magicpeter 11 Geschrieben 2. April 2021 Melden Teilen Geschrieben 2. April 2021 (bearbeitet) Moin, so das Thema Hafnium haben wir ja jetzt vollständig durch oder? Mein Hafnium Post - war das ein Erlebnis!!! Nein, haben wir nicht! Was kann man tun, damit so etwas nicht mehr auftritt oder was kann man an der aktuellen Situation verbessern? Was sagt oder besser empfehlt ihr eueren Kunden? Da bin ich jetzt mal gespannt. bearbeitet 2. April 2021 von magicpeter Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 2. April 2021 Melden Teilen Geschrieben 2. April 2021 Moin, ich empfehle - meist vergebens - meinen Kunden den Split Permissions Mode fast so lange wie es das gibt. Ich empfehle - mit noch geringeren Erfolgsraten - Exchange grundsätzlich in einem separaten Resource Forest zu betreiben. Und dort wieder mit Split Permissions. Und den Trust des Ressource Forest gegenüber dem User Forest zu filtern. Ich empfehle, Active Directory weder als Identity Management noch als Configuration Management zu missverstehen und folglich zu missbrauchen. Ich empfehle, Admins in die Protected User oder, besser, in ein Authentication Silo. Und das kombiniert mit Tiering. Die ersten zwei hätten die Übernahme des User Forests im vorliegenden Fall verhindert. Der dritte Punkt hätte, wenn man ihn konsequent umsetzt, den Wiederaufbau nach einer möglichen Übernahme des User Forests zu einer planbaren Übung statt zu einem Disaster gemacht. In der Realität? Die Admins wollen doch nur Bequemlichkeit. Lieber alle paar Jahre einen Breach und Stress und Nachtschichten, als irgendwas in den eigenen Abläufen zu ändern. 3 Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 2. April 2021 Melden Teilen Geschrieben 2. April 2021 Keine Exchange-Dienste außer SMTP ins Internet hängen. Für den mobilen Zugriff gibt es andere Lösungen, z.B. von Blackberry. Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 2. April 2021 Melden Teilen Geschrieben 2. April 2021 vor 2 Stunden schrieb zahni: Keine Exchange-Dienste außer SMTP ins Internet hängen. Für den mobilen Zugriff gibt es andere Lösungen, z.B. von Blackberry. ...und die sind definitiv und erwiesenermaßen unhackbar und frei von Fehlern, die eine Sicherheitslücke offen lassen Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 2. April 2021 Melden Teilen Geschrieben 2. April 2021 Sicherheitsmechanismen und Konzepte gibt es viele. Wichtig ist in jedem Fall. Patchen. Ein Tiering Modell ist in jedem Fall auch relativ einfach umzusetzen, ergibt etwas mehr Sicherheit und ist auch eine Basis für andere Sicherheitskonzepte. Zitieren Link zu diesem Kommentar
magicpeter 11 Geschrieben 3. April 2021 Autor Melden Teilen Geschrieben 3. April 2021 vor 16 Stunden schrieb zahni: Keine Exchange-Dienste außer SMTP ins Internet hängen. Für den mobilen Zugriff gibt es andere Lösungen, z.B. von Blackberry. Moin, ja aber wenn der Kunde iPhones und Outlook auf seinem PC nutzen möchte sieht das schon schlecht aus oder? Gibt es da auch eine sichere Lösung? vor 11 Stunden schrieb Dukel: Sicherheitsmechanismen und Konzepte gibt es viele. Wichtig ist in jedem Fall. Patchen. Ein Tiering Modell ist in jedem Fall auch relativ einfach umzusetzen, ergibt etwas mehr Sicherheit und ist auch eine Basis für andere Sicherheitskonzepte. Patchen ist schon sehr wichtig. Wie erfährt man dann wenn neue Patches rauskommen? Wir Patchen einmal pro Monat alle Kunden durch. Das könnte aber schon zu spät sein bei einem Angriff wie Hafnium! Mein du so etwas wie Admin Tiers?https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherheit-teil-1/ Zitieren Link zu diesem Kommentar
winmadness 79 Geschrieben 3. April 2021 Melden Teilen Geschrieben 3. April 2021 (bearbeitet) @magicpeter Ganz einfache Lösung - VPN. Damit können sowohl Laptops auch Handis eine Verbindung aufbauen. Ich selber habe allerdings ActiveSync über Benutzerzertifikate, eigenes virtuelles Verzeichnis (eigene IIS Seite), GEO-IP an der Firewall, Allowed DeviceIds abgesichert. Ich bin noch am Recherchieren bzgl. eines Reverse Proxy für EAS. bearbeitet 3. April 2021 von winmadness Zitieren Link zu diesem Kommentar
magicpeter 11 Geschrieben 3. April 2021 Autor Melden Teilen Geschrieben 3. April 2021 (bearbeitet) vor 37 Minuten schrieb winmadness: @magicpeter Ganz einfache Lösung - VPN. Damit können sowohl Laptops auch Handis eine Verbindung aufbauen. Ich selber habe allerdings ActiveSync über Benutzerzertifikate, eigenes virtuelles Verzeichnis (eigene IIS Seite), GEO-IP an der Firewall, Allowed DeviceIds abgesichert. Ich bin noch am Recherchieren bzgl. eines Reverse Proxy für EAS. OK, über einen VPN-Tunnel arbeiten ja auch schon einige Benutzer mit Ihren Laptops aber ein iPhone hat bisher noch keinen VPN gehabt, aber warum nicht. Dann können alle Ports aus 25 zu bleiben und die Benutzer können trotzdem E-Mails abholen. Welche VPN-Lösung (App) nutzt du für das iPhone? Ich teste einmal die OpenVPN Connect App und sag euch wie es klappt. bearbeitet 3. April 2021 von magicpeter Zitieren Link zu diesem Kommentar
winmadness 79 Geschrieben 3. April 2021 Melden Teilen Geschrieben 3. April 2021 (bearbeitet) @magicpeter Wie beschrieben, habe ich EAS über andere Wege abgesichert. iOS hat einen eigenen VPN Client (über App Einstellungen -> VPN). Ob Du eine eigene App benötigst kommt auf die VPN Server Sofware / Protokoll an. Der eingebaute Client kann IKEv2, IPSec und L2TP, kommt aber nicht mit allen VPN Servern / Protokollen klar. Für OpenVPN gibt es z.B. eine eigene App. Für SMTP (25) auf jeden Fall noch einen MTA vor dem Exchange Server stellen, unter anderem zur Spamfilterung. bearbeitet 3. April 2021 von winmadness Sch...ß Legasthenie 1 Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 3. April 2021 Melden Teilen Geschrieben 3. April 2021 Am 2.4.2021 um 19:05 schrieb magicpeter: Was sagt oder besser empfehlt ihr eueren Kunden? 42 und ein Handtuch. Zitieren Link zu diesem Kommentar
magicpeter 11 Geschrieben 4. April 2021 Autor Melden Teilen Geschrieben 4. April 2021 (bearbeitet) vor 21 Stunden schrieb winmadness: @magicpeter Wie beschrieben, habe ich EAS über andere Wege abgesichert. iOS hat einen eigenen VPN Client (über App Einstellungen -> VPN). Ob Du eine eigene App benötigst kommt auf die VPN Server Sofware / Protokoll an. Der eingebaute Client kann IKEv2, IPSec und L2TP, kommt aber nicht mit allen VPN Servern / Protokollen klar. Für OpenVPN gibt es z.B. eine eigene App. Für SMTP (25) auf jeden Fall noch einen MTA vor dem Exchange Server stellen, unter anderem zur Spamfilterung. War bereits eingerichtet: Exchange Server mit MTA in der Firewall absichern 1. Der MTA ist auf der Firewall (Lancom UF-200) und prüft alle eingehenden E-Mails auf Schadsoftware und Spam. Wird jetzt auf jedem externen Client (PC, Mac, iPhone,etc) eingerichtet: Exchange Server absichern - Ports schließen VPN-Tunnel und iPhone Mail über VPN-Tunnel nutzen 1. Exchange Server Ports bis auf 25 in der DMZ schließen 2. Firewall VPN-Tunnel zum LAN / Exchange Server einrichten VPN-Konfigfile exportieren 3. OpenVPN Connect App auf dem iPhone einrichten kein besonderen Einstellung im VPN-Client/Konfigfile notwendig (DNS, Gateway) VPN-Konfigfile importieren 4. Exchange E-Mail Konto einrichten bestehende E-Mail Konten können weiter genutzt werden Danke dir für einen Kommentar, das hat mir sehr geholfen. bearbeitet 4. April 2021 von magicpeter Zitieren Link zu diesem Kommentar
winmadness 79 Geschrieben 4. April 2021 Melden Teilen Geschrieben 4. April 2021 (bearbeitet) Hallo Peter, wenn Du Dein System weiter absichern willst, hätte ich noch einige Ideen: auf der Firewall Geo IP zur Blockierung von unberechtigten Anfragen. Ich nutze die Datenbank von MaxMind Proxy für ausgehende Verbindungen Block bzw. Begrenzung aller ausgehenden Verbindungen für die Windows Server (Exchange, DC, Fileserver), benötigt einen WSUS bearbeitet 4. April 2021 von winmadness Zitieren Link zu diesem Kommentar
magicpeter 11 Geschrieben 4. April 2021 Autor Melden Teilen Geschrieben 4. April 2021 vor 2 Stunden schrieb winmadness: Hallo Peter, wenn Du Dein System weiter absichern willst, hätte ich noch einige Ideen: auf der Firewall Geo IP zur Blockierung von unberechtigten Anfragen. Ich nutze die Datenbank von MaxMind Proxy für ausgehende Verbindungen Block bzw. Begrenzung aller ausgehenden Verbindungen für die Windows Server (Exchange, DC, Fileserver), benötigt einen WSUS Oh, danke für deinen Input. Das mit dem Geo IP Filter zur Blockierung unberechtigter Anfragen find ich sehr interessant. Ich habe direkt einmal eine Support anfragen an Lancom gestellt. Wir setzen vorrangig die UF-200 von Lancom ein. vor 3 Stunden schrieb winmadness: Hallo Peter, wenn Du Dein System weiter absichern willst, hätte ich noch einige Ideen: auf der Firewall Geo IP zur Blockierung von unberechtigten Anfragen. Ich nutze die Datenbank von MaxMind Proxy für ausgehende Verbindungen Block bzw. Begrenzung aller ausgehenden Verbindungen für die Windows Server (Exchange, DC, Fileserver), benötigt einen WSUS Wie funktioniert bei dir das GeoBlocking? Mit welcher Firewall hast du das realisiert? Zitieren Link zu diesem Kommentar
winmadness 79 Geschrieben 4. April 2021 Melden Teilen Geschrieben 4. April 2021 vor 32 Minuten schrieb magicpeter: Wie funktioniert bei dir das GeoBlocking? Mit welcher Firewall hast du das realisiert? Hallo Peter, ich verwende OPNSense. Das GEO Blocking ist dort direkt integriert. Im Grunde liefert MaxMind eine Liste mit IP Adressen und Länderbezug. OPNSense importiert diese Liste und stellt diese in sog. Alias zur Verfügung. Somit kann man z.B. einen Alias anlegen, in dem nur Deutschland aktiviert ist. Dieses Alias wird in der Firewall als "Source IP" eingetragen und als "Invert" gekennzeichnet. Diese Regel blockt dann alle Anfragen, ausser aus Deutschland. Oder man verwendet das Alias für einen bestimmten Port (z.B. EAS) und erlaubt mit der Firewall Regel Zugriffe nur aus Deutschland. Zitieren Link zu diesem Kommentar
magicpeter 11 Geschrieben 5. April 2021 Autor Melden Teilen Geschrieben 5. April 2021 (bearbeitet) vor 23 Stunden schrieb winmadness: Hallo Peter, ich verwende OPNSense. Das GEO Blocking ist dort direkt integriert. Im Grunde liefert MaxMind eine Liste mit IP Adressen und Länderbezug. OPNSense importiert diese Liste und stellt diese in sog. Alias zur Verfügung. Somit kann man z.B. einen Alias anlegen, in dem nur Deutschland aktiviert ist. Dieses Alias wird in der Firewall als "Source IP" eingetragen und als "Invert" gekennzeichnet. Diese Regel blockt dann alle Anfragen, ausser aus Deutschland. Oder man verwendet das Alias für einen bestimmten Port (z.B. EAS) und erlaubt mit der Firewall Regel Zugriffe nur aus Deutschland. Moin Winmadness, das klingt doch schon mal sehr gut. Die Lancom Firewall setzt Intrusion Detection / Prevention System („IDS/IPS“) ein das ist so etwas ähnliches. Nur nicht so allgemein sondern sehr spezifisch. Das Intrusion Detection / Prevention System („IDS/IPS“) pflegt eine Datenbank bekannter Bedrohungen, um die Computer in Ihrem Netzwerk vor einem breiten Spektrum von feindlichen Angriffen zu schützen, Warnmeldungen auszugeben, wenn solche Bedrohungen festgestellt werden, und die Kommunikationsverbindung zu feindlichen Quellen zu beenden. Das System zur Erkennung und Bekämpfung von Netzwerkbedrohungen basiert auf Suricata. Seine Bedrohungsdatenbank besteht aus einem von ProofPoint bereitgestellten, ausführlichen Regelsatz. Dieser Regelsatz enthält eine Blacklist mit IP-Adressen, Muster zur Erkennung von Malware in Kommunikationsverbindungen, Muster für Netzwerk-Scans, Muster für Brute-Force-Angriffe und mehr. Im IDS-Modus generiert die IDS / IPS-Vorrichtung lediglich Warnmeldungen, wenn eine Regel auf den Datenverkehr zutrifft. Im IPS-Modus generiert die IDS / IPS-Vorrichtung Warnmeldungen und blockiert bösartigen Datenverkehr zusätzlich. Sobald Sie IDS / IPS aktivieren, sind alle Regeln standardmäßig aktiv. Falls Dienste fälschlicherweise im Netzwerk von IDS / IPS blockiert werden, können Sie die IDS / IPS-Vorrichtung so konfigurieren, dass sie die Regel ignoriert, die den falschen Alarm ausgelöst hat. bearbeitet 5. April 2021 von magicpeter Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.