4
Firewall Protokoll auf potentiellen Eindringling durchsuchen (IPCOP)
Im Protokoll der Firewall (Ipcop) Anzeichen auf potentielle Eindringlinge erkennen. (ohne/mit IDS)
Guten Tag,
da wir seit kurzem die Vermutung haben möglicherweise einen Eindringling in unserem Netzwerk zu haben, wurden die Protokolle der Firewall mal genauer betrachtet. Grundsätzlich waren bis dato folgende Ports geöffnet (80, 443, 3389, 2222 für Virensoftware).
Nun wurden einige Einträge entdeckt wo von Außen auf unsere öffentliche IP beispielsweise über den Port 43124 zugegriffen wurde. Port war zu jedem Zeitpunkt immer gleich, die IP jedoch immer verändert.
Meine Frage lautet nun: da dieser Port nicht fregegeben ist und grundsätzlich alle weiteren Ports auch gesperrt sind, ist dies ein möglicher Hinweis auf einen Eindringling und wie geht ihr generell systematisch vor um einen Eindringling zu erkennen (welche Tools, Protokollanalyse, etc.)
Vielen Dank für jeden Hinweis und auch Tipp im Bereich IDS, IPS. (Windows-Netzwerk mit ca. 25 Rechnern, IPCOP HW-Firewall)
da wir seit kurzem die Vermutung haben möglicherweise einen Eindringling in unserem Netzwerk zu haben, wurden die Protokolle der Firewall mal genauer betrachtet. Grundsätzlich waren bis dato folgende Ports geöffnet (80, 443, 3389, 2222 für Virensoftware).
Nun wurden einige Einträge entdeckt wo von Außen auf unsere öffentliche IP beispielsweise über den Port 43124 zugegriffen wurde. Port war zu jedem Zeitpunkt immer gleich, die IP jedoch immer verändert.
Meine Frage lautet nun: da dieser Port nicht fregegeben ist und grundsätzlich alle weiteren Ports auch gesperrt sind, ist dies ein möglicher Hinweis auf einen Eindringling und wie geht ihr generell systematisch vor um einen Eindringling zu erkennen (welche Tools, Protokollanalyse, etc.)
Vielen Dank für jeden Hinweis und auch Tipp im Bereich IDS, IPS. (Windows-Netzwerk mit ca. 25 Rechnern, IPCOP HW-Firewall)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 149489
Url: https://administrator.de/contentid/149489
Printed on: April 23, 2024 at 08:04 o'clock
4 Comments
Latest comment
1. Wenn du ein weiteres Netz hast, connecte dies via VPN, somit müsstest du nicht den Port für die Virensoftware eröffnen
2. Hast du die Webserver in Orange, sprich DMZ?
3. Hast du die IDS, sprich snort an + die Erweiterung guardian installiert?
4. Mach bitte einen offline Scan der PCs, ich wette, einer ist infisziert...
Gruss
adminst
2. Hast du die Webserver in Orange, sprich DMZ?
3. Hast du die IDS, sprich snort an + die Erweiterung guardian installiert?
4. Mach bitte einen offline Scan der PCs, ich wette, einer ist infisziert...
Gruss
adminst
Hallo,
ad1) Es sind Mitarbeitern extern unterwegs, benötigen jedoch nur Zugriff auf Outlook over RPC. Somit kein VPN und daher der Port für die Viren-SW Verwaltung. Sicherheitsproblematisch?
ad2) Es existieren ein Mail-Server und ein DatenServer (für Remote Zugriff) und diese stehen in GRÜN und es wird bisher kein DMZ verwendet.
ad3) IDS war bisher nicht aktiviert, läuft nun und ich werde die Erweiterung guardian nachinstallieren (macht natürlich Sinn, Danke)
ad4) tatsächlich war ein Rechner infiziert (Trojan)
Den Mailserver ins DMZ zu stellen und Snort mit guardian (+ ev. BOT) zu betreiben sind deiner Meinung nach ausreichende Absicherungen?
Vielen Dank für dein raches Feedback!
ad1) Es sind Mitarbeitern extern unterwegs, benötigen jedoch nur Zugriff auf Outlook over RPC. Somit kein VPN und daher der Port für die Viren-SW Verwaltung. Sicherheitsproblematisch?
ad2) Es existieren ein Mail-Server und ein DatenServer (für Remote Zugriff) und diese stehen in GRÜN und es wird bisher kein DMZ verwendet.
ad3) IDS war bisher nicht aktiviert, läuft nun und ich werde die Erweiterung guardian nachinstallieren (macht natürlich Sinn, Danke)
ad4) tatsächlich war ein Rechner infiziert (Trojan)
Den Mailserver ins DMZ zu stellen und Snort mit guardian (+ ev. BOT) zu betreiben sind deiner Meinung nach ausreichende Absicherungen?
Vielen Dank für dein raches Feedback!
Hallo,
du schreibst oben das nur ein paar Ports offen sind in deiner Firewall.
Wie kommst du also drauf das auf deinem 43124 Port nun wer eingedrungen sein könnte?
_Sind_ nun _nur_ o.g. Ports offen oder noch mehr?
Wenn nur die offen sind kann da nix rein. Da wurde entweder einfach ein Portscan gemacht
oder jemand versuchte von außen auf dem Port rein zu kommen um ggf. ein Programm oder
eine Malware zu kontaktieren.
Wenn der Port aber dicht ist, kommt da nix in dein Netz.
Ich würde an deiner Stelle eher mal die ausgehenden Verbindungen aus deiner Firewalllog ansehen
und ggf. mal ein Wireshark an anwerfen.
Mfg.
du schreibst oben das nur ein paar Ports offen sind in deiner Firewall.
Wie kommst du also drauf das auf deinem 43124 Port nun wer eingedrungen sein könnte?
_Sind_ nun _nur_ o.g. Ports offen oder noch mehr?
Wenn nur die offen sind kann da nix rein. Da wurde entweder einfach ein Portscan gemacht
oder jemand versuchte von außen auf dem Port rein zu kommen um ggf. ein Programm oder
eine Malware zu kontaktieren.
Wenn der Port aber dicht ist, kommt da nix in dein Netz.
Ich würde an deiner Stelle eher mal die ausgehenden Verbindungen aus deiner Firewalllog ansehen
und ggf. mal ein Wireshark an anwerfen.
Mfg.
Hallo!
Es sind nur o.g. Ports offen! Somit besteht deiner Meinung nach von Außen nicht die Möglichkeit die Firewall zu umgehen, sondern eher dass Netzintern ein Problem besteht. Werde den Outgoing-Traffic mal genauer ansehen und danke für den Tipp mit Wireshark!
Sg.
Es sind nur o.g. Ports offen! Somit besteht deiner Meinung nach von Außen nicht die Möglichkeit die Firewall zu umgehen, sondern eher dass Netzintern ein Problem besteht. Werde den Outgoing-Traffic mal genauer ansehen und danke für den Tipp mit Wireshark!
Sg.
