Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Trojaner ausfindig machen

Frage Netzwerke Monitoring

Mitglied: Luciver1981

Luciver1981 (Level 1) - Jetzt verbinden

05.04.2013 um 21:12 Uhr, 3099 Aufrufe, 8 Kommentare

Guten Abend Leute

Wie macht ihr in euren Netzwerken Trojaner ausfindig wenn die Security Software ala Kaspersky, Norton usw. nicht anschlägt. Aber z.B. die Routerlogs verdächtige Verbindungen aufweisen? Wie und mit welchen Tools Managed ihr eure Netzwerke?
Mitglied: Lochkartenstanzer
05.04.2013 um 21:16 Uhr
Moin,

z.B. mit einem IDS wie z.B. snort. Es gibt natürlich gengend andere Alternativen.

lks
Bitte warten ..
Mitglied: Luciver1981
05.04.2013 um 21:55 Uhr
Hallo LKS ok ist eine Möglichkeit und die anderen?
Bitte warten ..
Mitglied: danielfr
05.04.2013 um 22:09 Uhr
Ich sehe mir gerade alienvault an... sieht sehr gut aus, muss ich aber erst noch weiter testen um genaues sagen zu können.
http://communities.alienvault.com/
Bitte warten ..
Mitglied: Luciver1981
05.04.2013, aktualisiert um 22:36 Uhr
Alienvault nutzt mehrere Sicherheitssysteme u. a. Snort weißt was über die Kosten die entstehen?
Bitte warten ..
Mitglied: Dobby
05.04.2013 um 22:50 Uhr
Hallo,

es wäre ja gar zu schön zu wissen ob das ein Heimnetzwerk oder ein betrieblich genutztes Netzwerk ist
und wie groß es ist und wie viele Leute oder Mitarbeiter damit versorgt werden.

man kann das sicherlich wie mein Vorredner geschrieben hat mit einem IDS/IPS System versuchen
zu erledigen, was sicherlich auch Sinn macht nur das würde ich gerade in Deinem Fall jetzt erst einmal
als zweitrangig einstufen, denn erst einmal muss ja der Trojaner weg und zwar am besten recht flott und
dann würde ich mir die Mühe machen einige IDS Sensoren und einen IDS Server auzusetzen.

Zur aktuellen Zeit würde ich mir eher die Mühe machen und einen separaten PC aufsetzen der recht potent
ist oder einen kleinen Server der kräftig genug ist und an dem Core Switch eine Monitor Port schalten
der auf den PC/Server zeigt oder besser dort endet und dann mit WireShark das ganze mir einmal aufzeichnen und näher anschauen, alternativ würde es auch eine TCPDUMP Aufzeichnung erledigen oder respektive die Protokolldateien vom Router damit abgleichen und dann den Trojaner entfernen.

- Trojaner lokalisieren (WireShark, Protokolldateien, TCPDUMP)
- Trojaner einfangen (Von einer Linux LifeCD booten und auf einen sauberen USB Stick kopieren)
- System säubern oder gleich neu aufsetzen (für ein besseres Gefühl und/oder Gewissen)
- Herausfinden woher der Trojaner stammt! (USB Stick, USB Festplatte, Smartphone,.....)
- IDS/IPS System aufsetzen

Je nach Betriebsgröße ist das aber sehr unterschiedlich und meist auch abhängig von der gesamten
Struktur des Netzwerkes, wie viele, wo und welche Sensoren man im Netzwerk verteilt.

Bei IDS/IPS Systemen gibt es derzeit zwei aktuelle Systeme Snort und Suricata,
Snort ist schon etwas älter und hat damals das Shadow System abgelöst und Suricata ist etwas jünger aber hat halt auch mächtige Verbündete und bekommt gerade auch noch recht potente Hardware Unterstützung,
also da tut sich demnächst noch etwas.

Zusätzlich kann man aber auch noch ein oder mehrere Hosts als Honeypot aufsetzen die ein verwundbares
Windows XP und/oder Windows Server System simulieren und diese Trojaner damit dann "anlocken" oder "Eindringlinge" ablenken.

Es ist halt auch immer mit einem gewissen Aufwand verbunden was man machen will und vor allem anderen was man machen darf sowie dem Faktum das was man bezahlt und genehmigt bekommt.

Gruß
Dobby
Bitte warten ..
Mitglied: danielfr
05.04.2013 um 23:21 Uhr
Es gibt eine Opensource Variante, der Unterschied zur kommerziellen Version afaik ist der Support und die Updates der Bedrohungssignaturen von Alienvault selbst (so wie ich das verstanden habe).
http://www.alienvault.com/ossim-vs-commercial/
Das ist halt ein sehr umfangreiches Monitoring mit vielen integrierten Tools, wie u.a. auch Nagios...
Mehr weiss ich bisher auch noch nicht... werde mich aber die nächsten Wochen evtl. weiter damit beschäftigen.
Bitte warten ..
Mitglied: aqui
06.04.2013 um 13:38 Uhr
Ein gut gepflegtes Snort und sFlow auf dem Switch sind deine Freunde !
Bitte warten ..
Mitglied: danielfr
10.04.2013 um 09:10 Uhr
Hi, das:
http://www.amazon.de/Security-Information-Management-Implementation-Net ...
liegt bei mir auf dem Schreibtisch, es werden Systeme verschiedener Hersteller vorgestellt... sieht sehr sinnvoll aus.
Grüße
Daniel
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Userverwaltung
Servergespeichertes Profil - Pfad ausfindig machen (6)

Frage von staybb zum Thema Windows Userverwaltung ...

Windows Server
gelöst Active Directory CA öffentlich vertrauenswürdig machen, geht das? (2)

Frage von DeathangelCH zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...