Archive for the ‘Internet’ Category

IT Sicherungskonzept Juli 3rd, 2024

Moritz Grosse

Konzept zur Absicherung des Firmennetzwerkes durch Aufsplittung

Ein Mitarbeiter hat nicht aufgepasst, der Router bzw. die Firewall hatte nicht das letzte Update und um die Server hat sich schon lange keiner mehr gekümmert. Das ist heute in vielen Firmen Alltag. Es läuft doch alles!

Südwestfahlen-IT, Ticketmaster, Teamviewer, DZ Bank, CDU – um nur einige zu nennen. All diese Firmen bzw. Gruppen sind in der letzten Zeit Opfer eines schweren Angriffes aus dem Internet geworden mit zum Teil erheblichen wirtschaftlichen Folgen. Täglich werden große und kleine Firmen angegriffen. Alleine auf unseren Servern vermeldet die Firewalls einige hundert Angriffe und Portscans am Tag. Die meisten sind erst einmal harmlos. Es handelt sich meist um Passworterraten. Das sind Programme, die versuchen Ihre Email und sonstige Zugangsdaten zu erraten. Darum sind einfache Passwörter sehr unsicher.

Hat es ein Hacker aber erst einmal geschafft in Ihr Netzwerk einzudringen, dann ist es meist ganz einfach weiteren Schaden im Netz zu verursachen. Und hier greift die Absicherung durch Aufsplittung des Netzwerkes. Meist versucht der Hacker im Netzwerk weitere PCs und natürlich die Server anzugreifen aber desto weniger PCs in dem Netzwerk sind, desto weniger PCs sind angreifbar. Konkret sucht der Hacker oder das entsprechende Script nach PCs innerhalb der Netzwerkmaske. Sind Server und weitere PCs in einem anderen Netz, also in der eigenen Maske nicht erreichbar, so minimiert sich das Problem.

Ein Beispiel:

Ihre Firma benutzt das Netzwerk 192.168.1.0 mit der Maske 24. Sie erreichen in diesem Netzwerk also maximal 254 Computer, die potentiell bedroht sind. Teilt man aber jetzt das Netz in 4 Teile, so ist die Erreichbarkeit anderer Computer im Netzwerk natürlich kleiner. Sagen wir, jede Etage oder jede Abteilung bekommt ein Teilnetzwerk. In diesem Beispiel haben wir drei Büroetagen und einen Serverraum.

Die PCs der ersten Etage bekommen das Netzwerk 192.168.1.0/26, die zweite Etage 192.168.1.64/26 und die dritte Etage 192.168.1.128/26. Der Serverraum bekommt das Netzwerk 192.168.1.192/26. In den meisten Firmenstrukturen müssen die Netze der Büroetagen untereinander nicht agieren aber sie müssen natürlich die Server erreichen. Da die Server auch in einem anderen Netzwerk, sind benötigt man einen Router, der alle 4 Netzwerke und das Gateway ins Internet verbindet. Hier hat man dann auch direkt eine Möglichkeit eine Firewall mit zu installieren. Die Firewall schützt nicht nur vor dem Internet sondern schützt auch die Netzwerke untereinander. Auf dieser Firewall sind nur die genötigten Ports in der entsprechende Richtung offen und der ganze übrige Traffic wird gesperrt. Somit sind zum Beispiel Angriffe auf einen Fileserver erschwert. Es ist auch fast nicht möglich einen Ransomware Angriff auf dem Server zu starten. Es könnten zwar Dateien auf dem Fileserver von einem Arbeitsplatz verschlüsselt werden aber der Server selber ist nicht korrumpiert. Man kann also einfach die Datensicherung zurück spielen.

Das Beispiel zeigt, dass man mit einfachen Mitteln einen großen Beitrag zur Netzwerksicherheit erreichen kann. Als Router / Firewall Lösung bietet sich hier OPNSense an. Wer es jedoch selber machen möchte, kann auch auf SuSELinux, mit Iptables zurückgreifen. Hier muss man jedoch immer auf die Updates achten und entsprechende Änderungen vornehmen. Von einem Windowsrechner als Router wird jedoch dringend abgeraten.

Continue reading...


 

Der NANOrouter FR-004-1 auch für NetCologne Februar 2nd, 2023

Moritz Grosse

Unser Router NANOrouter FR-004-1 gibt es auch in einer Version für NetCologne. Er berücksichtigt VLAN 10 für Internet und VLAN 20 für die Telefonie. Das VLAN 20 kann für die Telefonie in das LAN geroutet werden oder auf einem extra LAN laufen. Als Option gibt es ein G.FAST oder VDSL2 Modem. G.FAST benötigt man bei NetCologne für die Produkte NetSpeed 250, NetSpeed 500 und NetSpeed 1000. Hier bietet NetCologne zur Zeit nur die Fritzbox 7583 an, da diese als einzige Fritzbox G.FAST zur Verfügung stellt.

Continue reading...


 

Unser neuer Router NANOrouter FR-004-1 Oktober 11th, 2022

Moritz Grosse

Wir haben uns umgeschaut und mussten feststellen, dass es für kleine und mittlere Unternehmen keine vernünftigen Internet Router mehr gibt. Der Markt ist mit Fritzboxen und Telekom Digitalisierungsboxen überschwemmt. Das Problem ist, dass beide Routerfamilien für den professionellen Gebrauch völlig unbrauchbar sind. Eine Firewall, die man nicht selber einstellen kann, wird schnell zum Problemfall!
Nun, wir haben den Router nicht neu erfunden, die Firmware ist von OPNsense. Es handelt sich um eine extrem flexible und universell anpassbare Routersoftware.

  • Hauptfunktionen neben dem „Routen“:
  • flexible Firewall
  • 4 frei konfigurierbare Ethernet Ports (man kann LAN, WAN, DMZ beliebig den Ports zuordnen)
  • VPN (Ipsec, OpenVPN und Wireguard)
  • Proxy
  • Spamfilter für Emails
  • Hardware Failover
  • und vieles mehr.

Angetrieben wird der Router von einer N3700 CPU mit 4 Cores, 8 GB RAM und einem 256 GB großen SSD Speicher.
Die Beschreibung und die Dokumentation finden Sie hier.

Continue reading...


 

Zone ru und by gesperrt! Februar 25th, 2022

Moritz Grosse

In Anbetracht der schlimmen Lage in der Ukraine haben wir heute damit begonnen die Zone ru (Russland) und by (Belarus) in unserem DNS und Emailsystemen zu sperren. Wir sind nur eine kleine Firma und deshalb ist unser Handeln nur von symbolischer Wirkung aber wenn alle großen Provider unserem Beispiel folgen würden und auch die entsprechenden IP Blöcke sperren würden, dann wären die Kommunikationskanäle der 2 Länder zum großen Teil von dem Rest der Welt getrennt.

Continue reading...


 

Internet: .de Zone ausgefallen?? Mai 12th, 2010

Moritz Grosse

Die zuständigen Server des Denic scheinen gar nicht oder falsch zu antworten. Telefonisch hat der Denic die Störung bestätigt. Man arbeitet mit Hochdruck daran.

Continue reading...