Netzwerk richtig absichern - aber wie?

Mitglied: TheDarkSide

TheDarkSide (Level 1) - Jetzt verbinden

21.02.2011 um 19:30 Uhr, 4354 Aufrufe, 7 Kommentare

Hallo,
in unserer Firma gibt es aktuell ca. 20 PCs, 1 VMware Server + Win2k8 R2 und Ubuntu 10.10. Alle sind an einen GBit-Switch mit VLAN und vorgeschaltetem Router verbunden.

Das Netzwerk läuft eigentlich sehr stabil und sauber. Seit ja 2 Monaten bekommen wir von unserem DSL-Anbieter jedoch Abuse-Mails.
Es soll sich noch ein Conficker-Wurm im Umlauf finden. Ich hatte alle Rechner mittels Kaspersky-Boot-CD geprüft und nichts gefunden. Alle PCs sind auf dem aktuellsten Stand.

Wie kann ich nun sicher gehen bzw. die Ursache eingrenzen wenn ich nicht mehr weiß wo ich anfangen soll? Gibt es die Möglichkeit mittels Content-Scanning irgendetwas zu protokollieren bzw. den Schädling aufzuspüren?
Oder ist es besser eine externe FW-Lösung mit AV-Schutz zu kaufen?

Netzwerk: 192.168.1.0/24
Router: x.1 DNS (3), GW
VMware: x.100
Win2k8: x.101 DNS (1), AD
Linux: x.102 DNS (2), Webserver

Danke für hilfreiche Antworten :-) face-smile
Mitglied: 84331
84331 (Level 1)
21.02.2011 um 20:36 Uhr
also zum Thema netzwerkabsicherung...
Zunächst zum Aufbau entscheide dich zwischen einer Personalfirewall auf jedem PC oder einer zentralen Hardwarefirewall gibts auch dutzende Freeware Walls IPCop,Devil Linux, IPFire die meisten basieren auf IPtables aber es gibt natürlich auch kommerzielle... AntiVirenSoftware kommt es drauf an was soll es filtern viele Hardwarefirewalls haben einen ClamAV Scanner mit dabei zur E-Mail Filterung. Aber Firewall ist ne unerlässliche Sache weil was garnicht erst ins Netz reindarf kann auch keine Viren verbreiten;) Ist natürlich ne Konfigurationssache wie viel man reinlässt... URL Filter ist in den meisten Netzen auch kein Fehler...
Ob man nun eine personal Firewall oder eine zentrale Hardwarefirewall will ist geschmackssache und auch aufwand spezifisch beides hat Vor und Nachteile das gleiche gilt für Zentrale Virenfilter und Personal Virenfilter...
Und einen Virus oder Wurm zufinden ist unter umständen sehr schwierig...
Man könnte die Rechner mit den Virenscannern durchscannen was bei manchen Viren auch keine Alarmmeldung auslöst ein Virenprogramm kann eben nur soviel wie seine Updates...
Dann könnte man noch schauen was für Ports offen sind mit netstat zum Beispiel typische Trojanerports sind beispielsweise 123 oder so Geschichten;)
Wobei ich von diesen VirenliveCDs garnix halte weil sie nie aktuell sein können...
ich hoffe das hat dir wenigstens ein bisschen geholfen bei weiteren Fragen einfach melden;)
Bitte warten ..
Mitglied: TheDarkSide
21.02.2011 um 21:00 Uhr
Ich habe scs2 vom Honeycomb-Projekt durchlaufen lassen. Ein Rechner hat komisches Resultat erzeugt. Werd ich morgen mal prüfen.
Das was ich benötige ist folgendes:

PC -> Win2k8 / Linux -> FW mit AV -> Router

Es darf auch etwas kosten. Nur wie kann ich jeden Traffic dahingehend umleiten, also so das die IP via NAT/PAT auch angezeigt wird? Weiterleitung von den Servern wird nicht so einfach gehen. Sollte man dann die FW als GW einrichten?
IPCop kenne ich, aber das wird nicht reichen. Ich brauche wenn dann eine Kombi-Lösung in Hardware oder als virtuellen Server in VMware. Gibt es da nen gutes Howto?
Bitte warten ..
Mitglied: ackerdiesel
22.02.2011 um 08:16 Uhr
Hallo,

wenn es auch was kosten darf, würde ich Dir eine Astaro empfehlen.

Eigentlich kann diese alles, was man in einem kleinen Netz so benötigt und ist auch relativ einfach zu Handhaben.
Firewall, Mail-Virentest, Web-Security, Spamfilter und Du kannst jeglichen Webverkehr protokollieren, um z.B. deinen Wurm ausfindig zu machen.

Gruß
ackerdiesel
Bitte warten ..
Mitglied: 85100
85100 (Level 1)
22.02.2011 um 08:32 Uhr
Servus,

mit der Astaro hab ich auch schon sehr gute Erfahrungen gemacht. Wurde bei uns aber aus Kostengründen gegen eine wesentlich unkonfortablere Lösung ausgetauscht. Wenn ich die Wahl hätte würde ich sofort wieder umsteigen.

Gruß
Bitte warten ..
Mitglied: Edelweis
22.02.2011 um 09:28 Uhr
Zitat von @TheDarkSide:
Oder ist es besser eine externe FW-Lösung mit AV-Schutz zu kaufen?

Ich würde IPCop empfehlen, zusätzlich einige AddOns (wie BlockoutTraffic, AdvancedProxy) installieren, Proxyzwang an den PCs einstellen. Damit sollte sich schon mal der infizierte PC ausmachen lassen, diesen dann komplett neu installieren.
Bitte warten ..
Mitglied: TheDarkSide
24.02.2011 um 09:37 Uhr
Gut, also Astaro ist etwas zu teuer, kann aber sehr viel. Securepoint ist preiswerter, kann aber z.B. kein Deep Scan in Paketen.

@Edelweis:
Hast du so eine Art Howto bzw. kannst sagen was alles reingehört?
Bitte warten ..
Mitglied: Edelweis
24.02.2011 um 11:17 Uhr
1.) IPCop auf einer dedizierten Maschine (sollte schon etwas Power haben, wenn du z.B. den CopFilter mit nutzen willst).
2.) Blockouttraffic (BOT) -> http://www.blockouttraffic.de/
3.) Adv. Proxy -> http://www.advproxy.net/
4.) URL-Filter -> http://www.urlfilter.net/
5.) evt. noch CopFilter -> http://www.copfilter.org/

Unter BOT erst mal allen Verkehr sperren und nur StepbyStep freigeben.
In allen AddOns das Logging aktivieren, damit solltest du recht schnell Erfolg haben.

Gruß Edelweis
Bitte warten ..
Heiß diskutierte Inhalte
Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 1 TagTippErkennung und -Abwehr5 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
gelöst anteNopeVor 23 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...

Windows 10
Lokales Profil wird beim Herunterfahren gelöscht!
Yuuto.LucasVor 1 TagFrageWindows 1012 Kommentare

Hallo, ich habe aktuell folgendes Problem. An einem Kundenrechner ist aktuell ein Lokales Profil eingerichtet (vorher ein Server Profil bei dem das gleiche Problem ...

Ubuntu
Cups-Server mit SMB lehnt Verbindungen ab (smb.conf)?
ErikHeinemannVor 13 StundenFrageUbuntu17 Kommentare

Guten Morgen, ich habe einen Ubuntu 20.04 Server mit Cups als Printspooler. Nun Soll noch Samba hinzugefügt werden für eine einfache Verwendung unter Windows. ...

Exchange Server
Kaspersky for Exchange Meldungen
gelöst wieoderwasVor 12 StundenFrageExchange Server11 Kommentare

Guten Morgen, wir haben bei uns einen Exchange 2013 mit Kaspersky for Exchange und Sophos auf Dateiebene. Heute Morgen habe ich einige von diesen ...

Vmware
VMware wird selbständig
ZeroTrustVor 1 TagInformationVmware

Dell Technologies trennt sich von seiner Tochterfirma VMware. Das spült Geld ins Hause Dell, das sich auf einen Post-COVID-Boom beim Hardware-Absatz vorbereitet. VMware entwickelt ...

Groupware
Lokale Mini-Groupware für Mail, Adressbuch und Kalender gesucht
AndreasKasselVor 12 StundenFrageGroupware9 Kommentare

Hallo zusammen, ich habe insgesamt 2 PCs, 1 Notebook, 1 Android-Tablet und ein Android-Smartphone. Weiterhin habe ich 2 Mail-Adressen bei 1&1 mit einer eigenen ...