-
Unnötige/Unverschlüsselte Ports durch Firewall unterbinden, stattdessen verschlüsselte Ports verwenden (z.B. HTTPS statt HTTP, SSH statt Telnet)
-
Verbindungen zwischen Clients (z.B. Desktop-PCs) per Firewall-Regeln unterbinden, nur Verbindungen zwischen Clients und Servern erlauben
-
Trennen von Bereichen (IT, HR, Management) durch VLANs
-
Problem: Druckerfirmware wird sehr selten aktualisiert
- Drucker in eigenes VLAN, Traffic nur von außen in VLAN hinein erlauben aber nicht von Drucker-VLAN nach außen
-
RDP nie direkt nach außen freigeben sondern nur über VPN
-
SSH über Fail2Ban absichern
-
Default-Zugangsdaten immer ändern
-
Einsatz einer Firewall (OPNsense, siehe https://schulnetzkonzept.de/opnsense für eine Einführung)
-
Als letzte Regel immer ein “Implicit Deny” einbauen so dass Verkehr der nicht über vorige Regeln durchgelassen wurde dann implizit blokiert wird
-
Discord CDN über Firewall blockieren da Discord es aktuell jedem ermöglicht, Schadcode über das Discord CDN zu verteilen
-
Demilitarisierte Zone
-
Untergliederung des Netzwerks in die 3 Bereiche intern, extern und demilitarisiert
-
Demilitarisierte Zone enthält nur Server die Dienste wie webserver anbieten
-
Anfragen von außen (Internet) werden durch die Firewall direkt in die demilitarisierte Zone weitergeleitet. Eindringen in das interne Netz wird so erschwert
-
Speziellen Zwischenrechner (Jumphost) verwenden um Server in der DMZ zu administrieren; diesen Rechner abschalten wenn er nicht verwendet wird
Mogliche weitere Maßnahmen
-
Software Firewall (NextGen)
- Ermöglicht z.B. Deep Package Inspection (Ist der Traffic auf Port 80 wirklich HTTP-Traffic oder vielleicht ausgehender ssh-Traffic zu einem Command&Control-Server?)
-
Intrusion Detection System