Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firewall Protokoll auf potentiellen Eindringling durchsuchen (IPCOP)

Frage Sicherheit Firewall

Mitglied: necro306

necro306 (Level 1) - Jetzt verbinden

23.08.2010, aktualisiert 08:56 Uhr, 4833 Aufrufe, 4 Kommentare

Im Protokoll der Firewall (Ipcop) Anzeichen auf potentielle Eindringlinge erkennen. (ohne/mit IDS)

Guten Tag,

da wir seit kurzem die Vermutung haben möglicherweise einen Eindringling in unserem Netzwerk zu haben, wurden die Protokolle der Firewall mal genauer betrachtet. Grundsätzlich waren bis dato folgende Ports geöffnet (80, 443, 3389, 2222 für Virensoftware).
Nun wurden einige Einträge entdeckt wo von Außen auf unsere öffentliche IP beispielsweise über den Port 43124 zugegriffen wurde. Port war zu jedem Zeitpunkt immer gleich, die IP jedoch immer verändert.

Meine Frage lautet nun: da dieser Port nicht fregegeben ist und grundsätzlich alle weiteren Ports auch gesperrt sind, ist dies ein möglicher Hinweis auf einen Eindringling und wie geht ihr generell systematisch vor um einen Eindringling zu erkennen (welche Tools, Protokollanalyse, etc.)

Vielen Dank für jeden Hinweis und auch Tipp im Bereich IDS, IPS. (Windows-Netzwerk mit ca. 25 Rechnern, IPCOP HW-Firewall)
Mitglied: adminst
23.08.2010 um 08:53 Uhr
1. Wenn du ein weiteres Netz hast, connecte dies via VPN, somit müsstest du nicht den Port für die Virensoftware eröffnen
2. Hast du die Webserver in Orange, sprich DMZ?
3. Hast du die IDS, sprich snort an + die Erweiterung guardian installiert?
4. Mach bitte einen offline Scan der PCs, ich wette, einer ist infisziert...

Gruss
adminst
Bitte warten ..
Mitglied: necro306
23.08.2010 um 09:08 Uhr
Hallo,

ad1) Es sind Mitarbeitern extern unterwegs, benötigen jedoch nur Zugriff auf Outlook over RPC. Somit kein VPN und daher der Port für die Viren-SW Verwaltung. Sicherheitsproblematisch?
ad2) Es existieren ein Mail-Server und ein DatenServer (für Remote Zugriff) und diese stehen in GRÜN und es wird bisher kein DMZ verwendet.
ad3) IDS war bisher nicht aktiviert, läuft nun und ich werde die Erweiterung guardian nachinstallieren (macht natürlich Sinn, Danke)
ad4) tatsächlich war ein Rechner infiziert (Trojan)

Den Mailserver ins DMZ zu stellen und Snort mit guardian (+ ev. BOT) zu betreiben sind deiner Meinung nach ausreichende Absicherungen?

Vielen Dank für dein raches Feedback!
Bitte warten ..
Mitglied: Phalanx82
23.08.2010 um 13:30 Uhr
Hallo,

du schreibst oben das nur ein paar Ports offen sind in deiner Firewall.
Wie kommst du also drauf das auf deinem 43124 Port nun wer eingedrungen sein könnte?
_Sind_ nun _nur_ o.g. Ports offen oder noch mehr?
Wenn nur die offen sind kann da nix rein. Da wurde entweder einfach ein Portscan gemacht
oder jemand versuchte von außen auf dem Port rein zu kommen um ggf. ein Programm oder
eine Malware zu kontaktieren.

Wenn der Port aber dicht ist, kommt da nix in dein Netz.
Ich würde an deiner Stelle eher mal die ausgehenden Verbindungen aus deiner Firewalllog ansehen
und ggf. mal ein Wireshark an anwerfen.


Mit freundlichen Grüßen.
Bitte warten ..
Mitglied: necro306
23.08.2010 um 13:43 Uhr
Hallo!

Es sind nur o.g. Ports offen! Somit besteht deiner Meinung nach von Außen nicht die Möglichkeit die Firewall zu umgehen, sondern eher dass Netzintern ein Problem besteht. Werde den Outgoing-Traffic mal genauer ansehen und danke für den Tipp mit Wireshark!

Sg.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (7)

Frage von Venator zum Thema Netzwerkmanagement ...

Switche und Hubs
gelöst IP Cam außen am Haus Zugriff sichern über Firewall ACL (6)

Frage von TimMayer zum Thema Switche und Hubs ...

Firewall
Passende Firewall gesucht (7)

Frage von harald.schmidt zum Thema Firewall ...

Firewall
Sendefehler 2101 - Firewall die Ursache (3)

Frage von honeybee zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...