Blackice hat Angriffe durchgelassen, wie besser schützen?

Re(3): Blackice hat Angriffe durchgelassen, wie besser schützen?

3io — Mon, 26 May 2003 10:37:49 GMT

cf kann mehr

Re(2): Blackice hat Angriffe durchgelassen, wie besser schützen?

Ramses — Mon, 26 May 2003 06:53:51 GMT

Das sieht doch schon mal nett aus, hat einer Erfahrungen mit Wingate?
für den Anfang sollte es schon eine Windoof Firewall sein, aweil keine Zeit mich auf die schnelle in ne Linux Firewall reinzufuchsen. außerdem muß erst ma der Netzwerk und onlinebetrieb sichergestellt sein, und wie ich dsl unter Linux einricht, weiß Ich auch nicht.
also --> Windoof

Ich schau jetzt, ob das NT noch irgend ein Update braucht,
und dann sollte es doch erste ma gut sein, wenn man eine aktuelle Version einer Firewall installiert, oder?
man bekommt ja eh alle Updates im ersten Jahr automatisch.

hab ich irgendwas vergessen zu berücksichtigen?

eventuell wären noch ein paar Tips zur konfiguration nett

mfg Ramses

Re(4): Blackice hat Angriffe durchgelassen, wie besser schützen?

CJ3 — Mon, 26 May 2003 05:39:17 GMT

http://www.securiteam.com/windowsntfocus/5VP10009PQ.html

Re(2): Blackice hat Angriffe durchgelassen, wie besser schützen?

Srv-02 — Mon, 26 May 2003 01:04:11 GMT

Yeah, fli4l von der Diskette. Des rockt

Re(3): Blackice hat Angriffe durchgelassen, wie besser schützen?

3io — Sun, 25 May 2003 23:44:52 GMT

wo?

Re: Blackice hat Angriffe durchgelassen, wie besser schützen?

@thehop — Sun, 25 May 2003 17:46:54 GMT

Für Windaus...

http://www.deerfield.com/products/wingate/

Re(2): Blackice hat Angriffe durchgelassen, wie besser schützen?

CJ3 — Sun, 25 May 2003 16:36:40 GMT

Wurde nicht vor kurzem von ein paar Sicherheitslücken der Kerio Firewall berichtet??

Re(2): Blackice hat Angriffe durchgelassen, wie besser schützen?

^L^ — Sun, 25 May 2003 16:20:22 GMT

Unix is for Network
Apple is for hard work
Windows is for lamer's Work

Re: Blackice hat Angriffe durchgelassen, wie besser schützen?

Dennis666 — Sun, 25 May 2003 12:13:14 GMT

Für einfänger eine einfache Linuxfirewall wäre vielleicht der Linuxdistributor Ip-Cop http://www.ipcop.org !
Sorry, aber wenn du was für die Sicherheit deiner Firma tun willst verwende keine Win-Firewall!

Re: Blackice hat Angriffe durchgelassen, wie besser schützen?

3io — Sun, 25 May 2003 10:20:27 GMT

entweder mit kerio oder mit einem hw-router - aus dem p1 könntest aber auch einen ondisk router machen - http://www.fli4l.de wär ein tipp!

Re(3): Blackice hat Angriffe durchgelassen, wie besser schützen?

bond007 — Sun, 25 May 2003 00:31:48 GMT

es gibt router mit integrierter firewall, vielleicht hilft euch so etwas.

soll sicher sein, als manche andere firewall und leichter zu konfigurieren, als wenn du mit linux anfängst (was sicher besser ist).

Re(2): Blackice hat Angriffe durchgelassen, wie besser schützen?

Ramses — Sun, 25 May 2003 00:07:33 GMT

Dank erstmal an alle hilfreichen Antworten.
Bösguck aber trotzdem Dank an die etwas zynischen Antworten...
Kann ja nich jeder gleich Vollprofi sein, wenn er mit so nem Server zu tun bekommt.
meine Devise: Nix fummeln wenns läuft, besonders, wenn andere mit dran hängen.
Der Server ist seit langem da und läuft so wie er läuft. Der Kollege, der vorher verantwortlich war, hat soweit ich mich erinnere in der tat öfters mal in die log geguckt. Geupdatet hat er aber auch nix...
Nun managet der Server ja auch noch unsere Mails, deshalb tät glaub ich ein Router nich reichen. Was haltet Ihr von Tiny Personal Firewall? ( Tip von nem Bekannten)
Nu ist da ja schon einer drinn gewesen. der wirds auch wieder schaffen, wenn wir nix machen. Was sind denn mögliche Maßnahmen die sofort ergriffen werden können, um das zu verhindern ohne gleich neu zu Installieren, oder Linux einzusetzen? Auch Son Linux Server/Router will ordnungsgemäß Installiert und konfiguriert werden, und da hab Ich nur wenig Kenntnisse. Servicepack 5 is installiert. Black Ice update... mal sehn ob ich eins finde. Ich denke mal, daß man doch so nen nt server auch sicher bekommt oder?

Re: Blackice hat Angriffe durchgelassen, wie besser schützen?

Sonic The Hedgehog — Sat, 24 May 2003 16:02:00 GMT

http://www.fli4l.de/

damit soll man sehr gut einen router konfigurieren können

alternativen,

ein oldi
http://www.qnx.de/

dieses gibt es erst sehr kurz
http://www.oesterreichonline.at/report/artikel.asp?kid=3&mid=1&aid=3458

habe keines getestet, aber vieleicht hat jemand damit erfahrung oder zeit zum spielen,

auch noch zum nachlesen
http://www.netzmafia.de/skripten/unix/unix10.html

Re: Blackice hat Angriffe durchgelassen, wie besser schützen?

Fly — Sat, 24 May 2003 09:24:46 GMT

> -wie stelle Ich fest, was so ein Angreifer gemacht hat, welche Daten er ggf.
> kopiert hat?
Sofern das Wunderprodukt Blackice (das von der Sicherheit her wunderbar mit NT 4.0 harmoniert) eine Logfunktion hat, sollte diese ggf. sogar in der Lage sein festzustellen, welche IP-Adresse der Angreifer verwendet hat. Ob's seine ist, ist eine andere Frage.

> -Wie kann man sich davor besser schützen?
Ein sicheres System mit einer gut konfigurierten Firewall verwenden. Linux mit IPtables bietet sich an.

> -Ist ein P100 mit 64 MB Ram, welche gute Firewall läuft darauf?
Reicht vollkommen, meine FW ist ein 486. Gute Firewall, wie gesagt, IPtables.

> -Kommt ein Angreifer über den Proxy hinaus ins Firmennetzwerk?
Problemlos, sobald ihm der Proxy "gehört".

> -Kann man den Angreifer Ermitteln, und ggf. belangen? ( IP Adresse, Datum,
> Uhrzeit wird ja geloggt)
Theoretisch ja, praktisch vergiss es.

Re(3): Blackice hat Angriffe durchgelassen, wie besser schützen?

Twist — Sat, 24 May 2003 08:17:56 GMT

tippfehler....aber wennst den server jedes mal anschaust wenns regnet kommts in unseren breiten auch zu einer regelmässigen überprüfung

Re(2): Blackice hat Angriffe durchgelassen, wie besser schützen?

toor — Sat, 24 May 2003 03:03:00 GMT

> 3. eine richtige firewall verwenden (sygate, kerio,...)

...auch sicher konfigurieren

Re(2): Blackice hat Angriffe durchgelassen, wie besser schützen?

SchusterHarry — Sat, 24 May 2003 01:24:35 GMT

regenmässig is also nur dann wenns regnet-oder versteh ich da was falsch?

Re: Blackice hat Angriffe durchgelassen, wie besser schützen?

Twist — Fri, 23 May 2003 14:50:09 GMT

Blackice ist zwar ein cooler name...ist aber leider keine echte firewall sondern ein intrusion detection programm.
wie du das verhindern kannst:
1. bs sicher aufsetzten und mit allen patches.
2. den proxy richtig einstellen und auch auf die bugfixes achten
3. eine richtige firewall verwenden (sygate, kerio,...)
4. das teil regenmässig warten....

den cracker belangen? wenn er in österreich hockt ist das realistisch möglich an sonsten vergiss es

Re: Blackice hat Angriffe durchgelassen, wie besser schützen?

toor — Fri, 23 May 2003 14:44:13 GMT

> Unser NT4 Proxy mit Blackice wurde gestern abgeschossen.
*lol*

> Bemerkt haben wirs, da wir alle kein Internet mehr hatten.
*lol*

> -wie stelle Ich fest, was so ein Angreifer gemacht hat, welche Daten er ggf. kopiert hat?
* system-logs checken, proxy-logs checken, firewall-logs checken, und was er kopiert hat, das kannst sicher nicht mehr feststellen. und genausowenig was er eventuell gelöscht hat

> -Ist ein P100 mit 64 MB Ram, welche gute Firewall läuft darauf?
vielleicht schreibst du diesen satz einmal fertig...
ansonsten würde ich dir OpenBSD + pf (packet filter) + squid (proxy) empfehlen

> -Kommt ein Angreifer über den Proxy hinaus ins Firmennetzwerk?
freilich, falls die firewall shice konfiguriert ist
sowieso, weil er ja die firewall abgedreht hat.

> -Kann man den Angreifer Ermitteln, und ggf. belangen? ( IP Adresse, Datum, Uhrzeit wird ja geloggt
siehe dort -> *

das system muss ja komplett shice konfiguriert worden sein

Re: Blackice hat Angriffe durchgelassen, wie besser schützen?

LoneTiger — Fri, 23 May 2003 13:55:09 GMT

> -wie stelle Ich fest, was so ein Angreifer gemacht hat, welche Daten er ggf.
> kopiert hat?

Logs?

> -Wie kann man sich davor besser schützen?

Sauber installieren, sicheres Betriebssystem + Firewall und vor allem - die Kiste auch betreuen! Nicht so "uns ist zufällig aufgefallen"

> -Ist ein P100 mit 64 MB Ram, welche gute Firewall läuft darauf?

Linux?!

> -Kommt ein Angreifer über den Proxy hinaus ins Firmennetzwerk?

Wenn er den Proxy kontrolliert - ja...

> -Kann man den Angreifer Ermitteln, und ggf. belangen? ( IP Adresse, Datum,
> Uhrzeit wird ja geloggt)

Wenn er tatsächlich so dumm war, und *seine* IP hinterlassen hat - sollte kein Problem sein...

Blackice hat Angriffe durchgelassen, wie besser schützen?

Ramses — Fri, 23 May 2003 12:55:08 GMT

Unser NT4 Proxy mit Blackice wurde gestern abgeschossen.
Bemerkt haben wirs, da wir alle kein Internet mehr hatten.
Die Firewall war deaktiviert, als Ich auf den Server schaute. (muß wohl einer geknackt haben)
Bei der Prüfung der Log und Historie stellten wir fest, daß unter den unzähligen TCP und UDP Port Probes auch direkte Angriffe, sowie erfolgreiche Einbrüche verzeichnet waren. Man hatte versucht das teil runterzufahren, die DSL Einwahleinträge gelöscht, und weiß der Geier was die noch gemacht haben.
Inzwischen läufts wieder, aber
-wie stelle Ich fest, was so ein Angreifer gemacht hat, welche Daten er ggf. kopiert hat?
-Wie kann man sich davor besser schützen?
-Ist ein P100 mit 64 MB Ram, welche gute Firewall läuft darauf?
-Kommt ein Angreifer über den Proxy hinaus ins Firmennetzwerk?
-Kann man den Angreifer Ermitteln, und ggf. belangen? ( IP Adresse, Datum, Uhrzeit wird ja geloggt)