Cynrik 10 Geschrieben 30. August 2023 Melden Teilen Geschrieben 30. August 2023 Hallo. Ein Kunde möchte nur mehr bestimmte Endgeräte Zugriff auf seine internen Netzwerk Ressourcen von extern und intern erlauben. Interne Netzwerk Ressourcen entspricht Netzwerk Freigaben, Remotedesktop Server, Remotedesktop Gateway, SQL Server, usw. Was für Möglichkeiten gibt es, damit man nur bestimmten Computer Zugriff auf interne Netzwerk Ressourcen erlaubt? Grüße, Cynrik Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 30. August 2023 Melden Teilen Geschrieben 30. August 2023 Moin, die Frage, die man heutzutage stellen sollte: Meine ich wirklich "Computer" oder sprechen wir eigentlich von "Usern", denen der Zugriff gewährt werden soll oder nicht? Für Computer im LAN gibt es als Mittel der Wahl das Network Access Control (NAC). Dies verbunden mit VLANs und Firewalls. Für Computer außerhalb sprechen wir entweder von VPN oder von einer "Veröffentlichung". In beides kann man über das Gerätemanagement auch die Computer-Identität einarbeiten. Im Sinne von Zero Trust soll man bei sowas eigentlich immer versuchen, den Zugriff primär durch die Identität des Users zu steuern. Zitieren Link zu diesem Kommentar
Cynrik 10 Geschrieben 31. August 2023 Autor Melden Teilen Geschrieben 31. August 2023 (bearbeitet) Hallo, Die MItarbeiter sollen nur mit den Geräten arbeiten, die ihnen vom Unternehmen zur Verfügung gestellt wird. Sie dürfen zum Beispiel nicht von einem öffentlichen Computer (Flughafen, Hotel, Internet Cafe, ...) auf interne Zugriff zugreifen, oder private Endgeräte (Computer, Smartphones, Tablets,..) im LAN anstecken. Also es ein Zero Trust Ansatz. Für die Microsoft 365 Ressourcen lässt mit "Bedingter Zugriff" das Thema schon mal gut lösen. Bei Zugriff von Internet auf interne Ressourcen und das sperren von unbekannten Endgeräte im LAN, muss ich noch eine Lösung finden. Ich schau mir mal das NAC an. bearbeitet 31. August 2023 von Cynrik Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 31. August 2023 Melden Teilen Geschrieben 31. August 2023 vor 21 Minuten schrieb Cynrik: Bei Zugriff von Internet auf interne Ressourcen und das sperren von unbekannten Endgeräte im LAN, muss ich noch eine Lösung finden. Das sollte eigentlich jeder halbwegs vernünftige Switch können, Sperren anhang der MAC-Adresse Deine eigenen Geräte kennst du und hast eine Tabelle dafür, also los... Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 31. August 2023 Melden Teilen Geschrieben 31. August 2023 (bearbeitet) Moin, solche Anforderungen sind etwas aus der Mode geraten, weil sie sich nur sehr begrenzt wirklich umsetzen lassen. Sobald ein ausreichend kompetenter Angreifer ein erlaubtes Gerät in den Händen hat, ist es relativ wahrscheinlich, dass er die Zugriffs-Genehmigung auf ein anderes Gerät übertragen kann. Das kann man nur erschweren, aber nicht zuverlässig ausschließen. Das ist ein wesentlicher Grund, warum man von dem Fokus auf Geräte weg ist und den Benutzer in den Mittelpunkt stellt. Damit löst man auch nicht alles, aber da man die Rechtezuweisung zentral vornimmt und nicht an ein unkontrollierbares externes Gerät koppelt, ist es prinzipiell besser zu steuern. Gruß, Nils PS. die MAC-Adresse ist ein schönes Beispiel, wird immer als erstes genannt und ist so ziemlich am einfachsten zu spoofen. bearbeitet 31. August 2023 von NilsK Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 31. August 2023 Melden Teilen Geschrieben 31. August 2023 vor 6 Minuten schrieb NilsK: PS. die MAC-Adresse ist ein schönes Beispiel, wird immer als erstes genannt und ist so ziemlich am einfachsten zu spoofen. Stimmt, ich bezweifle aber das ein "normaler" Anweder sowas kann Zumindest ist es erst mal der Anfang einer Hürde, ansonsten bin ich bei dir Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 31. August 2023 Melden Teilen Geschrieben 31. August 2023 vor einer Stunde schrieb Cynrik: das sperren von unbekannten Endgeräte im LAN, muss ich noch eine Lösung finden. 802.1x ist intern ein Teil von vielen Bausteinen. https://de.wikipedia.org/wiki/IEEE_802.1X Zitieren Link zu diesem Kommentar
Cynrik 10 Geschrieben 31. August 2023 Autor Melden Teilen Geschrieben 31. August 2023 vor 53 Minuten schrieb NilsK: Das ist ein wesentlicher Grund, warum man von dem Fokus auf Geräte weg ist und den Benutzer in den Mittelpunkt stellt. Damit löst man auch nicht alles, aber da man die Rechtezuweisung zentral vornimmt und nicht an ein unkontrollierbares externes Gerät koppelt, ist es prinzipiell besser zu steuern. Die Annahme ist, das fremde Geräte unsicher sind. Hat sich an der Herngehensweise etwas geändert? Wie sieht dann eine mögiche Umsetzung aus? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 31. August 2023 Melden Teilen Geschrieben 31. August 2023 Moin, nein, gerade weil man annimmt, dass fremde Geräte unsicher sind, legt man den Fokus heute anders. Man hat nämlich parallel eingesehen, dass man fremde Geräte nicht wirksam aussperren kann. Und dass man auch bekannten Geräten nicht unbedingt trauen kann. Allenfalls könnte dies ein zusätzlicher Mechanismus sein, aber das primäre Paradigma lautet heute "Identity is the new perimeter", sprich jeder Zugriff muss geprüft und authentifiziert werden, auch wenn er von einem bekannten Gerät kommt (bzw. zu kommen scheint). Gruß, Nils 2 Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 31. August 2023 Melden Teilen Geschrieben 31. August 2023 vor einer Stunde schrieb Cynrik: Die Annahme ist, das fremde Geräte unsicher sind. Die ist auch korrekt. Irrig hingegen ist die implizite, nicht ausgesprochene, aber dennoch bestehende Annahme, dass nicht-fremde Geräte nicht unsicher sind So richtig umsetzen kannst Du aber nur, wenn Du von den Downlevel-Protokollen wie SMB, SQL usw. wegkommst und alles nur über "moderne" Zugriffsprotokolle, also Abwandlungen von HTTPS, läuft. Bis das umgesetzt wurde, bleibt Dir eine Firewall, die Benutzer-Anmeldungen auswertet und das Regelwerk aufgrund der User-Identität dynamisch anpasst. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.