Wie kann ich unbekannte Angriffe erkennen?

Na ja, du fragst wirklich wie man das Thema Dummheit oder "Menschliches Interface" ausschalten willst ?
Was erwartest du denn darauf hier vom Forum für einen Antwort ??
Wenn du dich in dein Auto setzt und das fährt nicht los kannst du ja auch nicht sagen das ich noch den Zündschlüssel ins Schloss stecken musste stand ja nirgendwo....
Gerade bei Firewall und Routerkonfigs ist besondere Vorsicht geboten und da gilt das 4 Augen Prinzip. Wenn du zu oberflächlich und nicht kundig genug bist lässt du eine 2te Person das Setup zur Sicherheit checken auf absolute Wasserdichtheit.
Ansonsten musst du dich auf ein IDS/IDP System wie z.B. Snort verlassen. Nur wenn man dort aus Unwissenheit oder Oberflächlichkeit auch Fehler macht ützt das ja herzlich wenig.

Hallo,

Wie @aqui es schon angesprochen hat Du brauchst dann ein IDS/IPS System bestehend aus mehreren Sensoren und
einem Server, es gibt auch andere Konstruktionen aber das ist eben mit eine der gängigsten Varianten.
- Snort
- Suricata
Das sind die am weit verbreitetsten IDS Systeme am Markt Snort ist schon etwas älter und Suricata
ist etwas neuer und noch in der Entstehungsphase.

Ich würde Dir vorab aber empfehlen wollen Dir ein paar Bücher zu kaufen und sich einmal im Internet so richtig einzulesen
denn das ist keine schmale Kost und es geht alleine bei den theoretischen Abhandlungen richtig zur Sache, wenn Du da
schwach auf der Brust bist, würde ich eher einmal mit TCPDUMP und WireShark anfangen den Netzwerkverkehr mitzuschneiden und dann ganz sachte in die Thematik einzutauchen. Hierzu gibt es auch ein Buch, das zwar schon etwas
älter ist, aber hervorragend zu der Thematik passt!
- IDS: intrusion Detection-Systeme (Das Handbuch)
ISBN: 3-8266-0727-9

Und wenn Du damit Tuchfühlung aufgenommen hast dann kann es weiter gehen mit ein paar anderen Büchern
die kannst Du Dir bei Amazon und Lehman´s Buchladen schnell über das Internet bestellen.

Man kann das ganze dann auch noch durch den Einsatz von Honeypots im eigenen Netzwerk ergänzen und
gerade diese dann extra durch einen Sensor beobachten lassen.

Wie, von wem, warum, wodurch und wer denn?

Man kann auch einen eigenen DNS Server in der DMZ betrieben und der kennt dann nur den DNS Server im LAN
und der kennt dann halt alle IP Adressen der Klienten, klar das kostet Zeit und Geld ist aber eben auch besser wenn man
so wie Du jetzt Probleme hat.

Direkt Euer Netzwerk bei Euch in der Firma oder nur eine Webseite die Ihr irgend wo "gehostet" habt?

Einen MS Server mit PRTG installieren und auf Eurer Webseite einen Werbebutton von PRTG sichbar anbringen,
dann gibt es eine Upgrade Lizenz und man hat zu den 10 freien Geräten noch 20 weitere frei dazu die man Überwachen kann.

Ein Blick auf den PRTG und Du hättest Bescheid gewusst! Und wenn es hart auf hart kommen soll,
dann empfiehlt sich noch der Einsatz einer Kentix Lösung, die arbeitet mit dem PRTG wunderbar zusammen und gibt
Alarmmeldungen auch per SMS und Email an den Admin ab dann weiß man immer Bescheid auch wenn Wochenende ist.

Na das geht doch, stell Dir mal vor ihr findet die Arbeit des letzten halben Jahres auf Pastbin und müsst dann auch gar nicht mehr ein Patent dafür anmelden! Aber das Geld für die Forschung von 500.000 € sind dann auch futsch.


- Einmal im Jahr eine externe Firma beauftragen die das ganze Netzwerk oder besser noch die gesamte Firma angreift
auf allen Ebenen; Telefon, Internet, WLAN, Mitarbeiter, Gebäude,....
- Selber Penetration Tests durchführen, gegen das gesamte Netzwerk bzw. die gesamte Infrastruktur.
- Belohnungen für die gesamte Belegschaft ausloben für Sicherheitslöcher, Mängel und Unzulänglichkeiten
- Prämien zahlen oder extra Urlaub für alle Mitarbeiter die Regelmäßig an Schulungen teilnehmen
- Inhouse Schulungen von externen Dienstleistern oder selber diese Schulungen besuchen und dann das Personal schulen

Eines noch in der letzten Zeit verschwimmen die Grenzen zwar schon ein bisschen, aber ein Router routet und eine Firewall
trennt, was habt Ihr denn nun am laufen?
- Eine Starke Firewall von PaloAlto Network
- Ein Snort stand alone Server in der DMZ aber mit UMTS Modem und Alarm SMS auf das Admin Handy (Max. 3 Nummern)
- Einen extra DMZ Radius Server
- Einen guten Layer2 Switch mit ACL und Port Security als DMZ Switch
- Im LAN mehrere Snort Sensoren und einen Snort Server die stark genug sind die Last abzufangen
- Eine Überwachungslösung von Kentix die auch per SMS und Mail Alarmmeldungen an den Admin verschickt
- Einen Server der auch stark bzw. Kräftig genug ist und auf dem TCPDUMP, WireShark und der PRTG installiert sind!!!
- LDAP für die Kabel gebundenen Klienten und Radius Server für die WLAN Klienten, am besten WLAN Controller gestützt
- Zwei Faktor Authentifizierung am PC und Server + eigenes Management VLAN nur für die Admins via KVM Switch
- Email Gateway das die Verschlüsselung vollautomatisch für die Mitarbeiter übernimmt
- Wachdienst für die Nacht und am Wochenende anheuern am besten gleich mit Hund!
- Auf BYOD (Bring your own Device) verzichten wenn es geht
- Protokollserver (logfile Server) in die DMZ und in das LAN setzten die die Logfiles verschlüsselt ablegen!
- Gleiche Uhrzeit auf allen Switchen, Routern, Firewalls, Servern und NAS Geräten erleichtert den Abgleich der "Logfiles"
- Extra Monitor der gut sichtbar für die Admins aufgestellt wird und die Auswertung des PRTG Anzeigt
- Eine Nagios USB Ampel aufstellen und zusammen mit PRTG nutzen, kann einem auch noch den Zustand anzeigen
wenn mal die SMS oder Email Benachrichtigung "ausfällt" und sie kann auch von jeglichem Wachpersonal abgelesen
werden bei rotem Licht ruft man dann eben eine hinterlegt Telefonnummer an.

Und dann Schulungen für Dich und die anderen Admins bei Euch und vor allem noch die Mitarbeiter, das ist nicht mit Geld zu bezahlen, wenn die Mitarbeiter gut geschult sind ist das die halbe Miete.


Gruß
Dobby

Wenn jemand Deinem Bind Server Server Millionen Anfragen schickt die mit einer vorgetäuschten (gespooften) IP Adresse abgeschickt werden und das macht derjenige mit 50.000 DNS Servern und die antworten dann auch noch alle weil sie von jemandem Administriert werden der das nicht schnallt ist die DDoS Attacke perfekt!

Na warte mal ab was passiert wenn einer eine Google Seite nachbaut die verseucht ist und dann alle Eure Leute
darauf umleitet, dann ist der halbe Betrieb von Euch an einem Tag voll verseucht und die PCs werden Spam Zombies!
Super Hoschi toll gemacht, wegen solchen wie Dir haben wir alle so viele Probleme das man es bald nicht mehr glaubt.

Jo leider noch viel zu viele.

Du hast vorne an der Firewall Ports offen und dahinter Server in einer DMZ.
Jetzt versucht jemand den Server in die Knie zu zwingen oder "ab zu schießen" bis er nicht mehr reagiert oder neu
bootet und während dieser zeit versucht man eben Euren Router oder Eure Firewall zu "entern" oder schlicht in Euer
Netzwerk einzubrechen.

Den Rest spare ich mir jetzt lieber einmal denn ich möchte hier nicht abgemahnt werden!

Ob das nun menschliche Augen sind oder mechanische Augen ist doch völlig egal, aber man kommt eben auch schnell
dahinter das etwas nicht läuft oder offen ist!

Mehr Sicherheit heißt immer mehr Arbeit und nie weniger das wünscht sich jeder aber das ist eben ein Trugschluss
und besser man macht sich selber nichts vor.

Jo und das kann man sicherlich auch machen nur muss man eben eine echtes Konzept haben und dann eine
richtige Strategie aufbauen, sonst wird das nichts!

Kauf Dir dazu am besten mal zwei oder drei Bücher und dann geht es einem etwas leichter von der Hand.

Weil da wohl wieder einer gedacht hat DNS ist doch nicht so wild der kann ruhig von außen.........


Gruß
Dobby

Als allererste Banalmassnahme solltest du ICMP (Ping) und natürlich den Konfig Zugriff am WAN Port auf dem Router vollständig deaktivieren.
Es ist völlig normal das man permanent Ping Tests und Port Scans am Router hat.
Ist der Router aber nicht pingbar und zeigt auch keine offenen Ports an ist er quasi unsichtbar.
Angreifer lassen in aller Regel erst einen Ping Scan laufen.
Wer dann so naiv ist und ICMP aktiviert hat sagt dem Angreifer ja direkt "hallo hier gibts was zu holen..." darauf folgt dann postwendend ein Portscan.
Das ist der erste wichtige Schritt. Sämtliches Port Forwarding sollte deaktiviert sein. Wenn remote Zugriff, dann ausschliesslich nur VPN....
Alles so banale Grundlagen die man hier eigentlich nicht posten müsste in einem "Admin Forum" ?!
Den Rest hat Dobby ja schon explizit genannt...

Hallo nochmal,

Das hätte man ja auch gleich einmal dazu schreiben können, oder?

Wer einen eigenen DNS Server betreibt, ist in der Regel immer eine recht große Firma und da gibt es immer etwas zu holen.
Vielleicht hast Du auch nur auf Deiner Webseite irgend einen Quatsch geschrieben den irgend jemand anderes nicht mehr sehen will kann oder möchte und der fährt jetzt einen DDoS Attacke auf Deinen Server!

Ja nur man muss eben auch die Logfiles einmal anschauen und wenn man das nicht immer manuell machen möchte sollte man sie eben durch einen Lofgile Server auswerten lassen
der die Informationen auch noch graphisch darstellen kann! und wenn Du schon einen Windows Server hast das wäre das doch eine willkommene Sache den PRTG einzusetzen oder?

Eine Soekris net6501 und ein 3G/UMTS Modem zusammen mit einem Linux OS könnten auch den Syslog Server, das Snort IDS beheimaten
keine Frage nur muss man eben ein wenig Geld in die Hand nehmen ohne wird es ganz schwer werden. und auf dem Windows PC sollte man auch TCPDUMP und eine Wireshark
Installation bereit halten, denn im Fall der Fälle hat man dann schnell etwas zur Hand um mitzuschneiden und/oder aufzuzeichnen, eine "Alarmanlage" und eine graphische Auswertung
und das ist doch schon einmal mehr als Du jetzt hast.

Gruß
Dobby

Das gleiche was oben steht gilt doch logischerweise auch für ein Netzwerk zuhause ! Das sagt einem doch schon der gesunde Menschenverstand !!
"Hier im Netzwerk gibt es meiner Meinung nach nichts, was einen solchen Angriff rechtfertigen würde"
Dieses mehr als naive Statement meinst du nicht im Ernst, oder ??
Wie soll denn auch der Chinese, Bulgare, Rumäne oder Russe der da reinwill anhand der IP Adresse wissen ob da Lieschen Müller (oder der LLord persönlich) hinter der NAT Firewall sitzt oder ein Unternehmensnetzwerk... Da gehts immer nach dem Motto...wenn da was ist (Ping usw.) dann sehen wir mal genauer nach ! Wie würdest du es denn sonst machen säßest du auf der anderen Seite ??
Wenn du deinen Router oder Firewall ins Internet entsprechend wasserdicht hast schon mit den o.a. einfachsten Mitteln kannst du evtl. Angriffen ja sehr gelassen gegenübertreten und dich entspannt zurücklehnen wie die sich an deiner FW die Zähne ausbeissen. Wozu also bitte diese Aufregung !!
Wenn du natürlich laienhaft Türen offengelassen hast ist das ja in erster Linie mal dein humanoides Problem ! Selbiges liegt dann wie immer zwischen Stuhl und Tastatur...sorry ! Dagegen hilft natürlich der intelligenteste Computer nicht... noch wenigstens nicht.