Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Trojaner ausfindig machen

Frage Netzwerke Monitoring

Mitglied: Luciver1981

Luciver1981 (Level 1) - Jetzt verbinden

05.04.2013 um 21:12 Uhr, 3240 Aufrufe, 8 Kommentare

Guten Abend Leute

Wie macht ihr in euren Netzwerken Trojaner ausfindig wenn die Security Software ala Kaspersky, Norton usw. nicht anschlägt. Aber z.B. die Routerlogs verdächtige Verbindungen aufweisen? Wie und mit welchen Tools Managed ihr eure Netzwerke?
Mitglied: Lochkartenstanzer
05.04.2013 um 21:16 Uhr
Moin,

z.B. mit einem IDS wie z.B. snort. Es gibt natürlich gengend andere Alternativen.

lks
Bitte warten ..
Mitglied: Luciver1981
05.04.2013 um 21:55 Uhr
Hallo LKS ok ist eine Möglichkeit und die anderen?
Bitte warten ..
Mitglied: danielfr
05.04.2013 um 22:09 Uhr
Ich sehe mir gerade alienvault an... sieht sehr gut aus, muss ich aber erst noch weiter testen um genaues sagen zu können.
http://communities.alienvault.com/
Bitte warten ..
Mitglied: Luciver1981
05.04.2013, aktualisiert um 22:36 Uhr
Alienvault nutzt mehrere Sicherheitssysteme u. a. Snort weißt was über die Kosten die entstehen?
Bitte warten ..
Mitglied: Dobby
05.04.2013 um 22:50 Uhr
Hallo,

es wäre ja gar zu schön zu wissen ob das ein Heimnetzwerk oder ein betrieblich genutztes Netzwerk ist
und wie groß es ist und wie viele Leute oder Mitarbeiter damit versorgt werden.

man kann das sicherlich wie mein Vorredner geschrieben hat mit einem IDS/IPS System versuchen
zu erledigen, was sicherlich auch Sinn macht nur das würde ich gerade in Deinem Fall jetzt erst einmal
als zweitrangig einstufen, denn erst einmal muss ja der Trojaner weg und zwar am besten recht flott und
dann würde ich mir die Mühe machen einige IDS Sensoren und einen IDS Server auzusetzen.

Zur aktuellen Zeit würde ich mir eher die Mühe machen und einen separaten PC aufsetzen der recht potent
ist oder einen kleinen Server der kräftig genug ist und an dem Core Switch eine Monitor Port schalten
der auf den PC/Server zeigt oder besser dort endet und dann mit WireShark das ganze mir einmal aufzeichnen und näher anschauen, alternativ würde es auch eine TCPDUMP Aufzeichnung erledigen oder respektive die Protokolldateien vom Router damit abgleichen und dann den Trojaner entfernen.

- Trojaner lokalisieren (WireShark, Protokolldateien, TCPDUMP)
- Trojaner einfangen (Von einer Linux LifeCD booten und auf einen sauberen USB Stick kopieren)
- System säubern oder gleich neu aufsetzen (für ein besseres Gefühl und/oder Gewissen)
- Herausfinden woher der Trojaner stammt! (USB Stick, USB Festplatte, Smartphone,.....)
- IDS/IPS System aufsetzen

Je nach Betriebsgröße ist das aber sehr unterschiedlich und meist auch abhängig von der gesamten
Struktur des Netzwerkes, wie viele, wo und welche Sensoren man im Netzwerk verteilt.

Bei IDS/IPS Systemen gibt es derzeit zwei aktuelle Systeme Snort und Suricata,
Snort ist schon etwas älter und hat damals das Shadow System abgelöst und Suricata ist etwas jünger aber hat halt auch mächtige Verbündete und bekommt gerade auch noch recht potente Hardware Unterstützung,
also da tut sich demnächst noch etwas.

Zusätzlich kann man aber auch noch ein oder mehrere Hosts als Honeypot aufsetzen die ein verwundbares
Windows XP und/oder Windows Server System simulieren und diese Trojaner damit dann "anlocken" oder "Eindringlinge" ablenken.

Es ist halt auch immer mit einem gewissen Aufwand verbunden was man machen will und vor allem anderen was man machen darf sowie dem Faktum das was man bezahlt und genehmigt bekommt.

Gruß
Dobby
Bitte warten ..
Mitglied: danielfr
05.04.2013 um 23:21 Uhr
Es gibt eine Opensource Variante, der Unterschied zur kommerziellen Version afaik ist der Support und die Updates der Bedrohungssignaturen von Alienvault selbst (so wie ich das verstanden habe).
http://www.alienvault.com/ossim-vs-commercial/
Das ist halt ein sehr umfangreiches Monitoring mit vielen integrierten Tools, wie u.a. auch Nagios...
Mehr weiss ich bisher auch noch nicht... werde mich aber die nächsten Wochen evtl. weiter damit beschäftigen.
Bitte warten ..
Mitglied: aqui
06.04.2013 um 13:38 Uhr
Ein gut gepflegtes Snort und sFlow auf dem Switch sind deine Freunde !
Bitte warten ..
Mitglied: danielfr
10.04.2013 um 09:10 Uhr
Hi, das:
http://www.amazon.de/Security-Information-Management-Implementation-Net ...
liegt bei mir auf dem Schreibtisch, es werden Systeme verschiedener Hersteller vorgestellt... sieht sehr sinnvoll aus.
Grüße
Daniel
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Servergespeichertes Profil - Pfad ausfindig machen (6)

Frage von staybb zum Thema Windows Userverwaltung ...

Netzwerkmanagement
gelöst Wie scanne ich unser Netzwerk ab um den Trafficverursacher ausfindig zu machen? (7)

Frage von M.Marz zum Thema Netzwerkmanagement ...

PHP
Formular ausfüllen, speichern und editierbar machen (7)

Frage von wescraven07 zum Thema PHP ...

Windows Server
gelöst Dynamisches Laufwerk Rückgängig machen (10)

Frage von Fruehling2017 zum Thema Windows Server ...

Neue Wissensbeiträge
Administrator.de Feedback

Umgangsformen auf der Seite

(7)

Information von Frank zum Thema Administrator.de Feedback ...

Windows 10

Windows 8.x oder 10 Lizenz-Key aus dem ROM auslesen mit Linux

(11)

Tipp von Lochkartenstanzer zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Batch & Shell
gelöst Dir tc Befehl unter Windows 10 macht Probleme (14)

Frage von sugram zum Thema Batch & Shell ...

Windows Server
Windows Server Komplettspiegelung (13)

Frage von pdiddo zum Thema Windows Server ...

Windows Server
Windows Server 2016 RDS Remoteapp Anzeigefehler (11)

Frage von qlnGenius zum Thema Windows Server ...