7
Proxy um Anti Virus Sicherheit zu erhöhen ?
Hi,
ich weiß das Thema hört sich an sich ein wenig verbastelt an aber es geht eher ums Prinzip.
Nehmen wir an User X bekommt eine 0day Virii Mail mit einer umgebastelten xml welche sich online den Virii Content nachziehen soll,
um dann z.b. die Festplatte zu verschlüsseln. Kann sehr einfach passieren wenn alle Clients ein GW nutzen.
Jetzt war die Idee was ist wenn die Clients std. mässig NICHT über ihr Standard GW raussurfen können sondern alle erst über einen Proxy.
Wenn der Proxy jetzt so eingestellt wäre das NUR Deutsche Ziele erreicht werden können UND hier noch eine AV vorgeschaltet ist,
würde das eurer Meinung nach etwas ändern wenn ein Dropper per Mail an einen Client geschickt wird ?
ich weiß das Thema hört sich an sich ein wenig verbastelt an aber es geht eher ums Prinzip.
Nehmen wir an User X bekommt eine 0day Virii Mail mit einer umgebastelten xml welche sich online den Virii Content nachziehen soll,
um dann z.b. die Festplatte zu verschlüsseln. Kann sehr einfach passieren wenn alle Clients ein GW nutzen.
Jetzt war die Idee was ist wenn die Clients std. mässig NICHT über ihr Standard GW raussurfen können sondern alle erst über einen Proxy.
Wenn der Proxy jetzt so eingestellt wäre das NUR Deutsche Ziele erreicht werden können UND hier noch eine AV vorgeschaltet ist,
würde das eurer Meinung nach etwas ändern wenn ein Dropper per Mail an einen Client geschickt wird ?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 316862
Url: https://administrator.de/contentid/316862
Printed on: April 19, 2024 at 23:04 o'clock
7 Comments
Latest comment
Hi,
definiere "Deutsche Ziele".
Ansonsten wäre ein Proxy mit integriertem Content-Filter und Anti-Virus die sicherste Variante. Und ja, die Clients nicht direkt ind Web lassen!
Noch besser wäre gleich ein entsprechender Filter im Mail-System.
E.
definiere "Deutsche Ziele".
Ansonsten wäre ein Proxy mit integriertem Content-Filter und Anti-Virus die sicherste Variante. Und ja, die Clients nicht direkt ind Web lassen!
Noch besser wäre gleich ein entsprechender Filter im Mail-System.
E.
Hi
ein Dropper hält sich nicht unbedingt and die im IE vorgegebenen Proxys. Wenn, dann darf das Gateway HTTP Traffic nur vom Proxy akzeptieren.
Theoretisch bringt das schon was, wird aber in der Praxis zu unendlich vielen Problemen führen.
Finde mal eine Seite, die NUR auf sich selbst referenziert und nicht irgendwelche AD-Server, google analytics und was weiss ich noch was einbindet.
Das heist, du wirst entweder permanent damit beschäftigt sein eine whitelist zu pflegen, oder das ganze sein lassen.
Sicherheit sollte nicht bedeuten, das man mit dem Rechner nix mehr anfangen kann.
Du musst dafür sorgen das die User erst gar nicht in den Genuss dieser garstigen Dinger kommen.
Ein Proxy ist eine gute Idee. Aber in erster Linie mal um ihn als Viren & Contentscanner zu verwenden.
Virenscanner vor den Mailserver stellen,
Mailserver so einstellen, das alles ausführbare blockiert wird
Outlook genau so einstellen, das ausführbare Daten blockiert werden.
AppLocker einstellen (nur freigegebene Binarys in TEMP & Apddata zulassen)
Alle Shares mit Berechtigungen so eingrenzen, das ein User nur seine eigenen Dateien sehen/editieren kann und nur das was er unbedingt editieren können muss
Java & Flash möglichst entfernen und wo es nötig ist aktuellst halten
Acrobat aktuellst halten. Evtl. eine alternative verwenden (z.B Foxit)
Wenn möglich den Usern Chrome oder FF an die Hand geben und dort einen AdBlocker installieren (Chrome Enterprise kann das mit GPOs)
Kurz: Die Angriffsfläche klein halten. Ein Virenscanner kann niemals vollständige Sicherheit garantieren. Es wird immer den einen 0-Day Virus geben.
Den Usern das Web kaputt machen ist auch keine Lösung.
ein Dropper hält sich nicht unbedingt and die im IE vorgegebenen Proxys. Wenn, dann darf das Gateway HTTP Traffic nur vom Proxy akzeptieren.
Theoretisch bringt das schon was, wird aber in der Praxis zu unendlich vielen Problemen führen.
Zitat von @agnostiker:
Wenn der Proxy jetzt so eingestellt wäre das NUR Deutsche Ziele erreicht werden können UND hier noch eine AV vorgeschaltet ist,
Wenn der Proxy jetzt so eingestellt wäre das NUR Deutsche Ziele erreicht werden können UND hier noch eine AV vorgeschaltet ist,
Finde mal eine Seite, die NUR auf sich selbst referenziert und nicht irgendwelche AD-Server, google analytics und was weiss ich noch was einbindet.
Das heist, du wirst entweder permanent damit beschäftigt sein eine whitelist zu pflegen, oder das ganze sein lassen.
Sicherheit sollte nicht bedeuten, das man mit dem Rechner nix mehr anfangen kann.
Du musst dafür sorgen das die User erst gar nicht in den Genuss dieser garstigen Dinger kommen.
Ein Proxy ist eine gute Idee. Aber in erster Linie mal um ihn als Viren & Contentscanner zu verwenden.
Virenscanner vor den Mailserver stellen,
Mailserver so einstellen, das alles ausführbare blockiert wird
Outlook genau so einstellen, das ausführbare Daten blockiert werden.
AppLocker einstellen (nur freigegebene Binarys in TEMP & Apddata zulassen)
Alle Shares mit Berechtigungen so eingrenzen, das ein User nur seine eigenen Dateien sehen/editieren kann und nur das was er unbedingt editieren können muss
Java & Flash möglichst entfernen und wo es nötig ist aktuellst halten
Acrobat aktuellst halten. Evtl. eine alternative verwenden (z.B Foxit)
Wenn möglich den Usern Chrome oder FF an die Hand geben und dort einen AdBlocker installieren (Chrome Enterprise kann das mit GPOs)
Kurz: Die Angriffsfläche klein halten. Ein Virenscanner kann niemals vollständige Sicherheit garantieren. Es wird immer den einen 0-Day Virus geben.
Den Usern das Web kaputt machen ist auch keine Lösung.
Guten Tag,
ich weiß das Thema hört sich an sich ein wenig verbastelt an aber es geht eher ums Prinzip
oha...
Nehmen wir an User X bekommt eine 0day Virii Mail mit einer umgebastelten xml welche sich online den Virii Content nachziehen soll,
um dann z.b. die Festplatte zu verschlüsseln. Kann sehr einfach passieren wenn alle Clients ein GW nutzen.
0day Virii Mail... Du meinst sich Virus etc...
Jetzt war die Idee was ist wenn die Clients std. mässig NICHT über ihr Standard GW raussurfen können sondern alle erst über einen Proxy.
Wenn der Proxy jetzt so eingestellt wäre das NUR Deutsche Ziele erreicht werden können UND hier noch eine AV vorgeschaltet ist,
würde das eurer Meinung nach etwas ändern wenn ein Dropper per Mail an einen Client geschickt wird ?
nein, dann hat schon dein Mail Filter versagt... dein lokales AV Programm... und der Administrator .-)
als erstes sollst du deinen mail eingang ordentlich filtern, ein Proxy integriertem Content-Filter ist auch nicht übel...
Frank
ich weiß das Thema hört sich an sich ein wenig verbastelt an aber es geht eher ums Prinzip
Nehmen wir an User X bekommt eine 0day Virii Mail mit einer umgebastelten xml welche sich online den Virii Content nachziehen soll,
um dann z.b. die Festplatte zu verschlüsseln. Kann sehr einfach passieren wenn alle Clients ein GW nutzen.
Jetzt war die Idee was ist wenn die Clients std. mässig NICHT über ihr Standard GW raussurfen können sondern alle erst über einen Proxy.
Wenn der Proxy jetzt so eingestellt wäre das NUR Deutsche Ziele erreicht werden können UND hier noch eine AV vorgeschaltet ist,
würde das eurer Meinung nach etwas ändern wenn ein Dropper per Mail an einen Client geschickt wird ?
als erstes sollst du deinen mail eingang ordentlich filtern, ein Proxy integriertem Content-Filter ist auch nicht übel...
Frank
Moin,
Grundsätzlich würde ich erstmal schauen, dass niemand mehr Berechtigungen hat als er benötigt. Davon absehen geht es auch um lokale Adminrechte. Datensicherungen, etc... ordnungsgemäß funktionieren und das Notfälle plane existieren. Virenscanner auf den Clients und Server aktuell sind und vorallem auch Ereignisse melden!
Gruß,
Dani
Jetzt war die Idee was ist wenn die Clients std. mässig NICHT über ihr Standard GW raussurfen können sondern alle erst über einen Proxy.
Vor du nicht anfängst wie wild zu installieren, prüfe erstmal ob alle eingesetzten Anwendungen damit klar kommen. Nicht das du hinterher wieder Ausnahmen benötigst um alles am Laufen zu halten.Grundsätzlich würde ich erstmal schauen, dass niemand mehr Berechtigungen hat als er benötigt. Davon absehen geht es auch um lokale Adminrechte. Datensicherungen, etc... ordnungsgemäß funktionieren und das Notfälle plane existieren. Virenscanner auf den Clients und Server aktuell sind und vorallem auch Ereignisse melden!
Gruß,
Dani
Moin,
es ist sogar durchaus üblich, daß man die Clients nicht direkt rausläßt, sondern nur übr einen proxy, der auch malwarescans macht udn gegenüber dem man sich auch authentifizieren muß.. Allerdings geht das nicht bei jedem Protokoll und auch nicht jeder Trojaner läßt sich davon aufhalten. z.B. kann man durch DNS-Andregen und deren Antworten Code durch die Firewall "Schmuggeln".
Man sollte daher erstmal eine Risikoanalyse machen udn festlegen, gegen welche Bedrohugne man sich schüztzen will, bzw. gegen welche Bedrohungen das Budget reicht.
lks
es ist sogar durchaus üblich, daß man die Clients nicht direkt rausläßt, sondern nur übr einen proxy, der auch malwarescans macht udn gegenüber dem man sich auch authentifizieren muß.. Allerdings geht das nicht bei jedem Protokoll und auch nicht jeder Trojaner läßt sich davon aufhalten. z.B. kann man durch DNS-Andregen und deren Antworten Code durch die Firewall "Schmuggeln".
Man sollte daher erstmal eine Risikoanalyse machen udn festlegen, gegen welche Bedrohugne man sich schüztzen will, bzw. gegen welche Bedrohungen das Budget reicht.
lks
Moin,
um das ganze mal zu klären:
Wenn die Mail einen Virus enthält und/oder Kontent der einen Virus mit einem zero-day-exploit herunter lädt, hilft dir kein Proxy. Diese Exploits zeichnen sich dadurch aus unbekannt zu sein. Dein Virenscanner hat also gängigerweise das Problem: Kenn ich nicht? Interessiert mich nicht...
Das hat damit nichts zu tun. Das Gateway leitet traffic weiter. Und zwar an denjenigen, der ihn erhalten soll. Nur weil per Post Briefbomben verschickt werden, weißt das nicht, dass du eine bekommst, wenn du keine bestellt hast. (Ich gebe zu, man bestellt selten Briefbomben ^^) Jedenfalls nur weil dein Briefträger deinem Nachbarn eine Briefbombe vorbei bringt musst du nicht den Briefträger wechseln.
Das Gateway ist also egal. Da es nur zwischen Parteien vermittelt und das will man auch so haben..
Das setzt Voraus, dass dein Proxy ein anderes Standardgateway hätte, was aber, wie oben erwähnt nicht Sinn und Zweck der Sache ist. Clients über einen Proxy surfen zu lassen, ist dennoch eine nette Idee, schaust du dir aber an, wie HTTPS funktioniert (http://wiki.squid-cache.org/Features/HTTPS) merkst du schnell, wie wenig Spaß es macht. Gerade in Zeiten in denen immer mehr HTTPS Traffic entsteht, kann man durchaus die Nutzung von Proxies hinterfragen.
Viel arbeit, wenig lohn. Du wird so viele stellen treffen wo nur "deutsche Seiten" Kontent von "nicht deutschen Seiten" laden wollen und somit schnell Probleme entstehen. Gerade wenn viele JS und CSS libaries nicht geladen werden können. Man sollte hier auch bedenken, dass IP-Spaces nur bedingt geologisch zugeordnet werden können. Man kann zwar sagen, der Inhaber dieser IPs sitzt in den USA announced die IP aber an einem Standort in DE ebenso. Sprich es steht ein Server in Deutschland dahinter, man sieht aber eine Amerikanische oder Russische IP-Adresse. Aber das führt vermutlich zu weit.
Kann man machen, bringt halt wie schon erwähnt nicht so viel, wenn der Kram verschlüsselt ist.
Das würde sicher etwas ändern, die Frage ist ob man damit nicht aus einer kleinen Möglichkeit, dass etwas passiert einen Hürdenlauf aufbaut der letztlich mehr Zeit und Geld verschlingt als die Möglichkeit von einem solchen Angriff getroffen zu werden, wenn man seine restliche Infrastruktur auch nur ein klein wenig sicher baut und seine User, zumindest einen Teil von ihnen, schult misstrauisch zu sein.
Das Geld und die Zeit die du in deine Filtersysteme stecken wirst, insbesondere die bezüglich der IP Subnetze, wirst du sicher woanders besser brauchen können, also vielleicht doch anders bauen?
Gruß
Chris
um das ganze mal zu klären:
0day Virii Mail
Wenn die Mail einen Virus enthält und/oder Kontent der einen Virus mit einem zero-day-exploit herunter lädt, hilft dir kein Proxy. Diese Exploits zeichnen sich dadurch aus unbekannt zu sein. Dein Virenscanner hat also gängigerweise das Problem: Kenn ich nicht? Interessiert mich nicht...
Kann sehr einfach passieren wenn alle Clients ein GW nutzen.
Das hat damit nichts zu tun. Das Gateway leitet traffic weiter. Und zwar an denjenigen, der ihn erhalten soll. Nur weil per Post Briefbomben verschickt werden, weißt das nicht, dass du eine bekommst, wenn du keine bestellt hast. (Ich gebe zu, man bestellt selten Briefbomben ^^) Jedenfalls nur weil dein Briefträger deinem Nachbarn eine Briefbombe vorbei bringt musst du nicht den Briefträger wechseln.
Das Gateway ist also egal. Da es nur zwischen Parteien vermittelt und das will man auch so haben..
Jetzt war die Idee was ist wenn die Clients std. mässig NICHT über ihr Standard GW raussurfen können sondern alle erst über einen Proxy.
Das setzt Voraus, dass dein Proxy ein anderes Standardgateway hätte, was aber, wie oben erwähnt nicht Sinn und Zweck der Sache ist. Clients über einen Proxy surfen zu lassen, ist dennoch eine nette Idee, schaust du dir aber an, wie HTTPS funktioniert (http://wiki.squid-cache.org/Features/HTTPS) merkst du schnell, wie wenig Spaß es macht. Gerade in Zeiten in denen immer mehr HTTPS Traffic entsteht, kann man durchaus die Nutzung von Proxies hinterfragen.
Wenn der Proxy jetzt so eingestellt wäre das NUR Deutsche Ziele erreicht werden können
Viel arbeit, wenig lohn. Du wird so viele stellen treffen wo nur "deutsche Seiten" Kontent von "nicht deutschen Seiten" laden wollen und somit schnell Probleme entstehen. Gerade wenn viele JS und CSS libaries nicht geladen werden können. Man sollte hier auch bedenken, dass IP-Spaces nur bedingt geologisch zugeordnet werden können. Man kann zwar sagen, der Inhaber dieser IPs sitzt in den USA announced die IP aber an einem Standort in DE ebenso. Sprich es steht ein Server in Deutschland dahinter, man sieht aber eine Amerikanische oder Russische IP-Adresse. Aber das führt vermutlich zu weit.
UND hier noch eine AV vorgeschaltet ist,
Kann man machen, bringt halt wie schon erwähnt nicht so viel, wenn der Kram verschlüsselt ist.
würde das eurer Meinung nach etwas ändern wenn ein Dropper per Mail an einen Client geschickt wird ?
Das würde sicher etwas ändern, die Frage ist ob man damit nicht aus einer kleinen Möglichkeit, dass etwas passiert einen Hürdenlauf aufbaut der letztlich mehr Zeit und Geld verschlingt als die Möglichkeit von einem solchen Angriff getroffen zu werden, wenn man seine restliche Infrastruktur auch nur ein klein wenig sicher baut und seine User, zumindest einen Teil von ihnen, schult misstrauisch zu sein.
Das Geld und die Zeit die du in deine Filtersysteme stecken wirst, insbesondere die bezüglich der IP Subnetze, wirst du sicher woanders besser brauchen können, also vielleicht doch anders bauen?
Gruß
Chris
Die Sophos XG Firewall kann sowas, hab die Home Version selber. Scannt bei mir bis 250MB(lässt sich frei Definieren).
