15
Sicherheitskonzepterfahrungen
Hallo zusammen,
erst einmal hoffe ich, dass meine Frage nicht zu Offtopic ist, da es sich nicht um ein eigentliches Problem, sondern vielmehr um gemachte Erfahrungswerte handelt.
Gerne würde ich einmal von euren Sicherheitskonzepte im Enterprise Segment hören und von eurer Erfahrungen partizipieren.
Unser Sicherheitskonzept besteht in :
- Schulungen der Mitarbeiter
- GPO´s
- Endpoint Security (WS/FS nur Anti Virus)
- Altaro Backup (keine Verschlüsselung)
- Cyberoam FW
- Zugangskontrolle der Serverräume und Büros
- Trennen der Netze in Zonen (physisch)
- Mobile Security für Handy (Ortung, Fernlöschen etc.pp)
- Gespeichert wird nur im Netz
- Mobile Clients sind perVPN angeschlossen (Keine Verschlüsselung)
- Updatekontrolle via Kaspersky und Gruppenrichtlinie
.
.
.
.
Ich bin mir sicher das unserer Maßnahmen dies noch ausbaufähig ist. Aktuell wollen wir die Cyberoams ersetzen. Möglicherweise durch Produkte von Sophos. Bei einem Webinar ist in mir die Frage gekeimt, ob unserer Sicherheitskonzept noch zeitgemäß und ausreichend ist. Firmengröße ca. 700 Mitarbeiter an 4 Haupt- und 20+ Nebenstandorte. An den AHupstandorten stehen Server und Cyberoams. (10,50 und 25) An einigen Nebenstandorten 25ing Cyberoams, ansonsten Fritzbox und Co.
Für eure Erfahrungen bin ich sehr dankbar.
mfg
Flynn
erst einmal hoffe ich, dass meine Frage nicht zu Offtopic ist, da es sich nicht um ein eigentliches Problem, sondern vielmehr um gemachte Erfahrungswerte handelt.
Gerne würde ich einmal von euren Sicherheitskonzepte im Enterprise Segment hören und von eurer Erfahrungen partizipieren.
Unser Sicherheitskonzept besteht in :
- Schulungen der Mitarbeiter
- GPO´s
- Endpoint Security (WS/FS nur Anti Virus)
- Altaro Backup (keine Verschlüsselung)
- Cyberoam FW
- Zugangskontrolle der Serverräume und Büros
- Trennen der Netze in Zonen (physisch)
- Mobile Security für Handy (Ortung, Fernlöschen etc.pp)
- Gespeichert wird nur im Netz
- Mobile Clients sind perVPN angeschlossen (Keine Verschlüsselung)
- Updatekontrolle via Kaspersky und Gruppenrichtlinie
.
.
.
.
Ich bin mir sicher das unserer Maßnahmen dies noch ausbaufähig ist. Aktuell wollen wir die Cyberoams ersetzen. Möglicherweise durch Produkte von Sophos. Bei einem Webinar ist in mir die Frage gekeimt, ob unserer Sicherheitskonzept noch zeitgemäß und ausreichend ist. Firmengröße ca. 700 Mitarbeiter an 4 Haupt- und 20+ Nebenstandorte. An den AHupstandorten stehen Server und Cyberoams. (10,50 und 25) An einigen Nebenstandorten 25ing Cyberoams, ansonsten Fritzbox und Co.
Für eure Erfahrungen bin ich sehr dankbar.
mfg
Flynn
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 441172
Url: https://administrator.de/contentid/441172
Printed on: April 23, 2024 at 16:04 o'clock
15 Comments
Latest comment
Hallo Flynn,
ganz klar ausbaubar. Vermutlich dann von dort aus VPNs ins Hauptnetz? -> und schon bist drin.
Aber aus der Beratungserfahrung, so ein Sicherheitskonzept nimmt man nicht im Forum auseinander.
Viele Grüße,
Christian
ansonsten Fritzbox und Co.
ganz klar ausbaubar. Vermutlich dann von dort aus VPNs ins Hauptnetz? -> und schon bist drin.
Aber aus der Beratungserfahrung, so ein Sicherheitskonzept nimmt man nicht im Forum auseinander.
Viele Grüße,
Christian
ganz klar ausbaubar. Vermutlich dann von dort aus VPNs ins Hauptnetz? -> und schon bist drin.
Ja per Side to Side, respektive per Cyberoam Client. Anmeldedaten AD (Gruppe etc.pp) vorausgesetzt. Sicher gibt es andere und besserer Wege so etwas zu erörtern. Dennoch danke für die Antwort.
OK, also auch von den Fritzboxen Site-To-Site? Das ist schonmal ein ziemliches Manko.
Das würde ich angehen.
Das würde ich angehen.
1
Hallo,
das “keine Verschlüsselung” verstehe ich nicht. Gibt es dafür einen sinnvollen Grund?
das “keine Verschlüsselung” verstehe ich nicht. Gibt es dafür einen sinnvollen Grund?
1
Mobile Clients sind perVPN angeschlossen (Keine Verschlüsselung)
Ein VPN ohne Verschlüsselung ?Wie geht sowas ??
Wäre ja schon das erste fatale Loch in der sonst guten Sicherheitspolicy ! Den Traffic kann dann die ganze Welt mitlesen. Da ist dann der Rest der Policy eigentlich obsolet.
Kann man für den TO nur hoffen das das ein freud'scher Vertipper ist ?!
ansonsten Fritzbox und Co.
Gruselig.... Billigste Consumer HW in einem Firmennetz. Das ist in der Tat ausbaufähig...Gibt es denn generell eine Segmentierung im Netz (VLANs) ? Oder terminieren die VPNs direkt ins flache, doofe Hauptnetz ? Diese Infos fehlen...
Moin,
Alleine ein Konzept ausschließlich rund um IT kann mehrere 100 Seiten haben. Denn es geht los bei der Büros, Akten, Zugangsberechtigungen für Räume, über Schutzmaßnahmen im und um das Rechenzentrum, Alarmpläne für Wasser/Feuer/Einbruch, Malwareinfektion von Clients/Server/Terminals/Firewalls, bishin zu Loganalyse, Einbruchversuche, Gegenmaßnahmen, Datensicherung, Datensicherheit, Disaster Recovery Optionen, etc...
Gruß,
Dani
Sicherheitskonzepterfahrungen
geht es um technische/organisatorische und/oder administrative Themen? Gerne würde ich einmal von euren Sicherheitskonzepte im Enterprise Segment hören und von eurer Erfahrungen partizipieren.
So viele Zeichen sind hier gar nicht erlaubt. Alleine ein Konzept ausschließlich rund um IT kann mehrere 100 Seiten haben. Denn es geht los bei der Büros, Akten, Zugangsberechtigungen für Räume, über Schutzmaßnahmen im und um das Rechenzentrum, Alarmpläne für Wasser/Feuer/Einbruch, Malwareinfektion von Clients/Server/Terminals/Firewalls, bishin zu Loganalyse, Einbruchversuche, Gegenmaßnahmen, Datensicherung, Datensicherheit, Disaster Recovery Optionen, etc...ei einem Webinar ist in mir die Frage gekeimt, ob unserer Sicherheitskonzept noch zeitgemäß und ausreichend ist. Firmengröße ca. 700 Mitarbeiter an 4 Haupt- und 20+ Nebenstandorte.
In eurer Größe kannst du meiner Erfahrung nach 1-2 Leute nur mit einem Sicherheitskonzept beschäftigen. Denn so schnell sowas niedergeschrieben ist, ergibt sich meist 6-8-12 Wochen später schon wieder eine Änderung.Gruß,
Dani
2
Erst einmal allen ein herzliches Dankeschön. Ich werde versuchen zeitnah alles zu beantworten.
Da hast du völlig recht, aber ich habe mich hier sehr ungünstig ausgedrückt. Die Verbindung selbst ist natürlich verschlüsselt (Tunnel/Ipsec). Aber die Clients selbst sind es nicht. Da lokal keine Daten gespeichert werden, sah man dies bisher als nicht kritisch an. Beim Verlust werden dann alle Zugänge gesperrt.
Bin ich ganz bei dir, aber welche Optionen stehen zur Auswahl ?
End to Side Remote Client Cyberoam <-> Cyberoam ( Intranet)
Side to Side (Fritzbox <-> Cyberoam / Cyberoam <-> Cyberoam)
Alles verschlüsselt und Auth über AD.
Für W-Lan physisch entkoppelt über Sophos AP´s. Auth über Radius Server. WPA2 / Enterprise.
Zitat von @aqui:
Mobile Clients sind perVPN angeschlossen (Keine Verschlüsselung)
Ein VPN ohne Verschlüsselung ?Da hast du völlig recht, aber ich habe mich hier sehr ungünstig ausgedrückt. Die Verbindung selbst ist natürlich verschlüsselt (Tunnel/Ipsec). Aber die Clients selbst sind es nicht. Da lokal keine Daten gespeichert werden, sah man dies bisher als nicht kritisch an. Beim Verlust werden dann alle Zugänge gesperrt.
ansonsten Fritzbox und Co.
Gruselig.... Billigste Consumer HW in einem Firmennetz. Das ist in der Tat ausbaufähig...Bin ich ganz bei dir, aber welche Optionen stehen zur Auswahl ?
Gibt es denn generell eine Segmentierung im Netz (VLANs) ? Oder terminieren die VPNs direkt ins flache, doofe Hauptnetz ? Diese Infos fehlen...
End to Side Remote Client Cyberoam <-> Cyberoam ( Intranet)
Side to Side (Fritzbox <-> Cyberoam / Cyberoam <-> Cyberoam)
Alles verschlüsselt und Auth über AD.
Für W-Lan physisch entkoppelt über Sophos AP´s. Auth über Radius Server. WPA2 / Enterprise.
Ja ich habe mich da ganz blöde ausgedrückt. Eigentlich meinte ich damit, dass die Speichermedien der mobilen Geräte nicht verschlüsselt sind.
Welche besseren Lösungen gibt es hier ? Das sind Außengruppen mit 2-3 Arbeitsplätze die mit in das Firmennetz eingebunden werden sollen, damit die Mitarbeiter Zugriff auf das Intranet haben.
Deine PN werde ich die Tage beantworten. Danke dafür.
Deine PN werde ich die Tage beantworten. Danke dafür.
Zitat von @Dani:
Moin,
Moin,
Sicherheitskonzepterfahrungen
geht es um technische/organisatorische und/oder administrative Themen?In erster Linie um die Technik. Natürlich sind auch die orga und admin Themen sehr interessant.
Grob einmal zu sehen wie andere aufgestellt sind reicht da schon.
Gerne würde ich einmal von euren Sicherheitskonzepte im Enterprise Segment hören und von eurer Erfahrungen partizipieren.
So viele Zeichen sind hier gar nicht erlaubt. Alleine ein Konzept ausschließlich rund um IT kann mehrere 100 Seiten haben. Denn es geht los bei der Büros, Akten, Zugangsberechtigungen für Räume, über Schutzmaßnahmen im und um das Rechenzentrum, Alarmpläne für Wasser/Feuer/Einbruch, Malwareinfektion von Clients/Server/Terminals/Firewalls, bishin zu Loganalyse, Einbruchversuche, Gegenmaßnahmen, Datensicherung, Datensicherheit, Disaster Recovery Optionen, etc...Ja da hast du sicher recht. Aber alleine schon diese Auflistung von dir finde ich extrem hilfreich. So in etwa war es es auch von mir gewünscht. Vielleicht noch ein wenig detailreicher im Bereich der in der eigenen Firma eingesetzten Lösungen.
Ich wollte kein Sicherheitskonzept im Detail präsentiert bekommen, welches als Schablone fungieren könnte. Dafür sind die gestellten Anforderungen ja auch meist viel zu unterschiedlich. Oberflächig was man so beachten soll und was man so verwendet ist schon völlig ausreichend. Vielleicht können neben mir auch Dritte davon profitieren.
Bitte nicht jedem Nutzer einzeln im 2 Minuten Rhytmus antworten ! 🤦♂️
Das kann man auch in einem Thread erledigen mit einem "@" davor !
Das kann man auch in einem Thread erledigen mit einem "@" davor !
Moin,
Also wenn du alles bis ins kleinste Detail haben willst -> IT-Grundschutzkatalog des BSI
Dort wird alles vom Gebäude, über die MAs zur Technik und etwaige Prozesse als eine Art Template vorgeschlagen...
Deckt sich aber mit obiger Aussage: da können sich gut und gerne >1 Person mehrere Jahre mit beschäftigen.
Gruß
em-pie
Also wenn du alles bis ins kleinste Detail haben willst -> IT-Grundschutzkatalog des BSI
Dort wird alles vom Gebäude, über die MAs zur Technik und etwaige Prozesse als eine Art Template vorgeschlagen...
Deckt sich aber mit obiger Aussage: da können sich gut und gerne >1 Person mehrere Jahre mit beschäftigen.
Gruß
em-pie
1
Aufpassen, die Grundschutzkataloge wurden ja gerade durch das Grundschutzkompendium ersetzt. Für den Kollegen Flynn würde ich aber tatsächlich die alten GS-Kataloge empfehlen. Finden sich auf den BSI Seiten unter Archiv. Mit dem Kompendium sind BSI Neueinsteiger meines Erachtens nach überfordert.
1Zitat von @aqui:
Bitte nicht jedem Nutzer einzeln im 2 Minuten Rhytmus antworten ! 🤦♂️
Das kann man auch in einem Thread erledigen mit einem "@" davor !
Bitte nicht jedem Nutzer einzeln im 2 Minuten Rhytmus antworten ! 🤦♂️
Das kann man auch in einem Thread erledigen mit einem "@" davor !
Mea Culpa. Wusste nicht das es hier eine Vorschrift gibt, wie man jemanden antworten muss. Persönlich fand ich es aufgrund der Zitate auf die ich mich bezog, so einfach einfacher und auch ein wenig übersichtlicher. Aber gerne in Zukunft mit @.
@ em-pie & Pitti259
Danke, werde ich mir mal anschauen.
Wusste nicht...
Discussion guidelines - The rules for our content
