daywalker1971 10 Geschrieben 28. April 2004 Melden Teilen Geschrieben 28. April 2004 Erst einmal ein "Hallo" an Alle hier ! .... hoffentlich das richtige Forum ..... aber irgendwie ist es ja LAN *g Zunächst "meine" Umgebung : intern Serverseitig : homogen Win 2000 (16x). Clients : 2000/XP (ca. 250x) ADS wird aktiv eingesetzt nach Aussen : 3-stufige Firewall, bestehend aus Cisco-Komponenten, sowie diversen Linux-Maschinen mit (jeweils wieder *g) aktivierten Firewalls, sowie als "IDS" konfiguriertem "snort". Natürlich im Zuge dessen auch diverse DMZ's. Internet findet via "internem" & "externem" Squid-Proxy (sowie Squidguard) statt. Mein Problem stellt sich folgendermassen dar : Hat irgendjemand eine IDS/IPS , die aktiv einen http-Tunnel "meldet" ? Hintergrund ist folgender : Es gibt mittlerweile ja einige Ansätze, auffälligen Traffic zu überwachen. Ich habe bei uns, wie gesagt, "SNORT" entsprechend konfiguriert. Nun bekam gestern ein User von einem 3rt-Party-Supporter die Aufforderung, sich ein "kleines exe-File" von deren Homepage zu holen und bitte zu starten. Dieser User macht es natürlich (ich weiss, könnte diese Downloads sperren .....) ...... und 1 Minute später steht eine Remote-Desktop-Connection vollkommen an der FW und sämtlichen Sensoren vorbei ! Ist klar, denn es wird ein http-Tunnel mit "initialized by outgoing" aufgebaut" ...... Was mir quer aufstösst ist, dass ich dieses heute mit diesem Supporter "nachgestellt" habe unter zuhilfenahme "sämtlicher Tools" : IE-Sicherheit "dicht gemacht" - heisst : nix ActiveX, kein Java, kein Scripting .... tcpdump auf dem Proxy : zeigt nur Port 80 tcpview auf dem Client : dito ...... und der Hammer : ein "Filemon" zeigt mir auch nicht, wieso der Desktop aufgemacht wurde ! Da passt es doch ins Bild, dass der angemeldete User natürlich lediglich "Benutzer-Rechte" hat ..... (alle Tools by sysinternals.com) Nu' frag ich mich .... wie erkenne ich wenigstens ansatzweise, dass A nach B einen Tunnel initiiert ....... Dass es Systeme gibt, die "RFC-Verletzungen" melden ist klar. Nur ist ein Tunnelaufbau nicht zwingend eine entsprechende Verletzung von RFC's, sondern eine "fremdentzweckung" *g Wer verrät mir, wie ich's frühzeitig erkenne ? *g Gruss daywalker Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 28. April 2004 Melden Teilen Geschrieben 28. April 2004 Hallo, soweit ich weiss, lässt sich alles irgendwie tunneln, da würde wohl nur ein Content-Inspection-Filter helfen (wenn überhaupt, aber zumindest könntest du damit den DL von .exe-Dateien blocken). Grüße Olaf Zitieren Link zu diesem Kommentar
daywalker1971 10 Geschrieben 28. April 2004 Autor Melden Teilen Geschrieben 28. April 2004 Hi, erst einmal "Danke" für Dein Interesse und Deine Antwort ! Mein Problem ist ja genau dieses ...... tunneln kann man alles ... Blocken könnte ich einen Download verschiedenster "expressions" (zip,exe, .... wasauchimmer ...) ziemlich einfach via Proxy. Dieses allerdings ist "nicht gewünscht". Darüberhinaus ziehen bis dato auch alle Policies, in denen definiert ist, dass der "normale User" nix installieren darf, heisst, nix, was das System (Registry) anfasst. Davon ausgenommen ist leider der Download und Start verschiedenster exe-Files....... Nun "hart" per GPO zu definieren, "wer was" ausführen darf, ist doch ein wenig heavy ..... Somit bleibt wohl die "statefull Inspection". Und da frage ich mich, wie ich "dazwischenkomme", wenn ein (vermeintlich rfc-konformer) Tunnel aufgebaut wird ....... Gruss daywalker Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 29. April 2004 Melden Teilen Geschrieben 29. April 2004 Hi, "zwischen" eine getunnelte Kommunikation zu kommen, ist fast unmöglich (siehe die Riesenprobs der Unis, der Studis per HTTP-Port-Tunnel Verbindung zu Kazaa und Co. aufnehmen). "Statefull Inspection" hast du bereits mit deiner Firewall, du wolltest bestimmt "Content Filtering" schreiben ;). Durch den Download von exe-Files können genau solche Sachen passieren. Dieses "Support-Tool" hat lediglich einen Tunnel aufgebaut, dafür muss nicht unbedingt in die Registry eingegriffen werden (scheint schon raffiniert gemacht zu sein). Einzige Lösungen, die ich sehe: - Download von exe-Dateien nicht mehr erlauben (es könnte ja auch ein neuer Virus sein) - ein gutes Cont. Insp. Tool einführen (frag mich bitte, nicht welches). Wenn du eine Lösung (oder einen Ansatz (oder ein Produkt )) hast zum Testen, würde mich das mal interessieren. ;) Grüße olaf Zitieren Link zu diesem Kommentar
daywalker1971 10 Geschrieben 29. April 2004 Autor Melden Teilen Geschrieben 29. April 2004 Hi, ja - klar - content filter meinte ich schon. einen, der mir über den squidguard hinausgeht, habe ich heute unter die lupe genommen. http://httpf.sourceforge.net das ding hat was ! klemmt sich vor den squid und wird als proxy bei den clients eingetragen. je nach config gibts nicht mehr viel zu sehen im browser. werde morgen bei einem weiteren test mit dem "supporter" einen weiteren (anderen) kompletten mitschnitt laufen lassen und mal schauen, was da jetzt so rauskommt. gruss daywalker Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 29. April 2004 Melden Teilen Geschrieben 29. April 2004 Ah, prima und Danke für den Link. *schnell ein Bookmark setz* Zitieren Link zu diesem Kommentar
daywalker1971 10 Geschrieben 30. April 2004 Autor Melden Teilen Geschrieben 30. April 2004 @olaf Du wolltest ja eine Rückmeldung -> Yep, damit lässt sich (wenigstens) dieser Tunnel verhindern. Heisst, aufgrund verschiedenster Strukturen des 'tunnelings' ist natürlich nicht auszuschliessen, dass "andere Wege dennoch funktionieren" .... ABER httpf ist " 'scho geil" ! Hintergrund ist, wie erwähnt, ein Proxy auf Linux-Basis -> Squid ! (gibt's eigentlich adäquate Alternativen ? *g) Vor diesen schaltet sich dann der httpf .... und diesen kann man "herunterfiltern" bis auf "plain text" ...... Wenn man dann noch "hier & da" ein wenig bastelt ..... ist der (dieser) Tunnel Geschichte ! Ich will mal eben schnell anmerken, dass ich kein "Ur"-Linuxer bin, sondern seit Jahren aus der "MS-Welt" komme (bevor Diskussionen entstehen) .... aber im Bereich der Security (Mail/Spam/FW/ uswusw ....) nicht auf LX zu setzen .... iist einfach nur fahrlässig ! Die haben tatsächlich die dollsten Lösungen. So ganz langsam glaube ich, dass deren "grösste Ablehner" daher rühren, dass Sie das System nicht "begreifen" *g (dabei ist es so einfach . -> lesen bildet halt immer noch *g) Gruss daywalker P.S. Mein "neuer Freund" neben SquidGuard : http://httpf.sourceforge.net/ Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.