On Wednesday 22 December 2004 13:19, Engelbert Fell wrote:
Hallo Liste,
wir haben einen über Schulen ans Netz von der Telekom gesponserten DSL-Anschluss und eine Domain bei Strato, über die unser SlSS Mails abruft und verschickt. T-Online behauptet nun, über unseren Account würden wiederholt Mails mit Viren verbreitet und droht, den Account zu sperren.
Nähere Angaben zu diesen Mails habe ich aber bislang nicht erhalten. Was kann ich vorsorglich dagegen tun - ausser den Mailserver ganz abzuschalten? Ich würde T-Com darum bitten dir ihre Logs zur Verfügung zu stellen. Wenn die T-Com von eurem Account spricht und eine Sperrung androht dann wird sie das auch belegen müssen, wenn es denn wirklich die T-Com war die sich bei dir gemeldet hat.
Und du brauchst unbedingt jemanden der dir als kompetenter Partner mit fundierten Netzwerk Sicherheits Kenntnissen zur Seite stehen kann wenn du selber nicht firm in der Materie bist. Eine Erfolg versprechende Quelle wäre mal in einer der LUGen in der Region zu Fragen ob jemand bereit und kompetent ist dir zu helfen. Wenn es jemand ist der ein GNU/Linux Firmennetz administriert ist das schon mal ein brauchbares Indiz dafür, dass er nicht ganz inkompetent ist. Bei einem zertifizierten MCSE wäre ich da schon mal seehhr vorsichtig... Ich würde mal vermuten das sich eine Windows Maschine aus deinem Netz mit irgendwelchem Dreck infiziert hat. Quelle dafür können irgendwelche obskuren Downloads oder aber Datenträger, CD's Disketten etc., gewesen sein die die freundlichen Anwender mit in die Firma, ähh, ich wollte Schule sagen (-;, geschleppt hat. Falls du den/die/das Delinquenten ausfindig machen kanns, ein ofizielles Teer und Feder Event oder öffentliches Daumenbreitschlagen könnte für die Zukunft hilfreich sein damit so etwas die nächste Zeit nicht nochmal geschieht. Oder dein lokaler Mail Server ist kompromittiert, was bei einer nicht vorhandenen oder schlecht administrierten Firewall durchaus geschehen sein kann. Das kannst du über eine Analyse des outgoing trafic direkt auf dem Mail Server fest stellen. Dann solltest du den Verkehr aus deinem Netz heraus einschränken in dem du alle ausgehenden Verbindungen sperrst und nur noch Verbindungen über einen Squid zulässt. Das solte man eigentlich immer tun, leider machen das nicht alle. Das Einschränken des outgoing trafic kann mit einer Firewall geschehen. Schau dir mal dazu firestarter an, es ist ein Gnome Frontend um iptables rules zu definieren und recht einfach ein zu richten. Guarddog ist eine weitere Anwendung für KDE die im Prinzip das gleiche erlaubt. Oder verwende die SUSE Firewall on CD, die ist allerdings für ungeübte alles andere als selbsterklärend. Du soltes ausserdem für die nächste Zeit den Verkehr der aus deinem Netz nach draussen gehst eingehend analysieren. Das kann mit mehreren Werkzeugen geschehen. Zum einen mit Snort / MySQL / ACID, damit kann man den Trafic auf suspekte Verbindungen analysieren. Und es gibt einiges an Log File Analysatoren die hilfreich sein können. Insgesammt wirst du nicht drum herum kommen dich in die Materie ein zu arbeiten. Als Stichwort mag dir DMZ (Demilitarisierte Zone) helfen um Howtos, Tutorials und Fachbücher zum Thema zu finden. Entsprechende brauchbare Schulungen dazu kann man mit 600,-EUR bis 800,-EUR pro Tag veranschlagen, für ein Wochenseminar etwa 2500,-EUR. Es gibt in der Villa Vogelsang immer mal wieder sehr gute Kurse zu akzeptablen Preisen auch zu dieser Thematik. Tschüss, Thomas