Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Monitoring

Trojaner ausfindig machen

Mitglied: Luciver1981

Luciver1981 (Level 1) - Jetzt verbinden

05.04.2013 um 21:12 Uhr, 3357 Aufrufe, 8 Kommentare

Guten Abend Leute

Wie macht ihr in euren Netzwerken Trojaner ausfindig wenn die Security Software ala Kaspersky, Norton usw. nicht anschlägt. Aber z.B. die Routerlogs verdächtige Verbindungen aufweisen? Wie und mit welchen Tools Managed ihr eure Netzwerke?
Mitglied: Lochkartenstanzer
05.04.2013 um 21:16 Uhr
Moin,

z.B. mit einem IDS wie z.B. snort. Es gibt natürlich gengend andere Alternativen.

lks
Bitte warten ..
Mitglied: Luciver1981
05.04.2013 um 21:55 Uhr
Hallo LKS ok ist eine Möglichkeit und die anderen?
Bitte warten ..
Mitglied: danielfr
05.04.2013 um 22:09 Uhr
Ich sehe mir gerade alienvault an... sieht sehr gut aus, muss ich aber erst noch weiter testen um genaues sagen zu können.
http://communities.alienvault.com/
Bitte warten ..
Mitglied: Luciver1981
05.04.2013, aktualisiert um 22:36 Uhr
Alienvault nutzt mehrere Sicherheitssysteme u. a. Snort weißt was über die Kosten die entstehen?
Bitte warten ..
Mitglied: 108012
05.04.2013 um 22:50 Uhr
Hallo,

es wäre ja gar zu schön zu wissen ob das ein Heimnetzwerk oder ein betrieblich genutztes Netzwerk ist
und wie groß es ist und wie viele Leute oder Mitarbeiter damit versorgt werden.

man kann das sicherlich wie mein Vorredner geschrieben hat mit einem IDS/IPS System versuchen
zu erledigen, was sicherlich auch Sinn macht nur das würde ich gerade in Deinem Fall jetzt erst einmal
als zweitrangig einstufen, denn erst einmal muss ja der Trojaner weg und zwar am besten recht flott und
dann würde ich mir die Mühe machen einige IDS Sensoren und einen IDS Server auzusetzen.

Zur aktuellen Zeit würde ich mir eher die Mühe machen und einen separaten PC aufsetzen der recht potent
ist oder einen kleinen Server der kräftig genug ist und an dem Core Switch eine Monitor Port schalten
der auf den PC/Server zeigt oder besser dort endet und dann mit WireShark das ganze mir einmal aufzeichnen und näher anschauen, alternativ würde es auch eine TCPDUMP Aufzeichnung erledigen oder respektive die Protokolldateien vom Router damit abgleichen und dann den Trojaner entfernen.

- Trojaner lokalisieren (WireShark, Protokolldateien, TCPDUMP)
- Trojaner einfangen (Von einer Linux LifeCD booten und auf einen sauberen USB Stick kopieren)
- System säubern oder gleich neu aufsetzen (für ein besseres Gefühl und/oder Gewissen)
- Herausfinden woher der Trojaner stammt! (USB Stick, USB Festplatte, Smartphone,.....)
- IDS/IPS System aufsetzen

Je nach Betriebsgröße ist das aber sehr unterschiedlich und meist auch abhängig von der gesamten
Struktur des Netzwerkes, wie viele, wo und welche Sensoren man im Netzwerk verteilt.

Bei IDS/IPS Systemen gibt es derzeit zwei aktuelle Systeme Snort und Suricata,
Snort ist schon etwas älter und hat damals das Shadow System abgelöst und Suricata ist etwas jünger aber hat halt auch mächtige Verbündete und bekommt gerade auch noch recht potente Hardware Unterstützung,
also da tut sich demnächst noch etwas.

Zusätzlich kann man aber auch noch ein oder mehrere Hosts als Honeypot aufsetzen die ein verwundbares
Windows XP und/oder Windows Server System simulieren und diese Trojaner damit dann "anlocken" oder "Eindringlinge" ablenken.

Es ist halt auch immer mit einem gewissen Aufwand verbunden was man machen will und vor allem anderen was man machen darf sowie dem Faktum das was man bezahlt und genehmigt bekommt.

Gruß
Dobby
Bitte warten ..
Mitglied: danielfr
05.04.2013 um 23:21 Uhr
Es gibt eine Opensource Variante, der Unterschied zur kommerziellen Version afaik ist der Support und die Updates der Bedrohungssignaturen von Alienvault selbst (so wie ich das verstanden habe).
http://www.alienvault.com/ossim-vs-commercial/
Das ist halt ein sehr umfangreiches Monitoring mit vielen integrierten Tools, wie u.a. auch Nagios...
Mehr weiss ich bisher auch noch nicht... werde mich aber die nächsten Wochen evtl. weiter damit beschäftigen.
Bitte warten ..
Mitglied: aqui
06.04.2013 um 13:38 Uhr
Ein gut gepflegtes Snort und sFlow auf dem Switch sind deine Freunde !
Bitte warten ..
Mitglied: danielfr
10.04.2013 um 09:10 Uhr
Hi, das:
http://www.amazon.de/Security-Information-Management-Implementation-Net ...
liegt bei mir auf dem Schreibtisch, es werden Systeme verschiedener Hersteller vorgestellt... sieht sehr sinnvoll aus.
Grüße
Daniel
Bitte warten ..
Ähnliche Inhalte
Sicherheit
Email Absender ausfindig machen
Frage von Link18Sicherheit3 Kommentare

Hallo alle Zusammen, ist bin neu hier und habe ein, für mich schwerwiegendes Problem. Gestern Abend fing plötzlich das ...

Windows XP
XP-Geräte in Netzwerken ausfindig machen
Frage von Haggy2k3Windows XP3 Kommentare

Hallo liebe Community, ich hoffe hier kann mir jemand weiter helfen. Ich suche ein Tool mit dem ich XP-Geräte ...

Netzwerkmanagement
Wie scanne ich unser Netzwerk ab um den Trafficverursacher ausfindig zu machen?
gelöst Frage von M.MarzNetzwerkmanagement7 Kommentare

Hallo zusammen, unser Netzwerk wird hin und wieder so langsam, das kaum jemand arbeiten kann. Ich habe den verdacht, ...

Viren und Trojaner
Mischa Trojaner. Was nun
Frage von EdaseinsViren und Trojaner5 Kommentare

Hi Leute, und nun bin ich verzweifelt. Ich habe einen Kunden der hat sich nen Mischa im gesamten Netzwerk ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 16 StundenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit25 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Netzwerke
Packet loss bei "InternetLeitungsvollauslastung"
gelöst Frage von Freak-On-SiliconNetzwerke17 Kommentare

Servus; Ja der Titel klingt komisch, is aber so. Wenn die Internetleitung voll ausgelastet ist, hab ich extreme packet ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

Windows 10
Automatische daten kopieren, USB zu USB unter Win10 im Hintergrund
Frage von DerEisigeWindows 1016 Kommentare

Hallo Leute, ich bin auf der Suche nach einem Skript, dass von einem USB Stick automatisch nach dem einstecken ...