micki
Goto Top

Erkennen von Operational Relay Boxes

Wie kann man analysieren bzw. erkennen ob auf den eigenen Servern sog. Operational Relay Boxes von 3. installiert wurden?

Content-Key: 246682

Url: https://administrator.de/contentid/246682

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: 16568
16568 17.08.2014 um 23:06:39 Uhr
Goto Top
Unter Umständen gar nicht.
(und wenn Du diese Frage hier stellen mußt, reicht Dein Knowhow dazu nicht aus).

Holt Euch einen Fachmann dafür.


Lonesome Walker
Mitglied: Micki
Micki 18.08.2014 um 07:21:08 Uhr
Goto Top
Danke für die inkompetente Antwort. So eine ist überflüssig wie ein Kropf!
Mitglied: SlainteMhath
SlainteMhath 18.08.2014 um 09:32:55 Uhr
Goto Top
Moin,

grundsätzlich hat Lonesome schon recht. Viel ist ja darüber bisher nicht bekannt.
Es handelt sich wohl um Rootkits/Trojaner/Würmer (der Geheimdienste) die Traffic relayen... also kommst man dem evtl. mit Trafficanalyse auf die Spur. Das setzt natürlich vorraus, man kennt seine Baselines...

lg,
Slainte
Mitglied: 108012
108012 18.08.2014 um 10:11:30 Uhr
Goto Top
Hallo,

Wie kann man analysieren bzw. erkennen ob auf den eigenen Servern sog.
Operational Relay Boxes von 3. installiert wurden?
- Welches Server OS denn überhaupt?

Und jetzt mal im Ernst, man muss doch auch erst einmal wissen
nach was denn genau man suchen muss, oder etwa nicht?

Ich denke man kann sicherlich einen oder auch zwei HoneyPots in einem Jail aufstellen
und dann hoffen das man eine dieser Boxen auf das System bekommt, aber dann geht
in der Regel die Arbeit ja auch erst richtig los und man muss eben diese analysieren und
dann erst kann man sie nach außen kommunizieren bzw. kommentieren und die Befunde
öffentlich machen. Und erst dann sollte es dem Rest der "normalen" Nutzer und "Admins"
möglich sein, die Suche aufzunehmen. Und erst wenn diese Punkte an die richtigen Stellen
kommen, also sprich AV Herstellern, Snort Rules Erstellen, Firewall Codern und Herstellern,
Router Herstellern und Programmierern und Anbietern von Sicherheitssoftware kann man sogar
recht gut dagegen vorgehen und sich effektiv schützen.

Nach was und wie willst Du denn suchen? Du weißt doch gar nicht auf welchem Weg eben
diese auf Deine Server kommen.

Gruß
Dobby
Mitglied: aqui
aqui 18.08.2014 aktualisiert um 11:15:17 Uhr
Goto Top
Und wenn sie nicht auf den Servern sind dann sind sie ganz sicher als Mirror Ports im Netzwerk installiert !!
Dtektieren kann man sowas also kleiner Kunde von außen niemals. Jedenfalls nicht in einer Infrastruktur auf die man physisch keinen Zugang hat !
Die Antwort vom Kollegen LW trifft also schon genau zu auf den TO.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 18.08.2014 um 20:20:09 Uhr
Goto Top
Zitat von @Micki:

Danke für die inkompetente Antwort. So eine ist überflüssig wie ein Kropf!

Die Frage, auf Basis deines "Wissens" ist dies wohl zu einem bedeutend größeren Anteil als seine, ganz richtige, Antwort.

Irgendwo ein Fachwort aufgeschnappt, oder?
Mitglied: wiesi200
wiesi200 18.08.2014 um 20:51:49 Uhr
Goto Top
Ich glaub bei nem Link den Frank vor kurzem gepostet hat wurde davon geschrieben im Zusammenhang mit der NSA.

Und jetzt ist da vermutlich einfach Angst da.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 18.08.2014 um 21:01:19 Uhr
Goto Top
Gehört sich auch so, wenn man noch einen 2003er SBS einsetzt.
Mitglied: wiesi200
wiesi200 18.08.2014 um 21:06:52 Uhr
Goto Top
Aber er wollte zumindest TLS aufbohren.
Zumindest mal ein Anfang.
Mitglied: Micki
Micki 18.08.2014 um 21:22:43 Uhr
Goto Top
Wer das einsetzt, spielt erst mal keine große Rolle. Zur allgemeinen Aufheiterung sicher nicht nur die NSA, BND oder KGB-Nachfolger, sondern auch Netzwerksicherheitsexperten. Die Frage nach dem Server-OS ist denke ich mal obsolet, da ich mir vorstellen kann das man so was auch auf Routern, Printservern und weiß der Kuckuck welchen Netzwerkkomponenten installieren kann.

Der einzig mir sinnvoll erscheinende Vorschlag bis dato scheint mir wirklich die Trafficanalyse. Was aber kein Spaziergang ist, hab das schon für andere Zwecke gemacht!
Mitglied: 108012
108012 18.08.2014 um 22:41:41 Uhr
Goto Top
Hallo nochmal,

Wer das einsetzt, spielt erst mal keine große Rolle.
??? War ja auch nicht die Frage oder?

Zur allgemeinen Aufheiterung sicher nicht nur die NSA, BND oder KGB-Nachfolger,
sondern auch Netzwerksicherheitsexperten.
Wohl eher Firmen die sich auf Industriespionage spezialisiert haben.

Die Frage nach dem Server-OS ist denke ich mal obsolet,
Du hast doch nach Servern gefragt, auf denen man so etwas suchen muss/soll/kann
oder irre ich da jetzt so sehr? Und da ist es schon gut zu wissen was für ein Server OS
man dort vor sich hat, sonst wird das sehr schnell "daneben gehen", aber ok wenn Du
das nicht mit uns teilen möchtest kann man eben auch nur pauschal etwas anraten,
mein Tipp wäre hier zuerst einmal TripWire.

da ich mir vorstellen kann das man so was auch auf Routern, Printservern
und weiß der Kuckuck welchen Netzwerkkomponenten installieren kann.
Ja das ist zwar schon richtig, aber Du hast uns doch nach Servern gefragt
und nicht nach Routern, Servern, Switchen, Firewall und Druckern,..ect.

Der einzig mir sinnvoll erscheinende Vorschlag bis dato scheint mir wirklich
die Trafficanalyse. Was aber kein Spaziergang ist, hab das schon für andere
Zwecke gemacht!
Na dann ist ja alles tutti, und wenn Du dann noch ein Beitrag ist erledigt hinten dran pappst, Danke!

Gruß
Dobby
Mitglied: falscher-sperrstatus
falscher-sperrstatus 18.08.2014 um 22:45:12 Uhr
Goto Top
Stimmt. Hat etwas davon den Motor zu entwickeln, lange, bevor man von der viereckigen auf die runden Form der Motor-Boden-Kraftübertragung kam.

Ist wie der Cloud vs.. Thread ziemlich oberflächlich und schreit daher in und aus derselben Richtung.