Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Trojaner ausfindig machen

Mitglied: Luciver1981

Luciver1981 (Level 1) - Jetzt verbinden

05.04.2013 um 21:12 Uhr, 3391 Aufrufe, 8 Kommentare

Guten Abend Leute

Wie macht ihr in euren Netzwerken Trojaner ausfindig wenn die Security Software ala Kaspersky, Norton usw. nicht anschlägt. Aber z.B. die Routerlogs verdächtige Verbindungen aufweisen? Wie und mit welchen Tools Managed ihr eure Netzwerke?
Mitglied: Lochkartenstanzer
05.04.2013 um 21:16 Uhr
Moin,

z.B. mit einem IDS wie z.B. snort. Es gibt natürlich gengend andere Alternativen.

lks
Bitte warten ..
Mitglied: Luciver1981
05.04.2013 um 21:55 Uhr
Hallo LKS ok ist eine Möglichkeit und die anderen?
Bitte warten ..
Mitglied: danielfr
05.04.2013 um 22:09 Uhr
Ich sehe mir gerade alienvault an... sieht sehr gut aus, muss ich aber erst noch weiter testen um genaues sagen zu können.
http://communities.alienvault.com/
Bitte warten ..
Mitglied: Luciver1981
05.04.2013, aktualisiert um 22:36 Uhr
Alienvault nutzt mehrere Sicherheitssysteme u. a. Snort weißt was über die Kosten die entstehen?
Bitte warten ..
Mitglied: 108012
05.04.2013 um 22:50 Uhr
Hallo,

es wäre ja gar zu schön zu wissen ob das ein Heimnetzwerk oder ein betrieblich genutztes Netzwerk ist
und wie groß es ist und wie viele Leute oder Mitarbeiter damit versorgt werden.

man kann das sicherlich wie mein Vorredner geschrieben hat mit einem IDS/IPS System versuchen
zu erledigen, was sicherlich auch Sinn macht nur das würde ich gerade in Deinem Fall jetzt erst einmal
als zweitrangig einstufen, denn erst einmal muss ja der Trojaner weg und zwar am besten recht flott und
dann würde ich mir die Mühe machen einige IDS Sensoren und einen IDS Server auzusetzen.

Zur aktuellen Zeit würde ich mir eher die Mühe machen und einen separaten PC aufsetzen der recht potent
ist oder einen kleinen Server der kräftig genug ist und an dem Core Switch eine Monitor Port schalten
der auf den PC/Server zeigt oder besser dort endet und dann mit WireShark das ganze mir einmal aufzeichnen und näher anschauen, alternativ würde es auch eine TCPDUMP Aufzeichnung erledigen oder respektive die Protokolldateien vom Router damit abgleichen und dann den Trojaner entfernen.

- Trojaner lokalisieren (WireShark, Protokolldateien, TCPDUMP)
- Trojaner einfangen (Von einer Linux LifeCD booten und auf einen sauberen USB Stick kopieren)
- System säubern oder gleich neu aufsetzen (für ein besseres Gefühl und/oder Gewissen)
- Herausfinden woher der Trojaner stammt! (USB Stick, USB Festplatte, Smartphone,.....)
- IDS/IPS System aufsetzen

Je nach Betriebsgröße ist das aber sehr unterschiedlich und meist auch abhängig von der gesamten
Struktur des Netzwerkes, wie viele, wo und welche Sensoren man im Netzwerk verteilt.

Bei IDS/IPS Systemen gibt es derzeit zwei aktuelle Systeme Snort und Suricata,
Snort ist schon etwas älter und hat damals das Shadow System abgelöst und Suricata ist etwas jünger aber hat halt auch mächtige Verbündete und bekommt gerade auch noch recht potente Hardware Unterstützung,
also da tut sich demnächst noch etwas.

Zusätzlich kann man aber auch noch ein oder mehrere Hosts als Honeypot aufsetzen die ein verwundbares
Windows XP und/oder Windows Server System simulieren und diese Trojaner damit dann "anlocken" oder "Eindringlinge" ablenken.

Es ist halt auch immer mit einem gewissen Aufwand verbunden was man machen will und vor allem anderen was man machen darf sowie dem Faktum das was man bezahlt und genehmigt bekommt.

Gruß
Dobby
Bitte warten ..
Mitglied: danielfr
05.04.2013 um 23:21 Uhr
Es gibt eine Opensource Variante, der Unterschied zur kommerziellen Version afaik ist der Support und die Updates der Bedrohungssignaturen von Alienvault selbst (so wie ich das verstanden habe).
http://www.alienvault.com/ossim-vs-commercial/
Das ist halt ein sehr umfangreiches Monitoring mit vielen integrierten Tools, wie u.a. auch Nagios...
Mehr weiss ich bisher auch noch nicht... werde mich aber die nächsten Wochen evtl. weiter damit beschäftigen.
Bitte warten ..
Mitglied: aqui
06.04.2013 um 13:38 Uhr
Ein gut gepflegtes Snort und sFlow auf dem Switch sind deine Freunde !
Bitte warten ..
Mitglied: danielfr
10.04.2013 um 09:10 Uhr
Hi, das:
http://www.amazon.de/Security-Information-Management-Implementation-Net ...
liegt bei mir auf dem Schreibtisch, es werden Systeme verschiedener Hersteller vorgestellt... sieht sehr sinnvoll aus.
Grüße
Daniel
Bitte warten ..
Ähnliche Inhalte
Sicherheit
Email Absender ausfindig machen
Frage von Link18Sicherheit3 Kommentare

Hallo alle Zusammen, ist bin neu hier und habe ein, für mich schwerwiegendes Problem. Gestern Abend fing plötzlich das ...

Windows XP

XP-Geräte in Netzwerken ausfindig machen

Frage von Haggy2k3Windows XP3 Kommentare

Hallo liebe Community, ich hoffe hier kann mir jemand weiter helfen. Ich suche ein Tool mit dem ich XP-Geräte ...

Netzwerkmanagement

Wie scanne ich unser Netzwerk ab um den Trafficverursacher ausfindig zu machen?

gelöst Frage von M.MarzNetzwerkmanagement7 Kommentare

Hallo zusammen, unser Netzwerk wird hin und wieder so langsam, das kaum jemand arbeiten kann. Ich habe den verdacht, ...

Viren und Trojaner

Mischa Trojaner. Was nun

Frage von EdaseinsViren und Trojaner5 Kommentare

Hi Leute, und nun bin ich verzweifelt. Ich habe einen Kunden der hat sich nen Mischa im gesamten Netzwerk ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 2 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Router & Routing
Mikrotik: Routing zwischen Interfaces mit Geräten ohne Gateway
Frage von TonLichtVideoRouter & Routing18 Kommentare

Hallo zusammen, ich komme aus dem Veranstaltungstechnik Bereich und habe zwei Netze um verschiedene Hardware zu Remoten. CONTROL1 192.168.1.0/24 ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

SAN, NAS, DAS
Entscheidung SAN Dell oder HP
Frage von VincorSAN, NAS, DAS13 Kommentare

Hallo, wir wollen uns für unsere Hyper V Umgebung eine neue SAN Anschaffen. Es laufen 30 VM's darunter, DC; ...

Vmware
Server 2008 r2 vmware terminalserver
Frage von MasterCVmware10 Kommentare

Guten Abend zusammen, ich hoffe , dass einer von euch mir weiterhelfen kann ,bei meinem kack Problem ! Ist ...