Netzwerk absichern

Herrmann

Well-Known Member
Hallo,

folgende Situation:

Ein *BSD Router schützt ein Netzwerk mit mehreren Linux/Unix und Windows Systemen vor Angriffen von außen. Ein Windows-Nutzer führt einen Wurm aus. Der lokale Virenscanner erkennt die Bedrohung nicht und der Wurm startet ungehindert Angriffe auf ferne Systeme im Internet, da ja der Paketfilter nahezu alles von innen nach außen durchlässt.

Kann man solche Bedrohungen irgendwie zentral (z.B. auf dem Router) entdecken und verhindern? Wenn ja wie? Wie geht Ihr mit Angriffen aus dem internen Netz um?
 
Die Antwort heißt default deny. Die Firewall sollte auch ausgehenden Verkehr sperren und möglichst wenig ports freigeben, vielleicht sogar nur zu bestimmten IPs.

Für häufig benötigte Dienste lohnt es sich vielleicht den verkehr durch transparente Proxies zu leiten. Das versenden von mails sollte nur von bestimmten Rechnern erlaubt sein. Normalerweise dem lokalen smtp server. Der kann dann Filterregeln implementieren die Spammen aus dem Netz verhindern.
 
Hallo!

Für häufig benötigte Dienste lohnt es sich vielleicht den verkehr durch transparente Proxies zu leiten.
Gerade für den vom OP gewünschten Effekt würde ich von transparenten Proxies abraten, weil dann Verbindungsversuche nach Draussen einfach funktionieren und im Log untergehen.

Wenn man ausgehend alles sperrt und für DNS, HTTP, SMTP, FTP,... Proxies einsetzt, sollte ein Großteil der Malware auf die Fresse fliegen und man könnte das sogar loggen. Problematisch könnte noch sein, wenn die Windows Clients den Internet Explorer verwenden, weil ich mir vorstellen kann, dass die Proxy-Einstellungen vom IE auch von Malware verwendet werden, wenn die Malware nicht sogar den IE selbst als Kommunikationsmittel nutzt.

Ich glaube nicht, dass bei einem transparenten Proxy HTTP-Anfragen von Malware groß auffallen würden. Wogegen Verbindungsversuche von Innen direkt nach Aussen geloggt werden und man sollte dann davon ausgehen, dass es nicht unbedingt gewollter Traffic war.

Ciao.
Markus Mann
];-)
 
Ein Windows-Nutzer führt einen Wurm aus. Der lokale Virenscanner erkennt die Bedrohung nicht und der Wurm startet ungehindert Angriffe auf ferne Systeme im Internet,
Wird auf den Windows-Rechner immer die aktuellste Software eingesetzt (Stichwort: Microsoft Update), nur gewöhnliche Benutzerkontos eingesetzt (keine Administratorrechte) und ist die Softwareeinschränkung korrekt konfiguriert (Benutzer kann nicht ein x-beliebiges *.exe aufrufen), sollte die Gefahr des oben beschriebenen Bedrohungsszenario klein sein.

Siehe auch:
http://wiki.bsdforen.de/index.php/Windows_-_Sicherheit_unter_Windows
 
Back
Top