Sicherheit

  • GNU GPLv2 Open Source
  • modern, stabil, einfach konfigurierbar, roamingfähig, schlank und schnell (höhere Übertragungsgeschwindigkeit, geringere Latenz)
  • schneller als IPSec oder OpenVPN
  • schlanker Code und geringe Komplexität
  • energieeffizient, kaum Daten im Leerlauf, geeignet für Mobilgeräte
  • kostenloser Client für alle gängigen OS (Windows (nur mit Adminkonto), Android, macOS, embedded Devices, OpenBSD, FreeBSD, NetBSD)
  • seit 2020 im Linuxkernel integriert
  • ähnlich wie OpenVPN ist die Konfiguration über alle Plattformen hinweg identisch
  • Roamingfähig, keine Verbindungsabbrüche bei Netzwechsel
  • robust gegen kurze Verbindungsausfälle
  • Port: UDP, Default: UDP 51820, frei änderbar - muß manuell in Firewalls frei gegeben werden (MTU: 1420), problemlos über NAT
  • jede Verbindung hat eigene Public- und Private Key (einfache Textstrings) und funktioniert ähnlich wie SSH-Keys
    Die Schlüsselpaare lassen sich meist komfortabel im Gerät erstellen, es geht aber auch offline (siehe unten).
    Damit lassen sich VPN-Verbindungen für Endgeräte konfigurieren, ohne diese in den Händen zu halten.
  • jeder Public Key wird mit Liste erlaubter Netze verknüpft (Wildcard 0.0.0.0/0 bedeutet: alle Netze gehen durch Tunnel)
    - In Versandrichtung verhält sich die Liste wie eine Routing Tabelle.
    - In Empfangsrichtung dient die Liste als Access Control List.
  • Clients bekommen (meist) statische IPs, Firewallregeln pro Endgerät möglich (DHCP-Pool nur über Scripts)
  • eine Verbindung lässt sich auf mehreren Endgeräte nutzen, diese bekommen aber die gleiche IP und gleiche AccessRights
  • nur eine Seite muß eine feste IP und einen von außen erreichbaren UDP-Port besitzen
  • Server erstellt (je nach Gerät) einfache Textdatei .conf oder QR-Code, der einfach am Client eingebunden wird
  • Wireguard-Router: Dreytek Vigor, MikroTik, AVM Fritzbox, GL.iNet, pfSense, OpenSense, OpenWRT
 
Voraussetzungen
Der Wireguard-Router als Verbindungs-Empfänger muß eine feste IP haben und der verwendete UDP-Port muss beim Router ankommen.
Wird der WG-Router nach dem Standardgateway installiert, sind im Gateway-Router folgende Einstellungen erforderlich:
  • Portforwarding: UDP-Port (51820) zum WG-Router (LAN-IP)
  • Routing-Tabelle: WG-Transfernetz (192.168.200.0/24) zum WG-Router (LAN-IP), Maskierung aus
  • Firewall: UDP-Zielport (51820) frei geben
  • Firewall: Verbindungsquelle Wireguard-Router (LAN-IP) Internet erlauben
  • Firewall: Verbindungsziel WG-Transfernetz (192.168.200.0/24) erlauben
    (Bintec: "vollständige IP v4-Filterung" deaktivieren ->siehe Bintec)

Wireguard-Client
- exportiert 'wireguard-export.zip' (die enthält für jede Verbindung eine '[verbindung].conf'
- importiert wahlweise einzelne 'verbindung.conf' oder 'wirguard-export.zip' mit allen Verbindungen
- vorhandene Verbindungen bleiben bei einem weiteren Import erhalten

Anleitung: https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wireguard-660620.html
  MikroTik: siehe MikroTik Wireguard-Artikel
  GL.iNet LTE: siehe GL.iNet Wireguard mit OpenVPN

Public Key und Private Key können auch unabhängig vom jeweiligen Gerät konfiguriert werden,
um eine .conf Datei für ein beliebiges Endgerät zu erstellen.

umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key
wg genkey | tee peer1_private.key | wg pubkey > peer1_public.key

Weitere VPN Client (Peer) Schlüssel generiert man dann nur noch mit wg genkey | tee peer2_private.key | wg pubkey > peer2_public.key usw.


Beispiel der .conf Datei für den Peer1:

[Interface]
# Name = wireguard-server2.example
Address = 192.168.200.3/32
PrivateKey = OMjSCv6e/iXECZwq0ZVL5Ywf/KzZvdsGpYKv1512345=
# DNS = 172.16.7.254

[Peer]
# Name = Client-peer1
PublicKey = cA+mynt84tVH1gPaUN66E8K0nfzvpsQMohrEbz54321=
Endpoint = router.myfritz.de:51820
AllowedIPs = 192.168.200.0/24, 192.168.188.0/24
# PersistentkeepAlive = 25

  • Die importierte Verbindung heisst wie die .conf-Datei.
  • #Name - Comment-Feld, nur informativ
  • Address = Client: Client Adresse (192.168.200.3/32), Server: ganzes Subnetz (192.168.200.0/24), auch mehrere Subnets möglich
  • PrivateKey = der jeweils eigene private.key, im Endgerät wird dann der Public-Key angezeigt
  • ListenPort = UDP Port, auf den der Server hört
  • Table = ggf. Routing Table
  • PublicKey = gegenüberliegender public.key
  • AllowedIPs = die Adressen die der Wireguard Server in den Tunnel routet. Wireguard nennt dies "Cryptokey Routing" was bewirkt das der Wireguard Server und Client das Routing für die jeweils remoten IP Netze automatisch in die Routing Tabelle übernimmt.
    AllowedIPs = 0.0.0.0/0 bewirkt, dass der gesamte Traffic durch den Tunnel geht.
  • Endpoint = [öffentl.Serveradresse]:Port  (nur beim Client, Port nicht vergessen!)
  • PersistentkeepAlive = hält die Verbiundung offen, nur bei Clients hinter NAT

Site-to-Site VPN-Verbindung

  • beide Seiten routen im Wireguard in das jeweils gegenüberliegende LAN mit einem Eintrag "AllowedIPs"
  • ist der Wireguard-Router nicht das Standardgateway, muß das Standardgateway (oder der PC) ein Routing zum Zielnetz besitzen

Wireguard Online Config Generator:

  • MS blendet standardmäßig Dateiendungen aus, so dass man nicht wirklich eine PDF von einer EXE unterscheiden kann (spinnen die bei MS?).
    -> Explorer / Optionen / Ansicht / "Erweiterungen bei bekannten Dateitypen ausblenden" abhaken

  • Ordner erstellen für Benutzer im Root-Verzeichnis unterbinden
    -> LW C: Sicherheit / Erweitert / Erweiterte Berechtigungen:
    • (Auth)Benutzer = "Ordner erstellen/Daten anhängen" von "Diesen Ordner, Unterordner" ändern in "Nur Unterordner"
    • Für alle lokalen Laufwerke wiederholen


Virtual Privat Network (VPN) stellt eine verschlüsselte Verbindung über ein unverschlüsseltes Medium her.
Klassische Nutzung:
  • verschlüsselte Verbindung in das eigene Heim- oder Firmennetz über das Internet
  • Vernetzung von Firmen oder Standorten untereinander über das Internet
  • sichere Anbindung von eigenen Cloud-Standorten
  • verschlüsselte Nutzung unsicherer Netzwerke wie öffentliche WLAN über einen "sicheren" eigenen(!) Endpunkt
Sucht man im Internet nach VPN, findet man fast ausschließlich Online-VPN-Anbieter wie NordVPN.
Diese Anbieter bieten eine (VPN-)verschlüsselte Verbindung zu ihren Standorten, um diesen als Einwahlpunkt ins Internet zu nutzen.
Die Interneteinwahl erfogt praktisch erst von deren Standorten, womit man Geoblocking / Ländersperren für Internetseiten oder Streamingdienste umgehen kann. Außerdem schafft es eine gewisse Anonymisierung des Absenders. Und das ist auch schon der einzige Nutzen.

Was diese Anbieter nicht bieten können ist eine sichere Verbindung, denn man holt sich bewußt als Tunnelende der Verschlüsselung einen fremden VPN-Anbieter.
Die Lösung macht keinen Sinn zur "sicheren" Einwahl ins Internet oder gar zum eigenen Mailprovider.

Ein "richtiges" VPN muß vom eigenen Netz bis zum Zielnetz oder Ziel-PC reichen.



Das Internet ist nützlich.
Das Internet ist unzuverlässig und unsicher.
Es ist sinnvoll, das Internet zu nutzen.
Es ist gefährlich, sich vom Internet abhängig zu machen.


Diese Trends sehe ich mit Sorge:
  • Windows 11: Internetverbindung und MS-Konto wird auch in der Pro-Version Pflicht (siehe hier)
  • MS Office 2021, Microsoft 365 und Office 365 erlauben Autosave nur noch in der Cloud. Eine lokale Sicherung ist nicht mehr vorgesehen (siehe hier)
  • geschäftskritische Software wird vermietet, die Lizenz muß online aktiviert werden (ohne Internet keine Funktion) und kann jederzeit online deaktiviert werden



Zweifaktor-Authentifizierung reduziert die Gefährdung durch Diebstahl des Kennwortes.

Nutzen Sie die 2-Faktor Authentifizierung für Ihre wichtigsten Konten.

Überlegen Sie die Folgen, wenn das 2FA-Gerät nicht mehr verfügbar wäre, und schaffen Sie Redundanz.


Das Versprechen, Cloud Computing sei genau das richtige, um alle IT-Probleme in den Unternehmen ein für alle Mal zu lösen, ist vor ein paar Jahren in den großen Marketing-Abteilungen entstanden.

Dabei spielen Sicherheitsfragen, Verfügbarkeit der eigenen Daten und nicht zuletzt die oft nicht verfügbare Bandbreite eine große Rolle.

Sicher ist die Cloud meist redundant ausgelegt und hat riesigen Rechenpower, aber meine ich das mit Sicherheit?

„Software as a Service“ made in USA wurde 2019 per Präsidentenerlass über Nacht einfach abgeschaltet.

Ich teile die Meinung: So wenig IT outsourcen wie möglich!



Next-Generation Firewalls kombinieren die Funktionalitäten herkömmlicher professioneller Firewalls wie Paketfilterung, Network Adress Translation (NAT), URL-Blockierung und Virtual Private Networks (VPN) mit modernen Funktionalitäten wie Quality of Service (QoS) und Optionen, die normalerweise nicht in Firewalls zu finden sind.
Dazu gehören Intrusion Prevention, SSL und SSH Inspection, Deep-Packet-Inspection, Reputations-basierte Malware-Abwehr oder Applikations-Awareness.
Hier stelle ich die neuen Rohde & Schwarz Unified Firewalls vor.


Das BSI empfiehlt es als seine elementare Sicherheitsstrategie, alle Systeme ständig auf dem neusten Stand zu halten.
Die Idee ist gut, aber blauäugig.

Schon lange wird die Qualität von Sicherheitsupdates bei nahezu allen Firmen stetig schlechter.
Selbst Firmen wie Microsoft betreiben keine Qualitätssicherung mehr.
Es gibt weltweit keine Haftung für Softwarefehler.
Fehlerkorrekturen sind notwendige Übel für die Hersteller und bringen ihnen keinen Mehrwert.

In den letzten Jahren haben kritische Sicherheitsupdates bei mir zumindest gefühlt mehr Fehler verursacht als beseitigt.
Aus diesem Grund vertrete ich in meinen Sicherheitskonzepten schon lange den Standpunkt, dass eine sofortige Updateinstallation fahrlässig ist, nicht anders herum.

Nun vertritt erstmalig die Cybersecurity & Infrastucture Security Agency (US-CERT CISA) den Standpunkt, dass das Microsoft Rollup Mai 2022 für alle OS-Versionen auf Domaincontrollern nicht installiert werden soll.


Am heutigen 15.06.2022 beginnt die bundesweite Bevölkerungs- und Wohnungszählung in Deutschhland.
Nun mehren sich Berichte von Datenschützern, dass diese sensilble Pflicht-Datenerhebung durch die Bundesrepublik Deutschland mittels Online-Portal beim US-Unternehmen Cloudflare gehostet wird. Das bedeutet, dass der Anbieter Endpunkt des verschlüsselten SSL-Datenstromes ist und theoretisch alle Daten mitlesen kann.
"Wir nehmen Ihren Datenschutz erst.." - neben solchen Phrasen gibt es keinen Hinweis zum Hosting in einem nach aktueller Rechtsprechung datenschutzmäßig "unsicheren Drittland" beim Zensus.



Schulung, Beratung, Ausführung.
IT-Konzept, Backup-Konzept, Sicherheitskonzept



Februar 2021: Datenschutzvorfall in einem Wasserwerk in den USA.
Das FBI warnt vor dem Einsatz von Teamviewer.
In diesem Video gehe ich auf die Fragen ein, wo das Problem liegt.

Die folgende Seite zeigt ein eingebettetes Video auf Youtube an.


8. Januar 2021 - hunderte Demonstranten stürmen das Capitol der Vereinigten Staaten, verschaffen sich Zugang zu Büros und bleiben über 2 Stunden unkontrolliert in dem Gebäude. Das Capitol ist Sitz der US Representantenhauses und der Legislative der USA.
Die Überwachungskameras können nicht lückenlos den Aufenthalt aller Eindringlinge nachverfolgen.

Gegenstände und Dokumente wurden gestohlen.
Sicher auch Zugangsdaten, Passworte, geheime Informationen.
Es kursieren Bilder, dass ein PC nicht einmal gesperrt war.

Da nicht feststellbar ist, welche Geräte kompromittiert sind, ist aus Security-Sicht davon auszugehen, dass alle Geräte kompromittiert wurden sind.

Die meisten Computer wurden wenige Stunden nach dem Einbruch wieder in Betrieb genommen und arbeiteten noch tagelang.
Es ist also davon auszugehen, dass inzwischen auch weitere externe Verbindungen kompromittiert sind.

Das Capitol muss komplett gesäubert werden.

Der physische Zugangsschutz zu den IT-Systemen ist die Grundvoraussetzung für die IT-Sicherheit eines jeden Systems.


 
- Seite: 1 -
  


Letzte Beiträge:


  • Proxmox Virtualisierung
    (Dauerlizenz, KRITIS-tauglich)

  • ESET Antivirus Partner

  • LANCOM Partner

    Lancom Bronze Partner 2018

  • LANCOM Professional Techician Firewalls

  • BLUECHIP Partner

    Bluechip Computer AG

  • VMWARE Partner
    (Mietlizenz, Online)

  • MailStore Certified Technican

    Mailstore Certified Technican 2020/21

  • BARAMUNDI Partner

    Baramundi Software

  • NETGEAR Partner

    Netgear Powershift Partner

  • EBERTLANG Partner

  • VEEAM Partner
    (Mietlizenz, Online)

    Veeam ProPartner

  • PEASSLER PRTG Netzwerk-Monitoring