NikoAuer 10 Geschrieben 20. April 2004 Melden Teilen Geschrieben 20. April 2004 Hallo zusammen, wir befürchten einen Hackerangriff in unserer Domäne. Kennt jemand gute, brauchbare Software um dies zu erkennen? Intrusion Detection??? Nach Möglichkeit Freeware. PDC und BDC sind NT 4.0 Server, zusätzlich 3 W2K Member Server vorhanden. Vielen Dank für die schnelle Hilfe. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 20. April 2004 Melden Teilen Geschrieben 20. April 2004 Wenn du gute IDS Systeme suchst, wirdt fu mit Freeware nicht weit kommen. Bietet ihr eure Leistungen (was auch immer ihr macht) umsonst an, oder wollt ihr für professionelle Qualität auch geld haben (Ich gehe mal davon aus, dass du nicht für die Caritas arbeitest)? Ein gutes IDS System ist das von NetScreen. http://www.juniper.net/products/intrusion/ Kostet aber ein bischen was. Wenn du aber mal überlegst, was es euch kostet, wenn das ganze Netz mal einen Tag stillsteht, wirst du leicht feststellen, dass es keinen Sinn macht an der falschen Stelle zu sparen. Zitieren Link zu diesem Kommentar
Comedian 10 Geschrieben 20. April 2004 Melden Teilen Geschrieben 20. April 2004 Freeware, aber nicht ganz trivial: http://www.snort.org Zitieren Link zu diesem Kommentar
NikoAuer 10 Geschrieben 20. April 2004 Autor Melden Teilen Geschrieben 20. April 2004 Danke für die schnelle Antwort. Warum bekommt man in diesem Forum zu qualifizierten Antworten immer dumme Kommentare dazu? Ist das bei MCSElern so üblich? Ich arbeite nicht für die CARITAS aber es ist in einem Unternehmen nicht immer so leicht innerhalb ein paar Stunden mal schnell ein IDS zu kaufen. Ich werde die Software ausprobieren. Vielleicht bekomm ich den Kauf der IDS ja genehmigt. MfG Niko Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 20. April 2004 Melden Teilen Geschrieben 20. April 2004 Original geschrieben von NikoAuer Warum bekommt man in diesem Forum zu qualifizierten Antworten immer dumme Kommentare dazu? Ist das bei MCSElern so üblich? Das hat mit MCSElern nichts zu tun, sondern ist meine persönliche Meinung. Zu viele Leute meinen immer alles muss sofort passieren, muss gut funktionieren, darf aber am besten nichts kosten. Ich sehe das nicht als dummen Kommentar, sondedrn bin der Meinung, dass es eine rein wirtschaftliche Erwägung ist. Die Zeit die viele Leute damit verbringen (und das Risiko, welches sie damit eingehen) irgendwelche "Bastellösungen" zu implementieren, kostet so viel, dass sie für das Geld auch etwas vernünftiges bekommen haben. Zitieren Link zu diesem Kommentar
ph0enix 10 Geschrieben 20. April 2004 Melden Teilen Geschrieben 20. April 2004 Wie von Comedian schon erwähnt, ist Snort eine sehr gute Lösung und zudem noch Open Source. Wir haben selbst mehrere Snort-Sensoren im Einsatz und sind sehr damit zufrieden. Grundvoraussetzung ist ein fundamentales Wissen dieser Materie, sofern der Einsatz wirklich professionell sein soll. Zitieren Link zu diesem Kommentar
NikoAuer 10 Geschrieben 20. April 2004 Autor Melden Teilen Geschrieben 20. April 2004 Ja das ist ja prinzipiell auch prima. Aber ich habe in meiner Ereignisanzeige pro Sekunde 3-5 neue fehlerhafte Anmeldeversuche!!! Eben kam die Meldung von Kollegen aus England, das wir in unserem Europanetz Probleme mit Gaobot Virus haben. Ich häng etwas in der Luft und bekomme langsam Panik... Soll ich dem ganzen Geschehen einfach zusehen und warten bis sie uns gehackt haben... Das ist so ein bischen wie Russisch Roulette... Ich bin nervlich im moment etwas angespannt... Sorry. Zitieren Link zu diesem Kommentar
ph0enix 10 Geschrieben 20. April 2004 Melden Teilen Geschrieben 20. April 2004 Wichtiger Nachsatz: Snort ist keine Antiviren-Lösung. Es gibt zwar vereinzelte Signaturen (Rules), die das Erkennen bestimmter Viren oder Würmer ermöglicht, allerdings ist das prinzipiell nicht das Einsatzgebiet von Snort. Sofern es sich bei Eurem Problem um den W32.Gaobot Wurm (auch als Phatbot bekannt) handelt, gibt es dazu beispielsweise von Symantec relevante Infos: http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.sa.html Vorher mit dem englischen Kollegen abklären, um welche Variante es sich dabei handelt. Zitieren Link zu diesem Kommentar
NikoAuer 10 Geschrieben 20. April 2004 Autor Melden Teilen Geschrieben 20. April 2004 Es sind verschiedene Gaobot im Umlauf. Der erste war in Frankreich der W32.Gabobot.ZX Ich habe hier einen ePolicy Server von NAI laufen, er fängt ja auch schon einiges ab. Aber trotzdem ist es denke ich nur eine Frage der Zeit... Ich müsste rausfinden ob und woher derzeit Angriffe stattfinden. Ist Snort für einen ungeübten komplizert einzurichten? Zitieren Link zu diesem Kommentar
ph0enix 10 Geschrieben 20. April 2004 Melden Teilen Geschrieben 20. April 2004 Die Grundkonfiguration von Snort ist per se nicht schwierig. Das nachfolgende Finetuning bzw. Anpassen der Rules für Euer Netzwerk und das richtige Einschätzen der Alarme und der False Positives ist die eigentliche schwierige Arbeit, sofern das notwendige Wissen fehlt. Zitieren Link zu diesem Kommentar
NikoAuer 10 Geschrieben 20. April 2004 Autor Melden Teilen Geschrieben 20. April 2004 Ok vielen Dank. Ich werds versuchen. Gruß Niko Zitieren Link zu diesem Kommentar
ph0enix 10 Geschrieben 20. April 2004 Melden Teilen Geschrieben 20. April 2004 Genau! Und wenn Du Fragen hast, dann fragen... Zitieren Link zu diesem Kommentar
ph0enix 10 Geschrieben 20. April 2004 Melden Teilen Geschrieben 20. April 2004 Zu W32.Gaobot.ZX: http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.zx.html Habt Ihr eine Firewall? Zitieren Link zu diesem Kommentar
NikoAuer 10 Geschrieben 20. April 2004 Autor Melden Teilen Geschrieben 20. April 2004 wir haben hier lokal einen cisco router, ob da ein firewall drin steckt weiß ich nicht. wir haben eine standleitung nach london und dort ist auch unser zentrales HUB und Firewall für Europa. aber ich habe weder auf unseren lokalen router noch auf die firewall in london zugriff. das wird alles von den it leuten in england gemanaged. Zitieren Link zu diesem Kommentar
ph0enix 10 Geschrieben 20. April 2004 Melden Teilen Geschrieben 20. April 2004 Also quasi ausgeliefert... Ich erwähne das deshalb, weil der Wurm all die schönen Schwachstellen ausnützt, für die es seit langem Patches gibt... :( Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.