Wirklich spannend und kniffelig: Professionelle Sicherheitslösung mit pfSense

VonChristian Rehkopf

Wirklich spannend und kniffelig: Professionelle Sicherheitslösung mit pfSense

Bei einer Softwarefirma wurde eingebrochen – und zwar Datentechnisch.

Der Lieferant für Computer des Unternehmens hat mich als Fachmann für Netzwerke und Firewalling dazu gebeten, die Sache zu begutachten. Ich kann aus Ermittlungs-Gründen hier natürlich keine Details zum unberechtigten Zugriff nennen, darum geht es auch nicht, sondern es soll um die Sicherheitskomponenten gehen.

Die Netzanbindung und Filial-kopplung hat ein uns allen bekanntes Magentafarbenes Unternehmen gemacht. Man sollte eigentlich überlegen, ob man die nich in Regress nehmen kann, denn das war alles Mist:

  1. Was mir als Erstes auffiel war, das nichts geloggt wird – es war praktisch nicht möglich, nachzuvollziehen, wann welche Datenmengen übertragen wurden. War es „nur“ Vandalismus, oder wurden Daten entwendet? Reine Spekulation und Hochrechnung.
  2. Die Filialanbindung lief über IPSec, und es wurde nur der Traffic durch den Tunnel geschoben der Zielnetzrelevant war, also der Internettraffic einer Filiale ging direkt am Router ins Netz. Das mag zwar volumentechnisch richtig sein, aber aus der Sicherheitsprespektive heisst das: Jeder Rechner in einer Filiale ist ein potentielles Einbruchsgateway.
  3. Administrativer Zugriff von aussen lief über Freigaben. Ein Fehler in einem Service wurde somit direkt draußen abgebildet. Das war aber dem 4. Punkt geschuldet:
  4. Die Lizenzpolitik von Telekom und LANCOM – das ist lächerlich und unverschämt. Also mal abgesehen von der wirklich dämlichen Benutzerführung (verdient die Bezeichnung nicht) in der LANCOM-Software, kann man als Benutzer auch kaum VPN für externe Dienstleister zur Verfügung stellen, weil man für jeden Tunnel eine Lizenz braucht – HALLO, GEHT’S NOCH? Genau damit werden Unsicherheitsfaktoren provoziert – ich weiss nur noch nicht, was von Beiden intensiver wirkt.
  5. Achja, ist zwar jetzt nicht Sicherheitsrelevant, zeigt aber die Qualität der Installation: Die Filial-Telefonie (VoIP) war auf einen Audiocodec für LAN eingestellt, ohne Jitterkontrolle, mit den daraus resultierenden Mängeln, die nur wegen der verfügbaren Bandbreite erträglich waren – kein Vergleich zu jetzt.

Lange Rede, kurzer Sinn: wir haben als zentralen Netzwerkknoten eine dicke pfSense mit Contentfilter und Virenschutz installiert, die Filial-VPNs auf OpenVPN umgestellt und leiten den gesamten Client-Traffic durch den Tunnel.

Somit kann nur noch ein einer Stelle eingedrungen werden: an der pfSense, und da kann ich nur drüber lachen, das hat in 15 Jahren Rechenzentrums-Einsatz keiner hinbekommen, und versucht wurde es täglich rund um die Uhr.

Eine Sache war allerdings wirklich knifflig: An einem Standort steht der dortige Internetanschluss nicht exklusiv zur Verfügung, und der erste Versuch war einen Router hinter das NAT-Netzwerk zu stellen, der einen Tunnel Aufmacht, und den Tunnel-NIC nach „innen“ NATed mit Masquerading, das hat auch gut geklappt, nur die IP-Telefonie nicht so richtig. Also haben wir dort einen OpenVPN-Tunnel als transparente Bridge konfiguriert, und nun stehen die Geräte „hinter“ dem Router Netzwerktechnisch direkt in der Zentrale.

Das haben wir übrigens mit einem UBNT EdgeRouter  realisiert: krasse Lernkurve, geniale Systeme und Power ohne Ende.

Über den Autor

Christian Rehkopf administrator