Netzwerk

  • Unnötige/Unverschlüsselte Ports durch Firewall unterbinden, stattdessen verschlüsselte Ports verwenden (z.B. HTTPS statt HTTP, SSH statt Telnet)

  • Verbindungen zwischen Clients (z.B. Desktop-PCs) per Firewall-Regeln unterbinden, nur Verbindungen zwischen Clients und Servern erlauben

  • Trennen von Bereichen (IT, HR, Management) durch VLANs

  • Problem: Druckerfirmware wird sehr selten aktualisiert

    • Drucker in eigenes VLAN, Traffic nur von außen in VLAN hinein erlauben aber nicht von Drucker-VLAN nach außen

  • RDP nie direkt nach außen freigeben sondern nur über VPN

  • SSH über Fail2Ban absichern

  • Default-Zugangsdaten immer ändern

  • Einsatz einer Firewall (OPNsense, siehe https://schulnetzkonzept.de/opnsense für eine Einführung)

    • Als letzte Regel immer ein “Implicit Deny” einbauen so dass Verkehr der nicht über vorige Regeln durchgelassen wurde dann implizit blokiert wird

    • Discord CDN über Firewall blockieren da Discord es aktuell jedem ermöglicht, Schadcode über das Discord CDN zu verteilen

Demilitarisierte Zone

  • Untergliederung des Netzwerks in die 3 Bereiche intern, extern und demilitarisiert

  • Demilitarisierte Zone enthält nur Server die Dienste wie webserver anbieten

  • Anfragen von außen (Internet) werden durch die Firewall direkt in die demilitarisierte Zone weitergeleitet. Eindringen in das interne Netz wird so erschwert

  • Speziellen Zwischenrechner (Jumphost) verwenden um Server in der DMZ zu administrieren; diesen Rechner abschalten wenn er nicht verwendet wird

Mogliche weitere Maßnahmen

  • Software Firewall (NextGen)

    • Ermöglicht z.B. Deep Package Inspection (Ist der Traffic auf Port 80 wirklich HTTP-Traffic oder vielleicht ausgehender ssh-Traffic zu einem Command&Control-Server?)

  • Intrusion Detection System