Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Ernste "Bedrohung" , fernab von Spielereien ;-) !

Smeangol / 13 Antworten / Baumansicht Nickles

Hi,
seit heute morgen rotiert die Norton-Firewall auf unserem Rechner.
Unser DSL-Router hat ebenfalls ne Firewall, allerdings zeigt auch die Software-Firewall an das wir angegriffen werden. Nun ist ja allgemein bekannt, dass Norton mal hin und wieder den Alarm eines "Angriffs" selber auslöst um den Usern von dem Produkt abhänig zumachen. Allerdings häufen sich die Angriffe in sonderbarerweise und schliessen einen ernst gemeinten Angriff nicht aus weil uns zur Zeit die "Konkurrenz" der Firma schon so auf die Pelle rückt .

Wie kann ich rausfinden wer versucht hat auf unseren Firmenrechner zuzugreifen ?

Vielen Dank für eure Hilfe

Cu Smeangol

bei Antwort benachrichtigen
Herman Munster Smeangol „Ernste "Bedrohung" , fernab von Spielereien ;-) !“
Optionen

Der "Schutz" in dieser Größenordnung fängt schon mal so an, daß die Rechner, die wirklich wichtige Daten enthalten, keine wie auch immer geartete Verbindung zu irgendeiner Telefonleitung haben dürfen. D.h., der Internet-Rechner ist ein vollkommen separates Stück, darf sogar ein älterer 486 sein, fürs Nur-Internet reicht der dicke. Vorab zieht man von der Boot-HD ein Image auf CD, bzw., man kopiert alles von einer nur dafür eingebauten anderen HD auf die normale Boot-HD. Dann kann an Viren, Trojaner, Angriffen jeder Art passieren, was mag, im Falle des Falles alles plattmachen und die HD von Null an nochmal komplett neu aufbauen.

Rechner mit wirklich klauenswerten Daten gehören nicht ans Internet!

Die Sicherheit der eigenen Rechner ist AUSSCHLIEßLICH!!!! abhängig vom Grad der (Un-)Fähigkeit des Angreifers. Punkt. Schluß. Aus. Ende.

bei Antwort benachrichtigen
xafford Smeangol „Ernste "Bedrohung" , fernab von Spielereien ;-) !“
Optionen

ich glaube euch ist nicht zu helfen, wenn ihr als firma zum schutz sensibler daten ein produkt wählt, das für solche einsatzzwecke nie entwicklet wurde. gehen die geschäfte so schlecht, daß ihr euch keine wirksame lösung leisten könnt? falls ihr wirklich für die konkurrenz interessante daten habt, dann kümmert euch schleunigst eum eine vernünftige friewall/proxy lösung mit filterregeln, die von einem profi aufgesetzt wurden. (auch ein standardmäßig konfigurierte firewall auf einem router ist keine professionelle lösung)

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Plazebo Smeangol „Ernste "Bedrohung" , fernab von Spielereien ;-) !“
Optionen

Das waren aber keine Antworten auf die eigentliche Frage :)
Also man kann anhand der IP schonmal herausfinden welchen Provider der Angreifer benutzt und auf richterlichen Beschluss kann man bei dem entsprechenden Provider darauf drängen bekannt zu geben, welcher User sich dahinter befindet. Die sich dazu verpflichtet ihre Logs ein halbes Jahr aufzubewahren.
Man kann dies auch mit Programmen wie Neotrace zurückverfolgen, aber aus meiner Erfahrung eher schlecht als recht. Bestenfalls stimmt der Ort des Angreifers einigermaßen mit der Wirklichkeit überein. Es gibt auch Internetseiten für sowas.
Schwieriger wirds wenn sich der Angreifer was dabei gedacht hat und mit allen Schikanen wie mehreren Proxies und so weiter angegriffen hat.

bei Antwort benachrichtigen
J-G-W Smeangol „Ernste "Bedrohung" , fernab von Spielereien ;-) !“
Optionen

Woran erkennst Du den "Angriff"?
Aber vorab, eine kleine Home-User-Möchtegern-Firewall kann und soll keine Industiedaten schützen.
Profis kommen durch JEDE FW durch. Es muß sich aber lohnen! Wenn die internen Daten nicht online sein müssen (bei PC-Gehäuselackiererei?), dann ist eine bauliche Trennung das sicherste. Also 2 Rechner. Sonst nur das Notwendiigste online lassen.
Wenn es nur darum geht festzustellen, wer gerade einen Verbindungsversuch durchgeführt hat oder einen Portscan durchführte, dann hat das in der Regel nichts mit einem Angriff zu tun und ist ganz normal. Eine FW (ich habe Outpost von Agnitum und die hat keine Probleme und ist in allen mir bekannten Tests super) sollte damit keine Probleme haben.
Wer war der Übeltäter?
Es gibt mehrere Möglichkeiten, um die IP zu enträtseln. Aber, bei routierender IP ist das nicht möglich, und die haben schließlich die meisten privaten User.
Sonst z.B. visualroute.ch oder wenn man noch das gute alte DOS hat (auch bei WIN ME) im DOS-Fenster eingeben"TRACERT" und die IP und Enter.
Aber keine Wunder erwarten!

bei Antwort benachrichtigen
Plazebo Smeangol „Ernste "Bedrohung" , fernab von Spielereien ;-) !“
Optionen

T-Online und sonstige Provider müssen aber protokollieren welcher User mit welcher IP wann online gegangen ist und wie lange. Es ist nicht entscheidend ob dies eine statische oder dynamische IP ist.
Provider haben auch einen Adressraum, soweit ich da richtig liege. Daher kann man an den ersten beiden Stellen der IP-Nummer oder so den Provider herausfinden.

bei Antwort benachrichtigen
xafford Plazebo „T-Online und sonstige Provider müssen aber protokollieren welcher User mit...“
Optionen

bis ein richter eine verfügung ausstellt sind alle dateien längst gelöscht, zumal ein richter erst eine verfügung ausstellt, wenn beträchtlicher finanzieller schaden entstanden ist.
in deutschland wurde noch nie ein hacker aufgrund von einsicht in providerlogs überführt nd das wird sich in der momentanen rechtslage auch nicht ändern.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
J-G-W Smeangol „Ernste "Bedrohung" , fernab von Spielereien ;-) !“
Optionen

Sag ich doch, bei rotierender IP bekommt man nur den Prvider, mehr nicht. Nur bei statischen IP´s hift das, und die haben die wenigsten User, weltweit!

bei Antwort benachrichtigen
515515 Smeangol „Ernste "Bedrohung" , fernab von Spielereien ;-) !“
Optionen

@Herman Munster
Recht haste! Ein richtiges Netzwerk hat streg genommen nicht mal ein Diskettenlaufwerk! Unsere ganzen Rechner hängen alle from fröhlich alle am Internet. Was habe ich schon gescholten.... René s Paranoia...
Wie mir mein Chef glaubhaft weimachen wollte WinNT4 bekommt keine Vieren!!! Alles von Spezialisten beraten!! Bis es dann soweit war. Dann war selbst der Vierenscanner kein Thema mehr. Es muß erst etwas passiert sein damit etwas passiert ist. Selbst die Vieren haben sie auf den Backup Medien mit gesichert. Ich sage euch wenn es nicht so traurig währe könnt ich lachen.
MfG
René

bei Antwort benachrichtigen
Plazebo Smeangol „Ernste "Bedrohung" , fernab von Spielereien ;-) !“
Optionen

lol
das obligatorische "aber" war bei mir ja auch genannt.
Jemand der sich damit auskennt wird ein paar Auffangnetze für sich geschaffen haben.
Und das die Mühlen der deutschen Justiz laaaaaangsam mahlen ist auch nichts neues.

bei Antwort benachrichtigen
FreddyK. Smeangol „Ernste "Bedrohung" , fernab von Spielereien ;-) !“
Optionen

Als Gateway ("Firewall") für ein Firmennetz ins Internet kommt eigentlich nur
ein Rechner mit Linux oder BSD (Free-/Open-) in Frage. Auf diesem
ein ordentlich konfigurierter Paketfilter, am besten noch mit stateful inspection.

Für sowas ist eine "Personal Firewall" rausgeworfenes Geld, die ist
brauchbar auf den Clients oder im Heimbereich, aber sonst nirgends.

Geeignet sind so ziemlich jede aktuelle Linux/BSD-Distribution,
und im Besonderen die extra dafür ausgelegten Firewall-Distris, wie
Mandrake Single Networt Firewall, Smoothwall, oder Gibraltar,
um nur einige zu nennen.

Die sind alle gut geeignet für kleine bis mittlere Firmennetze.


Gruß FreddyK.

Dieser Beitrag wurde unter Debian GNU/Linux 7.1 Wheezy verbrochen. https://de.wikipedia.org/wiki/Vorratsdatenspeicherung
bei Antwort benachrichtigen
xafford FreddyK. „Als Gateway Firewall für ein Firmennetz ins Internet kommt eigentlich nur ein...“
Optionen

ich würde selbst eine linux/bsd-firewall für ein firmennetzwerk mit daten von interesse für die konkurrenz als nicht geeignet bezeichnen, da diese systeme zu sehr im blickpunkt stehen und sicherheitslöcher zu bekannt sind, ein statefull packet filter ist auch äußerst einfach auszutricksen. ich denke wenn wirklich sensible daten gefährdet sind kommt man kaum an kommerziellen produkten vorbei wie die von checkpoint und anderen.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
FreddyK. xafford „ich würde selbst eine linux/bsd-firewall für ein firmennetzwerk mit daten von...“
Optionen

Wer seine sensiblen Daten auf einem Rechner parkt. der von außen
zugänglich ist, der ist sowieso selber schuld.

Gruß FreddyK.

Dieser Beitrag wurde unter Debian GNU/Linux 7.1 Wheezy verbrochen. https://de.wikipedia.org/wiki/Vorratsdatenspeicherung
bei Antwort benachrichtigen
SnakeEater Smeangol „Ernste "Bedrohung" , fernab von Spielereien ;-) !“
Optionen

Na ja, wenn ihr Norton Firewall habt, dann zeigt sie auch die IP-Adresse, meine macht's jedenfalls. Und dann solltet ihr, wenn ihr auf richterliche Hilfe verzichtet, wenigstens ein paar "Tools" zur Verfuegung haben.
Also, als Sys-Admins koennt ihr ja wohl nicht weniger Ahnung haben als ich, andernfalls wuerde ich mich gerne mal fuer den Job bewerben ...

bei Antwort benachrichtigen