malika
Goto Top

Router-Firewall: Vigor2850 und Telekom-Rechnung

Hallo zusammen,

vor ein paar Tagen hat ein Mitarbeiter die Telekom-Rechnung (http://de.engadget.com/2013/10/02/deutsche-telekom-warnt-gefalschte-rec ..) geöffnet, obwohl die als SPAM markiert war und heute bekamen wir über 3000 SPAM-Nachrichten und die meisten mit der E-Mailadresse über outlook.com. Die Trojaner und Viren auf dem infizierten PC sind gelöscht... hoffentlich alle!

Hardware-Firewall haben wir nicht. Auf dem Vigor 2850 Router (Demo: http://www.draytek.com/.upload/Demo/Vigor2850/v3.3.6.1/) sind die Firewall-Einstellungen möglich. Syslog kommt per E-Mail und es zeigt sich sehr große Dos-Aktivität aus China. Alle DoS-Defense-Einstellungen der Routrs sind aktiviert. Kann man noch was machen?

Danke für die Tipps

Content-Key: 218376

Url: https://administrator.de/contentid/218376

Ausgedruckt am: 29.03.2024 um 04:03 Uhr

Mitglied: aqui
aqui 02.10.2013 um 15:30:16 Uhr
Goto Top
Nein, jedenfalls nicht auf dem Router, denn der kann den Eingang der SPAMs selber nicht verhindern, da er nur max. bis Layer 4 Filtern kann. Den SPAM musst du auf dem Mail Server mit Tools wie SPAM Assin oder sowas killen.
Wenn du einen externen Mailserver nicht im lokalen Netz nutzt ist das so oder so obsolet, denn dann fliesst kein Mailserver Verkehr über den Router sondern nur der Client Verkehr wenn diese Mails abrufen.
Mitglied: malika
malika 02.10.2013 um 15:46:43 Uhr
Goto Top
Zitat von @aqui:
Den SPAM musst du auf dem Mail Server mit Tools wie SPAM Assin oder sowas killen.

Den Mailserver (Exchange unter SBS 2010) haben wir im Firmennetz, per Portweiterleitung also nicht im DMZ. Die E-Mails, die als SPAM erkannt werden löschen oder lieber abweisen? In welchem Fall wird der Mailserver weniger belastet?
Mitglied: aqui
aqui 02.10.2013 aktualisiert um 18:26:55 Uhr
Goto Top
"per Portweiterleitung also nicht im DMZ" Oha....im Produktivnetz und nichtmal abgetrennt per VLAN etc. ???
Wäre normalerweise ein klassischer Abmahnungsgrund für einen IT Netzwerker so dilettantisch vorzugehen mit der Firmen Sicherheit...aber wenns nur ne Würstchenbude ist ist das ja noch tolerabel ggf....

Normalerweise löscht ein SPAM Filter diese Emails oder besser packt sie in einen Quarantäne Ordner aus dem sie nach x Tagen dann automatisch gelöscht werden, falls die SPAM Erkennung doch mal nicht so sauber funktioniert hat und man manuell was rückkopieren muss.
Der Mailserver wird ja logischerweise immer gleich belastet, da der SPAM Filter ja alles ansehen muss bevor er eine Entscheidung fällt. Noch viel sinnvoller ist das vorherige SPAM Filtern mit einer Application Firewall, die dann wirklich nur den "gereinigten" Traffic auf den Mailserver forwardet.
Abgesehen vom Löschen oder verzögerten Löschen, denn das belastet den Plattenplatz des Servers logischerweise nicht zusätzlich !
Aber für jemanden der den Mailserver ohne DMZ und Schutz per Port Forwarding direkt im Produktivnetz betreibt vielleicht wirklich etwas viel verlangt...?!
Mitglied: 108012
108012 02.10.2013 um 19:19:26 Uhr
Goto Top
Hallo,

Den Mailserver (Exchange unter SBS 2010) haben wir im Firmennetz, per Portweiterleitung also nicht im DMZ.
Dann schnell ändern und wenn es nur via VLAN und mittels "strenger" ACLs ist so wie @aqui es vorgeschlagen hat.

Die E-Mails, die als SPAM erkannt werden löschen oder lieber abweisen?
Ja und nein!
- Ja weil dann der Spam aus den Email der Mitarbeiter raus ist
- Nein weil der Spam auch richtige bzw. wichtige Mails (false positive des Filters) für Euch aussortieren kann,
die Ihr aber dringend braucht um zu arbeiten oder weil ein Kunde auf eine Antwort oder sogar einen Rückruf wartet!

In welchem Fall wird der Mailserver weniger belastet?
Man kann auch mehrere Punkte in der Spamabwehr zusammen fassen bzw. hintereinander schalten!
Weniger Belastung für den Server
- Statt eines Routers oder einer reinen Firewall ein UTM Gerät benutzen. (Antivirus, Spamerkennung, Kontentfilter, Malware Scann,...)
- Hinter der reinen Firewall oder dem Router eine STM als transparenten Proxy nutzen. (das selbe wie UTM nur ohne Firewall!)
- Einen Mail Proxy Server vor den SBS schalten, aber da der ja nur einen LAN Port unterstützt ist das auch nicht immer so einfach.
Mehr Belastung für den Server
- Auf dem Server einen Spamfilter installieren oder hier einmal nachsehen ob das etwas für Euch ist: Spamhaus

Gruß
Dobby

P.S. Die Emails gleich löschen ist nicht so toll, denn wenn jemand Euch einen wichtige Email schickt und diese wurde
von dem Filter als Spam klassifiziert kann man sie nicht mehr zurück holen bzw. weiterleiten, das würde ich eben in ein
extra Verzeichnis packen wollen und dann muss man wohl oder übel auch ab und zu dieses Verzeichnis durchsuchen um
eventuelle "echte" Mails noch zu retten.
Mitglied: malika
malika 02.10.2013 um 22:33:02 Uhr
Goto Top
Zitat von @aqui:
"per Portweiterleitung also nicht im DMZ" Oha....im Produktivnetz und nichtmal abgetrennt per VLAN etc. ???
Wäre normalerweise ein klassischer Abmahnungsgrund für einen IT Netzwerker so dilettantisch vorzugehen mit der Firmen
Sicherheit...aber wenns nur ne Würstchenbude ist ist das ja noch tolerabel ggf....

Keine Würstchenbude! Aber alle haben irgendwann klein angefangen, oder?!. Was soll man machen, wenn es nur ein Server gibt und der soll gleichzeitig als File- und Applikationsserver dienen?! Ich kann ja nicht unser Fileserver in DMZ frei geben, oder?!

Auf dem Server läuft schon eine robuste SPAM-Abwehr, die für Exchange zugeschnitten ist sowie ein Software-Firewall aber trotzdem sehe ich, dass sehr viele SPAM-Nachrichten kommen. Die landen nicht bei MA, die sind dann in der Quarantäne oder gelöscht. Ich bekomme für jede SPAM-Nachricht eine Benachrichtigung (schalte ich lieber ab! face-wink. Aber das kann ja nicht sein, dass eine Firma unserer Größe (10 MA) 3000 SPAM-Nachrichten pro Tag bekommt und laut Router-Syslog versucht ständig eine chinesische IP oder eine aus Weißrussland die bestimmten Ports abzufragen...
Mitglied: 108012
108012 03.10.2013 um 01:00:49 Uhr
Goto Top
Hallo,

Keine Würstchenbude!
Nana jetzt mal nicht gleich angeben!

Aber alle haben irgendwann klein angefangen, oder?!.
Siehste, sag ich doch.

Was soll man machen, wenn es nur ein Server gibt und der soll gleichzeitig als File- und Applikationsserver dienen?!
Ich kann ja nicht unser Fileserver in DMZ frei geben, oder?!
Nein aber zwei VLANs anlegen kann man doch.

Auf dem Server läuft schon eine robuste SPAM-Abwehr, die für Exchange zugeschnitten ist sowie ein Software-Firewall aber trotzdem sehe > ich, dass sehr viele SPAM-Nachrichten kommen.
Wir alle sehen das jeden Tag, die kommen zu allen durch, mal mehr und mal weniger.

Die landen nicht bei MA, die sind dann in der Quarantäne oder gelöscht. Ich bekomme für jede SPAM-Nachricht eine Benachrichtigung
(schalte ich lieber ab! .
Das würde ich auch machen wollen.

Aber das kann ja nicht sein, dass eine Firma unserer Größe (10 MA) 3000 SPAM-Nachrichten pro Tag bekommt
Wenn man 1 Millionen Spam Mails am Tag verschickt und nur 10.000 Leute antworten oder sich die Seite anschauen
und dann wiederum nur 5000 Leute am Tag bestellen, hat man seinen "Dreck für den geworben wird" aber gut verkauft!
Und wie viele Leute sich hinter einer IP Adresse verbergen ist, für diese Leute doch gar nicht ersichtlich.

und laut Router-Syslog versucht ständig eine chinesische IP oder eine aus Weißrussland die bestimmten Ports abzufragen...
Willkommen in der Wirklichkeit! Höchstwahrscheinlich irgend ein armes "Schwein" mit einem Virus drauf der davon gar nichts weiß
und von seiner Regierung oder sonst irgend wem anders dafür nur missbraucht wird! Das läuft auch vollautomatisch ab und dort
sitzt keiner hinter dem Bildschirm!

Ich sag ja so eine UTM kostet natürlich auch Geld und vor allen Dingen Lizenzkosten, nur da bleibt "vorne" im Netzwerk natürlich
auch schon viel hängen bzw. kommt erst gar nicht in das Netzwerk.
- Antispam
- Antimalware
- Antivirus
- IDS/IPS
- Kontentfilter

Gruß
Dobby
Mitglied: malika
malika 03.10.2013 um 10:04:00 Uhr
Goto Top
Wow, die store.exe verbraucht 7 GB RAM... (die 16 sind bis zum Anschlag fast leer) Was kann man da tun?
Mitglied: malika
malika 03.10.2013 aktualisiert um 11:42:46 Uhr
Goto Top
Zitat von @malika:
Wow, die store.exe verbraucht 7 GB RAM... (die 16 sind bis zum Anschlag fast leer) Was kann man da tun?

Ach ja, hier ist die Lösung: http://www.sysadminslife.com/windows/exchange-storeexe-hohe-ram-auslast ...

Bei 16 GB habe Max auf 4 GB (524288) und Min auf 2 GB (262144) belassen. Jetzt ist schon RAM in Ordnung...
Mitglied: 108012
108012 03.10.2013 aktualisiert um 12:46:38 Uhr
Goto Top
Wow, die store.exe verbraucht 7 GB RAM... (die 16 sind bis zum Anschlag fast leer) Was kann man da tun?
Die gibt sie aber auch bei Bedarf wieder frei, also nicht so schlimm. Ich finde es sogar gut dass MS auch mal den
vorhandenen bzw. eingebauten Speicher nutzt und nicht nur immer 2 GB nimmt und man 16 GB eingebaut.

Gruß
Dobby
Mitglied: malika
malika 04.10.2013 um 10:34:04 Uhr
Goto Top
Zitat von @108012:
Die gibt sie aber auch bei Bedarf wieder frei, also nicht so schlimm. Ich finde es sogar gut dass MS auch mal den
vorhandenen bzw. eingebauten Speicher nutzt und nicht nur immer 2 GB nimmt und man 16 GB eingebaut.

Abgesehen davon, dass ich die Begrenzung auf 4 GB eingestellt habe und den Dienst neu gestartet habe verbraucht er trotzdem 7 GB. Ist es überhaupt normal, dass der Server von den vorhandenen 16 GB nur 512 MB in Standby und 12-70 MB frei hat?! Im Netz sind zurzeit nur 3 MA...

Zurück zum SPAM-Problem: ich konnte seit gestern bis zum heutigen Neustart des Servers keine Remoteverbindung sowohl über TeamViewer als auch per Remotedesktop aufbauen. Im Router konnte ich den Server sehen, dass er dann zw. 17-24 Sessions hatte aber keine Fernwartung möglich war. Kann es sein, dass es viele SPAMs verarbeiten müsste?
Mitglied: aqui
aqui 04.10.2013 um 10:43:32 Uhr
Goto Top
..."Im Router konnte ich den Server sehen,..."
Wie geht das denn ??
Du meinst einen ARP Eintrag von der Server Mac oder WAS siehst du vom Server denn im Router ?? Normalerweis eist das Unsinn, denn der Router arbeitet nur auf dem OSI Layer 3. Da "siehst" du maximal die IP Adresse des Servers oder die MAC (ARP) mehr aber auch nicht.
Was willst du uns also damit sagen ?

Man kann auch nur hoffen das du nicht noch ein Loch in die Firewall gebohrt hast für RDP um remote auf den Server zuzugreifen ?!
Da muss man sich dann über Angriffe von außen nicht groß wundern ?!
Mitglied: malika
malika 04.10.2013 aktualisiert um 10:57:31 Uhr
Goto Top
Zitat von @aqui:
..."Im Router konnte ich den Server sehen,..."
Wie geht das denn ??
Du meinst einen ARP Eintrag von der Server Mac oder WAS siehst du vom Server denn im Router ?? Normalerweis eist das Unsinn, denn
der Router arbeitet nur auf dem OSI Layer 3. Da "siehst" du maximal die IP Adresse des Servers oder die MAC (ARP) mehr
aber auch nicht.
Was willst du uns also damit sagen ?

Ich sehe die IP-Adresse des Servers unter dem Data Flow Monitor. Was kann man noch im Router sehen?! face-wink Woher kommt so eine Reaktion?! Ja, ich bin keine gelernte IT-Admin und nun?.. Ich gib mir die Mühe...

Man kann auch nur hoffen das du nicht noch ein Loch in die Firewall gebohrt hast für RDP um remote auf den Server zuzugreifen
?!
Da muss man sich dann über Angriffe von außen nicht groß wundern ?!

Nein, nach außen hat der Server nur diese Ports offen: 25, 110, 143, 443, 465, 587, 993 und 995. Die Port-Nr 3389 also RDP hatte ich nur für paar Minuten offen um die Remoteverbindung aufzubauen sowie mit SSH über 22,23 probiert. Danach die RDP und SSH wieder zugemacht/deaktiviert.
Mitglied: aqui
aqui 04.10.2013 aktualisiert um 18:10:20 Uhr
Goto Top
Das kommt immer dabei raus wenn blutige Laien mit Administratoren kommunizieren...da wird oft aneinander vorbeigeredet. Deshalb auch hier ja nochmals die genaue Nachfrage WAS du uns damit sagen wolltest, denn die Aussage hilft nicht wirklich zielführend weiter. Aber egal...gut das das nun klar ist.

"...nach außen hat der Server nur diese Ports offen: 25, 110, 143, 443, 465, 587, 993 und 995. Die Port-Nr 3389 also RDP "
Der "Server" hat diese Ports nicht offen sondern der Router ! Über dessen Port Forwarding hat man so Löcher in seine interne Firewall gebohrt !
SSH über TCP 23 ist natürlich Blödsinn, denn TCP 23 ist Telnet...das kann nicht funktionieren wie üblicherweise bei den fest vergebenen IANA Ports.
OK auch wenn diese Ports wieder zu sind reichen die anderen ja allemal aus den Server anzugreifen, denn die sind ja komplett offen.
Jeder Port Scanner der auf die öffentliche Router IP losgelassen wird scannt diese Standardports und zeigt einem Angreifer dann sofort:Hier gibts was zu holen..."
Vermutlich ist auch noch ICMP offen so das der Router auch auf Pings und allen ICMP Traffic horcht und antwortet. Wenns ganz schlimm kommt hast du auch noch UPnP offen und aktiv.
Diese gravierende Sicherheitslücke darfst du bei Port Forwarding nicht vergessen !!
Mitglied: malika
malika 04.10.2013 aktualisiert um 22:03:39 Uhr
Goto Top
Zitat von @aqui:
Aber egal...gut das das nun klar ist.

Ok.

"...nach außen hat der Server nur diese Ports offen: 25, 110, 143, 443, 465, 587, 993 und 995. Die Port-Nr 3389 also
RDP "

Der "Server" hat diese Ports nicht offen sondern der Router ! Über dessen Port Forwarding hat man so
Löcher in seine interne Firewall gebohrt !

Ich habe mich falsch ausgedruckt und habe nicht die Funktion "Port Redirection" aktiviert sondern nur die Funktion "Open Ports" angewendet und zwar so, dass die nur für eine bestimmte IP-Adresse geöffnet sind. Im Demo oben unter NAT/Open Ports kann man die Konfiguration-Option finden.

SSH über TCP 23 ist natürlich Blödsinn, denn TCP 23 ist Telnet...das kann nicht funktionieren wie
üblicherweise bei den fest vergebenen IANA Ports.

Ja, Telnet natürlich! face-wink Mit IANA habe ich nicht verstanden was Du damit meinst...

OK auch wenn diese Ports wieder zu sind reichen die anderen ja allemal aus den Server anzugreifen, denn die sind ja komplett
offen.

Und was ist im DMZ; es wird dann alles offen, oder?! Ok, zwischen DMZ und PCs im LAN gibt dann Firewall und der Rechner aus DMZ hat keine Ahnung von den PCs im LAN. Aber ich verstehe wirklich nicht wie ich ein Server gleichzeitig im DMZ haben soll und weitere Dienste des gleichen Servers nicht im DMZ betreiben soll. Ich habe zwar mehrere Ethernet-Anschlüsse aber soweit ich weiß kommt der SBS 2011 mit mehreren aktiven Ethernets nicht zu Recht.

Falls Du ein paar konstruktiven Lösungsrichtungen geben könntest so würde ich sehr dankbar sein und hoffentlich danach nicht zum Botnetz angehören. face-wink

Jeder Port Scanner der auf die öffentliche Router IP losgelassen wird scannt diese Standardports und zeigt einem Angreifer
dann sofort:Hier gibts was zu holen..."

Dann wieder die dumme Frage - was ist mit dem Server im DMZ? face-wink

Vermutlich ist auch noch ICMP offen so das der Router auch auf Pings und allen ICMP Traffic horcht und antwortet. Wenns ganz
schlimm kommt hast du auch noch UPnP offen und aktiv.

Wie kann ich überprüfen, ob dies offen ist?! Beim Router unter Firewall >> DoS defense Setup sind alle Haken aktiv (z. B. bei Block ICMP fragment, Enable ICMP flood defense). Ist es nicht ausreichend?