itzwich
Goto Top

Netzwerk Überwachung und Sicherheit

Hallo zusammen,

ich hab da mal eine Frage. Gibt es die Möglichkeit über eine AD bestimmte Webseiten zu sperren/zu erlauben?

Kennt jemand ein Tool/Möglichkeit wie man sein Netzwerk überwachen kann? Es geht darum leichter zu erkennen wenn große Daten vom Netzwerk raus gehen. So etwas wie Cyber Monitoring. Wisst ihr da etwas?

Gruß Felix

Content-ID: 2745323105

Url: https://administrator.de/forum/netzwerk-ueberwachung-und-sicherheit-2745323105.html

Ausgedruckt am: 22.12.2024 um 01:12 Uhr

Ayhan61
Ayhan61 11.05.2022 um 08:11:58 Uhr
Goto Top
Guten Morgen,

vom Netzwerk raus gehen?
E-Mail?
USB?
FTP?
HTTP?

Möchtest du generell alles überwachen, kontrollieren?

Grüsse,
Ayhan61
maretz
maretz 11.05.2022 um 08:17:52 Uhr
Goto Top
Übers AD nicht, aber jeder Proxy kann dir idR. ne gewisse Information über den Traffic geben (und jede Firewall heute normal auch schon).

Daten die aus dem Netz rausgehen wirst du damit aber nicht bekommen - das ist ein Traum der lange vorbei ist.
Zum einen kann man Daten natürlich einfach per USB-Stick o.ä. kopieren. Wenn gesperrt - Fotos vom Bildschirm. Oder z.B. via VPN, eigenem Cloud-Storage,.. rausjagen - da siehst du dann auch nur die MENGE an Daten, aber eben nicht was es war. Und wirklich gar nix geht - dann irgendwo auf nem Online-Portal wie Dropbox manuell via Web hochgeladen (oder eigenem Server).

Wenn also jemand Daten aus nem Unternehmen rausholen will - dann ist das für gewöhnlich auch kein grosses Problem. Deine Überlegung sollte also vorher anfangen: Wie schaffe ich es das einzelne Mitarbeiter eben nur die Infos sehen die die auch brauchen -> so muss ja z.B. nen einzelner Sachbearbeiter irgendwo im Lager nicht zwingend alle Rabatt-Konditionen eines Kunden oder alle Angebote sehen können. DER muss ja eigentlich nur sehen können was er einpacken soll und wohin das geht... Eine Bestell-Abteilung braucht eben auch nicht sehen welchen Rabatt der Kunde bekommt, die sollen mit dem Lieferranten ja die Rabatte aushandeln. Und der Vertrieb muss eben nich wissen welchen Rabatt man bei welchem Lieferanten bekommt, der muss eben nur wissen welchen Preis er nicht unterschreiten darf...
itzwich
itzwich 11.05.2022 um 08:21:29 Uhr
Goto Top
Am besten wäre alles ja bzw. Email weis ich nicht wie das mit Datenschutz ist. Grundsätzlich wäre interessant zu sehen ob und wann große Daten Mengen das Netzwerk verlassen. Bspw. über Nacht zb. Mit HTTP und FTP meinst du welche Seiten über das Netzwerk aufgerufen werden und welche Files gesendet und empfangen werden?
SlainteMhath
SlainteMhath 11.05.2022 um 08:25:27 Uhr
Goto Top
Moin,

das was du suchst ist eine Firewall mit DLP (Data Leakage Prevention). Die kann dann auch nebenbei Webseiten sperren face-smile

lg,
Slainte
itzwich
itzwich 11.05.2022 um 08:32:49 Uhr
Goto Top
Es geht ja Hauptsächlich darum, dass über Nacht geprüft werden kann ob größere Datenmengen raus gehen die eigentlich nicht über Nacht raus gehen sollten. Quasi um zu prüfen, ob das Netzwerk infiziert ist und jetzt Daten geklaut werden.
Doskias
Doskias 11.05.2022 um 08:43:22 Uhr
Goto Top
Moin,

du drehst dich hier ein bisschen im Kreis. Mal geht es um E-Mail, mal um HTTP, mal um FTP. Und nochmal:

Eine anständige Firewall kann das. Eine Anständige Firewall protokolliert dir, welcher Client wann welchen Traffic wohin produziert. Da schaust du morgens drauf und wenn dir das zu viel vorkommt, dann schaust du in die Details. Da siehst du dann welches Protokoll das war und wohin das Protokoll ging. Das AD ist dafür nicht der richtige Ort.

Gruß
Doskias
148523
148523 11.05.2022 um 08:44:23 Uhr
Goto Top
Coreknabe
Coreknabe 11.05.2022 um 09:34:07 Uhr
Goto Top
Moin Felix,

wie schon mehrfach erwähnt, benötigst Du eine passende Firewall, idealerweise mit IDS / IPS. Den Zugriff auf bestimmte Webseiten könntest Du in der Domäne verhindern, indem Du einfach DNS-Einträge für die Clients umbiegst und z.B. auf Google leitest. Sonderlich pflegeleicht ist das aber alles nicht.
Da Du auch noch möglichen Datenabfluss ins Spiel bringst, vermute ich mal, dass das eine mit dem anderen zu tun hat. Dabei vergisst Du, dass nicht hinter jeder böswilligen Ziel-IP auch eine Webseite steht. Es reicht ja, wenn ich Daten auf eine IP abfließen lasse, da nützt Dir das Sperren einer Webseite nix.

Kostenlose Lösung: PRTG, damit kannst Du einen Sensor auf dem "Internetinterface" laufen lassen. Nachteil: Du siehst nur die Datenmenge. Wenn die Datenmenge regelmäßig um die Summe X herumpendelt, würden große Veränderungen auffallen. Nur: Wenn Ihr derartig große Datenmengen zu schützen habt, müsste das doch längst abgesichert sein?
Dann gäbe es aber noch das Problem, dass Du siehst, dass mehr Daten abgeflossen sind, aber nicht wohin. Die Lösung: Hey, ne Firewall face-wink Ihr habt doch eine? Welche?

Dann gibt es für kleines Geld noch NTOPNG (https://www.ntop.org/products/traffic-analysis/ntop/), damit wird alles noch schön grafisch aufbereitet.

Letztlich unterschlägst Du mit Deinem Ansatz auch die Tatsache, dass es auch durchaus entscheidend ist, wenn kleine Datenmengen nach außen übertragen werden. Wird gern gemacht, um als Angreifer nicht aufzufallen face-wink

Wie Du es also drehst und wendest, Du benötigst mehr als AD-Tricksereien.

Gruß
commodity
commodity 11.05.2022 aktualisiert um 10:44:26 Uhr
Goto Top
Es geht ja Hauptsächlich darum, dass über Nacht geprüft werden kann ob größere Datenmengen raus gehen
Wie schon geschrieben, löst Du das über ein Monitoring, ggf. noch mit Eingriffsmöglichkeit einer Firewall. Ob Letzteres sinnvoll ist, wurde zu Recht schon in Frage gestellt.

Selbst mit dem billigsten Mikrotik-Router bekommst Du den gewünschten Überblick mit einer Firewall-Passthrough-Rule auf dem Tablett serviert, denn RouterOS zeigt ja in Echtzeit jedes Byte/Packet, was über eine Regel läuft. Mit zwei Klicks mehr geht das dann auch zeitgesteuert. Da kann man sicher auch noch schick scripten, um das ins Logging oder ein File zu bringen, Events auszulösen u.a.

Wenn es "ein bisschen mehr" sein soll ist das hier kaum zu übertreffen:
Ich selbst monitore mit Zabbix, da ist das von Dir Gewünschte selbstverständlich dabei und sieht dann z.B. so aus:
screenshot 2022-05-11 103928
Selbstverständlich kannst Du auch da Benachrichtigungen auslösen, wie bei fast jedem Monitoring.

Viele Grüße, commodity
Crashzero
Crashzero 18.08.2022 um 10:00:07 Uhr
Goto Top
Wir nutzen die Kombination :

- PRTG Monitor (Sensoren auf ETH´s WAN des Firewall-Clusters (Proxy/IDS/IPS/AV/MailGateway/VPN/usw.)
- Proxy-Webzugang mit User- und Berechtigungsregeln (Webseitenrestriktion) sowie Userbezogene Auswertung Internettraffic (Datenabfluß) - Server sind standartmäßig nicht am WAN (Wenn diese es nicht müssen), werden über internen WSUS "bedient"
- Digital signierte Emails und Information das Emails nur von uns sind wenn digital signiert an unsere häufigsten Emailkommunikationspartner
- IPS/IDS WAN/LAN mit automatischen Sperrungen zw. Benachrichtigungen an IT-SysAdmins
- Interne gemanagtes AV Sicherheitssystem mit : AV / Endpointprotection (Da wo´s geht) und Freigabeticketanfrage Client/Server->IT