Hallo,
ich gehe mal davon aus das einige von euch auch beruflich Netzwerke betreuen und als Admins arbeiten.
Daher wollte ich mal gerne wissen ob und wie ihr Sicherheitsuntersuchungen macht ?
Scannt ihr das Netzwerk einfach nur mit Nmap ab und schaut ob etwas seltsames dabei ist oder setzt ihr ausgeklügelte Technik ein ?
Benutzt ihr ein IPS oder ein IDS System ?
Wie geht ihr sicher, dass niemand ein Administratorpasswort hat oder nicht längst in das System eingedrungen ist ?
Gibt es bei euch vielleicht Notfallpläne wie bei einem Einbruch vorgegangen werden soll ?
Bitte gebt keine Informationen preis die später einmal missbraucht werden könnten. Mir geht es nur darum wie andere für Netzwerksicherheit und auch vor Angriffen von Innen sich schützen.
Ich denke für einen Administrator gibt es nicht viel schlimmere Ereignisse, als gehackt zu werden und sich hinterher dafür rechtfertigen zu müssen.
Wie macht ihr Sicherheitsuntersuchungen ?
-
- Beiträge: 2091
- Registriert: 07.07.2006 18:32:05
außer Gott weiß das auch der (falls es ihn gibt), der meinem System einen Besuch abgestattet hat.
100% sicher verneinen kann hier niemand, der am Netz hängt
... man achtet halt mit geeigneten Mitteln auf Unregelmäßigkeiten jeder Art und hofft, dass die getroffenen Sicherheitsvorkehrungen lückenlos genug sind.
[okay, konkret war meine Antwort ja in keiner Weise ]
100% sicher verneinen kann hier niemand, der am Netz hängt
... man achtet halt mit geeigneten Mitteln auf Unregelmäßigkeiten jeder Art und hofft, dass die getroffenen Sicherheitsvorkehrungen lückenlos genug sind.
[okay, konkret war meine Antwort ja in keiner Weise ]
Use ed once in a while!
-
- Beiträge: 2091
- Registriert: 07.07.2006 18:32:05
Ist es in euren Netzen bspw. gestattet sich eine DHCP Adresse zu beziehen automatisch oder muss das seperat aktiviert werden ?
Die Frage und Sorge die sich mir stellt ist einfach, ob mir der IpCOP ausreichenden Schutz bietet.
Klar die größte Sicherheitslücke ist meist die eigene Konfiguration, aber dennoch mache ich mir Gedanken über Man in the middle Attacken. Seien sie beabsichtigt oder nicht, aber Datenverkehr der nach außen einmal angefordert wird und nicht über Dansguardian geht kommt auch ungehindert wieder zurück.
Die Frage und Sorge die sich mir stellt ist einfach, ob mir der IpCOP ausreichenden Schutz bietet.
Klar die größte Sicherheitslücke ist meist die eigene Konfiguration, aber dennoch mache ich mir Gedanken über Man in the middle Attacken. Seien sie beabsichtigt oder nicht, aber Datenverkehr der nach außen einmal angefordert wird und nicht über Dansguardian geht kommt auch ungehindert wieder zurück.
Hi,
bislang gehe ich davon aus, noch nicht gehackt worden zu sein, jedenfalls nicht von aussen.
Die wenigen Ports die nach aussen offen sind werden durch selbst geschriebene Scripte ueberwacht. Du hast allerdings recht, als ich das erste mal einen missglueckten Einbruchsversuch in den Log's gefunden hatte, war schon Stimmung in der Bude, zumal mir nicht sofort klar war, das es halt nur ein Versuch, aber halt ein erfolgloser war. In dieser Richtung bin ich dran weiter "Aufzurüsten", jedenfalls steht's auf meiner Agenda ganz oben.
Was vermutlich genauso gefaehrlich ist, sind "innen Taeter". Hier wird wesentlich weniger gelogged, also faellt es auch nicht so schnell auf. Einen USB-Stick einstecken, un mal eben schnell was kopieren ist nunmal kein Problem mehr heutzutage. In der Richtung muesste man vermutlich wesentlich mehr machen, als nach aussen.
bislang gehe ich davon aus, noch nicht gehackt worden zu sein, jedenfalls nicht von aussen.
Die wenigen Ports die nach aussen offen sind werden durch selbst geschriebene Scripte ueberwacht. Du hast allerdings recht, als ich das erste mal einen missglueckten Einbruchsversuch in den Log's gefunden hatte, war schon Stimmung in der Bude, zumal mir nicht sofort klar war, das es halt nur ein Versuch, aber halt ein erfolgloser war. In dieser Richtung bin ich dran weiter "Aufzurüsten", jedenfalls steht's auf meiner Agenda ganz oben.
Was vermutlich genauso gefaehrlich ist, sind "innen Taeter". Hier wird wesentlich weniger gelogged, also faellt es auch nicht so schnell auf. Einen USB-Stick einstecken, un mal eben schnell was kopieren ist nunmal kein Problem mehr heutzutage. In der Richtung muesste man vermutlich wesentlich mehr machen, als nach aussen.
Roland
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
Die Kunst ist es einen Angriff oder Versuch so schnell es geht zu erkennen und dann Maßnahmen zu treffen das die nicht mehr passiert.
Die meisten Angriffe auf ein Netzwerk (ich meine jetzt größere Netze) kommen von innen.
Werkzeuge sind natürlich die Log-Dateien. Aktivitäten auf der Leitung die im Vergleich zu vorher ansteigen.
Kenntnisse über die Protokolle und eben Wissen, Wissen, Wissen.
Gruß
Martin
Die meisten Angriffe auf ein Netzwerk (ich meine jetzt größere Netze) kommen von innen.
Werkzeuge sind natürlich die Log-Dateien. Aktivitäten auf der Leitung die im Vergleich zu vorher ansteigen.
Kenntnisse über die Protokolle und eben Wissen, Wissen, Wissen.
Gruß
Martin
- ckoepp
- Beiträge: 1409
- Registriert: 11.06.2005 20:11:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nähe Heidelberg
Re: Wie macht ihr Sicherheitsuntersuchungen ?
Puhh...also netcat, nmap & hping (mit individuellen Einstellungen der Flags und etc.), die Standard-Programme von Cisco zum Beispiel um Installationen zu überprüfen, sind so die Werkzeuge die wir einsetzen.Alternativende hat geschrieben: Scannt ihr das Netzwerk einfach nur mit Nmap ab und schaut ob etwas seltsames dabei ist oder setzt ihr ausgeklügelte Technik ein ?
Nein, 90% aller IDS-Systeme sind nutzlos. Ein IDS benötigt mindestens einen Hauptamtlichen der es betreut und dazu noch mindestens ein Studium haben muss (er muss sich also im Detail auskennen mit IT-Netzwerken). Solche Einrichtungen müssen ständig und bei jeder kleineren Änderung im Netzwerk angepasst werden. Meiner Meinung nach ist ein IDS die Arbeit - im 'normalen' Umfeld - nicht wert, die man reinsteckt. Die "ich hab Snort laufen - ich bin sicher" Einstellungen einiger Zeitgenossen ist ja eher ein Witz als ein Teil eines Sicherheitskonzeptes.Alternativende hat geschrieben: Benutzt ihr ein IPS oder ein IDS System ?
Die Passwörter entsprechen internen Standards und jeder Login auf sicherheitskritischen Systemen geht zum zentralen Protokollserver. Dessen Passwort liegt im Safe im versiegelten Umschlag. Login-Statistiken sind für einen internen Kreis abrufbar. Nebenbei ist der Login an Zeiten gebunden und nur vom internen Netz überhaupt erreichbar.Alternativende hat geschrieben: Wie geht ihr sicher, dass niemand ein Administratorpasswort hat oder nicht längst in das System eingedrungen ist ?
Ja, aber das ist überall Standard - zumindest bei einer gewissen Professionalität.Alternativende hat geschrieben: Gibt es bei euch vielleicht Notfallpläne wie bei einem Einbruch vorgegangen werden soll ?
Es gibt leider auch einige Firmen da muss sich niemand rechtfertigen: dort wird es schlichtweg nicht entdecktAlternativende hat geschrieben: Ich denke für einen Administrator gibt es nicht viel schlimmere Ereignisse, als gehackt zu werden und sich hinterher dafür rechtfertigen zu müssen.
"Es gibt kein Problem, das man nicht mit einem doppelten Scotch lösen könnte!"
Ernest Hemingway
Ernest Hemingway