Projekt / Aufgabe - kleines Unternehmen mit Firewall sichern

[NacKteOmA]

Hallo, ich bin leider wieder im Bewerbugnsverfahren um eine Ausbildung zum FISI. Nun habe ich von einer Firma einen Eignungstest bekommen (für zu Hause) in dem durchweg Fachfragen/Aufgaben gestellt werden, für die man Recherchieren darf/muss. Ich hoffe ihr könnt/mögt mir helfen.

Aufgabe: Kleines Unternehmen, 10 Workstations, 1 Emailserver, 1 Fileserver, 1 Firewall (ich denke es soll ne Hardware Firewall sein), Feste Internetverbindung. Wie bieten sie Schutz auch vor Angriffen von Innen?

Meiner Lösung/Idee bisher:

Es wären Praktisch 3 Zonen

Zone 3 - Offenes Netz (Internet) (keine DMZ)
Zone 2 - DMZ mit Zugriff zum Internet
Zone 1 - DMZ kein Zugriff zum Internet, allerdings Zugriff zur Zone 2

Zone 3 - Router
Zone 2 - Mailserver (muss ja schließlich Mails abholen und senden)
Zone 1 - 10 Workstations und Fileserver (ich schätze der Fileserver wird Firmenintern verwendet)

Im Mittelpunkt steht die Hardware Firewall mit 14 Ports (es werden ja schließlich 13 Ports benötigt) alle Geräte werden an die Hardware Firewall angeschlossen, also Workstations, Mail/Fileserver + Router.

Dadurch das alle Geräte an der Firewall sitzen (auch die z.B. die Workstations) kann man ja auch den Schutz vor Internen Angriffen vornehmen.

Allerdings was würde man allgemein üblich so in der Firewall für Techniken verwenden für den Schutz vor Internen Angriffen? Was gibts da für Techniken/Einstellungen, so im groben? Sprich hier was für Schutzmechamismen würde es geben wenn z.B. Workstation 1 plötzlich Workstation 3 angreift? Zum Internet hin sind ja Zone 1 realtiv gut gesichert und wäre nun Angreifbar wenn erstmal der Mailserver übernommen wurde. Ich würde auch via Firewall sämtliche Dienste / Packete / Ports (ich weiß nicht genau was da für Regeln alles möglich sind bei einer HW Firewall) zum Mailserver sperren die nichts mit dem Mailserver zu tun hat. Wie z.B. Port 22 / 80 von außen nicht erreichbar machen und lediglich Port 22 (SSH) aus Zone 1 erlauben.

Was haltet ihr von meiner oben genannten Planung?

 

[bibabu]

Moin,

nette Aufgabe. Aber muss es umbedingt eine HW-Firewall mit 14 Ports sein? Was ist wenn plötzlich ein(e) neue Server / neue Workstation angeschlossen werden muss. Ich würde zwischen Firewall und Clients einfach nen Switch packen. Dann kann auch in Zukunft das bestehende System einfach erweitert werden.

Ich würde zusätzlich allen Benutzern keine Administratorenrechte zuweißen und, wenn möglich, externe Medien wie CDs, USB-Sticks, usw. deaktivieren.

 

[NacKteOmA]

Ja die Aufgabe ist schon ganz cool, sowas macht mir auch spaß Es gibt auch noch ne 2 tolle Aufgaben wo ich kurz OSI Model Layer 1-4 am Beispiel Ethernet, TCP/IP beschreiben soll und die Bedeutung der Subnetzmaske beschreiben soll.

Zum HW Firewall, ich dachte soweit das wäre das sicherste. Würde ich z.B. in Zone 1 einen Switch packen und Zone 1 innerhalb vom Switch versorgt, so entfällt doch praktisch der Firewall Schutz innerhalb der Zone1 oder? Bzw. es ist dann nicht mehr alles möglich, da halt der Schutz auch von Innen gegeben sein sollte dachte ich einfach daran alles die Firewall passieren zu lassen. So könnte dann ja schlichtweg Workstation 1 mit Workstation 3 komminizieren ohne das die Firewall es überwacht oder sehe ich das falsch?

Bezüglich Adminrechte und Externe Medien denke ich könnte man miteinfließen lassen. Das klingt so schon ganz gut. Allerdings wie kann man überhaupt den Zugriff auf einen USB Stick eigentlich deaktieren? Außer man deaktiviert als Admin natürlich schlicht und einfach die USB Ports, also wenn z.B. noch ein USB Drucker dran ist und man trotzdem den Zugriff eines USB Sticks verbieten möchte.

 

[Spin-Doc]

Sprich hier was für Schutzmechamismen würde es geben wenn z.B. Workstation 1 plötzlich Workstation 3 angreift?

Lass die Workstations einfach nicht untereinander kommunizieren. Zugriff auf Mail- und Fileserver + Gateway ins Internet reicht aus. Zum surfen könntest auch noch nen transparenten Proxy zwischen schalten.

 

[NacKteOmA]

Wie verhindere ich denn den Zugriff zwischen den Workstations?

Den Gateway ins Internet wie würdest du den realisieren, komplett über den transparenten Proxy und was bringt der Proxy den für Vor/Nachteile?

Im Prinzip ist von einen Proxy (weiterer Server) ja nichts angegeben, obwohl natürlich z.B. der Mailserver sowas locker noch vertragen könnte. Gerade genau angaben gab es bei der Aufgabe ja nicht.

 

[Spin-Doc]

Das kannst du entweder in deiner Hardware Firewall oder nem Managed Switch machen.

Vorteil vom Proxy wäre, dass die Workstations halt gar keinen direkten Zugriff aus Internet haben. So kann auch niemand im Firmennetz seinen Instant Messanger benutzen, oder ein evtl. infizierter PC hat keinen Zugriff nach draußen. Außerdem kannst mitm Proxy gleich mal schön ordentlich filtern (youtube, facebook und die ganzen anderen Schund Seiten).

Und auch mal im Hinterkopf behalten dass in der Firma evtl. seinen privat mitgebrachten Laptop ans Firmennetz anstecken könnte.

Ist halt immer schwer was zu planen wenn man nur so extrem grobe Vorgaben hat, aber das haste ja sicher selbst schon gemerkt

*edit* Ach ja, Virenscanner auf den Fileserver.

 

[NacKteOmA]

Auf dem Fileserver? Also auf dem Mailserver(eventuell auch Proxy) sollte ja mindestens auch nen AVS, die Mails sollte man ja auch nach Viren Filtern, sonst gelangen die ja auch relativ einfach auf die Workstations.

Übrigens du sprichst noch von einen Gateway, meinst du damit Zugriff zum Router? Wie sollte das den auch noch realisiert werden? Ich denke Internet Zugriff via Transparenten Proxy drüfte reichen.

 

[CentY]

Ich würde einfach jede Workstation in ein eignes VLAN packen und den Fileserver usw. in alle VLANs dazu noch Ports per Firewall sperren die nicht gebraucht werden.

 

[NacKteOmA]

CentY würdest du dann das DMZ weglassen? Somit jeweils immer ein VLAN mit Workstations, Fileserver + Mailserver und das dann für jede Workstations einzeln? Oder meinst du einfach in Zone 1 praktisch immer jeweils VLAN1 (Workstations 1 + Fileserver) und das dann immer so weiter.

 

[CentY]

Ich würde für die Server ein VLAN machen und für jede Workstation und dann via VLAN-Trunking jeweils die Sachen miteinander verbinden die es benötigen. Und eventuell den Router/Firewall wieder in ein extra VLAN und dann jeweils nur den Server weiterlassen der wirklich explizit Zugriff auf das Internet braucht. Mit einem ordentlichen Switch sollte das alles kein Problem sein.

 

[NacKteOmA]

Was bringt es für Vor/Nachteile gegenüber der DMZ? Vermutlich lässt es sich leichter einrichten oder?

 

[CentY]

Ich finde es ist "einfacher" zu administrieren weil du wirklich für jede Workstation festlegen kannst was sie darf und was nicht. Und du brauchst keine großen Firewallregeln oder sonst etwas dafür. Und bist weder an die IPs der Server noch an deren Macadressen gebunden sondern nur auf den Port am Switch auf dem sie stecken.

 

[NacKteOmA]

Da grusel ich mich bei den ganzen VLAN ja vor der Schematischen Darstellung

Und als Frage, ist es denn auch etwa genauso sicher? Ich weiß nicht wie einfach/schwer es ist sich von ein ins andere VLAN zu "hacken". Obwohl dies ja auch nicht gerade einfach sein dürfte.

 

[CentY]

Also theoretisch ist es möglich aus einem VLAN auszubrechen, dazu müssen aber einige Vorraussetzungen erfüllt sein. Einfach so oder mit ein paar kleinen Scriptkiddietools ist es nicht möglich.

 

[NacKteOmA]

Und wie sieht es in einer DMZ aus, theoretisch möglich wäre es ja auch. Es wäre ja erst unmöglich wenn man es physikalisch trennen würde .

Wie "enorm" wäre der Aufwand bei beiden möglichkeiten (VLAN/DMZ) und was für Vorraussetzungen müsste es geben z.B. wird irgendwie extra Equipment gebraucht (z.B. ein weiteren Switch zum Brücken) oder ist sowas bei einen VLAN z.B. auch ganz Softwareseitig möglich, also unteranderem direkt aus dem Internet herraus?

 

[CentY]

Für VLANs brauchst du nen Switch mit VLAN Support Firewalls oder so können das oft auch. Sind aber dann meistens keine Billigteile mehr.

 

[NacKteOmA]

Das der Switch VLAN unterstützen muss ist mir bekannt. VLAN selber kenne ich schon einwenig, das setze ich auf meinen großen LANs gerne mal ein.

Aber würde gerne einschätzen können wie groß der Sicherheitsunterschied zwischen den Varianten DMZ / VLAN wäre.

 

[CentY]

Ich denke mit VLANs besteht weniger die Gefahr dass die Workstations doch untereinander reden. Bei der DMZ wären sie quasi nicht getrennt.

 

[NacKteOmA]

Da die Workstations an einem Manged Switch hängen würde ich hier einfach diese in ein VLAN hängen, also jeweils 1 Workstations + Fileserver. Praktisch ein VLAN in der DMZ, der Managed Switch wäre ja DMZ Zone 1 und darin würde ich das VLAN machen. Nur weiß ich nicht ob sich das "beißt" und nachher dann später keine Kontakt mehr zwischen VLAN und den DMZ möglich ist. Theoretisch ja schon da sich jedes VLAN ja praktisch in der DMZ befindet.

Man würde in jedem VLAN einfach den Uplinkport freigeben (also dem Port zu Firewall), dann befindet man sich ja wieder in der DMZ.

 

[NacKteOmA]

Ich poste jetzt einfach mal meine aktuelle Beschreibung der Konstruktion.

Zone 3 - Offenes Netz
Zone 2 - DMZ mit Zugriff zum Internet
Zone 1 - DMZ kein Zugriff zum Internet, allerdings Zugriff zur Zone 2

Zone 3 - Router
Zone 2 - Mailserver
Zone 1 - 10 Arbeitsstationen und Fileserver

Im Mittelpunkt steht die Hardware Firewall mit 4 Ports diese wird verbunden mit dem Router, mit dem Mailserver und dem Managed Switch. Es werden 2 DMZs eingerichtet, eine davon besitzt den Zugriff ins Internet und in dieser DMZ steht der Mailserver. In der zweiten DMZ gibt es keinen direkten Zugriff zum Internet, hat allerdings Zugriff zur ersten DMZ und in dieser sind die Arbeitsstationen, sowie der Fileserver. Auf dem Managed Switch wird die Komunikation via eigenes VLAN für jeden Arbeitsstation unterbunden, so ist dann allerdings kein Zugriff zwischen Arbeitsstation untereinander möglich, so kann allerdings Schadensreduzierung betrieben werden sofern einer der Arbeitsstationen von einen Virus betroffen ist oder durch eine Sicherheitslücke übernommen wurde. Der Zugriff zum Fileserver der ebenfalls in Zone 1 ist wird mit ins VLAN gesetzt.

Auf der Firewall wird sämtlicher Datenverkehr gefiltert und Ports gesperrt die nichts mit dem Mailserver in Zone 2 zu tun hat, ebenso auch in Zone 1 alle Ports sperren die nicht verwendet werden, weiter wäre es auch möglich Sicherheitssystem wie IPS in der Firewall zu verwenden um Angriffe zu verhindern oder zu entdecken.

Auf den Arbeitsstationen würden die Nutzer nicht mit einem Administrator Account arbeiten und der Zugriff über externe Medien könnte man verbieten, also deaktivieren von USB Ports, eventuell auch CDs um somit das einschleppen von Infizierten Datei ins Netzwerk und auf den Arbeitsstationen zu verhindern oder zu erschweren. Ebenso sollte auf dem Mailserver ein AntiViren Schutz installiert werden der dort auch die Mails der Mailserver überprüft, ebenso auch auf den Arbeitsstationen und dem Fileserver.

Optional wäre es möglich einen Transparenten Proxy Server zu nutzen, wenn z.B. die Arbeitsstationen Zugriff aufs Internet haben sollten. Dieser könnte im Mailserver integriert werden. Man müsste dann noch dementsprechend die Firewall konfigurieren. Im Proxy selbst würden sich noch diverse Filter ermöglichen z.B. sperren von Webseiten, verhindern der Benutzung von Instant Messengern und ähnlichem.