moos 10 Geschrieben 12. November 2013 Melden Teilen Geschrieben 12. November 2013 Hallo, habe das Problem, dass seitens ISP ein Schreiben ins Haus flatterte, dass über unseren Zugang Schadsoftware verteilt wurde. Nun hab ich das Problem, dass ich den verseuchten Client finden muss. Statusbericht: - es sind ca. 60 Rechner - es sind nicht immer alle Rechner an, manche ganz selten - es könnten auch private Geräte da sein - ... oder welche von deren Existenz ich nur nix weiß Auf den bekannten Clients läuft G Data ClientSecurity Version 12 Netzwerk-Info: - 1 DC mit Windows Server 2008 Enterprise - Clients mit Windows XP - Loadbalancing Router mit Firewall bintec RS120 Ich befürchte da ist irgendwo ein heimlicher Client unterwegs. Wie finde ich jetzt den einen der mir da Schwierigkeiten macht? Gruß moos Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 12. November 2013 Melden Teilen Geschrieben 12. November 2013 habe das Problem, dass seitens ISP ein Schreiben ins Haus flatterte, dass über unseren Zugang Schadsoftware verteilt wurde. Wurde oder immer noch wird? ;) Gibt es Details dazu oder nur der Hinweis auf Schadsoftware? - es könnten auch private Geräte da sein - ... oder welche von deren Existenz ich nur nix weiß Bei den privaten ist es IMHO mittlerweile ein Nachteil 'Bring your own Device' zuzulassen. Auf den bekannten Clients läuft G Data ClientSecurity Version 12 Sagt gar nichts. Du mußt die Clients mit einer aktuelle Rescue CD Offline scannen. Ich befürchte da ist irgendwo ein heimlicher Client unterwegs. Alles abschalten, Client für Client anschalten und kontrollieren ob sich auf der Firewall etwas tut. Die abgeschalteten Clients mit einer Rescue CD scannen lassen. Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 12. November 2013 Melden Teilen Geschrieben 12. November 2013 Steht drin, welche Schadsoftware. Dann kannst du auf evtl. rausfinden welche Ports oder Server kontaktiert werden und das auf der Firewall mittracen. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 13. November 2013 Melden Teilen Geschrieben 13. November 2013 Es wird sich vermutlich um Spamversand handeln. Erlaubst Du denn an der Firewall aus dem internen Netz alles nach außen? Das würde ich als erstes dicht machen. Danach nur selektiv Benutzer/Clients auf bekannte Ziele erlauben. Also Surfen dürfen nur die Benutzer/Clients über den Proxy. Nur der Proxy darf nach außen. Mailversand von intern nur an den internen Mailserver. Nur der darf nach draußen, am einfachsten nur an den Mailout-Server des Providers. So gehst Du jedes Protokoll und jede Anforderung durch und erlaubst nur das, was notwendig ist. Mit einer halbwegs modernen Firewall ist sowas per Gruppen recht einfach möglich Dann siehst Du im Firewall-Log gleich, wenn Dinge sich im Netz tun, die das nicht sollen. Und AV lässt Du dann den SMTP-, HTTP-, etc. Trafic scannen. Have fun!Daniel Zitieren Link zu diesem Kommentar
moos 10 Geschrieben 26. Dezember 2013 Autor Melden Teilen Geschrieben 26. Dezember 2013 Hi Sorry, hab das Thema wegen Stress etwas schleifen lassen, aber da schon wieder ein Schreiben kam, ... Nachdem ich ein paar der aus meiner Sicht prädestinierten Clients überprüft hatte und auch einen Seuchenvogel gefunden hab, hoffte ich, der Spuk wäre vorbei. Also: Seuche noch da? JA Details oder Hinweise? NEIN, und die liebe Telekom will nicht auf meine Anfrage antworten. BYOD ja oder nein? Das obliegt nicht mir zu entscheiden! Clients offline scannen! jeden einzelnen der 60 Clients, teilweise defektes optisches Laufwerk, teils nur CD-ROM (reicht nicht für desinfec't) und manche wollen auch einfach nicht von USB booten, das kostet Tage, oder Wochen Abschalten und Client für Client anschalten, FW beobachten: Die stehen zum einen nicht nebeneinander zum anderen ... Firewall, mittracen, dicht machen, FW-log: Hm, ist nicht ganz so einfach denke ich, hab 'ne Hardware-FW und entweder ich check's nicht oder die Konfiguration übersteigt meinen Horizont Schätze das mit der FW ist aber wohl die sinnvollste Variante wenn so explizit zu konfigurieren. Wenn ich die Telekom nochmal ein bisschen nerve und die mir doch noch Infos geben würden, nach was sollte ich da am besten fragen? Könnte ich den internen Traffic irgendwie sniffen um da was raus zu kriegen? Wäre eine Software Firewall vorzuziehen? Für Tipps die schnell und einfach zu realisieren sind wäre ich besonders dankbar! ;-) Gruß moos Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 26. Dezember 2013 Melden Teilen Geschrieben 26. Dezember 2013 (bearbeitet) Hallo, in wie weit wurden die Ratschläge von Daniel verfolgt hinsichtlich der Firewall(s)? Übrigens, auch eine sogenannte Hardware Firewall ist nur ein Minirechner mit einem OS wie Linux und der Firewall Software. Eine Hardware Fw kann man sich selbst bauen, ein fast beliebiger Rechner, zwei Netzwerkkarten und den IPCop instzallieren. Ich habe da Quad-Karten drin. Natürlich könntest Du sniffen, kennst Du dich damit aber wirklich gut aus? Hast Du dich schon mal mit der Firewall-Konfiguration per Gruppenrichtlinie befasst? bearbeitet 26. Dezember 2013 von lefg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.