Jump to content
Sign in to follow this  
mcdaniels

Spam oder DoS Attacke?

Recommended Posts

hi leute.. hoff ich bin im richtigen Forum gelandet mit dem Thema...

 

Folgende Situation: Ich erhalte auf meinem Mailserver alle Sekunden 5 Mails von helptool@ahead.de (Natürlich is das ne gefakte Addi).

 

Blocke ich auf der Firewall diese IP (SMTP Protokoll), dann begnnt ein paar Minuten später das gleiche Spiel mit einer andren IP...

 

Was macht man in so nem Fall? Ich hab jetzt am Mailserver die Addi blockiert, jedoch hätt ichs gern per Firewall gemacht... Ist das überhaupt möglich? Ich kann ja nur per IP blocken...

 

Oder ist das gar normal, dass man so zugeschüttet wird??

 

Kann man da rechtlich vorgehen -> IP Rückverfolgung usw?

Share this post


Link to post
Share on other sites

Hi,

 

kannst du in deinem Mailserver eine Blacklist anlegen? trage @ahead.de ein und freue dich. Bei IP Rückverfolgung kannst du glaube ich vergessen. Was für ein Mailserver läuft denn bei dir?

 

grüße

starfoxx

Share this post


Link to post
Share on other sites

hi

naja das mit der Blockierung hab ich schon gemacht, es "beschäftigt" den Mailserver aber trotzdem (zb beim Loggen).

 

Ich behaupt einfach mal "Wenn das jetzt zb ein paar Rechner gleichzeitig veranstalten, dann isses ein DoS oder sogar n DDoS Angriff", denn schließlich geh ich davon aus , dass der Mailserver irgendwann mal auf Port 25 nicht mehr antworten kann, wenn er zugemüllt wird....

 

Irgendwie isses nämlich auch fad, alle 5 min ne andre IP Addi auf der FW zu blockieren...

Share this post


Link to post
Share on other sites
Was macht man in so nem Fall? Ich hab jetzt am Mailserver die Addi blockiert, jedoch hätt ichs gern per Firewall gemacht... Ist das überhaupt möglich? Ich kann ja nur per IP blocken...

 

Was soll ich sagen...?

 

Dein Problem ist nicht, dass Du versuchst betimmte IPs zu blocken oder Blacklists zu pflegen.

 

Dein Problem ist, dass Du keinen Spamfilter hast.

 

Dabei meine ich einen richtigen Spamfilter und nicht irgend so ein pseudo-Gedöns. Allerdings sind solche Lösungen auch nicht ganz billig. Wenn Du allerdings ausrechnest, was an Zeit und Resourcen (Mailserver, I-Net-Verbindung) verloren geht, kommst Du schnell auf Beträge, von denen man sich gleich mehrere Spamfilter kaufen kann.

 

Eine vergleichsweise günstige Lösung bei direkter Anbindung eines Exchange ans I-Net wäre vielleicht das hier:

 

http://www.msxfaq.net/spam/nospamproxy.htm

 

Ob eine Firewall die gewünschten Funktionalitäten hat, ist abhängig von der Firewall.

 

grüße

 

dippas

Share this post


Link to post
Share on other sites

Hey Dippas!

Hallo Rossi!

 

Ist ne Fortinet Firewall (die is schon ganz gut...zumindest meiner Meinung nach -- was besseres gibts natürlich immer) Hat ein eigenes Service für Spams (was auch gut funktioniert). Für mich sieht das eher wie ne DoS Attacke aus....

 

Hab mittels nslookup jetzt den Namen des Rechners eruiert und ans abuse-team des Providers gemeldet. Jetzt wird dem ganzen nachgegangen... (Ist angeblich ein Kunde .. wahrscheinlich ein virenverseuchter PC...)

 

Weil wir grad bei Firewall-Storys sind : Die Clients rattern über die Firewall ins Internet (NAT) dabei macht die Firewall nen Virenscan (Downloads von exe com bat pif und Konsorten sind gesperrt, fragwürdige Sites auch -- da gibts von Fortinet so ein eigenes Service, welches abgefragt wird, wenn ne Site von nem Client geöffnet wird und wenn die Site da oben steht gehts ned auf..) Weiters hat diese FW ein Intrusion Prevention System. Ich hab aber , wie jeden Tag, heute auch die logs studiert und mitbekommen, dass wenn ein Client surft , auf einigen Sites immerwieder intrusions versucht wreden (Buffer Overflows etc).

 

D.h. jetzt Obwohl ich die FW hab, die scannt und ein IPS hat, die Mails sowohl von der FW als auch vom MTA gescannt werden und ich auf den Clients einen Virenscanner hab, bin ich eigentlich "nicht?" sicher, solang ich nicht auf allen Clients sicherheitsupdatemässig auf aktuellem Stand bin? (Http kann ich ja für die User ned sperren und das is ja halt mal ne "sagen wir mal" wechselseitige Verbindung) - will sagen, es kommen da ja Daten auf den Client....."

 

Nehmen wir mal nen Buffer Overflow beim Surfen, der dem Angreifer ermöglicht Code am Client auszuführen, dann würd das so gehen:

 

Angriff auf Client

Codeausführung

Kontrollübernahme am Client

und somit könnt er dann mein Netz "aushängen" ?

Daten abhören über http?

 

Erhoffe Feedback der Profis ;)

Share this post


Link to post
Share on other sites

Hallo McDaniels,

 

naja, die Sache mit der Sicherheit verhält sich so:

 

100% Sicherheit gibt es nicht.

 

Ein Beispiel aus unserem Unternehmen.

 

Wir haben ein mehrstufiges Sicherheitssystem, welches aus folgenden Komponenten besteht:

 

Netscreen Firewall

BorderwareMXTreme (Mailfirewall/Antispam)

TrendMicro Gateyway-Viruswall (Virenscan für Mail und Web sowie Antispam)

F-Secure auf Servern und Clients

dazu: WSUS, also Clients und Server sind aktuell gepatcht

 

Man könnte also sagen, wir haben schon was investiert.

 

Trotzdem landen auf unseren Clients sowohl Viren als auch Spam. Natürlich nur sehr selten, aber wie gesagt 100% Sicherheit gibt es nicht.

 

Was aus deinem Post nicht hervorging, ist ob ihr über einen Proxy surft. Das machen wir und haben dadurch technisch bedingt keine direkte Verbindung Client/Webserver. Dadurch sind wir sicherlich auch an dieser Stelle der Idealmarke von 100% Sicherheit ein Stück näher gekommen.

 

Zudem ist es ebenfalls so, dass unsere User auf den Clients keine Rechte haben. Sollte daher wieder erwarten doch unerlaubter Code reinflutschen, liefe dieser mit dem Recht eines Users der keine Rechte hat. Im Idealfall also gar nicht oder nur sehr "verkrüppelt", also ebenfalls nahezu wirkungslos.

 

Um Deine Frage aber auch zu beantworten:

 

Wenn bei Dir der unerlaubte Code auf die Rechner kommt und im Kontext eines User mit vielen - schlimmstenfalls allen - Rechten läuft, dann ist es natürlich möglich, den Rechner zu übernehmen und - je nach Netzwerkgestaltung - nicht nur zu steuern, sondern auch zu mißbrauchen um Dein Netz lahmzulegen.

 

Abhören über http ginge, wenn der gekaperte Rechner von aussen kleine Tools untergejubelt bekommt, die eine Man-in-the-middle-Attacke erlauben. Man könnte also den Rechner soweit "frisieren", dass der Webverkehr unwissentlich über diesen Rechner läuft, weil er z.B. einen Webserver vorgaukelt. Kennwörter oder so dann zu fischen ist kein Problem. MIM-Attacken laufen aber im Allgemeinen über einen Rechner, der ins Netzwerk unerlaubt integriert wurde, also reingeschleppt -> Angriff von innen.

 

"Abgehört" wird sicherlich mehr über Keylogger, die Tastatureingaben abgreifen und weiterleiten.

 

Eine generelle Empfehlung auszusprechen gestaltet sich etwas schwierig, da immer das gesamte Unternehmen betrachtet werden muss. Und Unternehmen gleichen sich nun mal nicht wie ein Ei dem anderen ;)

 

Ich denke aber, das WSUS, zwei unterschiedliche Virenscanner, eine sinnvoll konfigurierte Firewall (z.B. auch ausgehenden Traffic weitgehend sperren) und ein guter Spamfilter bei jedem Unternehmen drin sein sollten ;)

 

grüße

 

dippas

Share this post


Link to post
Share on other sites

Hey Dippas!

 

Proxy haben wir keinen. (Wollt ich mir eigentlich ersparen, da ja die FW Datenstromkontrolle macht), allerdings nicht bei zb https (http und https ist für die Clients freigegeben)...

 

Virenkiller ist soweit vom Hersteller schnell reagiert wird eigentlich immer zumindest auf aktuellem Definitionsstand... Mit den Sicherheitsupdates ist es ein wenig ander.. da muss ich mir noch was überlegen....

 

Um nochmals auf den Proxy zurückzukommen: Du meinst also zusätzlich ein Proxy wäre noch besser?

Share this post


Link to post
Share on other sites
Um nochmals auf den Proxy zurückzukommen: Du meinst also zusätzlich ein Proxy wäre noch besser?

 

ja, meine ich. Allerdings mit eingebautem Virenschutz.

 

Der Proxy arbeitet ja sinngemäß folgendermaßen:

 

Client will Webseite habe -> fragt beim Proxy an -> Proxy holt Webseite aus dem Internet -> Proxy scannt Webseite nach Viren -> Proxy gibt gescannte Seite an den Client.

 

1. hat der Client keine direkte Verbindung zum I-Net

2. läuft https auch über den Proxy

3. die an den Client ausgelieferten Seiten sind virenfrei (ihm Rahmen der Möglichkeiten des Virenscanners)

 

Da in Webseiten ja schädlicher Code genauso einbaut sein kann, wie z.B. schädliche Bilder erreichst Du dadurch einen nicht zu unterschätzenden Sicherheitsgewinn.

 

Zusätzlich könnte man noch nette Dinge einbauen, wie gruppenweises erlauben/verbieten von Surfen, oder Kennwortauthentifizierung am Proxy etc. Auch Auswertungen wären einfacher möglich ;)

 

grüße

 

dippas

Share this post


Link to post
Share on other sites

Rehi!

 

Naja Virenscan macht ja die FW auch, Logging erfolgt per Syslog Dämon, Dienste sind auch per FW beschränkt...

 

Einzig die direkte Verbindung zum Inet ist halt so ne Sache... hm... Macht halt doch nur NAT ....

Share this post


Link to post
Share on other sites
...

 

Blocke ich auf der Firewall diese IP (SMTP Protokoll), dann begnnt ein paar Minuten später das gleiche Spiel mit einer andren IP...

 

Was macht man in so nem Fall? Ich hab jetzt am Mailserver die Addi blockiert, jedoch hätt ichs gern per Firewall gemacht... Ist das überhaupt möglich? Ich kann ja nur per IP blocken...

 

Oder ist das gar normal, dass man so zugeschüttet wird??

 

Kann man da rechtlich vorgehen -> IP Rückverfolgung usw?

 

Hi,

 

du blockierst nicht die Absender-Adresse sondern die Adresse des MTA, der die mails zustellt. Der Mailrouting-Prozess findet dann einen anderen Weg zu deinem Mailserver über einen anderen MTA, den du auch blockierst. Letzendlich solltest du dann keine email mehr empfangen können, da alle MTA's gesperrt werden. :D

Daraus folgt: Nicht die IP's sondern die Absender-Adresse blockieren. In dem Falle blalblabla@ahead.de, was eigentlich merkwürdig ist, denn Nero-Leute spielen kein Spamspiel.

Share this post


Link to post
Share on other sites

Hoi Varnik!

 

Der eine Spammer is jetzt mal abgedreht.. war ein verseuchter PC... das gleiche Spiel geht jetzt aber wieder von vorne los... (Addi blockier ich schon...)

 

Hey ich blocke einfach den ganzen Adressraum, dann hab ich Ruhe :D -- gute Idee :p

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...