Hi,
Das gesamte LAN steht hinter einem Packetfilter (SuSE Firewall) und das routing ist auch disabled.
Nun ist mir, bei der Durchsicht der Logfiles, aufgefallen dass wir diverse Zugriffsversuche auf unser Netz haben, die allerdings (gottseidank) alle DENIED sind.
Sind wir sicher ???
icher nicht ;-) Alleine die Tatsache, daß Ihr einen Virus auf mehreren Rechnern hinter der Firewall habt, zeigt ja schon dass das Netz nicht sicher ist. Das hat im Zweifel noch nichtmal etwas mit der Firewall zu tun (offene Diskettenlaufwerke, freie Downloadmöglichkeiten für User, keine oder veraltete Virenscanner....). Ein mögliches Problem sind dabei nicht unbedingt die Ports, die Du von außen zuläßt, sondern die Ports, die von innen nach außen offen sind. Wenn Du nach außen alles zuläßt (und es dann auch nicht protokolliert wird), dann *kann* ein Trojaner auch ohne Connect von außen sehr wohl Informationen über "seinen" Nistplatz an irgendeine Adresse im Netz senden. Sicherheit ist ein komplexes Thema, daher ist es schonmal keine schlechte Idee, beide Richtungen der Firewall wirklich nur für benötigte Zwecke zu öffnen und den geöffneten Bereich auch zu loggen. Wenn dann regelmäßig die Firewall auch überwacht wird, ist das zwar bei weitem immer noch nicht sicher, aber zumindest ein Weg in die richtige Richtung. Ist halt die Frage, wie kritisch das Netz ist und wieviel Aufwand Du treiben kannst/willst/darfst ;-) Martin --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Martin Ortlepp schrieb am Tuesday, October 31, 2000 11:11 AM
Hi,
Das gesamte LAN steht hinter einem Packetfilter (SuSE Firewall) und das routing ist auch disabled.
[..]
sicher nicht ;-)
Alleine die Tatsache, daß Ihr einen Virus auf mehreren Rechnern hinter der Firewall habt, zeigt ja schon dass das Netz nicht sicher ist. Das hat im
[..]
Sicherheit ist ein komplexes Thema, daher ist es schonmal keine schlechte Idee, beide Richtungen der Firewall wirklich nur für benötigte Zwecke zu öffnen und den geöffneten Bereich auch zu loggen. Wenn dann regelmäßig die Firewall auch überwacht wird, ist das zwar bei weitem immer noch nicht sicher, aber zumindest ein Weg in die richtige Richtung.
Ist halt die Frage, wie kritisch das Netz ist und wieviel Aufwand Du treiben kannst/willst/darfst ;-)
Martin
Hallo, ich kann/will/darf und *soll* allen noetigen Aufwand betreiben. Wie der Virus kam ist schon mal klar; er wurde von einem Lieferanten per Mail versand. Die Firewall ist bis auf die ports 25, 53 und 110 zu. Routing und Masquerading sind disabled. Die User surfen nur per Proxy (anders koennen sie nicht) Tja und da waere noch die Frage der Virenscanners. Bisher ist auf jedem Arbeitsplatz einer installiert. Welche moeglichkeit gibt es denn, z.B. direkt auf dem Linuxserver die mboxen zu scannen um wenigstens eingehende Mails zu checken bevor sie beim User aufschlagen!? Danke und Gruss, L@rs --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
At 11:31 31.10.00 +0100, Lars Mueller wrote:
Welche moeglichkeit gibt es denn, z.B. direkt auf dem Linuxserver die mboxen zu scannen um wenigstens eingehende Mails zu checken bevor sie beim User aufschlagen!?
z.B. mit amavis -> http://amavis.org/ Läuft hier bei mir seit ca. einem Jahr zu meiner vollsten Zufriedenheit. ciao --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
From: "Lars Mueller" <suse@rodcraft.com> Sent: Tuesday, October 31, 2000 11:31 AM
Martin Ortlepp schrieb am Tuesday, October 31, 2000 11:11 AM
Hi,
Das gesamte LAN steht hinter einem Packetfilter (SuSE Firewall) und das routing ist auch disabled.
[..]
sicher nicht ;-)
Alleine die Tatsache, daß Ihr einen Virus auf mehreren Rechnern hinter der Firewall habt, zeigt ja schon dass das Netz nicht sicher ist. Das hat im
[..]
Sicherheit ist ein komplexes Thema, daher ist es schonmal keine schlechte Idee, beide Richtungen der Firewall wirklich nur für benötigte Zwecke zu öffnen und den geöffneten Bereich auch zu loggen. Wenn dann regelmäßig die Firewall auch überwacht wird, ist das zwar bei weitem immer noch nicht sicher, aber zumindest ein Weg in die richtige Richtung.
Ist halt die Frage, wie kritisch das Netz ist und wieviel Aufwand Du treiben kannst/willst/darfst ;-)
Martin
Hallo,
ich kann/will/darf und *soll* allen noetigen Aufwand betreiben.
Erstmal ein Literaturhinweise, oder zwei, genauer gesagt... Hacker's Guide - Sicherheit im Internet und im lokalen Netz ISBN 3-8272-5460-4 und die Linux-Version: Linux Hacker's Guide - Sicherheit für Linux-Server und -Netze ISBN 3-8272-5622-4
Wie der Virus kam ist schon mal klar; er wurde von einem Lieferanten per Mail versand.
Verklagen... Das ist ja schon fast als Angriff zu werten... (Ich bin mir nicht ganz sicher, ob ich hier einen Smiley setzen will...)
Die Firewall ist bis auf die ports 25, 53 und 110 zu. Routing und Masquerading sind disabled.
Schonmal viel wert.
Die User surfen nur per Proxy (anders koennen sie nicht)
Praktisch. Falls du es noch nicht eingerichtet hast, Transparent Proxying fängt auch die User auf, die versuchen, sich so durchzumogeln.
Tja und da waere noch die Frage der Virenscanners. Bisher ist auf jedem Arbeitsplatz einer installiert. Welche moeglichkeit gibt es denn, z.B. direkt auf dem Linuxserver die mboxen zu scannen um wenigstens eingehende Mails zu checken bevor sie beim User aufschlagen!?
Privat setze ich hier die Lösung von www.antivir.de ein, klappt ziemlich gut. Amavis (bei Freshmeat suchen) ist GPL, AFAIK, und daher auch für Firmen kostenlos. (Kann aber auch sein, daß ich mich hier irre). Einen Virenscanner, der just-in-time die aus dem Internet kommenden Daten checkt, z.B. bei Downloads, kenne ich nicht. -- Marco Dieckhoff icq# 22243433 PGP key 9EFA D64F 5DAA D36B E0E7 CE1B 9E1B 4903 0C51 1632 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Marco Dieckhoff schrieb in 2,7K (98 Zeilen):
From: "Lars Mueller" <suse@rodcraft.com>
Die Firewall ist bis auf die ports 25, 53 und 110 zu. Routing und Masquerading sind disabled.
Schonmal viel wert.
Die User surfen nur per Proxy (anders koennen sie nicht)
Praktisch. Falls du es noch nicht eingerichtet hast, Transparent Proxying fängt auch die User auf, die versuchen, sich so durchzumogeln.
Denkst du. Mit einer geeigneten Gegenstelle ist 'IP over DNS' und 'IP over email' bereits erfolgreich demonstriert worden. DNS ist Port 53, smtp ist 25. "Given a collaborator on an external host, it is left as an exercise to the reader to implement a remote login stream protocol over Domain Name Service packet. The author has implemented exactly such a mechanism, tunnelling TCP/IP over DNS packets and even Email, though the performance is poor." (http://pubweb.nfr.net/~mjr/pubs/think/index.htm --- Websuche von 15 Sekunden Dauer) Und was ist mit Webservern, die auf Port 2345 statt auf Port 80 lauschen (und geg. Proxy/Anonymizer spielen)? Du kannst mit einer Firewall viel, aber nicht alles reissen. Schneide alle Kabel ab, vergiesse den Rechner in Beton und Blei, versenke ihn in der Tiefsee... mit viel Glueck ist er jetzt einigermassen sicher. :-)
Einen Virenscanner, der just-in-time die aus dem Internet kommenden Daten checkt, z.B. bei Downloads, kenne ich nicht.
/Windows/Linux/ ist aber eine recht virensichere Alternative. :-) -Wolfgang --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (5)
-
linux@jwr.de -
martin.ortlepp@hannoversche-leben.de -
suse@egelsbach.nu -
suse@rodcraft.com -
weissel@netcologne.de