SMB1 Sicherheit innerhalb des Netzwerkes bzw. Zugriff von außen

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
Da der Ausgang eines VPN Servers bereits zB SMB Verkehr ermöglicht hat er vor der Firewall NICHTS zu suchen! Selbst in einer DMZ halte ich es noch für problematisch.
Genau deswegen. Vom VPN Endpunkt kommst du genau zu einer Stelle. Idealerweise der inneren Firewall der DMZ. Und da kommst du mit SMB nirgendwo mehr hin wo du nicht hin sollst.
Und von der Trennung zwischen SoHo und profesionell halte ich garnichts. Es geht um den Schutzbedarf dessen was da ist
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Quark! Dann musst du für SMB die Firewall öffnen. Selbst wenn sie IP-mässig auf den VPN Server gebucht ist wird die Firewall mit offenen SMB Ports und auch allen anderen zu öffnenden Ports angreifbarer.
DHCP, Radius, das alles muss vor der Firewall passieren.
Zudem müsste man mit dem VPN Server vor dem Router den gleichen Aufwand betreiben wie mir der normalen Firewall.
Wenn man das nicht tut muss man nur den schwachen VPN Server knacken und hat alles Ports nach Innen offen.
Je mehr man über dieses Konstrukt nachdenkt als desto unsinniger stellt es sich heraus.
hast mir übrigens noch gar nicht erklärt, wie du vor dem VPN den traffic trennst, schliesslich ist ja nicht alles VPN was ankommt.
Damit ist diese Nonsensidee für mich abgeschlossen. Keine Minute wert sich daarüber noch Gedanken zu machen.
 
Zuletzt bearbeitet:

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
Wie ich schonmal schrieb. Die Jungs vom BSI die sich Gedanken um Netztopologien machen sind wahrscheinlich alle zu dumm.
Und damit bin ich dann hier raus.

gruss,
sky
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
  • Like
Reaktionen: Synchrotron

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
Was kommt in der Abbildung 1.1 nochmal hinter dem VPN Gateway? Dieses Gerät an dem PF12 Oder so dransteht?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.133
Punkte für Reaktionen
2.091
Punkte
259
„Paketfilter“ - siehe Glossar.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Was als Paketfilter bezeichnet wird ist nichts anderes als eine Firewall.
Nur so wie in der Abbildung aufgezeigt ist es möglich durch einen ersten PF unerwünschten Verkehr auszugrenzen und eine erste Vorauswahl zu treffen wohin welche Pakete durchgelassen werden. Das ist das typische Konstrukt bei den meisten Nutzern zu Hause.
Ein reiner VPN Server vor dem Router ist einfach Unsinn, würde er doch jeglichen anderen Verkehr nicht mehr zulassen.
Aus dem Diagramm lässt sich auch prima ableiten, dass der VPN Server nach vorne an die Internetschnittstelle (soho Router) gehört und NICHT auf den Fileserver! Finde es daher richtig gut, dass die viel genutzte Fritz VPN erheblich verbessert und vereinfacht hat.
@sky63: Dann sag einfach du hast dich geirrt und gut ist. Kann doch jedem mal passieren!
 

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
Ich weiß ja nicht was du mir da jetzt vom Fileserver erzählst, spielt aber für den Moment keine Rolle.
Schauen wir uns das Diagramm aus dem von dir dankenswerterweise verlinkten Dokument doch noch einmal an, insbesondere das VPN Gateway.Dieses steht zwischen 2 Firewalls, in diesem Fall PF1 und PF12. Vom VPN Gateway in Richtung Zielnetz geht nichts ohne PF12 passieren zu müssen. Nach meinem Verständnis eine klassische DMZ, in diesem Diagramm heisst sie Ferzugriffszone.

Schauen wir mal was der gute alte sky63 dazu schrieb wo ein VPN idealerweise terminiert.
Dazu gehört dann eben auch eine vernünftige Netzarchitektur und das heisst das VPN terminiert idealerweise in einer DMZ,....
Das jetzt jemand der solche Sätze schreibt wie
Selbst in einer DMZ halte ich es noch für problematisch
mir anhand dieses Diagramms erklärt ich hätte das nicht verstanden halte ich für einigermaßen belustigend.

Aber mal weiter im Diagramm. Das VPN-Gateway steht VOR einer Firewall(PF12). JEDER Datenverkehr ins interne Netz MUSS durch PF12, und ja, auch DHCP, DNS und was man halt so braucht im Netz. Wer da jetzt irgendwelche Probleme sieht, sollte vielleicht kein in irgendeiner Form von aussen zu erreichendes Netz betreiben.

Das man mit einer einzelnen Fritzbox das nicht abbilden kann ist mir klar. Das viele dennoch das VPN der Fritzbox nutzen auch. Das macht es aber nicht besser. Entweder will ich "mein' Netz schützen, dann reicht eine einzelne Fritzbox nicht, oder ich mache einfach irgendwas was funktioniert.

In den meisten Fällen ist ein Zugriff von aussen ins Heimnetz nichts als Spielerei, betrieben auf Fritzboxen oder Synologys der keinen Mehrwert erzeugt aber Risiko bedeutet.

Und ja, ich gebe dir Recht, WENN man schon meint sowas zu wollen dann besser auf der Fritzbox als auf der Syno. Aber auch das ist aus meiner Sicht eher keine Lösung als eine gute.

@sky63: Dann sag einfach du hast dich geirrt und gut ist.
Bei was nochmal genau?

gruss,
sky
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
@sky63 : Das hst du schön aufgelistet. Auch clever von dir erst ab einem bestimmten Punkt zu zitieren.
Hättest besser bei #37 angefangen, denn da schreibst du:
Kommt drauf wie man "im LAN" definiert. Aus meiner Sicht gehört der VPN Endpunkt VOR die Firewall.
Was soll man denn da noch "interpretieren"?

Und ja, ich halte einen VPN Server einfach so in der DMZ für problematisch, habe aber auch geschrieben, dass man ihn doppelt absichern müsste.
 

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
Das was du da von mir zitierst ist eine Replik auf die Aussage das ein VPN-Server IM LAN stehend richtig ist. Und das ist numal davon abhängig was man in dem Satz als LAN bezeichnet. Der VPN-Endpunkt steht VOR einer Firewall, im Diagramm PF12, die das interne Netz (LAN?) absichert. Deswegen schrieb ich auch das es drauf ankommt wie man in dem Fall LAN interpretiert. Gehört das VPN- Gateway schon zum LAN? Dann wäre die Aussage der VPN Server steht im LAN ja richtig, ändert aber nichts daran das dahinter noch eine Firewall kommt und somit das VPN vor ihr terminiert. Nichts anderes habe ich geschrieben.

Im Übrigen habe ich mit den Zitaten weit VOR #37 angefangen(mein eigenes kam aus #28) Aber vielleicht haben wir ja ein unterschiedliches Verständnis von davor und dahinter.

gruss,
sky
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Jetzt wird es wischiwaschi. Fakt ist du hast in einem Post diese Aussage getroffen. Worauf du das dann irgendwann in der Vergangenheit beziehst geht daraus nicht hervor. Was DU dir dabei gedacht hast kann auch niemand erahnen.
Und LAN ist klar definiert und beginnt/beinhaltet auch die Schnittstelle nach Aussen! Erst der Übergabepunkt des Providers gehört nicht mehr dazu.
Der alte Streitpunkt Dose oder Modem ist ja inzwischen eindeutig geklärt.
 

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
An dem was ich zum VPN geschrieben habe ist überhaupt nichts wischiwaschi, sondern recht klar und eindeutig. Die Aussagen sind: Wenn man vernünftig macht(Leitlinie BSI) steht das VPN-Gateway in einer DMZ und das VPN terminiert vor einer Firewall. Letzteres steht selbst in dem von dir angemerkten Posting(wobei man da über die Formulierung "die Firewall" statt "einer Firewall" reden kann) Und diese beiden Aussagen sind erstmal objektiv sachlich richtig. Wischiwaschi wird das erst wenn da jemand etwas reininterpretiert was ich nie gesagt habe, sei es weil derjenige einen ganz konkreten Netzaufbau vor Augen hatte oder mit "die Firewall" etwas ganz bestimmtest assoziierte oder den Thread nicht komplett verfolgt oder aus anderen Gründen. Dieses reininterpretieren aufzuklären ist aber nicht meine Aufgabe.

Andere Aussagen in diesem Thread sind da schon weniger klar. Ich verstehe zum Beispiel nicht wie du mir in #44 erklären kannst das BSI macht das schon top(und mir dabei gleich auch noch attestiert das ich das nicht verstehe) kurz davor und danach aber die vom BSI propagierte Lösung(VPN-Gateway in einer DMZ) als problematisch ansiehst (wenn man das nicht doppelt absichert(was auch immer damit gemeint ist)).
Genausowenig wie ich den Ausflug zum Fileserver in #47 nicht verstehe oder die fehlende Antwort auf die Frage wo genau ich nochmal falsch gelegen habe.

Aber lassen wir das. Fröhliche Weihnachten.

gruss,
sky
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.871
Punkte
488
Ich denke, die Aussagen des BSI muss man etwas in die "Fritzbox-Welt" übersetzen. Da findet halt Vieles auf dem gleichen Gerät statt. Aber trotzdem gibt es da eine Struktur.

Der Internet-Anschluss terminiert in der "DMZ" der Fritzbox. Das ist das, was man unter Diagnose, Sicherheit unter "Übersicht der geöffneten Ports für den Zugriff aus dem Internet" sieht. Dann folgt die Firewall, die zusätzliche Freigaben/Weiterleitungen erlaubt ("Portfreigaben auf Heimnetzgeräte" in Diagnose, Sicherheit) uswusw. Ich finde, das hat AVM sehr übersichtlich und informativ gestaltet.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Synchrotron

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Ganz sicher nicht!
Ein Router mit Firewall wie eine Fritz hat keine DMZ. Diese entsteht erst durch einen Bereich, der davor UND dahinter durch eine Firewall abgesichert Hinter der DMZ aber nur, wenn es einen Durchgang zum LAN erhält, wie zB einen VPN Server. Das ist bei einem SoHo Router nie der Fall. Es gibt zwar welche, die eine DMZ anbieten, aber dann müsste man dahinter eine Extra Firewall einrichten.
Im übrigen ist dieses Konstrukt mit der DMZ ein Standard für professionelle Netzwerke, hat nicht mit VPN zu tun sondern das macht man mit jedem hintergeschalteten Server oder LAN

Und #37 ist nach wie vor kompletter Unsinn und diesen Post darf man so nicht stehen lassen!
Du schreibst "je nach dem wie man LAN interpretiert". Dummer Weise gibt es da nur eine Definition und gemäss dieser kannst du nicht Recht haben.
Und jetzt träum weiter, jede weitere Diskussion ist für mich Verschwendung von Lebenszeit.
 

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
@Benares: Sehe ich nicht so. Man muss ja da nichts übersetzen und damit der Fritzbox Dinge andichten die sie nicht kann.
Mit einer einzelnen Fritzbox kann man, meines Wissens, nun einmal keinen Fernzugang per VPN etablieren der den Leitlinien des BSI standhält. Warum nicht? Weil der VPN-Server auf der Fritzbox meines Wissens hinter der Firewall der Fritzbox terminiert und dadurch jede etablierte VPN-Verbindung ungeregelten Zugriff auf alle Ressourcen im internen Netz hat. Das ist nicht BSI konform Aber vielleicht liege ich da ja falsch.
Nun muss nicht jeder sein Netz BSI konform betreiben und das VPN der Fritzbox kann man ja benutzen....wenn man weiß was man da macht. Wenn mich jemand nach einem VPN fragt, ist die erste Antwort in der Regel " Denk drüber nach ob überhaupt.....brauchst du das wirklich?". Wobei ich mit brauchen auch brauchen meine und nicht "haben wollen" weil es gerade fancy ist seine Leselampe zu Hause aus der Umlaufbahn heraus schalten zu können.
Wenn es dann wirklich gebraucht wird dann sollte es richtig gemacht werden. Das fängt damit an darüber nachzudenken was passiert wenn das Zielnetz kompromitiert oder zerstört ist. Fehlen dann nur ein paar Kopien von Filmen oder ist mein Handwerksbetrieb dann pleite. Das geht weiter mit vielen anderen Überlegungen und endet dann bei der elgentlichen Implementierung.
Die zweite Wahl wäre dann die Fritzbox, wenn es zur richtigen Lösung mit DMZ nicht reicht. Macht von der Topologie her keinen großen Unterschied zum VPN auf der Syno allerdings ist der Umbau dann einfacher wenn es dann irgendwann richtig gemacht werden soll.

@NSFH: Ich musste gerade herzlich lachen als ich #55 der zweiten Absatz gelesen habe.
Erstens KANN der von mir geschriebene Satz in Bezug auf das LAN gar nicht falsch sein weil er gar keine Aussage trifft, sondern mit rethorischen Mitteln eine Frage in den Raum stellt. Wenn du nämlich schreibst das der VPN-Server ins LAN gehört ist das aus meiner Sicht nicht spezifiziert genug.

Zweitens war dieser Satz bisher gar kein Thema sondern es ging um den Standort des VPN-Gateways, nämlich vor einer Firewall. Erst jetzt, als du merkst das in der VPN Thematik das Eis gerade sehr dünn wird, weil du meine Aussagend dazu mit irgendwelchen Annahmen angereichert hast und nicht den Arsch in der Hose hast das zu sagen suchst du dir irgendeinen Halbsatz völlig ohne Kontext heraus.

Das Antwort darauf wieso du einerseits schreibst das das BSI das top macht andererseits aber genau die BSI Lösung als problematisch bezeichnest bist du bewußt schuldig geblieben?

Fröhliche Weihnachten.

sky

Kleiner Nachtrag. Ich habe übrigens nicht geschrieben "je nach dem wie man LAN interpretiert" sondern
"Kommt drauf wie man "im LAN" definiert."
 
Zuletzt bearbeitet:

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat