ph0enix

Welche Firewall am besten geeignet ist, ist nicht die Gretchenfrage, sondern die, wie gut sie konfiguriert und gepflegt wird... ;)

Gummi Baerchen: Abu Yassir Fatti Fukki

Das Network Security Toolkit ist eine bootbare CD auf der Basis von RH 9 mit ausgewählten Open Source Network Security Tools. Mit NST kann nahezu jeder x86er in ein System für Netzwerkanalyse, Intrusion Detection, Virtueller System Service Server oder ein Netzwerk/Host-Scanner für alle Arten von Crash Recovery, Troubleshooting Szenarien usw. umgewandelt werden. Info: http://www.networksecuritytoolkit.org/nst/index.html Tools: http://www.networksecuritytoolkit.org/nst/links.html Download: http://prdownloads.sourceforge.net/nst/nst-1.0.4.iso.gz?download

-- .- --. .--- . -- .- -. -.. --. ..- -- -- .. -... .- . .-. -.-. .... . -. :)

Dann wird es in der Tat etwas schwierig, mein Tipp war natürlich nur für eine Handvoll Maschinen gedacht...

Mit ausgeliefert meinte ich, dass die englischen Kollegen die Fäden ziehen und Du kaum Möglichkeiten hast, einzuschreiten... Wieviel Maschinen betreust Du denn? Ich würde an Deiner Stelle zuerst alle Maschinen vom Netzwerk trennen und nach Gaobot suchen und die entsprechenden Entseuchungsmaßnahmen durchführen. Um welchen Cisco-Router handelt es sich? Wenn Du keinen administrativen Zugriff auf den Router hast, sollen Deine englischen Kollegen die relevanten Ports vorläufig sperren. Als nächstes müssen alle Maschinen durchgepatcht werden, Du brauchst dafür eine Maschine, die nicht infiltriert ist, von der Du die notwendigen Patches downloaden und auf CD brennen kannst. Mit dieser CD patcht Du die restlichen Maschinen.

Also quasi ausgeliefert... Ich erwähne das deshalb, weil der Wurm all die schönen Schwachstellen ausnützt, für die es seit langem Patches gibt... :(

Zu W32.Gaobot.ZX: http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.zx.html Habt Ihr eine Firewall?

Genau! Und wenn Du Fragen hast, dann fragen...

Die Grundkonfiguration von Snort ist per se nicht schwierig. Das nachfolgende Finetuning bzw. Anpassen der Rules für Euer Netzwerk und das richtige Einschätzen der Alarme und der False Positives ist die eigentliche schwierige Arbeit, sofern das notwendige Wissen fehlt.

Wichtiger Nachsatz: Snort ist keine Antiviren-Lösung. Es gibt zwar vereinzelte Signaturen (Rules), die das Erkennen bestimmter Viren oder Würmer ermöglicht, allerdings ist das prinzipiell nicht das Einsatzgebiet von Snort. Sofern es sich bei Eurem Problem um den W32.Gaobot Wurm (auch als Phatbot bekannt) handelt, gibt es dazu beispielsweise von Symantec relevante Infos: http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.sa.html Vorher mit dem englischen Kollegen abklären, um welche Variante es sich dabei handelt.

Wie von Comedian schon erwähnt, ist Snort eine sehr gute Lösung und zudem noch Open Source. Wir haben selbst mehrere Snort-Sensoren im Einsatz und sind sehr damit zufrieden. Grundvoraussetzung ist ein fundamentales Wissen dieser Materie, sofern der Einsatz wirklich professionell sein soll.

;)

DNS-Troubleshooting Step-by-Step: ;-) Wenn Du in einer Console den Befehl "nslookup" aufrufst, was passiert dann?

tcp/1723 -- PPTP-Tunnel udp/500 -- IPSec-Tunnel udp/1701 -- L2TP-Tunnel