ist. Der Gateway-Eintrag wird den Clients per DHCP mitgegeben, den Servern manuell. Natürlich könnte ich den Gateway-Eintrag bei den Servern, die kein Internet brauchen, einfach weglassen. Denke mir aber, daß es noch eine elegantere Lösung geben könnte, ohne gleich einen Proxy einzusetzen.

Hat dazu jemand eine Idee? Oder irre ich mich schlichtweg?


Viele Grüße

von

departure69

Content-Key: 337851

Url: https://administrator.de/contentid/337851

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: falscher-sperrstatus
Lösung falscher-sperrstatus 15.05.2017 aktualisiert um 08:44:48 Uhr
Goto Top
Hallo departure,

deine Rechner/Server hängen wohl alle in der Domäne? Dann bringt dir ein Nichtzugriff nichts, denn die Server werden nicht direkt "gehackt", sondern nur infiziert - eher über das interne, als das externe Netz. Wenn deine Server also nicht ins Internet kommen, kann das ggf dazu führen, dass du noch mehr Probleme bekommst, weil sich die Software nicht mehr getriggert anhält (anscheinend tatsächlich so passiert).

Fazit: Was du brauchst/suchst ist eine extrem fein justierte DMZ.

VG,

Christian
Mitglied: Tezzla
Lösung Tezzla 15.05.2017 aktualisiert um 08:50:26 Uhr
Goto Top
Moin moin,

gibts keine Firewall, bei der man entsprechende Regel konfigurieren kann?
Du könntest, wenn es kein Blech und kostenlos sein soll, eine virtuelle PFSense aufsetzen und dort den Traffic der gewünschten Maschinen blockieren.

Viele Grüße
T
Mitglied: jhinrichs
Lösung jhinrichs 15.05.2017 um 08:45:36 Uhr
Goto Top
Moin,

Firewall.

Grüße
Mitglied: brammer
Lösung brammer 15.05.2017 um 08:55:46 Uhr
Goto Top
Hallo,

verstehe ich das richtig das bei dir Server per DHCP ein Adresse bekommen?

Das ist eigentlich schon das erste Problem.
Netzwerkinfrastruktur sollte tunlichst fest adressiert sein,.

Hängen deine Geräte an managebaren Switchen?
Dann sollte das je nach Netzwerkstruktur entweder über sauber definierte VLAN's und ein paar ACL's schnell zu erreichen sein.

brammer
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 15.05.2017 um 08:58:47 Uhr
Goto Top
Moin,

Üblicherweise stellt man am gateway ein, wer alles in die große Weite welt darf und wer nicht und wohin die reisenden dürfen. Nennt sich filterregeln.

Ob das jetzt sinnvoll ist, oder nicht sollte sorgfältig abgewogen werden.jetzt oanusch allen serven den zugang zum mcrosoft-update zu verwehren kann mehr svhaden anrichten, als er verhindert.

lks
Mitglied: departure69
departure69 15.05.2017 aktualisiert um 09:07:36 Uhr
Goto Top
@certifiedit.net

Danke.

Ja, sind alle in der Domäne, Server wie Clients. Workgroup-Rechner hab' ich nur in Testszenarien.

Wenn deine Server also nicht ins Internet kommen, kann das ggf dazu führen, dass du noch mehr Probleme bekommst, weil sich die Software nicht mehr getriggert anhält (anscheinend tatsächlich so passiert).

Ja, hab' auch gelesen, daß es in der Schadsoftware einen Stopcode gibt, der den Verschlüsselungsvorgang abbricht, wenn eine ganz bestimmte externe Domain erreichbar ist. Irgendein freundlicher Mensch hat dann diese Domain aktiviert, und das beendete ziemlich abrupt den Angriff.

Fazit: Was du brauchst/suchst ist eine fein granulare DMZ.

Verstehe. Da werde ich dann aber mein favorisiertes Systemhaus drauf ansetzen, das ist mir zehn Nummern zu hoch.

Nochmals Danke.


Viele Grüße

von

departure69
Mitglied: iAmbricksta
Lösung iAmbricksta 15.05.2017 um 09:02:39 Uhr
Goto Top
Also hier gibts noch ein XP Rechner, weil da eine spezielle Software darauf läuft, habe das über die Firewall geblockt, wie auch andere hier schon angepriesen haben. Da der ne feste IP hat, einfach Eingang-Ausgangsregeln für die IP festgelegt und gut war.

Haben keine DMZ hier, das wäre vielleicht noch eine elegantere Lösung gewesen.
Mitglied: departure69
departure69 15.05.2017 aktualisiert um 09:08:20 Uhr
Goto Top
@Tezzla:

Firewall und Gateway ist ein Mikrotik Cloud-Core-Router CCR-1616, keine Ahnung, ob der/die das kann, seh's mir an (oder lasse es ansehen).

Danke.

Viele Grüße

von

departure69
Mitglied: departure69
departure69 15.05.2017 um 09:06:40 Uhr
Goto Top
@brammer:

Hallo.

verstehe ich das richtig das bei dir Server per DHCP ein Adresse bekommen?

Nein, nur die Clients, Server erhalten ihre Einträge fest und von Hand.

Switche sind managebare Layer-3 PoE-Switche, mal kucken, was da geht.


Danke.


Viele Grüße

von

departure69
Mitglied: departure69
departure69 15.05.2017 um 09:12:03 Uhr
Goto Top
@Lochkartenstanzer:

Hallo und Danke.

Es sind Filterregeln im Einsatz, soviel weiß ich, und somit könnten auch weitere hinzukommen, denke ich mal. Das Regelwerk ist aber selbst für unsere kleine Hütte recht komplex, hier überhaupt in der angefragten Richtung etwas zu unternehmen, wäre wiederum was für mein bevorzugtes Systemhaus. Wenn ich mich daran wage, kann das nur schiefgehen.


Viele Grüße

von

departure69
Mitglied: departure69
departure69 15.05.2017 aktualisiert um 09:35:51 Uhr
Goto Top
@all:

Vielen Dank für alle Beiträge.

Ergebnis ist wohl, daß es Möglichkeiten gibt. Keine davon traue ich mich alleine anzugehen. Aber, wie ich schon schrieb', gibt's ein Systemhaus, welches mir helfend zur Seite steht, werde das dort mal anfragen.

Nachdenklich stimmt mich die Antwort von @certifiedit.net, im aktuell vorliegenden Fall "WannaCry" wäre es gar nicht so sinnvoll gewesen, Rechner vom Internet wegzusperren, auch die Antwort von @Lochkartenstanzer geht in diese Richtung. Offenbar ist es so, daß ich, wenn ich Rechnern das Internet wegnehme, diesen auch Möglichkeiten zur Selbsthilfe wegnehme. Mag aber von Fall zu Fall unterschiedlich sein. Verzwickte Angelegenheit.

Bin jetzt großzügig und gebe allen Postern mal ein "gelöst", die Angelegenheit ansich werde ich mal persönlich mit dem Systemhaus durchsprechen.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 15.05.2017 aktualisiert um 09:49:17 Uhr
Goto Top
Zitat von @departure69:

Nachdenklich stimmt mich die Antwort von @certifiedit.net, im aktuell vorliegenden Fall "WannaCry" wäre es gar nicht so sinnvoll gewesen, Rechner vom Internet wegzusperren, auch die Antwort von @Lochkartenstanzer geht in diese Richtung.

Dann hast Du mich falsch verstanden. Wenn man wegen Wanna-Cry jetzt alle wieder rausläst, wäre das so, wie damals als die Leute keinen Sicherheitsgurt angelegt haben, weil man dann bei einem Unfall angeblich nicht mehr aus dem Auto kommt und gerade deswegen verletzt oder getötet wird. Es ist aber erwiesen, daß erst der Gurt die Leute in die Lage versetzt, nach einem Unfall das Auto lebend zu verlassen.

Genauso mit den Filtern. Wenn man die korrekt aufsetzt, kommt man fast gar nicht in die verlegenheit, daß malware sich intern verbreitet udn man die dadurch stoippen muß, daß man den Zugriff nach außen erlaubt.

lks

PS: Apropos Killswitch: fefe faßt das mal kurz zusammen.

The second argument to InternetOpenA is 1 (INTERNET_OPEN_TYPE_DIRECT), so the worm will still work on any system that requires a proxy to access the Internet, which is the case on the majority of corporate networks.
Mitglied: departure69
departure69 15.05.2017 aktualisiert um 10:25:39 Uhr
Goto Top
Hhmmm, aber Can't Reach The Killswitch Webseite, jetzt nur auf den aktuellen Fall "WannaCry" bezogen, klingt doch ziemlich eindeutig danach, daß die Verschlüsselung der Rechner erst dann gestoppt wurde, sobald die entspr. Killswitch-Webseite erreichbar war. Und im Umkehrschluß die Verschlüsselung auf den Rechnern fortfuhr, die die Killswitch-Webseite nicht erreichen konnten?
Mitglied: falscher-sperrstatus
falscher-sperrstatus 15.05.2017 um 10:27:29 Uhr
Goto Top
In diesem speziellen Fall ist das wohl wirklich so.