Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firewall Protokoll auf potentiellen Eindringling durchsuchen (IPCOP)

Frage Sicherheit Firewall

Mitglied: necro306

necro306 (Level 1) - Jetzt verbinden

23.08.2010, aktualisiert 08:56 Uhr, 4889 Aufrufe, 4 Kommentare

Im Protokoll der Firewall (Ipcop) Anzeichen auf potentielle Eindringlinge erkennen. (ohne/mit IDS)

Guten Tag,

da wir seit kurzem die Vermutung haben möglicherweise einen Eindringling in unserem Netzwerk zu haben, wurden die Protokolle der Firewall mal genauer betrachtet. Grundsätzlich waren bis dato folgende Ports geöffnet (80, 443, 3389, 2222 für Virensoftware).
Nun wurden einige Einträge entdeckt wo von Außen auf unsere öffentliche IP beispielsweise über den Port 43124 zugegriffen wurde. Port war zu jedem Zeitpunkt immer gleich, die IP jedoch immer verändert.

Meine Frage lautet nun: da dieser Port nicht fregegeben ist und grundsätzlich alle weiteren Ports auch gesperrt sind, ist dies ein möglicher Hinweis auf einen Eindringling und wie geht ihr generell systematisch vor um einen Eindringling zu erkennen (welche Tools, Protokollanalyse, etc.)

Vielen Dank für jeden Hinweis und auch Tipp im Bereich IDS, IPS. (Windows-Netzwerk mit ca. 25 Rechnern, IPCOP HW-Firewall)
Mitglied: adminst
23.08.2010 um 08:53 Uhr
1. Wenn du ein weiteres Netz hast, connecte dies via VPN, somit müsstest du nicht den Port für die Virensoftware eröffnen
2. Hast du die Webserver in Orange, sprich DMZ?
3. Hast du die IDS, sprich snort an + die Erweiterung guardian installiert?
4. Mach bitte einen offline Scan der PCs, ich wette, einer ist infisziert...

Gruss
adminst
Bitte warten ..
Mitglied: necro306
23.08.2010 um 09:08 Uhr
Hallo,

ad1) Es sind Mitarbeitern extern unterwegs, benötigen jedoch nur Zugriff auf Outlook over RPC. Somit kein VPN und daher der Port für die Viren-SW Verwaltung. Sicherheitsproblematisch?
ad2) Es existieren ein Mail-Server und ein DatenServer (für Remote Zugriff) und diese stehen in GRÜN und es wird bisher kein DMZ verwendet.
ad3) IDS war bisher nicht aktiviert, läuft nun und ich werde die Erweiterung guardian nachinstallieren (macht natürlich Sinn, Danke)
ad4) tatsächlich war ein Rechner infiziert (Trojan)

Den Mailserver ins DMZ zu stellen und Snort mit guardian (+ ev. BOT) zu betreiben sind deiner Meinung nach ausreichende Absicherungen?

Vielen Dank für dein raches Feedback!
Bitte warten ..
Mitglied: Phalanx82
23.08.2010 um 13:30 Uhr
Hallo,

du schreibst oben das nur ein paar Ports offen sind in deiner Firewall.
Wie kommst du also drauf das auf deinem 43124 Port nun wer eingedrungen sein könnte?
_Sind_ nun _nur_ o.g. Ports offen oder noch mehr?
Wenn nur die offen sind kann da nix rein. Da wurde entweder einfach ein Portscan gemacht
oder jemand versuchte von außen auf dem Port rein zu kommen um ggf. ein Programm oder
eine Malware zu kontaktieren.

Wenn der Port aber dicht ist, kommt da nix in dein Netz.
Ich würde an deiner Stelle eher mal die ausgehenden Verbindungen aus deiner Firewalllog ansehen
und ggf. mal ein Wireshark an anwerfen.


Mfg.
Bitte warten ..
Mitglied: necro306
23.08.2010 um 13:43 Uhr
Hallo!

Es sind nur o.g. Ports offen! Somit besteht deiner Meinung nach von Außen nicht die Möglichkeit die Firewall zu umgehen, sondern eher dass Netzintern ein Problem besteht. Werde den Outgoing-Traffic mal genauer ansehen und danke für den Tipp mit Wireshark!

Sg.
Bitte warten ..
Ähnliche Inhalte
Microsoft Office
Unterordner durchsuchen Excel VBA (1)

Frage von schwalbepilot zum Thema Microsoft Office ...

Windows 10
Verzeichnis nach Dateiinhalt durchsuchen (5)

Frage von MPFG zum Thema Windows 10 ...

Cloud-Dienste
Handyortung mit Protokoll oder Logdatei (4)

Frage von derBadner zum Thema Cloud-Dienste ...

Neue Wissensbeiträge
Humor (lol)

Wo ist der Fehler auf dem Bild?

Information von the-buccaneer zum Thema Humor (lol) ...

Windows Update

Offenbar erneutes MS-Update mit Fehlerschleife (2012 R2)

Information von VGem-e zum Thema Windows Update ...

Windows Installation

Unorthodoxer Weg, um an einen Offline-Installer für Adobe Flash zu kommen

(14)

Tipp von beidermachtvongreyscull zum Thema Windows Installation ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Proxy Server Settings Cloud + EWS (17)

Frage von SomebodyToLove zum Thema Exchange Server ...

Windows Server
PDF Editor für den Einsatz auf Terminal Servern (16)

Frage von kwame501 zum Thema Windows Server ...

Windows Installation
Unorthodoxer Weg, um an einen Offline-Installer für Adobe Flash zu kommen (14)

Tipp von beidermachtvongreyscull zum Thema Windows Installation ...

Windows Server
S MIME Zertifikat aus AD in Outlook einbinden (12)

Frage von chb1982 zum Thema Windows Server ...