10
Source IP Zugriffskonzept wie sicher?
Hello liebe Admins und Verteidiger!
ich bin bis vor kurzem davon ausgegangen, dass das Risiko minimal ist, wenn wir die Userzugriffe (Webdienste wie Mail, etc.) vom WAN ins LAN via fixer Source-WAN-IP (SIM-based) und Benutzername + Passwort = MFA zugreifen lassen.
Jetzt stellt sich mir aber die Frage, ob es nicht doch irgendwo eine Lücke in dem Konzept gibt, welche mir noch nicht aufgefallen ist wie z.B. IP-Spoofing oder andere?
Firewall-technisch sind wir hier mit dem Fisch aus dem Meer gut ausgestattet (IPS ist aktiv). Reverse Proxy steht vor den services. Ja, das war es in dem Bereich aber auch schon. Keine WAF oder WAAP ist hier im Einsatz.
Habt ihr nette Ideen, was ich hier evtl. nicht bedacht habe?
Danke
Viele Grüße
PS: über einen Penetration Test wird nachgedacht
Rob
ich bin bis vor kurzem davon ausgegangen, dass das Risiko minimal ist, wenn wir die Userzugriffe (Webdienste wie Mail, etc.) vom WAN ins LAN via fixer Source-WAN-IP (SIM-based) und Benutzername + Passwort = MFA zugreifen lassen.
Jetzt stellt sich mir aber die Frage, ob es nicht doch irgendwo eine Lücke in dem Konzept gibt, welche mir noch nicht aufgefallen ist wie z.B. IP-Spoofing oder andere?
Firewall-technisch sind wir hier mit dem Fisch aus dem Meer gut ausgestattet (IPS ist aktiv). Reverse Proxy steht vor den services. Ja, das war es in dem Bereich aber auch schon. Keine WAF oder WAAP ist hier im Einsatz.
Habt ihr nette Ideen, was ich hier evtl. nicht bedacht habe?
Danke
Viele Grüße
PS: über einen Penetration Test wird nachgedacht
Rob
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7073376015
Url: https://administrator.de/contentid/7073376015
Printed on: April 27, 2024 at 13:04 o'clock
10 Comments
Latest comment
Was meinst du mit SIM Based ?
Wenn du damit den Mobilfunk meinst dann musst du sicherstellen das du
A) eine echte Öffentliche IPv4 oder IPv6 Adresse hast welche nicht hinter einem NAT Gateway versteckt ist
B)Sicherstellen dass das Endgerät immer die selbe Adresse erhält. ( GGF spuckt dir hier die Privacy der enrsprechenden Geräte in die Suppe bezüglich wechselnder IPv6 Adresse.
Wenn du damit den Mobilfunk meinst dann musst du sicherstellen das du
A) eine echte Öffentliche IPv4 oder IPv6 Adresse hast welche nicht hinter einem NAT Gateway versteckt ist
B)Sicherstellen dass das Endgerät immer die selbe Adresse erhält. ( GGF spuckt dir hier die Privacy der enrsprechenden Geräte in die Suppe bezüglich wechselnder IPv6 Adresse.
Moin...
Jetzt stellt sich mir aber die Frage, ob es nicht doch irgendwo eine Lücke in dem Konzept gibt, welche mir noch nicht aufgefallen ist wie z.B. IP-Spoofing oder andere?
nun, was genau ist dein Konzept?
was genau soll, oder muss wie soll geschützt werden?
Firewall-technisch sind wir hier mit dem Fisch aus dem Meer gut ausgestattet (IPS ist aktiv). Reverse Proxy steht vor den services. Ja, das war es in dem Bereich aber auch schon. Keine WAF oder WAAP ist hier im Einsatz.
Habt ihr nette Ideen, was ich hier evtl. nicht bedacht habe?
dafür sollten wir wissen, was genau geschützt werden soll!
Danke
Viele Grüße
PS: über einen Penetration Test wird nachgedacht
sage ich meiner Frau auch immer 
Rob
Frank
Zitat von @Tranministrator:
Hello liebe Admins und Verteidiger!
ich bin bis vor kurzem davon ausgegangen, dass das Risiko minimal ist, wenn wir die Userzugriffe (Webdienste wie Mail, etc.) vom WAN ins LAN via fixer Source-WAN-IP (SIM-based) und Benutzername + Passwort = MFA zugreifen lassen.
du meinst sicher VPN, oder?Hello liebe Admins und Verteidiger!
ich bin bis vor kurzem davon ausgegangen, dass das Risiko minimal ist, wenn wir die Userzugriffe (Webdienste wie Mail, etc.) vom WAN ins LAN via fixer Source-WAN-IP (SIM-based) und Benutzername + Passwort = MFA zugreifen lassen.
Jetzt stellt sich mir aber die Frage, ob es nicht doch irgendwo eine Lücke in dem Konzept gibt, welche mir noch nicht aufgefallen ist wie z.B. IP-Spoofing oder andere?
was genau soll, oder muss wie soll geschützt werden?
Firewall-technisch sind wir hier mit dem Fisch aus dem Meer gut ausgestattet (IPS ist aktiv). Reverse Proxy steht vor den services. Ja, das war es in dem Bereich aber auch schon. Keine WAF oder WAAP ist hier im Einsatz.
Habt ihr nette Ideen, was ich hier evtl. nicht bedacht habe?
Danke
Viele Grüße
PS: über einen Penetration Test wird nachgedacht
Rob
1
Moin,
Wieso darüber nachdenken? Einfach regelmäßig machen.
Sowohl den einen als auch den anderen.
Zum anderen Problem des TO:
Source-Ip kannst Du nur dann als "Authentifizierung" nutzen, wenn Du sicherstellen kannst, daß IP-Spoofing machen kann, also i.d.R. niemals. Man kann das als zusätzliches Kriterium zu anderen Verfahren, wie z.B. VPN nehmen, aber nicht ausschließlich.
lks
Wieso darüber nachdenken? Einfach regelmäßig machen.
Sowohl den einen als auch den anderen.
Zum anderen Problem des TO:
Source-Ip kannst Du nur dann als "Authentifizierung" nutzen, wenn Du sicherstellen kannst, daß IP-Spoofing machen kann, also i.d.R. niemals. Man kann das als zusätzliches Kriterium zu anderen Verfahren, wie z.B. VPN nehmen, aber nicht ausschließlich.
lks
Schau mal nach Conditional Access.
Sollte es auch auf der Baracuda geben wenn ich mich recht erinnere.
Das mit den IP´s muss aber halt eben auch passen denn wenns Dyn. IPs sind dann wirds nix.
Un ja Pen Test sollte man regelmäßig durchführen ( Zweideutiger Smiley vorstellen ) wobei der eine davon eher mehr Spaß macht als der andere aber beide haben da so ihre eigenen Konsequenzen wann was schief geht
Sollte es auch auf der Baracuda geben wenn ich mich recht erinnere.
Das mit den IP´s muss aber halt eben auch passen denn wenns Dyn. IPs sind dann wirds nix.
Un ja Pen Test sollte man regelmäßig durchführen ( Zweideutiger Smiley vorstellen ) wobei der eine davon eher mehr Spaß macht als der andere aber beide haben da so ihre eigenen Konsequenzen wann was schief geht
Zitat von @Mr-Gustav:
Was meinst du mit SIM Based ?
Wenn du damit den Mobilfunk meinst dann musst du sicherstellen das du
A) eine echte Öffentliche IPv4 oder IPv6 Adresse hast welche nicht hinter einem NAT Gateway versteckt ist
B)Sicherstellen dass das Endgerät immer die selbe Adresse erhält. ( GGF spuckt dir hier die Privacy der enrsprechenden Geräte in die Suppe bezüglich wechselnder IPv6 Adresse.
Was meinst du mit SIM Based ?
Wenn du damit den Mobilfunk meinst dann musst du sicherstellen das du
A) eine echte Öffentliche IPv4 oder IPv6 Adresse hast welche nicht hinter einem NAT Gateway versteckt ist
B)Sicherstellen dass das Endgerät immer die selbe Adresse erhält. ( GGF spuckt dir hier die Privacy der enrsprechenden Geräte in die Suppe bezüglich wechselnder IPv6 Adresse.
Mit SIM Based ist gemeint, dass die SIM Karte mit ihrer fixen IP-Adresse den zweiten Haben-Faktor zum Passwort Wissen-Faktor ergänzt. Diese wird entweder in ein SIM Slot direkt am Laptop eingesteckt oder in ein 4G LTE Stick.
Ja, es ist sichergestellt, dass hier die fixe öffentliche IPv4 Adresse verwendet wird.
Die Funktion wird hier ja nicht in Frage gestellt, sondern eher das Konzept und die dadurch gewonnene Sicherheit.
Ich will hier das Risiko besser einschätzen lernen.
Es ist eine zweistufige FW und dahinter ein Reverse Proxy im Einsatz.
Zitat von @Vision2015:
Moin...
Jetzt stellt sich mir aber die Frage, ob es nicht doch irgendwo eine Lücke in dem Konzept gibt, welche mir noch nicht aufgefallen ist wie z.B. IP-Spoofing oder andere?
nun, was genau ist dein Konzept?
was genau soll, oder muss wie soll geschützt werden?
Firewall-technisch sind wir hier mit dem Fisch aus dem Meer gut ausgestattet (IPS ist aktiv). Reverse Proxy steht vor den services. Ja, das war es in dem Bereich aber auch schon. Keine WAF oder WAAP ist hier im Einsatz.
Habt ihr nette Ideen, was ich hier evtl. nicht bedacht habe?
dafür sollten wir wissen, was genau geschützt werden soll!
Danke
Viele Grüße
PS: über einen Penetration Test wird nachgedacht
sage ich meiner Frau auch immer
Rob
Frank
Moin...
Zitat von @Tranministrator:
Hello liebe Admins und Verteidiger!
ich bin bis vor kurzem davon ausgegangen, dass das Risiko minimal ist, wenn wir die Userzugriffe (Webdienste wie Mail, etc.) vom WAN ins LAN via fixer Source-WAN-IP (SIM-based) und Benutzername + Passwort = MFA zugreifen lassen.
du meinst sicher VPN, oder?Hello liebe Admins und Verteidiger!
ich bin bis vor kurzem davon ausgegangen, dass das Risiko minimal ist, wenn wir die Userzugriffe (Webdienste wie Mail, etc.) vom WAN ins LAN via fixer Source-WAN-IP (SIM-based) und Benutzername + Passwort = MFA zugreifen lassen.
Jetzt stellt sich mir aber die Frage, ob es nicht doch irgendwo eine Lücke in dem Konzept gibt, welche mir noch nicht aufgefallen ist wie z.B. IP-Spoofing oder andere?
was genau soll, oder muss wie soll geschützt werden?
Firewall-technisch sind wir hier mit dem Fisch aus dem Meer gut ausgestattet (IPS ist aktiv). Reverse Proxy steht vor den services. Ja, das war es in dem Bereich aber auch schon. Keine WAF oder WAAP ist hier im Einsatz.
Habt ihr nette Ideen, was ich hier evtl. nicht bedacht habe?
Danke
Viele Grüße
PS: über einen Penetration Test wird nachgedacht
Rob
du meinst sicher VPN, oder?
Die Webserver-Zugriffe via Mobil-APP und die Exchange Active Mail-Synchronisation laufen ohne VPN, aber dafür mit Source-IP Einschränkung. Ja, Zertifikate für Mails stehen auf der Roadmap und evtl. kann man auch am Webserver ein Whitelisting von Source-IP Adressen eintragen.
dafür sollten wir wissen, was genau geschützt werden soll!
In zweiter Linie sollen die Services und Ihre Verfügbarkeit durch äußere Einflüsse so gering wie nur möglich beeinflusst werden.
nun, was genau ist dein Konzept?
sage ich meiner Frau auch immer
Rob
Zitat von @Lochkartenstanzer:
Moin,
Wieso darüber nachdenken? Einfach regelmäßig machen.
Sowohl den einen als auch den anderen.
Zum anderen Problem des TO:
Source-Ip kannst Du nur dann als "Authentifizierung" nutzen, wenn Du sicherstellen kannst, daß IP-Spoofing machen kann, also i.d.R. niemals. Man kann das als zusätzliches Kriterium zu anderen Verfahren, wie z.B. VPN nehmen, aber nicht ausschließlich.
lks
Moin,
Wieso darüber nachdenken? Einfach regelmäßig machen.
Sowohl den einen als auch den anderen.
Zum anderen Problem des TO:
Source-Ip kannst Du nur dann als "Authentifizierung" nutzen, wenn Du sicherstellen kannst, daß IP-Spoofing machen kann, also i.d.R. niemals. Man kann das als zusätzliches Kriterium zu anderen Verfahren, wie z.B. VPN nehmen, aber nicht ausschließlich.
lks
Source-Ip kannst Du nur dann als "Authentifizierung" nutzen, wenn Du sicherstellen kannst, daß IP-Spoofing machen kann, also i.d.R. niemals. Man kann das als zusätzliches Kriterium zu anderen Verfahren, wie z.B. VPN nehmen, aber nicht ausschließlich.
Die Webserver und der Mailservice haben natürlich eine AD-Benutzer und Passwort Abfrage.
Also nein, man kommt nicht nur weil man nur die Source-IP hat auf einen Dienst, welcher keine zusätzliche Authentifizierung via AD-Username und AD-PW abfragt.
Wieso darüber nachdenken? Einfach regelmäßig machen.
Rob
Moin,
Gruß,
Dani
Es ist eine zweistufige FW und dahinter ein Reverse Proxy im Einsatz.
welchen Vorteil verschaffst du dir mit einem Reverse Proxy, wenn das keine WAF/WAAP ist? Auch eine zweistufige FW kann nützlich aber auch ein Durchlauferhitzer sein. Hängt von Design, Feature und Konfiguration ab...die Exchange Active Mail-Synchronisation laufen ohne VPN,
Dann solltest du über AD FS mit WAP nachdenken. Um den Themen Account Lockdown, MFA sowie Pre-Auth entgegen zu wirken. Alternativ eine MDM Lösung mit Tunneling oder eben klassisch VPN.Gruß,
Dani
Zitat von @Dani:
Moin,
Gruß,
Dani
Moin,
Es ist eine zweistufige FW und dahinter ein Reverse Proxy im Einsatz.
welchen Vorteil verschaffst du dir mit einem Reverse Proxy, wenn das keine WAF/WAAP ist? Auch eine zweistufige FW kann nützlich aber auch ein Durchlauferhitzer sein. Hängt von Design, Feature und Konfiguration ab...die Exchange Active Mail-Synchronisation laufen ohne VPN,
Dann solltest du über AD FS mit WAP nachdenken. Um den Themen Account Lockdown, MFA sowie Pre-Auth entgegen zu wirken. Alternativ eine MDM Lösung mit Tunneling oder eben klassisch VPN.Gruß,
Dani
Dann solltest du über AD FS mit WAP nachdenken. Um den Themen Account Lockdown, MFA sowie Pre-Auth entgegen zu wirken. Alternativ eine MDM Lösung mit Tunneling oder eben klassisch VPN.
Zukünftig werden wir als zusätzliche Schicht auch Zertifikate für die Mailkommunikation verteilen.
Viele Grüße
Rob
Moin,
Unabhängig davon hast du die Frage von Kollege @lochenkartenstanzer nicht zu 100% beantwortet. Sprich kannst du sicherstellen, dass kein IP Spoofing trotz fixer öffentlicher IP-Adresse möglich ist?
Wir nutzen einen ähnlichen Service von Vodafone, verlassen uns aber in unserem Sicherheitskonzept 0% darauf.
Gruß,
Dani
Warum? Reicht hier die Source IP Einschränkung auf der Firewall nicht?
weil auch ein Endgerät "verseucht" sein kann. Des Weiteren ist deine Firewall wohl die Einzige Sicherheitsarchitektur ist. Da werden Angriffe auf Layer 7 in der Regel nicht erkannt und abgewehrt.Unabhängig davon hast du die Frage von Kollege @lochenkartenstanzer nicht zu 100% beantwortet. Sprich kannst du sicherstellen, dass kein IP Spoofing trotz fixer öffentlicher IP-Adresse möglich ist?
Wir nutzen einen ähnlichen Service von Vodafone, verlassen uns aber in unserem Sicherheitskonzept 0% darauf.
Gruß,
Dani