Isolierte Umgebung für Viren-Analyse
Hallo zusammen,
ich hoffe mal, alle sind gut in die erste Adventswoche gekommen?
Ich suche schon einige Zeit eine gute Lösung um bei uns im Unternehmen in einer isolierten Umgebung verdächtige Programme, Anhänge und Mails zu analysieren.
Wir bekommen immer wieder USB-Sticks, Mails oder Dateien "zugetragen", die eventuelle Schadsoftware beinhalten.
Manchmal sind wir uns selbst nicht sicher und möchten die Daten ohne Risiko öffnen und prüfen.
Mein gegenwärtiges Konzept würde wie folgt aussehen.
- Eigenständiger PC ohne Zugriff auf das Produktivnetzwerk (Komplett physikalisch getrennt!!)
- Eigenständiger Zugang ins Internet mit nur dedizierten Ports (HTTP, HTTPS, POP3, SMTP)
- Virenscanner installiert (ist irgendwie klar )
- Eventuell Browser und andere Anwendungen in Sandbox laufen lassen?
- Vielleicht besser den Rechner generell gegen Änderungen schützen, die bei einem Neustart verworfen werden (z.B: HDD-Sheriff etc.)?
- Netzwerkmonitor (Fiddler, Wireshark) um Verbindungen zu tracken
- verschiedene Analysetools (TCPDUMP, PROCESS-Monitor, etc.)
- Internetzugriff nur über Proxy
- spezielle Virenmail-Adresse angelegt, die nur über diesen Rechner geholt werden kann. Die Benutzer können dann potenzielle Mails direkt an diese Adresse weiterleiten.
Ich wollte bewusst keine VM nehmen, da ich gelesen habe, dass manche Viren bei virtuellen System nicht ausbrechen, da es sich eben um eine Analyse-Umgebung handeln könnte.
Hat jemand eine solche Umgebung in Betrieb und kann mir hier einen guten Tipp geben?
Bin ich vielleicht komplett auf dem falschen Weg und es gibt da bessere Lösungen?
Gibt es vielleicht schon fertige Linux-Systeme, die ich von Stick/DVD booten kann und die das beinhalten (Kali??)
Ich hoffe, ich konnte mein Anliegen verständlich vorbringen und freue mich über Eure Tipps.
Vielen Dank dafür schon mal im Voraus!
Grüße,
dng-alt
ich hoffe mal, alle sind gut in die erste Adventswoche gekommen?
Ich suche schon einige Zeit eine gute Lösung um bei uns im Unternehmen in einer isolierten Umgebung verdächtige Programme, Anhänge und Mails zu analysieren.
Wir bekommen immer wieder USB-Sticks, Mails oder Dateien "zugetragen", die eventuelle Schadsoftware beinhalten.
Manchmal sind wir uns selbst nicht sicher und möchten die Daten ohne Risiko öffnen und prüfen.
Mein gegenwärtiges Konzept würde wie folgt aussehen.
- Eigenständiger PC ohne Zugriff auf das Produktivnetzwerk (Komplett physikalisch getrennt!!)
- Eigenständiger Zugang ins Internet mit nur dedizierten Ports (HTTP, HTTPS, POP3, SMTP)
- Virenscanner installiert (ist irgendwie klar )
- Eventuell Browser und andere Anwendungen in Sandbox laufen lassen?
- Vielleicht besser den Rechner generell gegen Änderungen schützen, die bei einem Neustart verworfen werden (z.B: HDD-Sheriff etc.)?
- Netzwerkmonitor (Fiddler, Wireshark) um Verbindungen zu tracken
- verschiedene Analysetools (TCPDUMP, PROCESS-Monitor, etc.)
- Internetzugriff nur über Proxy
- spezielle Virenmail-Adresse angelegt, die nur über diesen Rechner geholt werden kann. Die Benutzer können dann potenzielle Mails direkt an diese Adresse weiterleiten.
Ich wollte bewusst keine VM nehmen, da ich gelesen habe, dass manche Viren bei virtuellen System nicht ausbrechen, da es sich eben um eine Analyse-Umgebung handeln könnte.
Hat jemand eine solche Umgebung in Betrieb und kann mir hier einen guten Tipp geben?
Bin ich vielleicht komplett auf dem falschen Weg und es gibt da bessere Lösungen?
Gibt es vielleicht schon fertige Linux-Systeme, die ich von Stick/DVD booten kann und die das beinhalten (Kali??)
Ich hoffe, ich konnte mein Anliegen verständlich vorbringen und freue mich über Eure Tipps.
Vielen Dank dafür schon mal im Voraus!
Grüße,
dng-alt
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 289876
Url: https://administrator.de/forum/isolierte-umgebung-fuer-viren-analyse-289876.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
11 Kommentare
Neuester Kommentar
Zitat von @Lochkartenstanzer:
Moin,
ich würde einfach eine "desinfect"-Station bauen. von der ct das desinfect auf Stick, die Dtation davon booten und alles was rein udn rausgehen soll, mit dem Ding drucscannen lassen.
lks
Moin,
ich würde einfach eine "desinfect"-Station bauen. von der ct das desinfect auf Stick, die Dtation davon booten und alles was rein udn rausgehen soll, mit dem Ding drucscannen lassen.
lks
Ev. bin ich einfach zu doof zum Suchen, aber gibts irgendwo einen Link wo ich mir das aktuelle desinfect runteralden kann (gerne auch gegen Bezahlung)?
Ich habe bisher nur einen offiziellen Link von heise gefunden wo ich mir online das Heft kaufen kann inklusive der DVD eben.
Gruß
Zitat von @michi1983:
Ev. bin ich einfach zu doof zum Suchen, aber gibts irgendwo einen Link wo ich mir das aktuelle desinfect runteralden kann (gerne auch gegen Bezahlung)?
Ich habe bisher nur einen offiziellen Link von heise gefunden wo ich mir online das Heft kaufen kann inklusive der DVD eben.
Zitat von @Lochkartenstanzer:
Moin,
ich würde einfach eine "desinfect"-Station bauen. von der ct das desinfect auf Stick, die Dtation davon booten und alles was rein udn rausgehen soll, mit dem Ding drucscannen lassen.
lks
Moin,
ich würde einfach eine "desinfect"-Station bauen. von der ct das desinfect auf Stick, die Dtation davon booten und alles was rein udn rausgehen soll, mit dem Ding drucscannen lassen.
lks
Ev. bin ich einfach zu doof zum Suchen, aber gibts irgendwo einen Link wo ich mir das aktuelle desinfect runteralden kann (gerne auch gegen Bezahlung)?
Ich habe bisher nur einen offiziellen Link von heise gefunden wo ich mir online das Heft kaufen kann inklusive der DVD eben.
Genau der.
Die Download-Version enthält nur einen freien Scanner, ich empfehle aber die Heftversion mit der DVD. Mit der DVD kann man einen Bootstick erstellen, mit der man die Scankiste dann aufbauen kann. ich bestell emeist einige Hefte on der jeweiligen Ausgabe, die ich dann Kunden in die hand drücke.
lks
Moin,
laut FAQ aus dem desinfec't-Forum:
"Wegen der enthaltenen Antiviren-Software, dürfen wir Desinfec't leider nicht zum Download anbieten."
Aber wenn Du mutig bist, kannst Du ja mal bei
desinfec't 2015 Download??
vorbeischauen.
Gruß J chem
laut FAQ aus dem desinfec't-Forum:
"Wegen der enthaltenen Antiviren-Software, dürfen wir Desinfec't leider nicht zum Download anbieten."
Aber wenn Du mutig bist, kannst Du ja mal bei
desinfec't 2015 Download??
vorbeischauen.
Gruß J chem
Zitat von @Jochem:
"Wegen der enthaltenen Antiviren-Software, dürfen wir Desinfec't leider nicht zum Download anbieten."
"Wegen der enthaltenen Antiviren-Software, dürfen wir Desinfec't leider nicht zum Download anbieten."
Es gibt auch eine Desinfect-Version zum Downloa, die nur clamav enthält.
lks
Zitat von @dng-alt:
Guten Morgen Lochkartenstanzer,
vielen Dank für Deine schnelle Antwort.
Die Idee mit Desinfect hatte ich auch schon. Da meine Linux-Kenntnisse, sagen wir mal, übersichtlich sind, war das nicht meine erste Wahl!
Aber ich habe heute früh in der c't 26/2015, die endlich zu mir durchgedrungen ist, ein Notfall-Windows unter Windows PE gefunden:
http://www.heise.de/ct/ausgabe/2015-26-c-t-Notfall-Windows-zusammenbaue ...
Dann werde ich erst mal mit Desinfect und Windows PE experimentieren und schauen, was meine Vorstellungen besser erfüllt!
Guten Morgen Lochkartenstanzer,
vielen Dank für Deine schnelle Antwort.
Die Idee mit Desinfect hatte ich auch schon. Da meine Linux-Kenntnisse, sagen wir mal, übersichtlich sind, war das nicht meine erste Wahl!
Aber ich habe heute früh in der c't 26/2015, die endlich zu mir durchgedrungen ist, ein Notfall-Windows unter Windows PE gefunden:
http://www.heise.de/ct/ausgabe/2015-26-c-t-Notfall-Windows-zusammenbaue ...
Dann werde ich erst mal mit Desinfect und Windows PE experimentieren und schauen, was meine Vorstellungen besser erfüllt!
Ich würde trotzdem zu der desinfect-Lösung raten. Mit dem Linux kommst Du nur insoweit in Berührung, als daß Du da auch nur auf irgendwelche Icons klickst, genauso wie bei Windows auch. Die WinPE-Version ist allerdings imho für so eine Station zu eingeschränkt. Da sollte man sich gleich ein ordentliches Windows installieren und diverse Virenscanner um damit eine Scanstation zu erstellen.
lks