Hallo Lancom Community,
wir nutzen in unserem kleinen Betrieb einen Small Business Server 2008. Als Router verwenden wir einen LANCOM 1721+ VPN.
In den letzten Jahren wurden aufgrund von Netzwerkveränderungen/Erweiterungen (z.B. Netzwerkkameras wurden eingebunden, NAS wurde eingebunden, etc.) von verschiedenen Leuten immer mal wieder etwas am LANCOM Router verändert (Ports wurden freigegeben, Firewallregeln geändert...).
Vor kurzem hat mich ein befreundeter Administrator darauf aufmerksam gemacht, dass unsere aktuelle LANCOM-Konfiguration so keinen Sinn ergibt, bzw. Sicherheitslücken aufweist. Unter anderem haben sich verschiedene Firewallregeln gegenseitig ausgehebelt und es gab viel zu viele Portforwardings.
Da ich mich auch für das Thema Routersicherheit interessiere, habe ich mich in den letzten Tagen etwas eingelesen. Um die vorhandenen Sicherheitslücken zu schließen, habe ich eine komplett neue Konfiguration durchgeführt. Früher nutzen wir für den Fernzugriff VPN per PPTP und den Remote Webarbeitsplatz vom SBS-2008.
Sowohl VPN per PPTP als auch der Remote Webarbeitsplatz sollen recht unsicher sein. Vor allem der Remote Webarbeitsplatz soll das Netzwerk öffnen wie ein "Scheunentor".
Die neue Konfiguration sieht wie folgt aus:
- Firewall ist als Deny-all Strategie aufgebaut
- Diverse Ports (1723, 21, etc.) wurden geschlossen. Benötigte Weiterleitungen z.B. zur Netzwerkkamera werden von außen nur noch über VPN zugelassen
- Es gibt nur noch 1 Portforwarding: Port 443 zum SBS-2008 für Outlook ActiveSync & OWA
- VPN wird nur noch über den LANCOM VPN Client genutzt (IPSec)
- Auf dem SBS wurde der Remote Webarbeitsplatz deaktiviert und der VPN Zugriff über PPTP gesperrt
Nach diesen ganzen Änderungen ist unser Netzwerk bestimmt schon etwas sicherer geworden, aber einige Fragen beschäftigen mich noch:
1. Das öffnen des Ports 443 (bzw. das Portforwarding zum SBS) ist wohl nicht optimal. Es ist jetzt zwar der Remote Webarbeitsplatz deaktiviert, jedoch wird der Port 443 noch für Outlook Web Access (OWA) und für den E-Mail Abruf per Smartphone (ActiveSync) benötigt. Auf OWA könnten wir verzichten, bzw. Outlook per Lancom VPN Client nutzen. Nur für die Smartphones wird der Port 443 noch benötigt.
Wie schätzt ihr das Sicherheitsrisiko ein?
Gibt es eine Alternative zum Portforwarding für das ActiveSysnc?
Theoretisch ist es ja möglich, Port 443 zu schließen und auch vom Smartphone (über LANCOM myVPN) die E-Mails abzurufen. Wäre nur etwas umständlich immer ein VPN aufzubauen.
2. Welche Einstellungen sind bzgl. DoS und IDS zu empfehlen? (Absender Adresse sperren, Verbindung trennen...)
Um nach meinen vielen Sicherheitsbedenken keine Missverständnisse aufkommen zu lassen:
In unserem kleinen Betrieb sind jetzt keine hochsensiblen Daten vorhanden nur hat mich unsere "Betriebsblindheit" bzgl. der Netzwerksicherheit doch etwas erschrocken.
So existierte bspw. ein Zugang zum Remote Webarbeitsplatz (und somit zu allen Daten auf dem Server) mit einem einfachen Benutzernamen und einem Passwort welches diesem sehr ähnelt "Meier01" .Dies hätte man vermutlich durch ausprobieren recht schnell herausgefunden. Diese Lücke wurde ja bereits geschlossen und für die Kennwörter wurden Kennwörter Komplexitätsrichtlinien geschaffen.
Über eine Rückmeldung zu den o.a. Fragen würde ich mich sehr freuen.
Beste Grüße
Sicherheitskonzept Firewall, VPN
Moderator: Lancom-Systems Moderatoren
Re: Sicherheitskonzept Firewall, VPN
Hi MoboLAN
Wenn du dir wirklich Gedanken um die Sicherheit machst, du das Portforwarding aber weitern nutzen willst, dann solltest du in jedem Fall den SBS in eine physikalisch getrennte DMZ stellen und die Firewall so abdichten, daß des SBS selbst nicht auf dein Intranet zugreifen kann...
Ähnliches gilt i.Ü. auch für Pring-Blockaden und Stealth-Mode. Beides bringt keinerlei Sicherheit - auch wenn die oben zitierten Experten sagen, daß keine Antwort doch was gutes wäre, weill dann ja offensichtlich niemand da ist, der ein Angriffsziel wäre... Das Gegenteil ist der Fall: Wenn da wirklich niemand wäre, dann würde der Router vorher schon "host unreachable" schicken. Da er das aber nicht macht, heißt das, daß dort sehr wohl jemand ist, der ein großen roten blinkenden Pfeil (namens Ping-Blocking oder Stealth-Mode) auf sich zeigen läßt... Sowas macht einen erst recht inerressant für Angreifer...
Ping-Blocking und Stealth-Mode hätten eigentlich nur in Fällen von extrem asymmetrischen Leitungen, wie sie von Kabelnetzprovidern angeboten werden (z.B. 128 MBit/s downstream und 4 MBit/s upstream), einen gewissen Sinn, denn dann kann ein Angreifer nicht durch Fluten des Downstreams mit geringer Bandbreite den Upstream dicht machen... Wenn das LANCOM aber so ein Flooding erkennt, dann werden die einkommenden Pakete sowieso verworfen - zumindest wenn die IDS und DoS-Aktionen auf Werkseinstellung stehen
Gruß
Backslash
PPTP gilt aks gebrochen... Wenn du mit VPN IPSec meinst, ist das sicher - solange du nicht den Aggressive-Mode mit preshared Key nutzt...Sowohl VPN per PPTP als auch der Remote Webarbeitsplatz sollen recht unsicher sein
Das ist jetzt zum Einen eine Frage der des Vertrauen in Microsoft-Produkte und zum Anderen eine deines Netzaufbaus.Das öffnen des Ports 443 (bzw. das Portforwarding zum SBS) ist wohl nicht optimal. Es ist jetzt zwar der Remote Webarbeitsplatz deaktiviert, jedoch wird der Port 443 noch für Outlook Web Access (OWA) und für den E-Mail Abruf per Smartphone (ActiveSync) benötigt. Auf OWA könnten wir verzichten, bzw. Outlook per Lancom VPN Client nutzen. Nur für die Smartphones wird der Port 443 noch benötigt.
Wie schätzt ihr das Sicherheitsrisiko ein?
Wenn du dir wirklich Gedanken um die Sicherheit machst, du das Portforwarding aber weitern nutzen willst, dann solltest du in jedem Fall den SBS in eine physikalisch getrennte DMZ stellen und die Firewall so abdichten, daß des SBS selbst nicht auf dein Intranet zugreifen kann...
einfach auf den Default-Einstellungen lassen, denn alles andere wird zwar von den selbsternannten Experten diverser Computer-"Zeitungen" als Sicherheitsfeature verkauft, sorgt aber stattdessen nur dafür, daß ein DoS-Angriff erst erfolgreich wird. So führt das Trennen der Verbindung dazu, daß alle laufenden Datenübertragungen abgebrochen werden (=> Erfolg des Angreifers). Bei Anschlüssen mit dynamischen IPs und dynDNS ist der Dienst danach für meherer Minuten nicht erreichbar (=> Erfolg des Angreifers). Das gleiche gilt für das Sperren der Absender-Adressse - überleg dir dazu einfach, was passiert, wenn der Angreifer seine IP-Adresse fälscht und dabei die des DNS-Servers deines Providers verwendet...Welche Einstellungen sind bzgl. DoS und IDS zu empfehlen? (Absender Adresse sperren, Verbindung trennen...)
Ähnliches gilt i.Ü. auch für Pring-Blockaden und Stealth-Mode. Beides bringt keinerlei Sicherheit - auch wenn die oben zitierten Experten sagen, daß keine Antwort doch was gutes wäre, weill dann ja offensichtlich niemand da ist, der ein Angriffsziel wäre... Das Gegenteil ist der Fall: Wenn da wirklich niemand wäre, dann würde der Router vorher schon "host unreachable" schicken. Da er das aber nicht macht, heißt das, daß dort sehr wohl jemand ist, der ein großen roten blinkenden Pfeil (namens Ping-Blocking oder Stealth-Mode) auf sich zeigen läßt... Sowas macht einen erst recht inerressant für Angreifer...
Ping-Blocking und Stealth-Mode hätten eigentlich nur in Fällen von extrem asymmetrischen Leitungen, wie sie von Kabelnetzprovidern angeboten werden (z.B. 128 MBit/s downstream und 4 MBit/s upstream), einen gewissen Sinn, denn dann kann ein Angreifer nicht durch Fluten des Downstreams mit geringer Bandbreite den Upstream dicht machen... Wenn das LANCOM aber so ein Flooding erkennt, dann werden die einkommenden Pakete sowieso verworfen - zumindest wenn die IDS und DoS-Aktionen auf Werkseinstellung stehen
Gruß
Backslash
Re: Sicherheitskonzept Firewall, VPN
Hallo Backslash,
vielen Dank für deine Tipps.
Bezüglich der DMZ für den SBS: Da der SBS ein "all in one" Server ist, d.h. AD-, DNS-, File-Server und Exchangeserver in einem, ist es nicht möglich einzelne "Serverprodukte" wie den Exchange zu separieren. Damit ist gemeint, dass das Portforwarding, wenn beim Lancom aktiv, immer auf den gesamten SBS leitet. Zwar kann ich beim SBS einstellen, dass nur OWA aktiv ist, dennoch zeigt das Portforwarding auf den gesamten SBS. Hier sind wir dann wieder beim Vertrauen in Microsoft-Produkte...
Wenn ich jetzt den SBS in eine physikalisch getrennte DMZ stelle, dann sind in dieser DMZ nicht nur die Exchange-Daten, sondern auch alle anderen Daten.
Somit ist die DMZ für den SBS m.E. nicht sinnvoll. Oder mache ich hier einen Denkfehler?
Vielen Dank auch für die Hinweise bzgl. DoS und IDS.
Viele Grüße
MoboLAN
vielen Dank für deine Tipps.
Bezüglich der DMZ für den SBS: Da der SBS ein "all in one" Server ist, d.h. AD-, DNS-, File-Server und Exchangeserver in einem, ist es nicht möglich einzelne "Serverprodukte" wie den Exchange zu separieren. Damit ist gemeint, dass das Portforwarding, wenn beim Lancom aktiv, immer auf den gesamten SBS leitet. Zwar kann ich beim SBS einstellen, dass nur OWA aktiv ist, dennoch zeigt das Portforwarding auf den gesamten SBS. Hier sind wir dann wieder beim Vertrauen in Microsoft-Produkte...
Wenn ich jetzt den SBS in eine physikalisch getrennte DMZ stelle, dann sind in dieser DMZ nicht nur die Exchange-Daten, sondern auch alle anderen Daten.
Somit ist die DMZ für den SBS m.E. nicht sinnvoll. Oder mache ich hier einen Denkfehler?
Vielen Dank auch für die Hinweise bzgl. DoS und IDS.
Viele Grüße
MoboLAN
Re: Sicherheitskonzept Firewall, VPN
Das ist aber nicht der Modus, den der Assistent bei der One-Klick-Installation anlegt, oder? Sonst wären wohl viele VPNs ziemlich unsicher...backslash hat geschrieben:Wenn du mit VPN IPSec meinst, ist das sicher - solange du nicht den Aggressive-Mode mit preshared Key nutzt...
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn;
Switches: 4 x aruba 6100 12G; 2 x Cisco 3560-CX; 2 x Extreme X440G2-12p-10GE4; 2 x Juniper EX2300-C-12P; 3 x Zyxel XS1930-12F
Wireless: WLC-4006+; 4 x L-452agn;
Switches: 4 x aruba 6100 12G; 2 x Cisco 3560-CX; 2 x Extreme X440G2-12p-10GE4; 2 x Juniper EX2300-C-12P; 3 x Zyxel XS1930-12F
Re: Sicherheitskonzept Firewall, VPN
Hi MoboLAN,
Du fragtest nach Sicherheitskonzepten - und dabei ist nunmal das Minimum, daß ein von aussen erreichbarer Server tunlichst nicht direkt in deinem internen Netz stehen sollte... Aus Sicherheitsaspekten wäre es also in deinem Fall sinnvoll, für die Mails einen zweiten Server zuzulegen, diesen in die DMZ zu stellen und über die Firewall im LANCOM so abzuschotten, daß er keinen Zugriff auf ein internes Netz hat.
Gruß
Backslash
der Punkt ist, daß, wenn ein von aussen direkt erreichbarer Server gehackt wird, der Angreifer von diesem Server aus vollen Zugriff auf dein Netz hat, wenn der Server nicht in einer physikalisch getrennten DMZ steht.Wenn ich jetzt den SBS in eine physikalisch getrennte DMZ stelle, dann sind in dieser DMZ nicht nur die Exchange-Daten, sondern auch alle anderen Daten.
Somit ist die DMZ für den SBS m.E. nicht sinnvoll. Oder mache ich hier einen Denkfehler?
Du fragtest nach Sicherheitskonzepten - und dabei ist nunmal das Minimum, daß ein von aussen erreichbarer Server tunlichst nicht direkt in deinem internen Netz stehen sollte... Aus Sicherheitsaspekten wäre es also in deinem Fall sinnvoll, für die Mails einen zweiten Server zuzulegen, diesen in die DMZ zu stellen und über die Firewall im LANCOM so abzuschotten, daß er keinen Zugriff auf ein internes Netz hat.
Gruß
Backslash
Re: Sicherheitskonzept Firewall, VPN
Hi fildercom,
Bei RAS-Zugängen (also für VPN-Clients) wird tatsächlich Aggressive-Mode mit preshared Key verwendet, was nunmal nicht anders geht, weil ein Road-Warrior mit seinem Notebook von überall her kommen kann und somit der Main-Mode mit preshared Key nicht funktioniert. Da der One-Click-Wizard aber einen 16stelligen preshared Key auswürfelt, steht es doch nicht ganz so Schlimm um die Sicherheit der RAS-Zugänge. Dennoch sollte man sich überlegen hier auf Zertifikaten zu setzen...
Gruß
Backslash
Bei LAN-LAN-Kopplungen richtet der One-Click-Wizard eine Main-Mode Verbindung mit preshared-Key ein - ggf. mit Dnamic VPN...Das ist aber nicht der Modus, den der Assistent bei der One-Klick-Installation anlegt, oder? Sonst wären wohl viele VPNs ziemlich unsicher...
Bei RAS-Zugängen (also für VPN-Clients) wird tatsächlich Aggressive-Mode mit preshared Key verwendet, was nunmal nicht anders geht, weil ein Road-Warrior mit seinem Notebook von überall her kommen kann und somit der Main-Mode mit preshared Key nicht funktioniert. Da der One-Click-Wizard aber einen 16stelligen preshared Key auswürfelt, steht es doch nicht ganz so Schlimm um die Sicherheit der RAS-Zugänge. Dennoch sollte man sich überlegen hier auf Zertifikaten zu setzen...
Gruß
Backslash
Re: Sicherheitskonzept Firewall, VPN
Hi Backslash,
Laut Microsoft ist, wenn beim SBS nur OWA aktiviert ist, durch das Portforwarding des Ports 443 auf den SBS auch "nur" OWA bzw. der Exchange angreifbar. Was auch schon schlimm genug wäre.
Es soll nicht möglich sein, von OWA auf die anderen Daten des SBS zu kommen.
Ich habe dies nun so gelöst, indem ich zum einen durch Kennwortrichlinien komplexe Kennwörter mit mindestens 12 Zeichen anfordere, sowie eine Kennwortsperrschwelle aktiviert habe. Nach 10 Falscheingaben des Passworts wird der Account gesperrt.
Dies ist für mich ein Kompromiss aus Komfort (Zugriff auf OWA) und der Sicherheit.
Viele Grüße
MoboLAN
Die Idee mit einem separaten Mailserver kam mir auch schon, jedoch ist dies für unser Unternehmen bezogen auf die Kosten nicht effizient. Zumal der SBS-2008 schon Exchange integriert hat.backslash hat geschrieben:
der Punkt ist, daß, wenn ein von aussen direkt erreichbarer Server gehackt wird, der Angreifer von diesem Server aus vollen Zugriff auf dein Netz hat, wenn der Server nicht in einer physikalisch getrennten DMZ steht.
Du fragtest nach Sicherheitskonzepten - und dabei ist nunmal das Minimum, daß ein von aussen erreichbarer Server tunlichst nicht direkt in deinem internen Netz stehen sollte... Aus Sicherheitsaspekten wäre es also in deinem Fall sinnvoll, für die Mails einen zweiten Server zuzulegen, diesen in die DMZ zu stellen und über die Firewall im LANCOM so abzuschotten, daß er keinen Zugriff auf ein internes Netz hat.
Laut Microsoft ist, wenn beim SBS nur OWA aktiviert ist, durch das Portforwarding des Ports 443 auf den SBS auch "nur" OWA bzw. der Exchange angreifbar. Was auch schon schlimm genug wäre.
Es soll nicht möglich sein, von OWA auf die anderen Daten des SBS zu kommen.
Ich habe dies nun so gelöst, indem ich zum einen durch Kennwortrichlinien komplexe Kennwörter mit mindestens 12 Zeichen anfordere, sowie eine Kennwortsperrschwelle aktiviert habe. Nach 10 Falscheingaben des Passworts wird der Account gesperrt.
Dies ist für mich ein Kompromiss aus Komfort (Zugriff auf OWA) und der Sicherheit.
Viele Grüße
MoboLAN