Crockett 10 Geschrieben 13. Oktober 2004 Melden Teilen Geschrieben 13. Oktober 2004 Hallo ! Folgendes Szenario. Auf unserem ISA läuft ein VPN Server mit dem eine Außenstelle auf unser internes Netzwerk zugreift. Heute war der Obergau. Ich telefonierte mit einem Mitarbeiter der Außenstelle, um einen 2. PC zu konfigurieren. Nebenbei connectete er sich mit einem anderen PC via VPN mit unserem ISA. c.a 30 Sekunden später kamen Mitarbeiter von unserer Fa. zu mir und sagten mir das etliche PC´s mit einer Fehlermeldung in der lsass.exe stehen und in 60 Sek. runterfahren. Kaum hatten sie es mir gesagt, erwähnte der Mitarbeiter der Außenstelle, das er dieses heute schon öfters bei dem PC hatte der sich eine Minute zuvor mit unserem VPN Server verbunden hat. Toll dachte ich mir , herzlichen Dank. Ein paar Minuten später waren alle PC´s im lokalen Netz bei uns breit. Zur Frage: Wenn die Außenstelle mit uns connected bekommt der PC eine IP aus unsere internen Netzwerk. Wenn dieser mit Sasser & Co infiziert ist, kann der ISA dieses abfangen ?? Evlt. mit Thrid Produkten ? Welchen Virenscanner könnt Ihr für den ISA empfehlen ? Content Filterung muss nicht unbedingt sein (Download Überwachung etc.) Gruß Christian Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 14. Oktober 2004 Melden Teilen Geschrieben 14. Oktober 2004 Hi Crockett Meine vorgeschlagene Minimallösung wäre: Stell einen SUS Server (kann auch ein gewöhnlicher PC sein; mit "thorgood" und "SUS" findest du sicher was in der Boardsuche) in dein internes Netz, und dann sollte Ruhe herrschen! In der Not, solltest du W2K/WXP Rechner kleiner SP3/SP1 haben, kannst du immer noch ein Windowsupdate manuell ausführen, oder den SUS-Client nachinstallieren: http://www.microsoft.com/windows2000/downloads/recommended/susclient/default.asp Gruss Velius P.S.: Alternativen: "Datei und Druckfreigabe für Microsoft Netzwerke" unter "Netzwerkverbindungen" auf den Rechnern deaktivieren. Kann aber dazu fürhen, dass Softwareverteilungstools nicht mehr funktionieren. Auch mit Freigaben ist dann schluss. Ausserdem: Liste von Antivirussoftware-Herstellern Zitieren Link zu diesem Kommentar
Crockett 10 Geschrieben 14. Oktober 2004 Autor Melden Teilen Geschrieben 14. Oktober 2004 @ Velius Danke für die Antwort. SUS macht soweit Sinn das man sich nicht um die Updates kümmern muss. Kann mann nicht auf dem ISA SERVER wo sich die Außenstelle via VPN einwählt nur bestimmte Ports aufmachen die ins interne Netz dürfen ? Möchte einfach vermeiden das wenn die sich wiedermal ein Virus ziehen der frisch ist und noch nicht durch Updates gefixt ist, das das gleiche Spiel von vorne losgeht. die Nutzen via VPN nur den TS der Domäne. Gruß Christian Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 14. Oktober 2004 Melden Teilen Geschrieben 14. Oktober 2004 Klar! Sasser geht auf den Microsoft-DS Port 445 (nicht nur....). Wenn du den nicht weiter brauchst...... Hier noch was: http://www.microsoft.com/technet/security/alerts/sasser.mspx In addition, Internet Security and Acceleration (ISA) Server scripts have been posted that explicitly block traffic related to the Sasser worm from entering into or exiting from a network whose Internet traffic is controlled by either ISA Server 2000 or ISA Server 2004. For more information and to obtain these scripts please go to http://isatools.org and obtain the following scripts: • ISA 2000: block_sasser.vbs • ISA 2004: block_sasser_2k4.vbs Zitieren Link zu diesem Kommentar
fresch_heit2000 10 Geschrieben 14. Oktober 2004 Melden Teilen Geschrieben 14. Oktober 2004 hi, mal generell zu der virenscannerfrage.. hab hier mehrere isa server... auf einem is der scanner von symantec installiert ---- der is absolute ******** ... trennt teilweise komplett die verbindung, hab ne absolut und geht tierisch auf die leistung auf den anderen beiden hab ich download security von gfi --- das prog is billiger und besser als symantec ;) und greift arbeitet bei uns mit den scan-engines von norton, bitdefender und kaspersky (mcaffe ;) gibts auch noch dafür) lässt sich leicht einrichten is sehr flexibel und schnell. (war jetzt genug werbung oder ) also für den proxy server an sich kann ich gfi empfehlen. aber vergiss dabei nich, das virenscanner für den isaserver nur die downloads überwachen, ich kenn keinen der daten aus vpn-verbindungen scannt. und für einen kokalen virenscanner auf dem isa-server unbedingt aufpassen... die iis ordner usw. darfst du nich online scannen!!! hast du im netzwerk keinen virenschutz...??? mfg stefan Zitieren Link zu diesem Kommentar
Crockett 10 Geschrieben 14. Oktober 2004 Autor Melden Teilen Geschrieben 14. Oktober 2004 @fresch_heit2000 naja bis gestern hatte ich auf den Clients im Hintergrund nichts laufen :-) habe es immer beizieten manuell gescannt. Aber es nutzt mir halt nichts nur auf den Clients wenn die Server dabei draufgehen. Bin also jetzt auf der Suche nach einem ordentlichen Virenscanner für den ISA. GFI habe ich mir mal in der Trial gezogen. Werde den mal testen. Das der nur für den Download der Clients ist, ist mir klar. @Velius Danke für die Links.. das mit dem Scripts ist ne gute Sache. Betrifft auch genau die Dinger (Viren) die ich drauf hatte (Netsky und Sasser). Wie beschränke ich denn die Ports für die VPN Verbindung. Unter RAS & Routing die BasisFirewall mit rein ? Kommt sich das nicht mit dem ISA in die Quere ? Gruß Christian Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 @Crockett Basis Firewall & ISA würde ich nie machen. Schadet mehr, als es nützt...... Innerhalb eines VPN's Ports dicht machen? Würde ich auch nicht, aber vllt gibt's da was..... http://www.msisafaq.de/ Grüsse Velius Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.