7
Netzwerk richtig absichern - aber wie?
Hallo,
in unserer Firma gibt es aktuell ca. 20 PCs, 1 VMware Server + Win2k8 R2 und Ubuntu 10.10. Alle sind an einen GBit-Switch mit VLAN und vorgeschaltetem Router verbunden.
Das Netzwerk läuft eigentlich sehr stabil und sauber. Seit ja 2 Monaten bekommen wir von unserem DSL-Anbieter jedoch Abuse-Mails.
Es soll sich noch ein Conficker-Wurm im Umlauf finden. Ich hatte alle Rechner mittels Kaspersky-Boot-CD geprüft und nichts gefunden. Alle PCs sind auf dem aktuellsten Stand.
Wie kann ich nun sicher gehen bzw. die Ursache eingrenzen wenn ich nicht mehr weiß wo ich anfangen soll? Gibt es die Möglichkeit mittels Content-Scanning irgendetwas zu protokollieren bzw. den Schädling aufzuspüren?
Oder ist es besser eine externe FW-Lösung mit AV-Schutz zu kaufen?
Netzwerk: 192.168.1.0/24
Router: x.1 DNS (3), GW
VMware: x.100
Win2k8: x.101 DNS (1), AD
Linux: x.102 DNS (2), Webserver
Danke für hilfreiche Antworten
in unserer Firma gibt es aktuell ca. 20 PCs, 1 VMware Server + Win2k8 R2 und Ubuntu 10.10. Alle sind an einen GBit-Switch mit VLAN und vorgeschaltetem Router verbunden.
Das Netzwerk läuft eigentlich sehr stabil und sauber. Seit ja 2 Monaten bekommen wir von unserem DSL-Anbieter jedoch Abuse-Mails.
Es soll sich noch ein Conficker-Wurm im Umlauf finden. Ich hatte alle Rechner mittels Kaspersky-Boot-CD geprüft und nichts gefunden. Alle PCs sind auf dem aktuellsten Stand.
Wie kann ich nun sicher gehen bzw. die Ursache eingrenzen wenn ich nicht mehr weiß wo ich anfangen soll? Gibt es die Möglichkeit mittels Content-Scanning irgendetwas zu protokollieren bzw. den Schädling aufzuspüren?
Oder ist es besser eine externe FW-Lösung mit AV-Schutz zu kaufen?
Netzwerk: 192.168.1.0/24
Router: x.1 DNS (3), GW
VMware: x.100
Win2k8: x.101 DNS (1), AD
Linux: x.102 DNS (2), Webserver
Danke für hilfreiche Antworten
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 161253
Url: https://administrator.de/contentid/161253
Ausgedruckt am: 25.11.2024 um 12:11 Uhr
7 Kommentare
Neuester Kommentar
also zum Thema netzwerkabsicherung...
Zunächst zum Aufbau entscheide dich zwischen einer Personalfirewall auf jedem PC oder einer zentralen Hardwarefirewall gibts auch dutzende Freeware Walls IPCop,Devil Linux, IPFire die meisten basieren auf IPtables aber es gibt natürlich auch kommerzielle... AntiVirenSoftware kommt es drauf an was soll es filtern viele Hardwarefirewalls haben einen ClamAV Scanner mit dabei zur E-Mail Filterung. Aber Firewall ist ne unerlässliche Sache weil was garnicht erst ins Netz reindarf kann auch keine Viren verbreiten;) Ist natürlich ne Konfigurationssache wie viel man reinlässt... URL Filter ist in den meisten Netzen auch kein Fehler...
Ob man nun eine personal Firewall oder eine zentrale Hardwarefirewall will ist geschmackssache und auch aufwand spezifisch beides hat Vor und Nachteile das gleiche gilt für Zentrale Virenfilter und Personal Virenfilter...
Und einen Virus oder Wurm zufinden ist unter umständen sehr schwierig...
Man könnte die Rechner mit den Virenscannern durchscannen was bei manchen Viren auch keine Alarmmeldung auslöst ein Virenprogramm kann eben nur soviel wie seine Updates...
Dann könnte man noch schauen was für Ports offen sind mit netstat zum Beispiel typische Trojanerports sind beispielsweise 123 oder so Geschichten;)
Wobei ich von diesen VirenliveCDs garnix halte weil sie nie aktuell sein können...
ich hoffe das hat dir wenigstens ein bisschen geholfen bei weiteren Fragen einfach melden;)
Zunächst zum Aufbau entscheide dich zwischen einer Personalfirewall auf jedem PC oder einer zentralen Hardwarefirewall gibts auch dutzende Freeware Walls IPCop,Devil Linux, IPFire die meisten basieren auf IPtables aber es gibt natürlich auch kommerzielle... AntiVirenSoftware kommt es drauf an was soll es filtern viele Hardwarefirewalls haben einen ClamAV Scanner mit dabei zur E-Mail Filterung. Aber Firewall ist ne unerlässliche Sache weil was garnicht erst ins Netz reindarf kann auch keine Viren verbreiten;) Ist natürlich ne Konfigurationssache wie viel man reinlässt... URL Filter ist in den meisten Netzen auch kein Fehler...
Ob man nun eine personal Firewall oder eine zentrale Hardwarefirewall will ist geschmackssache und auch aufwand spezifisch beides hat Vor und Nachteile das gleiche gilt für Zentrale Virenfilter und Personal Virenfilter...
Und einen Virus oder Wurm zufinden ist unter umständen sehr schwierig...
Man könnte die Rechner mit den Virenscannern durchscannen was bei manchen Viren auch keine Alarmmeldung auslöst ein Virenprogramm kann eben nur soviel wie seine Updates...
Dann könnte man noch schauen was für Ports offen sind mit netstat zum Beispiel typische Trojanerports sind beispielsweise 123 oder so Geschichten;)
Wobei ich von diesen VirenliveCDs garnix halte weil sie nie aktuell sein können...
ich hoffe das hat dir wenigstens ein bisschen geholfen bei weiteren Fragen einfach melden;)
Ich habe scs2 vom Honeycomb-Projekt durchlaufen lassen. Ein Rechner hat komisches Resultat erzeugt. Werd ich morgen mal prüfen.
Das was ich benötige ist folgendes:
PC -> Win2k8 / Linux -> FW mit AV -> Router
Es darf auch etwas kosten. Nur wie kann ich jeden Traffic dahingehend umleiten, also so das die IP via NAT/PAT auch angezeigt wird? Weiterleitung von den Servern wird nicht so einfach gehen. Sollte man dann die FW als GW einrichten?
IPCop kenne ich, aber das wird nicht reichen. Ich brauche wenn dann eine Kombi-Lösung in Hardware oder als virtuellen Server in VMware. Gibt es da nen gutes Howto?
Das was ich benötige ist folgendes:
PC -> Win2k8 / Linux -> FW mit AV -> Router
Es darf auch etwas kosten. Nur wie kann ich jeden Traffic dahingehend umleiten, also so das die IP via NAT/PAT auch angezeigt wird? Weiterleitung von den Servern wird nicht so einfach gehen. Sollte man dann die FW als GW einrichten?
IPCop kenne ich, aber das wird nicht reichen. Ich brauche wenn dann eine Kombi-Lösung in Hardware oder als virtuellen Server in VMware. Gibt es da nen gutes Howto?
Hallo,
wenn es auch was kosten darf, würde ich Dir eine Astaro empfehlen.
Eigentlich kann diese alles, was man in einem kleinen Netz so benötigt und ist auch relativ einfach zu Handhaben.
Firewall, Mail-Virentest, Web-Security, Spamfilter und Du kannst jeglichen Webverkehr protokollieren, um z.B. deinen Wurm ausfindig zu machen.
Gruß
ackerdiesel
wenn es auch was kosten darf, würde ich Dir eine Astaro empfehlen.
Eigentlich kann diese alles, was man in einem kleinen Netz so benötigt und ist auch relativ einfach zu Handhaben.
Firewall, Mail-Virentest, Web-Security, Spamfilter und Du kannst jeglichen Webverkehr protokollieren, um z.B. deinen Wurm ausfindig zu machen.
Gruß
ackerdiesel
Servus,
mit der Astaro hab ich auch schon sehr gute Erfahrungen gemacht. Wurde bei uns aber aus Kostengründen gegen eine wesentlich unkonfortablere Lösung ausgetauscht. Wenn ich die Wahl hätte würde ich sofort wieder umsteigen.
Gruß
mit der Astaro hab ich auch schon sehr gute Erfahrungen gemacht. Wurde bei uns aber aus Kostengründen gegen eine wesentlich unkonfortablere Lösung ausgetauscht. Wenn ich die Wahl hätte würde ich sofort wieder umsteigen.
Gruß
Ich würde IPCop empfehlen, zusätzlich einige AddOns (wie BlockoutTraffic, AdvancedProxy) installieren, Proxyzwang an den PCs einstellen. Damit sollte sich schon mal der infizierte PC ausmachen lassen, diesen dann komplett neu installieren.
Gut, also Astaro ist etwas zu teuer, kann aber sehr viel. Securepoint ist preiswerter, kann aber z.B. kein Deep Scan in Paketen.
@Edelweis:
Hast du so eine Art Howto bzw. kannst sagen was alles reingehört?
@Edelweis:
Hast du so eine Art Howto bzw. kannst sagen was alles reingehört?
1.) IPCop auf einer dedizierten Maschine (sollte schon etwas Power haben, wenn du z.B. den CopFilter mit nutzen willst).
2.) Blockouttraffic (BOT) -> http://www.blockouttraffic.de/
3.) Adv. Proxy -> http://www.advproxy.net/
4.) URL-Filter -> http://www.urlfilter.net/
5.) evt. noch CopFilter -> http://www.copfilter.org/
Unter BOT erst mal allen Verkehr sperren und nur StepbyStep freigeben.
In allen AddOns das Logging aktivieren, damit solltest du recht schnell Erfolg haben.
Gruß Edelweis
2.) Blockouttraffic (BOT) -> http://www.blockouttraffic.de/
3.) Adv. Proxy -> http://www.advproxy.net/
4.) URL-Filter -> http://www.urlfilter.net/
5.) evt. noch CopFilter -> http://www.copfilter.org/
Unter BOT erst mal allen Verkehr sperren und nur StepbyStep freigeben.
In allen AddOns das Logging aktivieren, damit solltest du recht schnell Erfolg haben.
Gruß Edelweis
