Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firmenproxy gehackt und kosten verursacht

Frage Sicherheit Erkennung und -Abwehr

Mitglied: mexx

mexx (Level 2) - Jetzt verbinden

29.11.2006, aktualisiert 07.01.2009, 5804 Aufrufe, 11 Kommentare

Hallo und vielen Dank fürs Lesen!

Der Proxy des Unternehmens wurde gehackt. Das haben wir leider erst festgestellt, nachdem die Angreifer Traff i ckosten verursacht haben. Über ein Logfile konnten wir sehen, dass externe IPs verdächtige Seiten im Internet aufgerufen haben. Seiten, welche IPs auslesen, verstecken und Seiten, die keine sind. Also URL-Aufrufe ohne Page, eventuell läuft da nur ein Dienst. Wir konnten die Lücke schliessen und ändern den Tarif unseres CompanyConnect auf Flatrate und verhindern so, dass im widerholten Falle, erneut Kosten entstehen. Nun zu meinen Fragen:

1. Da eine Rückverfolgung des Angreifers nahezu unmöglich ist, mache ich mir über die rechtliche Frage Gedanken. Wenn der Angreifer unseren Proxy für Gesetzesbrüche missbraucht hat, können wir, weil unsere IP hinterlassen wurde, in Verantwortung gezogen werden. Was können wir dagegen tun? Habt Ihr Erfahrungen damit gemacht?

2. Wir können nicht 100% ausschliessen, dass der Angreifer ins LAN eingedrungen ist. Unser Netz ist ein Domain-Netzwerk und sämtliche Zugriffe gehen über Domain-Nutzerkonten. Die Daten liegen auf einen Samba-Server die nur mit den Domain-Benutzerkennung zu erreichen sind. Dennoch ist dieser Fall Grund genug, sich über Sicherheitsmaßnahmen innerhalb des LAN Gedanken zu machen.

2a. Welche Methoden stehen mir als Admin dafür zur Verfügung?
2b. Die Nachvollziehbarkeit von Netzwerkkommunikation halte ich dabei für sehr wichtig. Meine erste Idee ist ein Sniffer im Serverraum. Welcher würde sich dafür eignen? Wie kompliziert ist diese Thematik und wo fängt man am besten an sich anzulesen? Wo müsste der Sniffer angeschlossen sein und welche Erfahrungen habt Ihr damit gemacht?

Vielen Dank, für eure Mühen!
mexx
Mitglied: anding
29.11.2006 um 10:36 Uhr
zu 2b:

Da wirst du ggf. Probleme mit dem Betriebsrat bekommen... Wenn ich richtig verstanden habe und du alle zugriffe auf die DB sniffen willst...
Bitte warten ..
Mitglied: mexx
29.11.2006 um 10:39 Uhr
Einen Betriebsrat gibt es nicht. Persönliche Dinge sind im Netzwerk nur in der Mittagspause erlaubt. Somit wäre ich im Recht, wenn ich zumindest während der Arbeitszeiten die Daten sniffe.
Bitte warten ..
Mitglied: brammer
29.11.2006 um 11:02 Uhr
Einen Betriebsrat gibt es nicht.
Persönliche Dinge sind im Netzwerk nur
in der Mittagspause erlaubt. Somit wäre
ich im Recht, wenn ich zumindest während
der Arbeitszeiten die Daten sniffe.

Trotzdem würde ich mir eine solche Massnahme schriftlich
von der Geschäftsleitung bestätigen lassen.

zu 1: theoretisch könntet ihr zur Verantwortung gezogen werden.
Da ihr/du aber unmittelbar nach erkennen der Situation konsequenzen
ergriffen habt und hoffentlich alle logs und Mittschnitte archiviert dürftet
ihr recht sauber aus der Sache rauskommen.
Auf jeden Fall würde ich Strafanzeige gegen unbekannt erstatten, da ihr ja auch geschädigt seit.
Entscheidend sein dürfte ob die ausgenutzten Lücke schon gestopft sein müsste oder ob es
sich um ein "neues" Loch handelt.
Sollte der Angreifer ermittelt werden können könnt ihr zumindest die effektiv entstanden Kosten bei ihm einklagen, wenn dieses auch schwierig zu realisieren sein dürfte.

zu 2a: Schriftliche Vereinbarungen mit allen Mitarbeitern was sie dürfen, wann sie es dürfen und was sie nicht dürfen mit klarer definition der Sanktionen die bei Verstoss zu erwarten sind
(Abmahnung, fristlose Kündigung, Schadensersatzansprüche).

Ein Sicherheitsaudit durch ein externes Unternehmen wird vieles an Problemen aufzeigen die bisher garnicht so klar sind. Ich würde hier auf jeden Fall ein Neues, bisher nicht in Anspruch genommenes Unternehmen empfehlen um eingefahrene Schienen zu verlassen.

zu 2b: Ein Sniffer ist eine reine Einzelmassnahme, Netzwerksicherheit ist aber immer ein Massnahmenkatalog. Als Grundlage zur Information würde ich mal im GSHB ein bisschen stöbern oder auch die einschlägigen ISO's.
Bitte warten ..
Mitglied: mexx
29.11.2006 um 11:08 Uhr
Grundsätzlich werde ich nichts ohne die Zustimmung der GF machen. Eine schriftliche Vereinbarung mit den Mitarbeitern wird nicht notwendig sein. Die haben wir schon! Der Arbeitsvertrag jedes Mitarbeiters, verpflichtet den Mitarbeiter dazu, die Arbeitszeit auch für die Arbeit zu verwenden. Ich möchte hier aber keine Grundsatzdiskussion über Sniffen "Ja" oder "Nein" eröffnen. Mir geht es um die Netzwerksicherheit. Diese wird nicht nur allein durch Sniffen realisiert. Sowohl das Domainnetzwerk, als auch der Samba stellen ein Teil unseres Kataloges dar. Geh doch bitte etwas genauer auf das Thema GSHB ein.
Bitte warten ..
Mitglied: gemini
29.11.2006 um 11:15 Uhr
2. Wir können nicht 100% ausschliessen, dass der Angreifer ins LAN eingedrungen ist.
Unser Netz ist ein Domain-Netzwerk und sämtliche Zugriffe gehen über
Domain-Nutzerkonten. Die Daten liegen auf einen Samba-Server die nur mit den
Domain-Benutzerkennung zu erreichen sind. Dennoch ist dieser Fall Grund genug, sich
über Sicherheitsmaßnahmen innerhalb des LAN Gedanken zu machen.

2a. Welche Methoden stehen mir als Admin dafür zur Verfügung?
Wie sichert ihr euer Netz nach außen hin ab?
Sinnigerweise erstmal firewallmäßig alles dichtmachen und dann nur öffnen was unbedingt sein muss.
Wo eingehende Verbindungen nötig sind. bspw. für Bankingsoftware etc. kann man das fast immer auf einen Socket festlegen.
Natürlich sollten die internen Benutzer auch vernünftige Passwörter verwenden, der Name der Freundin mit ner angehängten Laufnummer ist nicht gut.

HTH,
gemini
Bitte warten ..
Mitglied: mexx
29.11.2006 um 11:31 Uhr
Wir haben eine externe Firma damit beauftrag. Deren Proxy mit Firewall wurde gehackt. Bitte nicht daüber philosophieren, dass die Firma eigentlich die entstanden Traffickosten tragen müsste. Das wissen wir. Wir haben uns voll und ganz auf deren Know-How verlassen. Naja!

Mein Chef bat mich die Anzeige vorzubereiten. Wie muss sowas aussehen? Was gibt es dabei zu beachten? Die Passwörter innerhalb des Netzwerks sind sicher und werden von uns vergeben.
Bitte warten ..
Mitglied: brammer
29.11.2006 um 11:49 Uhr
Hallo,

http://www.bsi.bund.de/gshb/downloads/index.htm

über diesen Link kommst du an das GSHB.
Das GSHB sollte man allerdings nicht als Bibel sondern nur als eine von mehreren Informationsquellen nutzen. Da sich das GSHB an alle Netzwerke richtet muss man die für sein
Netzwerk wichtigen Informationen herausziehen. Interessant sind in diesem Zusammenahng auch die dazugehörigen "common criteria" einfach mal nach googlen und anlesen.



>>Die haben wir schon! Der Arbeitsvertrag jedes Mitarbeiters, verpflichtet den Mitarbeiter dazu, >>die Arbeitszeit auch für die Arbeit zu verwenden.

Das nützt euch nicht viel , wenn ihr den Mitarbeitern erlaubt in den Pausen das Internet unbeschränkt zu nutzen.
Dann verhält er sich Arbeits-Vertragskonform und baut trotzdem Bockmist.
Bitte warten ..
Mitglied: 16568
29.11.2006 um 12:06 Uhr
Also, nu mal einen "persönlichen Rat" von mir, keinerlei Rechtsberatung, nur die gesammelten Erfahrungen aus dem täglichen Leben:

Zu I:
Ja, alles, was über Euer Netzwerk geht, dafür seid Ihr verantwortlich.
Bei einer GmbH greift dann auch die Haftung auf den GF durch, da nicht genügend Sicherheit.
Ihr habt, nachdem man mit Euch fertig ist, dann aber die Möglichkeit, auf den Dienstleister, den Ihr beauftragt habt, zuzugreifen.
Wichtig ist hierbei, gut aufzupassen, was Euch wie vorgeworfen wurde, denn dies sind die Argumente, die Ihr dann auch gegen den Dienstleister braucht.

Zu II:
Wenn ich Euren Proxy knacken kann, dann kann ich auch das Firmen-Netzwerk knacken; das is ein Kinderspiel, welches ich gerne bereit bin, unter Beweis zu stellen.
Solltest Du auch nur den geringsten Zweifel haben, ändere alle Pwd's.
Lieber einmal zuviel paranoid, als ewig ausspioniert.
Außerdem solltest Du auf den Rechnern mal mit Rootkit-Revealern und einem anderen AV-Scanner kurz einen Check machen...
Zu Samba in Verbindung mit Windows (wahrscheinlich noch w2k?) sage ich jetzt lieber mal gar nix mehr.

Zu IIa:
Ich empfehle Dir, mal mit einem Unternehmen Kontakt aufzunehmen, welches Security-Audits anbietet.
Hierzu bitte nicht irgendeines, ich nenne Dir gerne einige per PN.
Ich kenne da einige, die Audits anbieten, 2 Wochen nach dem Penetrations-Test ist dann der nächste Einbruch ins Netzwerk zu verzeichnen gewesen

Generell gilt:
Selbst ist man zu eingerostet, und hat auch nicht immer gerade das aktuellste KnowHow in allen Bereichen.
Daher auch an alle anderen Admins:
Vertrauen in die eigenen Maßnahmen ist gut, Kontrolle ist besser/sicherer!

Zu IIb:
Ich biete über unsere Firma die komplette Palette in Sachen Sicherheit an.
Daher kann ich Dir von Admin zu Admin sagen:
Selbst wenn Du die Genehmigung vom GF hast, alles schriftlich bestätigen lassen, und zwar von jedem Mitarbeiter einzeln!

Warum?

Nun, solltest Du Dir diese Einverständnis nicht von jedem Einzelnen geholt haben, bist Du am Wickel, denn der Admin ist mittlerweile sogar zur Überprüfung der Einhaltung aller Zustimmungen verpflichtet!
Ich habe diesbzgl. mit meinem Lieblings-Anwalt schon lange hitzige Diskussionen geführt;
er ist Fachanwalt zu diesem Thema, und daher wird alles, was ich ihm sage, abgeschmettert.
"Darfst Du nicht"
Wenn ich dann aber frage, wie ich es machen soll, damit es legal ist?
"Mach es einfach."

In der Tat, die Gesetzeslage wird immer interessanter


Lonesome Walker
Bitte warten ..
Mitglied: brammer
29.11.2006 um 13:27 Uhr
Also, nu mal einen "persönlichen
Rat" von mir, keinerlei Rechtsberatung,
nur die gesammelten Erfahrungen aus dem
täglichen Leben:


That's Life

Zu I:
Ja, alles, was über Euer Netzwerk geht,
dafür seid Ihr verantwortlich.
Bei einer GmbH greift dann auch die Haftung
auf den GF durch, da nicht genügend
Sicherheit.
Ihr habt, nachdem man mit Euch fertig ist,

Is Leider so ...

dann aber die Möglichkeit, auf den
Dienstleister, den Ihr beauftragt habt,
zuzugreifen.
Wichtig ist hierbei, gut aufzupassen, was
Euch wie vorgeworfen wurde, denn dies sind
die Argumente, die Ihr dann auch gegen den
Dienstleister braucht.


Zu II:
Wenn ich Euren Proxy knacken kann, dann kann
ich auch das Firmen-Netzwerk knacken; das is
ein Kinderspiel, welches ich gerne bereit
bin, unter Beweis zu stellen.
Solltest Du auch nur den geringsten Zweifel
haben, ändere alle Pwd's.
Lieber einmal zuviel paranoid, als ewig
ausspioniert.
Außerdem solltest Du auf den Rechnern
mal mit Rootkit-Revealern und einem anderen
AV-Scanner kurz einen Check machen...
Zu Samba in Verbindung mit Windows
(wahrscheinlich noch w2k?) sage ich jetzt
lieber mal gar nix mehr.

genau so...

Zu IIa:
Ich empfehle Dir, mal mit einem Unternehmen
Kontakt aufzunehmen, welches Security-Audits
anbietet.
Hierzu bitte nicht irgendeines, ich nenne
Dir gerne einige per PN.
Ich kenne da einige, die Audits anbieten, 2
Wochen nach dem Penetrations-Test ist dann
der nächste Einbruch ins Netzwerk zu
verzeichnen gewesen

Habe auch nciht sagen wollen das nach einem Audit alles im grünen Bereich ist
nur das danach mehr Probleme bekannt sind


Generell gilt:
Selbst ist man zu eingerostet, und hat auch
nicht immer gerade das aktuellste KnowHow in
allen Bereichen.

kann man wohl auch nicht, immer das aktuellste KnowHow in allen Bereichen zu haben.

Daher auch an alle anderen Admins:
Vertrauen in die eigenen Maßnahmen ist
gut, Kontrolle ist besser/sicherer!

Ja.


Zu IIb:
Ich biete über unsere Firma die
komplette Palette in Sachen Sicherheit an.
Daher kann ich Dir von Admin zu Admin
sagen:
Selbst wenn Du die Genehmigung vom GF hast,
alles schriftlich bestätigen lassen, und
zwar von jedem Mitarbeiter einzeln!
Oder per Betriebsverienbarung, was aber ohne Betriebsrat wohl nicht geht.

Warum?

Nun, solltest Du Dir diese
Einverständnis nicht von jedem Einzelnen
geholt haben, bist Du am Wickel, denn der
Admin ist mittlerweile sogar zur
Überprüfung der Einhaltung aller
Zustimmungen verpflichtet
!

Soweit es ihm zumutbar ist...

Ich habe diesbzgl. mit meinem
Lieblings-Anwalt schon lange hitzige
Diskussionen geführt;
er ist Fachanwalt zu diesem Thema, und daher
wird alles, was ich ihm sage,
abgeschmettert.
"Darfst Du nicht"
Wenn ich dann aber frage, wie ich es machen
soll, damit es legal ist?
"Mach es einfach."

mit Sicherheit aber kein Ofifizielles Statement deines Anwaltes
Aber Praktisch...


In der Tat, die Gesetzeslage wird immer
interessanter

LOL


Lonesome Walker
Bitte warten ..
Mitglied: mexx
29.11.2006 um 16:00 Uhr
Vielen Dank für eure Anteilnahme. Das die Angreifer ins LAN gekommen sind, streite ich nicht ab. Mein systemweiter Virenscan, wird mir bald mehr dazu sagen. Ich verwende dafür 2 verschiedene Programme, welche sich untereinander nicht stören. Zu den Thema Sicherheitscheck werde ich mich anlesen müssen und mit meinem Vorgesetzten auseinander setzten. Es soll ja auch in einem angemessenen Rahmen bleiben. Sollte sich hier ein GF oder Mitarbeiter einer solchen Firma angesprochen fühlen, bitte eine PN an mich, wo ich Firma und Referenzen einsehen kann. Auch die Verfahrensweisen und Vorgehensweisen erklären, weil Sicherheitscheck oder Audit nur Begriffe sind. Ich will wissen, was sich dahinter verbirgt.
Bitte warten ..
Mitglied: 16568
29.11.2006 um 16:16 Uhr
Es sagt ja keiner, daß Du was abstreitest

Jetzt gilt es eben nur zu überprüfen, ist es jetzt wenigstens sicherer;
oder evtl. sogar, warum hat der Angreifer das geschafft?

Wie ich Dir in der PN bereits geschrieben habe, dürfte es mit Referenzen mau sein, auch wir geben unsere Klienten in diesem Bereich keineswegs preis.
Wäre nur zu verlockend für andere, sich an einem höheren Maßstab zu messen.
Und Sicherheit sinkt mit der Taktrate der neuen Prozessoren oder DSL-Geschwindigkeit

Vorgehensweise ist bei jedem Audit gleich:

Ist-Analyse <-> Soll-Zustand

beide miteinander vergleichen; Unterschiede beheben

Bei manchen Audits erlaube ich mir, bei dem Kunden eine meist unritische Sicherheitslücke auszunutzen, um ihm die Bedeutung einer "kleinen Sicherheitslücke" zu demonstrieren.
Meist hilft dies dann auch, die Beteiligten zu sensibilisieren.


Lonesome Walker
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 7
gelöst SVCHOST verursacht hohe Prozessorlast (6)

Frage von cardisch zum Thema Windows 7 ...

Linux Desktop
Webseite aufgerufen - Linux gehackt (5)

Link von BirdyB zum Thema Linux Desktop ...

Erkennung und -Abwehr
Adult Friend Finder: 412 Milionen Accounts von Datingseite gehackt (3)

Link von Frank zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...