Sicherheit
Hersteller: Gateprotect, Rohde & Schwarz Cybersecurity, Lancom Systems
Typen: UF-60 (5 User) ... UF-760 (200 User), auch als Virtual Appliances
Grundsätzliches:
* Alle (je nach Modell: 4...256) Ports lassen sich beliebig als LANs oder WANs konfigurieren.
* Jede Aktion rechts in der Web-Oberfläche muß mit "Activate" aktiviert werden. - Button blau ist nicht aktiviert.
* Gerät läuft im 30 Tage Testmodus mit allen Funktionen ausser Konfig-Speichern. Ohne Lizenz kann keine Konfiguration gespeichert werden, aber importiert. Nach Werksreset beginnt der Testzeitraum neu.
Lizenz aktivieren: https://lancom.de/uf-lizenz
* Regeln des Netzwerks werden auf untergeordnete Hosts oder Bereiche vererbt, dort können aber abweichende Regeln festgelegt werden.
* Passwort+Support-PW ändern: Firewall->Administrator-> Benutzer wählen "Kennwort-Änderung erforderlich nach nächster Anmeldung"
Grundkonfiguration:
* Konfiguration per Default über ETH1, IP= https://192.168.1.254:3438
* Zugang: admin / admin, Passwort festlegen
* 1.LAN an ETH1 konfigurieren: Network / Connections / ETH1 benennen, IP festlegen (Mask im selben Feld!)
* Internetzugang einrichten. Network / Connections / ETH0 benennen, IP (+Mask) festlegen
- WAN: Default Gateway aktivieren, IP eingeben
- Network / DNS: ggf. DNS-Server hinterlegen
- Firewall / Time Settings: NTP-Einstellungen vornehmen
* Test: unter Diagnostic / Traceroute sollte jetzt eine Internetverbindung funktionieren
* Firewall / Update: Updates installieren
* Firewall / License: Lizenz eintragen
Tip:
* alle Einträge lassen sich bequem über die Suche finden
* fertige Konfig als PDF exportieren (Desktop/Export)
* Ansicht kann gefiltert werden über Tag, IP, Port oder Interface
* es können mehrere Nutzer mit granularen Rechten angelegt werden
Einbinden:
Nutzt man außer der Firewall noch einen DSL-Router, kann man die Firewall auf zwei Arten einbinden.
1. Reihenschaltung Router -> Firewall
Das Verfahren ist logisch und naheliegend.
https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=34925378
2. Einschleifen in den Router (Lancom nennt das Layer-3 Schleife)
Klingt erst mal überflüssig kompliziert, hat aber einige Vorteile.
- das Standardgateway ändert sich nicht. Bekanntlich macht Windows alle Netze dicht, wenn sich dieses Gerät ändert.
- die Firewall kann bei Konfigurationsproblemen von extern umgangen oder deaktiviert werden.
- bestehende VPN-Verbindungen zum Router lassen sich zumindest übergangsweise bei Umgehung der Firewall weiter nutzen.
https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32982461
Firewall-Konfiguration:
* Objekte im Schaubild rechts anlegen:
- Create Internet Objekt erstellt WAN-Objekt. Activate.
- Create Network, Host-Group und/oder Host erstellt die LAN-Objekte, Activate.
* 1. Verbindung konfigurieren:
- gewünschtes LAN-Objekt (Bsp.: Network) anklicken, Connection-Tool anklicken, WAN-Objekt anklicken
- es wird eine neue Verbindung (LAN-Objekt -> Internet-Objekt) konfiguriert
- rechts erscheint die Liste der Regeln. Regel "Ping" mit "+" hinzu fügen.
Nun kann man per PING aus dem LAN das Internet erreichen.
* 2. Verbindung konfigurieren:
- gewünschtes LAN-Objekt (Bsp.: Host-Group) anklicken, Connection-Tool anklicken, WAN-Objekt anklicken
- es wird eine neue Verbindung (LAN-Hostgroup-Objekt -> Internet-Objekt) konfiguriert
- rechts erscheint die Liste der Regeln. Regel "HTTP" und "HTTPS" mit "+" hinzu fügen.
Nun kann man per Browser aus der Hostgroup im LAN das Internet erreichen.
* für internen Zugriff ist keine Regel erforderlich (DNS, NTP, HTTP/S...)
• Host für einzelne Geräte/IP
• IP-Bereich für Bereiche (Drucker, Notebooks, IoT...)
• Host-/Netzwerk-Gruppe erlaubt mehrere IP/Geräte in einem Objekt
• DROP-Regeln gehen vor ALLOW-Regeln
• Regeln vererben sich über Netzwerk -> IP-Range -> Host
• Priorität: Host größer als IP-Range größer als Netzwerk
Dienste
Neben den vordefinierten Diensten können eigene Dienste auch mit mehreren Pots und Protokollen angelegt werden.
Mit Dienst-Gruppen können mehrere Deinste zusammengefasst werden.
NAT (Network Adress Translation)
- wird in jeder Desktop-Verbindungsregel einzeln gesteuert
- ist bei Regeln zum WAN per Default aktiviert
- Achtung bei Regeln zu einzelnen Servern im WAN (DNS o.ä.): NAT setzen, Regel meist nicht bidirektional lassen!
Portforwarding wird im Protokoll der Desktop-Verbindung (Hostobjekt zu WAN) konfiguriert.
Bsp: Dienst HTTP, Verbindungsrichtung drehen (von außen nach innen), NAT aus, DMZ/Port-Weiterleitung aktivieren
Quellport ist das Dienstobjekt, abweichender Zielport kann definiert werden.
Portforwardings können auch für Dienstgruppen eingerichtet werden.
Proxy-Konfiguration:
• Antivirus funktioniert nur mit aktivem Proxy (HTTP/S, FTP, EMail)
• URL-/ Contentfilter funktioniert nur mit aktivem Proxy (HTTP/S)
• Spamfilter, Blacklist/Whitelist funktioniert nur mit aktivem Proxy (EMail)
• Applicationfilter, IDS und IPS funktionieren auch ohne Proxy.
Der Proxy muss global und pro Verbindung aktiviert werden.
* UTM / Proxy: HTTP Proxy: steht auf transparent.
* UTM / Proxy: HTTPS Proxy: ist per Default inaktiv.
Zertifikate
Die Firewall enthält ein eigenes SSL-Zertifikat, wird aber als "Man-in-the-Middle" von allen Browsern als "unsicher" eingestuft (Zertifikat stammt nicht von der Webseite).
Das eigene Zertifikat der Firewall muß also auf alle Clients ausgerollt und im Browser als vertrauenswürdig hinterlegt werden (Eport PEM, in CRT umbenennen).
Einbinden des Proxy-Zertifikates manuell oder per GPO:
Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Richtlinien öffentlicher Schlüssel \ Vertrauenswürdige Stammzertifizierungsstellen
siehe https://www2.lancom.de/kb.nsf/1275/05FA5A416AC989CBC12584550044E364?OpenDocument
Einbinden manuell in Firefox: als Zertifizierungsstelle importieren.
Firewall-Zertifikate werden beim Reset gelöscht -> sichern!
Zertifikat für HTTPS-Webzugriff erstellen: https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32983640
Der moderne "HTTP Strict Transport Security (HSTS)" Modus von Google, Wikipedia u.a. erlaubt keine HTTPS-Proxys.
Ohne Proxy greifen systembedingt keine UTM-Funktionen (URL- oder Applicationfilter, Antivirus) und keine Webstatistik.
Lancom Application Control geht auch ohne Proxy.
* Desktop-Connection wählen (Bsp.: Hostgroup-Objekt -> Internet-Objekt), HTTP-Regel editieren.
Unter Advanced: Proxy aktivieren.
* Import Zertifikate in Mobilgeräte ist problematisch.
ggf. IP-Bereich als Objekt definieren, HTTPS ohne Proxy
* E-Mail Proxy: POP3/SMTP- und seit 06/2020 auch IMAP-Proxy
* HTTP-, HTTPS-Proxy
URL-/Contentfilter
Wird in UTM -> URL/Contentfilter definiert und für jede Verbindung konfiguriert.
Falls Ausnahmen/Override erlaubt sein soll, in "Einstellungen" zentral erlauben.
- vordefinierte Kategorien
- eigene URL-Blacklist
- eigene URL-Whitelist
UTM / Applikation Firewall:
Per Default: aus.
Vorteil: funktioniert ohne Proxy.
Nachteil: Der Application-Filter liefert keine definierte Block-Seite wie der Content-Filter, sondern der geblockte Aufruf schlägt fehl.
Dienst aktivieren, Filter-Profil erstellen, in Desktop-Verbindung Profil als Whitelist oder Blacklist definieren.
Die R&S Application Firewall wird u.a. auch von Barracuda genutzt und ist sehr leistungsstark.
Sie kann auch verschlüsselten Traffic über Layer-7 Mustererkennung verarbeiten und erkennt die Anwendung (Aliexpress, AmazonShopping, Apple Maps, Bitcoin, eBay, Facebook, Office365, GoToMeeting, Dropbox, OneDrive, Games, Modebus, Mail, Messenger, News, Peer-to-peer, RemoteControl, Tunnel, Streaming u.v.a.m.).
Unabhängig vom Application-Filter muß der entsprechende Port frei gegeben sein (Verbindungsregel), wenn die Applikation erlaubt sein soll.
Tip:
* Intrusion Detection (IDS) aktivieren, Intrusion Prevention (IPS) aber erst nach Hinzufügen der Ausnahmen! (IDS-Protokoll)
* Fehler, gesperrte Aufrufe usw. im Systemlog. Type=Error, Message=IP eingrenzen
VPN Verbindung:
Die R&S Firewall erlaubt beliebig viele (!) IPSec VPN-Verbindungen IKE v1 und IKE v2.
Außerdem unterstützt die Firewall VPN Open-SSL.
Die Einrichtung des Advanced VPN-Client von Lancom (NCP) per IPSec wird in der Lancom KB beschrieben.
- IPSec-Einstellungen: IPSec aktivieren
- virt. IP-Pools: Default IP-Pool konfigurieren (DNS) oder eigenen Pool anlegen
- Verbindung anlegen, Vorlage wählen, Tunnel und Authentifizierung konf.
- VPN-Verbinung: Konfig. exportieren
- Desktop-Objekt: VPN-Host erstellen
- Desktop-Verbindung(en) VPN-Host zu LAN-oder-Host definieren, Dienste frei geben
Monitoring
Die Firewall kann max. 8 GB Monitordaten auf die interne HD speichern. Nach 6GB werden die ältesten Daten automatisch überschrieben.
Die letzten 500 Ereignisse werden angezeigt, für mehr Ereignisse: filtern.
• Alarmprotokoll: Traffic, geblockte Verbindungen
Im Alarmprotokoll können für jedes Ereignis individuell Regeln erstellt werden, wenn das Protokoll als Rohdaten gespeichert wird.
Netzwerksegmentierung/VLAN
Die Firewall kann intern nicht arbeiten, wenn alle Geräte im gleichen Netzwerk sind.
Routing über Netzsegmente ist erforderlich.
Da die physischen Ports beschränkt sind, heißt die Lösung VLAN.
- Netzwerk / VLAN interfaces anlegen
- Netzwerk / Verbindungen / Netzwerkverbindungen anlegen (Name, VLAN-Interface wählen, IP festlegen)
- Desktop-Objekt: Netzwerk erstellen, Name festlegen, VLAN-Interface und Netzwerk-IP auswählen
Routing
Die Firewall arbeitet auch als Router.
Unter Netzwerk / Routing können individuelle Routen (beispielsweise zu Transfer-Netzen hinter anderen Routern) angelegt werden.
Unabhängig vom Routing muß zu dem Netz auch eine Firewallregel angelegt werden.
Werksreset:
Werksreset löscht auch die Lizenz aus dem Gerät! Lizenz vorher sichern!
- einfach über GUI (wenn Ports erreichbar und Passwort bekannt)
- wenn nichts mehr geht: USB-Stick -> automatische Installation (LCOS FX-ISO + UF-USB-Stick-Creator)
Firewall geht danach aus. USB-Stick abziehen(!) und neu starten.
Release-Update FX 10.5 (06/2020):
- IMAP-Proxy
- Content-Filter für ausgewählte Seite kann temporär deaktiviert werden
- individuelles Routing für mittels PACE2 DPI Engine erkannte Protokolle und Applikationen (über VPN, andere Internetanschlüsse, am Proxy vorbei..)
- Lancom Firewall FAQ: https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=34925347
- Firewall Downloads (ISO, USB-Installer, MIBs): https://my.lancom-systems.de/mylancom/lizenzportal/downloads/
- Authentifizierung per Single Sign On an der Firewall: https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=54952158
Observium (FAQ)
- Unlimited Sensoren free, Professional: 240,- EUR p.a.
- basiert auf PHP + MySQL, Großbritannien
- nur SNMP-Monitoring, keine Agenten, aber sehr viele vorgefertigte Geräte-MIBs
- alle Grafiken (Diagramme) lassen sich als Link per IFRAME in eigene MAPs einbinden
(Authentification: Allow graphs to be viewed by anyone=Y) - Konfiguration in opt/observium/config.php: https://docs.observium.org/config_options/
- Update der Prof-Version:
cd \opt\observium
sudo svn cleanup
sudo svn update - MIBs unter opt/observium/mibs/
- Lizenz von Common zu Subscription konvertieren: https://docs.observium.org/ce-migration/
Andere Benutzer ohne Admin-Rechte:
- Users -> Device Permissions: alle (gewünschten) Geräte hinzu fügen!
Quellen und Links:
- Forum: https://serverfault.com/search?q=observium
- Alert definieren: https://infosecmonkey.com/setting-up-alerts-in-observium-community-edition/
- Observium Alert Checker: https://docs.observium.org/alert_checker/
Forensik: ntuser.dat (FAQ)
Die NTUSER.DAT befindet sich als versteckte Systemdatei im Ordner des jeweiligen Benutzers unter C:\Benutzer\<benutzer>\NTUSER.DAT
Ausserdem gibt es eine gleichnamige .log1 und log2 als Zwischenspeicher, bevor die Änderungen final in der NTUSER.DAT landen.
Diese sollten in die Analyse einbezogen werden.
Da jeder Benutzer eine eigene NTUSER.DAT besitzt, können gefundene Spuren exakt einem Benutzerkonto zugewiesen werden.
Im Live-Betrieb mit REGEDIT unter Computer\HKEY_CURRENT_USER\ (andere User unter HKU).
ID des angemeldeten Users ermitteln (HKCU): Dosbox: whoami /logonid
HKCU eines anderen Benutzers laden / editieren:
Registry: HKU/ markieren, Datei -> Struktur laden, ntuser.dat aus dem betreffenden Userprofils laden.
Offline Tool: Registry Explorer
MS Office
- legt die zuletzt aufgerufenen Dateien und Speicherorte ab
- nicht vertrauenswürdige Speicherorte (default: alles außer lokale Festplatte) werden gesondert gespeichert
- Schlüssel in NTUSER.DAT\Software\Microsoft\Office\
- ...\Word\User MRU\ listet die letzten 50 Word-Dokumente auf
- ...\Word\Place MRU\ listet die letzten 50 Word Speicherorte auf
Dateien und Ordner
- NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs - speichert die letzten 150 zugegriffenen Dateien ab
- besitzt für jeden Dateityp einen Subschlüssel
- Datei MRUListEx speichert jeweils die Reihenfolge, in der die Dateien geöffnet wurden - NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU - speichert Dateien, die mit „Öffnen“ oder „Speichern unter“ Dialoges geöffnet bzw. geschlossen wurden
- je Dateityp gibt es einen Subschlüssel und eine MRUListEx wie oben - NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU - speichert Programm im Ausführen-Dialog
Fernzugriff
- NTUSER.DAT\SOFTWARE\Microsoft\Terminal Server Client\Servers - enthält Ziele (IP + Anmeldename) der RDP-Verbindungen
siehe auch:
- Windows Registry: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1069
- Forensik: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1045
Das Versprechen, Cloud Computing sei genau das richtige, um alle IT-Probleme in den Unternehmen ein für alle Mal zu lösen, ist vor ein paar Jahren in den großen Marketing-Abteilungen entstanden.
Dabei spielen Sicherheitsfragen, Verfügbarkeit der eigenen Daten und nicht zuletzt die oft nicht verfügbare Bandbreite eine große Rolle.
Sicher ist die Cloud meist redundant ausgelegt und hat riesigen Rechenpower, aber meine ich das mit Sicherheit?
„Software as a Service“ made in USA wurde 2019 per Präsidentenerlass über Nacht einfach abgeschaltet.
Ich teile die Meinung: So wenig IT outsourcen wie möglich!
.... mehr
Das Internet ist nützlich.
Das Internet ist unzuverlässig und unsicher.
Es ist sinnvoll, das Internet zu nutzen.
Es ist gefährlich, sich vom Internet abhängig zu machen.
Diese Trends sehe ich mit Sorge:
- Windows 11: Internetverbindung und MS-Konto wird auch in der Pro-Version Pflicht (siehe hier)
- MS Office 2021, Microsoft 365 und Office 365 erlauben Autosave nur noch in der Cloud. Eine lokale Sicherung ist nicht mehr vorgesehen (siehe hier)
- geschäftskritische Software wird vermietet, die Lizenz kann jederzeit online deaktiviert werden
IT-Konzept, Backup-Konzept, Sicherheitskonzept
Überlegen Sie die Folgen, wenn das 2FA-Gerät nicht mehr verfügbar wäre, und schaffen Sie Redundanz.
8. Januar 2021 - hunderte Demonstranten stürmen das Capitol der
Vereinigten Staaten, verschaffen sich Zugang zu Büros und bleiben über 2
Stunden unkontrolliert in dem Gebäude. Das Capitol ist Sitz der US
Representantenhauses und der Legislative der USA.
Die Überwachungskameras können nicht lückenlos den Aufenthalt aller Eindringlinge nachverfolgen.
Gegenstände und Dokumente wurden gestohlen.
Sicher auch Zugangsdaten, Passworte, geheime Informationen.
Es kursieren Bilder, dass ein PC nicht einmal gesperrt war.
Da nicht feststellbar ist, welche Geräte kompromittiert sind, ist aus Security-Sicht davon auszugehen, dass alle Geräte kompromittiert wurden sind.
Die meisten Computer wurden wenige Stunden nach dem Einbruch wieder in Betrieb genommen und arbeiteten noch tagelang.
Es ist also davon auszugehen, dass inzwischen auch weitere externe Verbindungen kompromittiert sind.
Das Capitol muss komplett gesäubert werden.
Der physische Zugangsschutz zu den IT-Systemen ist die Grundvoraussetzung für die IT-Sicherheit eines jeden Systems.
.... mehr
Im EU-Ministerrat ist der Weg frei für die heftig umstrittenen Schlussfolgerungen zu "Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung".
Behörden und Geheimdienste kämpfen mal wieder mit aller Kraft für die Pflicht von Hintertüren in allen Verschlüsselungslösungen.
Quelle: heise.de
Das ist so unsinnig wie gesetzwidrig zugleich.
Sichere Verschlüsselung ist eine Forderung der DSGVO und der Wirtschaft.
Ein bisschen verschlüsselt gibt es nicht.
Eine Ende-zu-Ende Verschlüsselung kann per-se keine Hintertür enthalten, denn die Schlüssel liegen nur bei den Kommunikationspartnern.
Die Verschlüsselung müßte also bewußt kaputt konstruiert werden.
Kriminalität ist ein gesellschaftliches Problem, kein technologisches.
Man kann gesellschaftliche Probleme nicht dadurch lösen, dass man die Privatsphäre aller schwächt.
Eine einseitige Regelung der EU wäre ein Wettbewerbsnachteil der europäischen Wirtschaft und würde Europas Daten den ausländischen Nachrichtendiensten auf dem Silbertablett servieren.
Der schweizer Messenger-Hersteller Threema sagt beispielsweise, er würde auf keinen Fall Hintertüren in seine Software einbauen.
Dies würde auch gegen die Gesetze in der Schweiz verstoßen.
Die europäischen Behörden zeigen ihr wahres Gesicht: gierig, lobbyhörig und technisch unbedarft.
Betriebssysteme, Prozessoren, Chips, BIOS, Cloudlösungen, Mobiltelefone, Anwendungssoftware oder Browser,- Europa fehlt diese Industrie fast völlig.
Europa hat die Entwicklung verschlafen und besitzt keine IT-Souveränität.
|
-
Powershell: IP ermitteln
-
Powershell: Benutzer ermitteln
-
Powershell: Windows Update
-
Akku Report auslesen
-
Meine Haustechnik
-
Lancom R&S Unified Firewall konfigurieren
-
Nutzerpasswort in RDP Remotesitzung ändern
-
DiY: Tuya Geräte
-
VPN über Router hinweg
-
Internet aus dem Mobilfunknetz (GPRS/UMTS/LTE)
-
Observium
-
Forensik: ntuser.dat
-
Windows Registry
-
Forensik
-
Netzwerkstandort ändern