Sicherheit

(FAQ)

Observium

  • Unlimited Sensoren free, Professional: 240,- EUR p.a.
  • basiert auf PHP + MySQL, Großbritannien
  • nur SNMP-Monitoring, keine Agenten, aber sehr viele vorgefertigte Geräte-MIBs
  • alle Grafiken (Diagramme) lassen sich als Link per IFRAME in eigene MAPs einbinden
    (Authentification: Allow graphs to be viewed by anyone=Y)
  • Konfiguration in opt/observium/config.php: https://docs.observium.org/config_options/
    (Defaults in /opt/observium/includes/default.inc.php)
    Die GUI hat nicht alle Werte und schreibt nicht in die config.php zurück.
    Einträge in der config.php erscheinen rot und gesperrt mit Schloß in der GUI.
  • Postfix MTA (bound to localhost) to allow sending of email (e.g., password recovery)
  • Update der Prof-Version (Changelog, ggf. von Stable auf ROLLING schalten):
    cd \opt\observium
    sudo svn cleanup
    sudo svn update  (Zugangsdaten SVN-Zugang)
    ./discovery.php -u
  • Update der Community Edition (CE):
    - alte Version umbenennen
    - neuer Download
    - neue Installation
    - verschiebe /rrd, /logs, config.php aus alter Installation
  • Update Anleitung (auch CE): https://docs.observium.org/updating/
  • Migration CE zu Pro: https://docs.observium.org/ce-migration/
  • MIBs unter opt/observium/mibs/
  • LOGs unter /opt/observium/logs bzw. /var/log/messages oder /var/log/syslog
  • Backup Jobs unter opt/observium/rrd/
  • Lizenz von Common zu Subscription konvertieren: https://docs.observium.org/ce-migration/
  • Ubuntu 22 LTS, Festplatte min. 100 GB

Nur professional Version kann:

  • Alert E-Mail Notification bei SNMP-Schwellwert (Discord, Telegramm, Teams, SMS..)
  • SVN automatisches Updatesystem

Andere Benutzer ohne Admin-Rechte anlegen:
 - Users -> Device Permissions: alle (gewünschten) Geräte hinzu fügen!

E-Mail Checker einrichten:

  • Konfiguration in der config.php, nicht in der GUI
  • $config['email']['backend'] = 'smtp';
  • $config['enable_syslog'] = 1;
  • $config['email']['smtp_secure'] = '';  // leer für 'none' encryption
  • ggf. Firewall öffnen (ufw status , ufw allow 587)
  • Test: /opt/observium/test_alert.php
    Bsp: ./test_alert.php -a [Mailadresse]

Alert Checks:

  • Gerät(e) DOWN: Entity: Device, Conditions: device_status equals 0, Association: Device Type IN [Kategorie]
  • Gerät(e) REBOOT: Entity: Device, Conditions: device_rebooted equals 1, Association: Device Type IN [Kategorie]
  • (DSL) Port Traffic hoch: Entity: Port, Conditions: ifInOctets_perc ge 85, ifOutOctets_perc ge 85, Association: Device IN [IP], Port Label EQUALS [VDSL...]
    Nach Änderungen der Alert Checker REBUILD durchführen!

    Quellen:
  • Doku Observium Alert Checker: https://docs.observium.org/alert_checker/
  • Alerts definieren: https://infosecmonkey.com/setting-up-alerts-in-observium-community-edition/

Anmerkung:

  • Version 23.8.13005 (18.09.2023) - SMTP-Alert geht wieder
  • Version 23.8.12912 (02.08.2023) - SMTP-Alerting funktioniert nicht

Alternative: LibreNMS (Fork von Observium, starke Ähnlichkeit, voll kostenlos)

Quellen und Links:

Hersteller: Gateprotect, Rohde & Schwarz Cybersecurity, Lancom Systems

OEM-Partner:
• Antivirus: Avira / DE -> US
• Antispam, Contentfilter, URL-Filter: Bitdefender / Ro

Gerätetypen: UF-60 (5 User)  ... UF-760 (200 User), auch als Virtual Appliances

Lizenzmodel:
  • Basic Lizenz:
    - Aktivierung der Firewall-Funktionen inclusive Updates
    - Netzwerksegmentierung, Userverwaltung, VPN-Funktion
  • Full Lizenz:
    - Aktivierung der UTM- & Firewall-Funktionen,
    - Sandboxing, Machine Learning, AV/Malware Protection, Spamfilter, DPI, IDS/IPS, SSL Insp., inkl. Updates
    - Filter- und Scanfunktion, Contentfilter incl. BPjM Jugendschutz
  • Gerät läuft im 30 Tage Testmodus mit allen Funktionen ausser Konfig-Speichern. Ohne Lizenz kann keine Konfiguration gespeichert werden, aber importiert. Nach Werksreset beginnt der Testzeitraum neu.
    Lizenz aktivieren: https://lancom.de/uf-lizenz


Grundsätzliches
:
* Alle (je nach Modell: 4...256) Ports lassen sich beliebig als LANs oder WANs konfigurieren.
* Jede Aktion rechts in der Web-Oberfläche muß mit "Activate" aktiviert werden.
- Button blau ist nicht aktiviert.
* Regeln des Netzwerks werden auf untergeordnete Hosts oder Bereiche vererbt, dort können aber abweichende Regeln festgelegt werden.
* Passwort+Support-PW ändern: Firewall->Administrator-> Benutzer wählen "Kennwort-Änderung erforderlich nach nächster Anmeldung"
* RESET Button macht nur Neustart. Werks-Reset siehe unten.

Grundkonfiguration:
* Konfiguration per Default über ETH1, IP= https://192.168.1.254:3438
* Zugang: admin / admin, Passwort festlegen
* 1.LAN an ETH1 konfigurieren: Network / Connections / ETH1 benennen, IP festlegen (Mask im selben Feld!)
* Internetzugang einrichten. Network / Connections / ETH0 benennen, IP (+Mask) festlegen
- WAN: Default Gateway aktivieren, IP eingeben
- Network / DNS: ggf. DNS-Server hinterlegen
- Firewall / Time Settings: NTP-Einstellungen vornehmen
* Test: unter Diagnostic / Traceroute sollte jetzt eine Internetverbindung funktionieren
* Firewall / Update: Updates installieren
* Firewall / License: Lizenz eintragen
Tip:
* alle Einträge lassen sich bequem über die Suche finden
* Desktopregeln als PDF exportieren (Managementbericht/Export)
* Ansicht kann gefiltert werden über Tag, IP, Port oder Interface
* es können mehrere Nutzer mit granularen Rechten angelegt werden

Firewall in das Netzwerk einbinden:
1. Reihenschaltung Modem/Router -> Firewall
Das Verfahren ist logisch und naheliegend.
Im Idealfall nimmt man aber ein Modem und vermeidet die Router-Kaskade.
https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=34925378
2. Einschleifen in den Router (Lancom nennt das Layer-3 Schleife)
Klingt erst mal überflüssig kompliziert, hat aber auch Vorteile.
- das Standardgateway ändert sich nicht. Bekanntlich macht Windows alle Netze dicht, wenn sich dieses Gerät ändert
- die Firewall kann bei Konfigurationsproblemen von extern umgangen oder deaktiviert werden
- bestehende VPN-Verbindungen zum Router lassen sich zumindest übergangsweise bei Umgehung der Firewall weiter nutzen
- die Pakete gehen zweimal durch den Router, das ist deutlich langsamer
https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32982461
3. Transparenter Bridge Mode
- das Standardgateway ändert sich nicht
- Firewall arbeitet nicht als Router oder DNS-Gateway
- das Verfahren wird nicht mehr kommuniziert und dürfte nur mit wenigen Funktionen der Firewall arbeiten
https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=56165091
https://www.lancom-systems.de/download/produkte/lc_firewall_jump_start/MA_Firewall-Jump-Start_DE.pdf (ab S. 16)


DNS
Viele Funktionen der Firewall arbeiten auf DNS-Basis. Zu langsames DNS führt häufig zu Funktionsfehlern.
- DNS-Informationen der Firewall von einem potenten DNS-Server holen, nicht vom vorgeschalteten Router
- direkten DNS-Verkehr über die Firewall blocken (manche Dienste haben fest verdrahtete DNS-Einträge und irgnorieren sonst die Firewall)
- DNS-Cache deaktivieren

Firewall-Konfiguration:
* für interne Zugriffe auf die Firewall ist keine Regel erforderlich (DNS, NTP, HTTP/S...)
* Objekte im Schaubild rechts anlegen:
- Create Internet Objekt erstellt WAN-Objekt. Activate.
- Create Network, Host-Group und/oder Host erstellt die LAN-Objekte, Activate.
* 1. Verbindung konfigurieren:
- gewünschtes LAN-Objekt (Bsp.: Network) anklicken, Connection-Tool anklicken, WAN-Objekt anklicken
- es wird eine neue Verbindung (LAN-Objekt -> Internet-Objekt) konfiguriert
  (Aktions-Pfeil: LAN-Objekt zu WAN, NAT genauso)
- rechts erscheint die Liste der Regeln. Regel "Ping" mit "+" hinzu fügen.
Nun kann man per PING aus dem LAN das Internet erreichen.
* 2. Verbindung konfigurieren:
- gewünschtes LAN-Objekt (Bsp.: Host-Group) anklicken, Connection-Tool anklicken, WAN-Objekt anklicken
- es wird eine neue Verbindung (LAN-Hostgroup-Objekt -> Internet-Objekt) konfiguriert
- rechts erscheint die Liste der Regeln. Regel "HTTP" und "HTTPS" mit "+" hinzu fügen.
Nun kann man per Browser aus der Hostgroup im LAN das Internet erreichen.

• Host für einzelne Geräte/IP
• IP-Bereich für Bereiche (Drucker, Notebooks, IoT...)
• Host-/Netzwerk-Gruppe erlaubt mehrere IP/Geräte in einem Objekt

• DROP-Regeln gehen vor ALLOW-Regeln und lassen sich auch in Vererbung nicht überschreiben
• Regeln vererben sich über Netzwerk -> IP-Range -> Host
• Priorität: Host größer als IP-Range größer als Netzwerk

Dienste
Neben den vordefinierten Diensten können eigene Dienste auch mit mehreren Ports und Protokollen angelegt werden.
Mit Dienst-Gruppen können mehrere Dienste zusammengefasst werden.

NAT (Network Adress Translation)
- wird in jeder Desktop-Verbindungsregel einzeln gesteuert
- ist bei Regeln zum WAN per Default aktiviert
- Achtung bei Regeln zu einzelnen Servern im WAN (DNS o.ä.): NAT setzen, Regel meist nicht bidirektional lassen!

Portforwarding wird im Protokoll der Desktop-Verbindung (Hostobjekt zu WAN) konfiguriert.
Bsp: Dienst HTTP, Verbindungsrichtung drehen (von außen nach innen), NAT aus, DMZ/Port-Weiterleitung aktivieren
Quellport ist das Dienstobjekt, abweichender Zielport kann definiert werden.
Portforwardings können auch für Dienstgruppen eingerichtet werden.

Proxy-Konfiguration:
Der Proxy ist ein klassischer Man-in-the-middle und bricht gültige Zertifikatsketten auf.
Er ist für viele Funktionen unerläßlich, aber er ist eine Dauerbaustelle für Admins und ständiges Ärgernis der Anwender.
• Antivirus funktioniert nur mit aktivem Proxy (HTTP/S, FTP, EMail)
• URL-/ Contentfilter funktioniert nur mit aktivem Proxy (HTTP/S)
• Webstatistik geht nur mit Proxy
• Spamfilter, Blacklist/Whitelist funktioniert nur mit aktivem Proxy (EMail)
• Applicationfilter, IDS und IPS funktionieren auch ohne Proxy.

Hinweis:
* Der Proxy muss global und pro Verbindung aktiviert werden.
* Keine Firewall-Regel darf TCP Port 443 enthalten, sonst wird der HTTPS-Proxy ausgehebelt.

Proxy-Whitelist Syntax: "domain.com" -> nur Domain ohne Subdomains, ".domain.com" -> Domain incl Subdomains

Der moderne "HTTP Strict Transport Security (HSTS)" Modus von Google, Wikipedia u.a. erlaubt keine HTTPS-Proxys.
Weitere Proxy-Ausnahmen:
- Seiten mit Ende-Ende-Zertifikat (Grundbuch, KSA, Onlinebanking, MS WSUS, Windows Aktivierung, Firmwareupdates (VMWare, Lancom)...)
- Signal Desktop Client (.signal.org und .whispersystems.org)
- Microsoft Server- oder Office- Aktivierung

Zertifikate
• Firewall enthält ein eigenes SSL-Zertifikat, wird aber als "Man-in-the-Middle" von allen Browsern als "unsicher" eingestuft (Zertifikat stammt nicht von der Webseite). Das eigene Zertifikat der Firewall muß also auf alle Clients ausgerollt und im Browser als vertrauenswürdig hinterlegt werden (Eport PEM, in CRT umbenennen).
• Let`s Encrypt Zertifikate für Reverse Proxy und externes Portal (-> FX 10.10).


Einbinden des LCOS Root CA und LCOS Proxy-Zertifikates manuell oder per GPO:
• LCOS Root CA als vertrauenswürdige Stamm-CA
• LCOS HTTPS Proxy als vertrauenswürdiger Herausgeber 
Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Richtlinien öffentlicher Schlüssel \ Vertrauenswürdige Stammzertifizierungsstellen


Einbinden manuell in Firefox: als Zertifizierungsstelle importieren.
Firewall-Zertifikate werden beim Reset gelöscht -> sichern!

Zertifikat für HTTPS-Webzugriff erstellen: https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32983640

* Desktop-Connection wählen (Bsp.: Hostgroup-Objekt -> Internet-Objekt), HTTP-Regel editieren.

Unter Advanced: Proxy aktivieren.


* Import Zertifikate in Mobilgeräte ist problematisch.
ggf. IP-Bereich als Objekt definieren, HTTPS ohne Proxy

* E-Mail Proxy: POP3/SMTP- und IMAP-Proxy
* HTTP-, HTTPS-Proxy

URL-/Contentfilter
Um URL- und Contentfilter für HTTP- und HTTPS-Verbindungen zu verwenden, wird der HTTP-Proxy benötigt.
URL/Contentfilter wird für jede Firewall-Verbindung konfiguriert.
Um URL- und Contentfilter für DNS-Anfragen zu verwenden, muss der Web-Filter-Modus auf „DNS“ oder „Proxy und DNS“ gesetzt werden.
Falls Ausnahmen/Override erlaubt sein soll, in "Einstellungen" zentral erlauben.
- vordefinierte Kategorien
- eigene URL-Blacklist
- Blacklists für Dateiendungen (\.exe$)
- eigene URL-Whitelist
Konfiguration des BPjM-Moduls im Content Filter: URL/Contentfilter-Regel in Verbindung aktivieren, WEB-Filter-Modus= DNS
-> https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=128418084

UTM / Applikation Firewall:
Per Default: aus.
Vorteil: funktioniert ohne Proxy.
Nachteil: Der Application-Filter liefert keine definierte Block-Seite wie der Content-Filter, sondern der geblockte Aufruf schlägt fehl.
Dienst aktivieren, Filter-Profil erstellen, in Desktop-Verbindung Profil als Whitelist oder Blacklist definieren.

Die R&S Application Firewall wird u.a. auch von Barracuda genutzt und ist sehr leistungsstark.
Sie kann auch verschlüsselten Traffic über Layer-7 Mustererkennung verarbeiten und erkennt die Anwendung (Aliexpress, AmazonShopping, Apple Maps, Bitcoin, eBay, Facebook, Office365, GoToMeeting, Dropbox, OneDrive, Games, Modebus, Mail, Messenger, News, Peer-to-peer, RemoteControl, Tunnel, Streaming u.v.a.m.).
Unabhängig vom Application-Filter muß der entsprechende Port frei gegeben sein (Verbindungsregel), wenn die Applikation erlaubt sein soll.

Tip:
* Intrusion Detection (IDS) aktivieren, Intrusion Prevention (IPS) aber erst nach Hinzufügen der Ausnahmen! (IDS-Protokoll)
* Fehler, gesperrte Aufrufe usw. im Systemlog. Type=Error, Message=IP eingrenzen

Reverse Proxy
Will man über nur eine externe IP-Adresse verschiedene interne Ziele bei gleichem Port erreichen, nutzt man Reverse Proxy.
Der Reverse Proxy löst verschiedene Domain Namen auf einer IP-Adresse auf und routet sie an verschiedene interne Server.

  • mehrere Domainnamen (mail.domain.de und web.domain.de) verweisen auf die selbe externe IP-Adresse
  • im Router ist eine Portfreigabe von Port 443 und/oder 80 auf den Server eingerichtet auf dem der Reverse Proxy läuft
  • der Reverse Proxy wertet die angefragte Domain aus und leitet dann beispielsweise entweder zum Exchange oder Webserver weiter

VPN Verbindung:
Die R&S Firewall erlaubt beliebig viele (!) IPSec VPN-Verbindungen IKE v1 und IKE v2.
Außerdem unterstützt die Firewall VPN Open-SSL / OpenVPN.
Die Einrichtung des Advanced VPN-Client von Lancom (NCP) per IPSec wird in der Lancom KB beschrieben.
Anleitung für OpenVPN:
https://blog.hartinger.net/openvpn-einrichten-bei-einer-lancom-unified-firewall/
https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=42108821

  • IPSec-Einstellungen: IPSec aktivieren
  • virt. IP-Pools: Default IP-Pool konfigurieren (DNS) oder eigenen Pool anlegen
  • Verbindung anlegen, Vorlage wählen, Tunnel und Authentifizierung konf.
  • VPN-Verbinung: Konfig. exportieren
  • Desktop-Objekt: VPN-Host erstellen
  • Desktop-Verbindung(en) VPN-Host zu LAN-oder-Host definieren, Dienste frei geben

Netzwerksegmentierung/VLAN
Die Firewall kann intern nicht arbeiten, wenn alle Geräte im gleichen Netzwerk sind.
Routing über Netzsegmente ist erforderlich.
Da die physischen Ports beschränkt sind, heißt die Lösung VLAN.

  • Netzwerk / VLAN interfaces anlegen
  • Netzwerk / Verbindungen / Netzwerkverbindungen anlegen (Name, VLAN-Interface wählen, IP festlegen)
  • Desktop-Objekt: Netzwerk erstellen, Name festlegen, VLAN-Interface und Netzwerk-IP auswählen

Routing
Die Firewall arbeitet auch als Router.
Unter Netzwerk / Routing können individuelle Routen (beispielsweise zu Transfer-Netzen hinter anderen Routern) angelegt werden.
Routen zwischen Netzwerkobjekten werden automatisch erstellt und sind verborgen (Nicht konfigurierbare Tabellen anzeigen).
Unabhängig vom Routing muß zu dem Netz auch eine Firewallregel angelegt werden.
Weitere interne Netze: ggf. RDP, DNS, SMB.. frei geben!

"Routing" zu anderen Routern im gleichen Netz (bei Lancom-Routern mit ICMP-Redirect) ist mir bei den UF nicht gelungen.
Lösung: Anderen VPN-Router in getrenntes Transfer-Netz hinter die UF.

Monitoring
Die Firewall kann max. 8 GB Monitordaten auf die interne HD speichern. Nach 6GB werden die ältesten Daten automatisch überschrieben.
Die letzten 500 Ereignisse werden angezeigt, für mehr Ereignisse: filtern.
• Alarmprotokoll: Traffic, geblockte Verbindungen
Im Alarmprotokoll können für jedes Ereignis individuell Regeln erstellt werden, wenn das Protokoll als Rohdaten gespeichert wird.

Backup / Daten
Im GUI-Backup ist nur der Config-Pfad enthalten, es fehlen die Zertifikate.
Das Backup erfolgt als passwortgeschützte ZIP-Datei, die sich wieder entpacken läßt.

SSH-Backup:

ssh gpadmin@Firewall-Internal-IP
sudo bash
cd /tmp
zip -r backup.zip /opt/gateprotect/etc

Datenpfade:
/opt/gateprotect/etc - Configuration
/opt/gateprotect/keys - Zertifikate
/opt/gateprotect/license - Lizenz

Dateien:
gprules.ini -> Firewal Rules
gpnetworkd.json -< Netzwerkkonfiguration, Interfaces, Routen ...

Fehlersuche
• Monitoring & Statistiken > Einstellungen: bsp: "Blockierter eingehender Verkehr" -> Rohdaten speichern
• Fehler provozieren
• Alarmprotokoll: Einträge "Connection Blocked" suchen
• Zahnrad rechts: neue Regel aus Eintrag erstellen

Werksreset:
Werksreset löscht auch die Lizenz aus dem Gerät! Lizenz vorher sichern!

  • einfach über GUI (wenn Ports erreichbar und Passwort bekannt)
  • wenn nichts mehr geht: USB-Stick -> automatische Installation (LCOS FX-ISO + UF-USB-Stick-Creator)
    Firewall geht danach aus. USB-Stick abziehen(!) und neu starten.

Versionshistorie:

Release-Update FX 10.12 RU3 (09/2023):

  • Schlüssel zum Betrieb der Avira Antivirus Engine wurden aktualisiert (keine Funktion ab 10/2023 ohne dieses Update!)
  • Sicherheitslücke im Border Gateway Protokoll (BGP) behoben (CVE-2023-38802)
  • diverse Fehlerkorrekturen in RU2

Release-Update FX 10.12 RU1 (07/2023):

  • Wireguard VPN
  • Hardware-Monitoring (CPU, RAM, Festplatte) mit Zuordnung des Ressourcenverbrauches zu Features und Prozessen
  • automat. E-Mail-Versand von Security Reportings
  • DNS-basierte Firewall-Regeln (Regeln mit Host-Namen statt IP-Adressen)

Release-Update FX 10.11 (02/2023):

  • Wechsel des OEM-Partners für Antispam, Contentfilter und URL-Filter von Cyren/US (in Insolvenz) in Bitdefender/Ro

Release-Update FX 10.10 (01/2023):

  • Zertifikatsverwaltung > Let's Encrypt: können im Reverse Proxy Frontend bei aktiviertem SSL-Modus und im externen Portal der Benutzerauthentifizierung verwendet werden

Release-Update FX 10.9 (08/2022):

  • URL- / Content-Filter auf Basis von DNS ohne SSL-Inspection
    DNS-Abfragen, die über den DNS-Server der LANCOM R&S®Unified Firewall laufen, werden klassifiziert und gemäß ihrer Kategorien oder konfigurierter Black und Whitelists gefiltert. In den Desktop-Verbindungen wurde unter dem Tab "URL-/ Content-Filter" ein neues Auswahlfeld für den Web-Filter-Modus hinzugefügt. Es werden die gleichen Profile genutzt wie beim URL-/ Content-Filter über den HTTP-/ HTTPS-Proxy.
    - gefiltert wird auf der Domain, nicht auf der URL
    - es wird keine Blockpage angezeigt und ist nicht möglich, den Override-Modus zu nutzen
    - gefiltert wird nur, wenn die DNS Anfrage durch die Firewall geht
  • BGP: unter Netzwerk > Routing: neuer Menü-Eintrag BGP
    Monitoring & Statistiken > BGP-Status

• Release-Update FX 10.5 (06/2020):

  • IMAP-Proxy
  • Content-Filter für ausgewählte Seite kann temporär deaktiviert werden
  • individuelles Routing für mittels PACE2 DPI Engine erkannte Protokolle und Applikationen (über VPN, andere Internetanschlüsse, am Proxy vorbei..)

Quellen:

  • GNU GPLv2 Open Source
  • modern, stabil, einfach konfigurierbar, roamingfähig, schlank und schnell (höhere Übertragungsgeschwindigkeit, geringere Latenz)
  • schneller als IPSec oder OpenVPN
  • schlanker Code und geringe Komplexität
  • energieeffizient, kaum Daten im Leerlauf, geeignet für Mobilgeräte
  • kostenloser Client für alle gängigen OS (Windows, Android, macOS, embedded Devices, OpenBSD, FreeBSD, NetBSD)
  • seit 2020 im Linuxkernel integriert
  • ähnlich wie OpenVPN ist die Konfiguration über alle Plattformen hinweg identisch
  • Roamingfähig, keine Verbindungsabbrüche bei Netzwechsel
  • robust gegen kurze Verbindungsausfälle
  • Port: UDP, Default: UDP 51820, frei änderbar - muß manuell in Firewalls frei gegeben werden (MTU: 1420), problemlos über NAT
  • jede Verbindung hat eigene Public- und Private Key (einfache Textstrings) und funktioniert ähnlich wie SSH-Keys
    Die Schlüsselpaare lassen sich meist komfortabel im Gerät erstellen, es geht aber auch offline (siehe unten).
    Damit lassen sich VPN-Verbindungen für Endgeräte konfigurieren, ohne diese in den Händen zu halten.
  • jeder Public Key wird mit Liste erlaubter Netze verknüpft (Wildcard 0.0.0.0/0 bedeutet: alle Netze gehen durch Tunnel)
    - In Versandrichtung verhält sich die Liste wie eine Routing Tabelle.
    - In Empfangsrichtung dient die Liste als Access Control List.
  • Clients bekommen (meist) statische IPs, Firewallregeln pro Endgerät möglich (DHCP-Pool nur über Scripts)
  • eine Verbindung lässt sich auf mehreren Endgeräte nutzen, diese bekommen aber die gleiche IP und gleiche AccessRights
  • nur eine Seite muß eine feste IP und einen von außen erreichbaren UDP-Port besitzen
  • Server erstellt (je nach Gerät) einfache Textdatei .conf oder QR-Code, der einfach am Client eingebunden wird
  • Wireguard-Router: Dreytek Vigor, MikroTik, AVM Fritzbox, GL.iNet, pfSense, OpenSense, OpenWRT

Wireguard-Client
- exportiert 'wireguard-export.zip' (die enthält für jede Verbindung eine '[verbindung].conf'
- importiert wahlweise einzelne 'verbindung.conf' oder 'wirguard-export.zip' mit allen Verbindungen
- vorhandene Verbindungen bleiben bei einem weiteren Import erhalten

Anleitung: https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wireguard-660620.html
  MikroTik: siehe MikroTik Wireguard-Artikel
  GL.iNet LTE: siehe GL.iNet Wireguard mit OpenVPN

Public Key und Private Key können auch unabhängig vom jeweiligen Gerät konfiguriert werden,
um eine .conf Datei für ein beliebiges Endgerät zu erstellen.

umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key
wg genkey | tee peer1_private.key | wg pubkey > peer1_public.key

Weitere VPN Client (Peer) Schlüssel generiert man dann nur noch mit wg genkey | tee peer2_private.key | wg pubkey > peer2_public.key usw.


Beispiel der .conf Datei für den Peer1:

[Interface]
# Name = wireguard-server2.example
Address = 192.168.200.3/32
PrivateKey = OMjSCv6e/iXECZwq0ZVL5Ywf/KzZvdsGpYKv1512345=
# DNS = 172.16.7.254

[Peer]
# Name = Client-peer1
PublicKey = cA+mynt84tVH1gPaUN66E8K0nfzvpsQMohrEbz54321=
Endpoint = router.myfritz.de:51820
AllowedIPs = 192.168.200.0/24, 192.168.188.0/24
# PersistentkeepAlive = 25

  • Die importierte Verbindung heisst wie die .conf-Datei.
  • #Name - Comment-Feld, nur informativ
  • Address = Client: Client Adresse (192.168.200.3/32), Server: ganzes Subnetz (192.168.200.0/24), auch mehrere Subnets möglich
  • PrivateKey = der jeweils eigene private.key, im Endgerät wird dann der Public-Key angezeigt
  • ListenPort = UDP Port, auf den der Server hört
  • Table = ggf. Routing Table
  • PublicKey = gegenüberliegender public.key
  • AllowedIPs = die Adressen die der Wireguard Server in den Tunnel routet. Wireguard nennt dies "Cryptokey Routing" was bewirkt das der Wireguard Server und Client das Routing für die jeweils remoten IP Netze automatisch in die Routing Tabelle übernimmt.
    AllowedIPs = 0.0.0.0/0 bewirkt, dass der gesamte Traffic durch den Tunnel geht.
  • Endpoint = [öffentl.Serveradresse]:Port  (nur beim Client, Port nicht vergessen!)
  • PersistentkeepAlive = hält die Verbiundung offen, nur bei Clients hinter NAT

Site-to-Site VPN-Verbindung

  • beide Seiten routen im Wireguard in das jeweils gegenüberliegende LAN mit einem Eintrag "AllowedIPs"
  • ist der Wireguard-Router nicht das Standardgateway, muß das Standardgateway (oder der PC) ein Routing zum Zielnetz besitzen

Wireguard Online Config Generator:


Das Internet ist nützlich.
Das Internet ist unzuverlässig und unsicher.
Es ist sinnvoll, das Internet zu nutzen.
Es ist gefährlich, sich vom Internet abhängig zu machen.


Diese Trends sehe ich mit Sorge:
  • Windows 11: Internetverbindung und MS-Konto wird auch in der Pro-Version Pflicht (siehe hier)
  • MS Office 2021, Microsoft 365 und Office 365 erlauben Autosave nur noch in der Cloud. Eine lokale Sicherung ist nicht mehr vorgesehen (siehe hier)
  • geschäftskritische Software wird vermietet, die Lizenz muß online aktiviert werden (ohne Internet keine Funktion) und kann jederzeit online deaktiviert werden



Zweifaktor-Authentifizierung reduziert die Gefährdung durch Diebstahl des Kennwortes.

Nutzen Sie die 2-Faktor Authentifizierung für Ihre wichtigsten Konten.

Überlegen Sie die Folgen, wenn das 2FA-Gerät nicht mehr verfügbar wäre, und schaffen Sie Redundanz.


Das Versprechen, Cloud Computing sei genau das richtige, um alle IT-Probleme in den Unternehmen ein für alle Mal zu lösen, ist vor ein paar Jahren in den großen Marketing-Abteilungen entstanden.

Dabei spielen Sicherheitsfragen, Verfügbarkeit der eigenen Daten und nicht zuletzt die oft nicht verfügbare Bandbreite eine große Rolle.

Sicher ist die Cloud meist redundant ausgelegt und hat riesigen Rechenpower, aber meine ich das mit Sicherheit?

„Software as a Service“ made in USA wurde 2019 per Präsidentenerlass über Nacht einfach abgeschaltet.

Ich teile die Meinung: So wenig IT outsourcen wie möglich!



Next-Generation Firewalls kombinieren die Funktionalitäten herkömmlicher professioneller Firewalls wie Paketfilterung, Network Adress Translation (NAT), URL-Blockierung und Virtual Private Networks (VPN) mit modernen Funktionalitäten wie Quality of Service (QoS) und Optionen, die normalerweise nicht in Firewalls zu finden sind.
Dazu gehören Intrusion Prevention, SSL und SSH Inspection, Deep-Packet-Inspection, Reputations-basierte Malware-Abwehr oder Applikations-Awareness.
Hier stelle ich die neuen Rohde & Schwarz Unified Firewalls vor.


Das BSI empfiehlt es als seine elementare Sicherheitsstrategie, alle Systeme ständig auf dem neusten Stand zu halten.
Die Idee ist gut, aber blauäugig.

Schon lange wird die Qualität von Sicherheitsupdates bei nahezu allen Firmen stetig schlechter.
Selbst Firmen wie Microsoft betreiben keine Qualitätssicherung mehr.
Es gibt weltweit keine Haftung für Softwarefehler.
Fehlerkorrekturen sind notwendige Übel für die Hersteller und bringen ihnen keinen Mehrwert.

In den letzten Jahren haben kritische Sicherheitsupdates bei mir zumindest gefühlt mehr Fehler verursacht als beseitigt.
Aus diesem Grund vertrete ich in meinen Sicherheitskonzepten schon lange den Standpunkt, dass eine sofortige Updateinstallation fahrlässig ist, nicht anders herum.

Nun vertritt erstmalig die Cybersecurity & Infrastucture Security Agency (US-CERT CISA) den Standpunkt, dass das Microsoft Rollup Mai 2022 für alle OS-Versionen auf Domaincontrollern nicht installiert werden soll.


Am heutigen 15.06.2022 beginnt die bundesweite Bevölkerungs- und Wohnungszählung in Deutschhland.
Nun mehren sich Berichte von Datenschützern, dass diese sensilble Pflicht-Datenerhebung durch die Bundesrepublik Deutschland mittels Online-Portal beim US-Unternehmen Cloudflare gehostet wird. Das bedeutet, dass der Anbieter Endpunkt des verschlüsselten SSL-Datenstromes ist und theoretisch alle Daten mitlesen kann.
"Wir nehmen Ihren Datenschutz erst.." - neben solchen Phrasen gibt es keinen Hinweis zum Hosting in einem nach aktueller Rechtsprechung datenschutzmäßig "unsicheren Drittland" beim Zensus.



Schulung, Beratung, Ausführung.
IT-Konzept, Backup-Konzept, Sicherheitskonzept



Februar 2021: Datenschutzvorfall in einem Wasserwerk in den USA.
Das FBI warnt vor dem Einsatz von Teamviewer.
In diesem Video gehe ich auf die Fragen ein, wo das Problem liegt.

Die folgende Seite zeigt ein eingebettetes Video auf Youtube an.


8. Januar 2021 - hunderte Demonstranten stürmen das Capitol der Vereinigten Staaten, verschaffen sich Zugang zu Büros und bleiben über 2 Stunden unkontrolliert in dem Gebäude. Das Capitol ist Sitz der US Representantenhauses und der Legislative der USA.
Die Überwachungskameras können nicht lückenlos den Aufenthalt aller Eindringlinge nachverfolgen.

Gegenstände und Dokumente wurden gestohlen.
Sicher auch Zugangsdaten, Passworte, geheime Informationen.
Es kursieren Bilder, dass ein PC nicht einmal gesperrt war.

Da nicht feststellbar ist, welche Geräte kompromittiert sind, ist aus Security-Sicht davon auszugehen, dass alle Geräte kompromittiert wurden sind.

Die meisten Computer wurden wenige Stunden nach dem Einbruch wieder in Betrieb genommen und arbeiteten noch tagelang.
Es ist also davon auszugehen, dass inzwischen auch weitere externe Verbindungen kompromittiert sind.

Das Capitol muss komplett gesäubert werden.

Der physische Zugangsschutz zu den IT-Systemen ist die Grundvoraussetzung für die IT-Sicherheit eines jeden Systems.



Im EU-Ministerrat ist der Weg frei für die heftig umstrittenen Schlussfolgerungen zu "Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung".

Behörden und Geheimdienste kämpfen mal wieder mit aller Kraft für die Pflicht von Hintertüren in allen Verschlüsselungslösungen.

Quelle: heise.de


Das ist so unsinnig wie gesetzwidrig zugleich.

Sichere Verschlüsselung ist eine Forderung der DSGVO und der Wirtschaft.
Ein bisschen verschlüsselt gibt es nicht.

Eine Ende-zu-Ende Verschlüsselung kann per-se keine Hintertür enthalten, denn die Schlüssel liegen nur bei den Kommunikationspartnern.
Die Verschlüsselung müßte also bewußt kaputt konstruiert werden.


Kriminalität ist ein gesellschaftliches Problem, kein technologisches.
Man kann gesellschaftliche Probleme nicht dadurch lösen, dass man die Privatsphäre aller schwächt.

Eine einseitige Regelung der EU wäre ein Wettbewerbsnachteil der europäischen Wirtschaft und würde Europas Daten den ausländischen Nachrichtendiensten auf dem Silbertablett servieren.

Der schweizer Messenger-Hersteller Threema sagt beispielsweise, er würde auf keinen Fall Hintertüren in seine Software einbauen.
Dies würde auch gegen die Gesetze in der Schweiz verstoßen.

Die europäischen Behörden zeigen ihr wahres Gesicht: gierig, lobbyhörig und technisch unbedarft.


 
- Seite: 1 -
 


Letzte Beiträge:


  • PEASSLER PRTG Netzwerk-Monitoring

  • LANCOM Partner

    Lancom Bronze Partner 2018
  • LANCOM Professional Techician Firewalls

  • BLUECHIP Partner

    Bluechip Computer AG
  • VMWARE Partner

  • MailStore Certified Technican

    Mailstore Certified Technican 2020/21
  • BARAMUNDI Partner

    Baramundi Software
  • NETGEAR Partner

    Netgear Powershift Partner
  • EBERTLANG Partner

  • VEEAM Partner

    Veeam ProPartner
  • ESET Antivirus Partner