Jump to content

Netzwerk per VLAN getrennt, ausreichend sicher?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Tag,

 

ich habe die Anforderung für ein Partnerunternehmen eine Applikation zur Verfügung zu stellen. Da ich die IT des Partnerunternehmens als nicht vertrauenswürdig einstufe, soll das komplett getrennt von *meinem* Netz stattfinden. Das Partnerunternehmen hat ein AD und würde auch gerne die Benutzer aus diesem AD verwenden. Da ich die IT des Unternehmens als "Kraut und Rüben" einstufe, will ich alle Eventualitäten absichern.

 

  • Lokal bei mir ein separates VLAN, von diesem VLAN gibt es keinerlei erlaubte eingehende Verbindungen in die anderen Netze ==> VLAN 90
  • Die VMs laufen auf einem separaten Host, der ebenfalls in einem separaten VLAN ist ==> VLAN 91
  • VPN vom Partnerunternehmen in das lokale VLAN 90
  • Lokal gibt es ein SQL-Server, RDSH und ein RDSH-Gateway
  • Die Applikation wird auf dem RDSH installiert.
  • Auf dem RDSH ist Applocker aktiv und natürlich korrekt konfiguriert.
  • Zugriff auf die Applikation / RDSH nur via HTML5-Client oder RDP-Client, Port 443 (über das Gateway)
  • Direkte RDP-Verbindungen würden vom Partnerunternehmen aus nicht erlaubt, ebenso die Anmeldung mit lokalen Usern.
  • Bis auf den Host würde ich alle VMs in das AD des Partnerunternehmens aufnehmen, so können die Nutzer ihre gewohnten Zugangsdaten verwenden.
  • Firewallkonfiguration vom Partnerunternehmen in das VLAN, HTTPS und alles was die Domäne braucht: https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts

 

Nun stelle ich mir die Frage, ob es irgendeinen denkbaren Weg gibt, wie Malware aus dieser Umgebung ausbrechen und auf mein lokales Netzwerk übergreifen könnte.

 

  • Zugangsdaten aus dem lokalen Netzwerk landen niemals im VLAN 90/91.
  • Es gibt keine erlaubten eingehenden Verbindungen aus dem VLAN 90/91 in *mein* Netz.
  • Auch die Firewall ist nicht aus diesem VLAN erreichbar (Konsole, Konfigurationswebseite), ebenso natürlich nicht die Switche, einfach nichts.

 

Aber

  • Es wird per RDP / HTML5 vom lokalen Netzwerk auf die Applikation im VLAN zugegriffen ==> Sicherheitslücke im RDP-Client die sich irgendwie ausnützen lässt.
  • Ein Backup (SQL-Server *.bak) der Applikation ist notwendig und soll in das lokale Backup integriert werden. Dazu würde aber das Backup aus dem lokalen Netzwerk abgeholt. Also eine ausgehende Verbindung vom lokalen Netzwerk per SMB in das VLAN 90/91.
  • Solles es jemand schaffen die Domäne des Partnerunternehmens zu übernehmen, könnte dieser jemand z. B. per GPO (Anmeldeskripte usw.) versuchen Malware auf dem RDSH zu installieren.

 

Fazit:

Es ist nicht auszuschließen, dass die VMs kompromittiert werden, weil diese eben Mitglied der unsicheren Domäne sind. Der einzig denkbare Weg wie die Malware (lateral Movement) in *meinem* Netzwerk aktiv werden könnte, wäre der Weg über den RDP-Client.

 

Liege ich hier richtig oder habe ich an etwas nicht gedacht?

 

Grüße und noch einen schönen Tag.

bearbeitet von wznutzer
Link hinzugefügt
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...