Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firewall Protokoll auf potentiellen Eindringling durchsuchen (IPCOP)

Mitglied: necro306

necro306 (Level 1) - Jetzt verbinden

23.08.2010, aktualisiert 08:56 Uhr, 4928 Aufrufe, 4 Kommentare

Im Protokoll der Firewall (Ipcop) Anzeichen auf potentielle Eindringlinge erkennen. (ohne/mit IDS)

Guten Tag,

da wir seit kurzem die Vermutung haben möglicherweise einen Eindringling in unserem Netzwerk zu haben, wurden die Protokolle der Firewall mal genauer betrachtet. Grundsätzlich waren bis dato folgende Ports geöffnet (80, 443, 3389, 2222 für Virensoftware).
Nun wurden einige Einträge entdeckt wo von Außen auf unsere öffentliche IP beispielsweise über den Port 43124 zugegriffen wurde. Port war zu jedem Zeitpunkt immer gleich, die IP jedoch immer verändert.

Meine Frage lautet nun: da dieser Port nicht fregegeben ist und grundsätzlich alle weiteren Ports auch gesperrt sind, ist dies ein möglicher Hinweis auf einen Eindringling und wie geht ihr generell systematisch vor um einen Eindringling zu erkennen (welche Tools, Protokollanalyse, etc.)

Vielen Dank für jeden Hinweis und auch Tipp im Bereich IDS, IPS. (Windows-Netzwerk mit ca. 25 Rechnern, IPCOP HW-Firewall)
Mitglied: adminst
23.08.2010 um 08:53 Uhr
1. Wenn du ein weiteres Netz hast, connecte dies via VPN, somit müsstest du nicht den Port für die Virensoftware eröffnen
2. Hast du die Webserver in Orange, sprich DMZ?
3. Hast du die IDS, sprich snort an + die Erweiterung guardian installiert?
4. Mach bitte einen offline Scan der PCs, ich wette, einer ist infisziert...

Gruss
adminst
Bitte warten ..
Mitglied: necro306
23.08.2010 um 09:08 Uhr
Hallo,

ad1) Es sind Mitarbeitern extern unterwegs, benötigen jedoch nur Zugriff auf Outlook over RPC. Somit kein VPN und daher der Port für die Viren-SW Verwaltung. Sicherheitsproblematisch?
ad2) Es existieren ein Mail-Server und ein DatenServer (für Remote Zugriff) und diese stehen in GRÜN und es wird bisher kein DMZ verwendet.
ad3) IDS war bisher nicht aktiviert, läuft nun und ich werde die Erweiterung guardian nachinstallieren (macht natürlich Sinn, Danke)
ad4) tatsächlich war ein Rechner infiziert (Trojan)

Den Mailserver ins DMZ zu stellen und Snort mit guardian (+ ev. BOT) zu betreiben sind deiner Meinung nach ausreichende Absicherungen?

Vielen Dank für dein raches Feedback!
Bitte warten ..
Mitglied: Phalanx82
23.08.2010 um 13:30 Uhr
Hallo,

du schreibst oben das nur ein paar Ports offen sind in deiner Firewall.
Wie kommst du also drauf das auf deinem 43124 Port nun wer eingedrungen sein könnte?
_Sind_ nun _nur_ o.g. Ports offen oder noch mehr?
Wenn nur die offen sind kann da nix rein. Da wurde entweder einfach ein Portscan gemacht
oder jemand versuchte von außen auf dem Port rein zu kommen um ggf. ein Programm oder
eine Malware zu kontaktieren.

Wenn der Port aber dicht ist, kommt da nix in dein Netz.
Ich würde an deiner Stelle eher mal die ausgehenden Verbindungen aus deiner Firewalllog ansehen
und ggf. mal ein Wireshark an anwerfen.


Mfg.
Bitte warten ..
Mitglied: necro306
23.08.2010 um 13:43 Uhr
Hallo!

Es sind nur o.g. Ports offen! Somit besteht deiner Meinung nach von Außen nicht die Möglichkeit die Firewall zu umgehen, sondern eher dass Netzintern ein Problem besteht. Werde den Outgoing-Traffic mal genauer ansehen und danke für den Tipp mit Wireshark!

Sg.
Bitte warten ..
Ähnliche Inhalte
Firewall
Firewall Protokoll
gelöst Frage von Giusi1Firewall4 Kommentare

Hallo Zusammen ich habe eine Frage. Ich kenne Firewall zu wenig daher wollte ich wissen was für ein Protokoll ...

Firewall

Welche Firewall am besten für Virenscan pfSence, IPCop, ipFire oder andere ?

Frage von fitorfunFirewall5 Kommentare

Hallo zusammen, ich will auf einem Mini PC APU eine Firewall installieren. Ich kenne ipCop ein bisschen. Außerdem habe ...

LAN, WAN, Wireless

Protokoll unterschiede zwischen WLAN Protokoll und Ethernet Protokoll

Frage von Kay2003LAN, WAN, Wireless3 Kommentare

Schönen Guten Tag, ich bräuchte etwas Hilfe in dem Themen Bereich der Protokolle beim WLAN und Ethernet. Zurzeit arbeite ...

Verschlüsselung & Zertifikate

Diameter Protokoll

Frage von MachelloVerschlüsselung & Zertifikate2 Kommentare

Hallo Zusammen hier im Forum, ich recherchiere gerade etwas über das Diameter Protokoll als Ablöse des Radius Protokolls. Hat ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 3 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Server
Standortvernetzung zu einem Strato VServer (Windows)
Frage von matzefratze81Windows Server10 Kommentare

Moin, ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen ...

Grafikkarten & Monitore
4k EIZO Monitor, Fernseher und Splitter
Frage von LerxxeyGrafikkarten & Monitore9 Kommentare

Hallo Zusammen, vielleicht könnt ihr mir bei einem Problem helfen wo ich einfach nicht mehr weiterkomme Und zwar haben ...

TK-Netze & Geräte
Fax im Betrieb
Frage von gansa28TK-Netze & Geräte6 Kommentare

Hallo zusammen, Endlich wurden meine Gebete Erhört und der Rechner meines Bekannten dem ich etwas unter die Arme greife, ...

Humor (lol)
Nerd Zeitschrift gesucht
Frage von 2SeitenHumor (lol)6 Kommentare

Hey Zusammen, Ich suche eine Zeitschrift bei der es ums technische Basteln geht. Pc zusammenschrauben, Arduino Projekte, Server Tipps ...