Wie sichert ihr euren Würfel gegen Angriffe auf dem Internet?

ChrisRE84

ChrisRE84

Enthusiast
Thread Starter
Mitglied seit
19.10.2005
Beiträge
127
Hallo liebe Gemeinde,

wie habt ihr euren Würfel gesichert?
Bei mir hängt dieser hinter einer FRITZ!Box 7490 und ich habe mir Gedanken gemacht, ob aufgrund meines eingefangenem Crypto-Trojaners eine Hardware-Firewall sinnvoll wäre?
Jedoch habe ich gelesen, dass diese Hardware-Firewalls ausschließlich mit VPNs arbeiten und da habe ich noch nie was mit gemacht.
Außerdem möchte ich auch nicht jedes Jahr Lizenzgebühren für die Hardware-Firewalls bezahlen.

Oder würde es ausreichen, VMs auf dem Würfel einzurichten und dort sämtliche Daten zu lagern? Aktuell soll nur ein eMail-Server darauf laufen ( Tobit.David ). Vorsorglich habe ich den Benutzern unter Win10 neue und längere Passwörter verpasst ( mit Sonderzeichen ) und überall den Remote deaktiviert. Auf den Tobit.David Mail-Server wird vom iPhone und anderen Win-Clients per DynDNS zugegriffen ( ohne VPNs ).
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Bei mir schaut es gerade folgendermaßen aus:

Fritte Portforwarding zum Homeserver für 21/22/25/80/110/143/443/993/995/32400/10050/10051

Dort läuft ein Linux drauf und wie man bei den Portfreigaben ggf. schon erkennen kann:

*openssh
*vsftp
*apache
*mailserver (die unsecure Ports könnte ich mal zumachen, werden sowieso nicht bedient)
*plex
*zabbix

rein sollte nur kommen, wer das wirklich lange passwort hat oder den pubkey hat.

Dazu läuft failtoban mit, überwacht die logs aller Dienste und sperrt die IP bei dreimaligem Error. Das sind zu 99% bruteforceattacken aus China/Russland/Canada/Niederlande.

Die Kiste wird regelmäßig geupdated. Bisher hatte ich keine Probleme oder Untermieter :P

Gegen nen Crypto-Trojaner hilft dir das aber leider wenig, dem machst du ja normalerweise direkt selbst die Tür auf.
 
Zuletzt bearbeitet:
Wow. Das ist aber eine nette Liste an Ports, die offen sind...


Zum Thema Hardware-Firewall vs Crypto-Trojaner:

Da kann die Firewall gar nicht ansetzen. (Ok, es gibt eine Variante, die rdp missbraucht, aber da muss man schon gezielter für angegriffen werden - halte ich für eher unwahrscheinlich).
Denk doch nochmal genau drüber nach, wie so ein Virus auf den Client kommt und entscheide dann, ob das tatsächlich logisch ist zu sagen: HW-Firewall der FB hat versagt.

Gesendet von meinem XT1635-02 mit Tapatalk
 
Naja auf der Fritz sind nur 3 Ports offen bzw. bald nur 2, da ich den Remote-Port wieder raus nehme.
Bisher habe ich nur mit Win gearbeitet, Linux kenne ich mich null aus und mein Tobit.David gibt es ( glaube ich ) auch nur als Win-Version.

Würden denn meine Maßnahmen ( längere Benutzer-Passwörter und Deaktivieren der Remote-Optionen ) dem Crypto-Angriff schon entgegen wirken oder ist das nur ein Tropfen auf den heißen Stein und das könnte mir so jederzeit wieder passieren?

/edit
Was ich noch vergessen habe:
Meine DynDNS-Adresse habe ich auch geändert!
 
@Traumzauberbaum: joah, wie gesagt, die Ports für ungesichertes pop3/imap sollte ich mal schließen. Laufen gerade aber sowieso nur ins Nirvana :P


@ChrisRE84: Tobit.David sagt mir mal gar nix. Aber zu deinen 'Crypto-Angriffen': Alle mir begannen Crypto-Trojaner werden nicht aktiv von außen eingebracht sondern z.B. in einem Download versteckt, als Mailanhang o.Ä. und vom Nutzer dann selber ausgeführt und berechtigt alles zu tun. Das ist ja auch eine der großen Krux mit Windows, dass der Standartaccount erstmal volle administrative Rechte hat. Wenn du da in deinem Netz unbdarftere Nutzer hast reduziere ihre Nutzerklasse mal zu einem normalen User. Damit lässt sich schon sehr viel verhindern.
 
Nach außen habe ich gar keine offenen Ports (dank Unitymedia carrier-grade NAT bekannt als "DS Lite", natürlich mit Router-Kaskade). Von außen rein komme ich über ein VPN, welches lokal als Client läuft. Und auch durch das VPN sind nur die lebensnotwendigen Ports (SSH, E-Mail und HTTP/HTTPS) offen, der Rest wird von Iptables geblockt.
 
Tjo, schwieriges Thema. Bei mir ist alles dicht bis auf 2 Ports, die umgeleitet auf VPN und SSH zeigen. SSH (mal gedacht als fallback) mache ich noch zu, so dass dann nur noch VPN offen ist. Allerdings ist die einzig Firewall derzeit die Fritzbox... (arbeite ja noch an der pfSense, siehe entsprechender Thread).

VPN selbst läuft in einer Linux-VM ausschließlich zertifikatbasiert und die Zertifikate sind für die Clients noch mit Passwort versehen.

Ist man bei mir aber einmal im VPN, kommt man auf alles drauf.
 
Die beste Verteidigung gegen Crypto Trojaner sind vollautomatische Backups, so dass man notfalls alles flach machen kann und wieder vom Backup einspielen. Das Backup muss dazu unbedingt auf einem separaten Gerät laufen und man darf nicht mit dem normalen Benutzerkonto darauf einloggen können.
 
fax668 schrieb:
Die beste Verteidigung gegen Crypto Trojaner sind vollautomatische Backups, so dass man notfalls alles flach machen kann und wieder vom Backup einspielen. Das Backup muss dazu unbedingt auf einem separaten Gerät laufen und man darf nicht mit dem normalen Benutzerkonto darauf einloggen können.
Zum Vergrößern anklicken....

Sehe ich genauso... Hierbei soll ja der "Fall der Fälle" abgesichert werden, da solche Malware meist durch die "Schwachstelle Mensch" im System aktiv wird. Die Frage ist, wie man das am besten umsetzt. Ich bin daran auch gerade am testen, wie ich ein solches "sicheres Backup" mit iSCSI Laufwerken oder externen Platten (im Tausch) am sinnvollsten lösen kann unter einem Windows Server 2016.
Wer also gute Ideen hat - immer her damit ^^
 
Read-only Rechte für normalo-User auf klassischen "write-once, read-many" shares wie für Musik, Filme, Bilder usw...

Muss ich demnächst eh machen, da meine Kinder langsam die digitale Welt für sich entdecken... ;)
 
Wer also gute Ideen hat - immer her damit ^^
Zum Vergrößern anklicken....

Hier ist eine :)
Du kannst z.B. eine externe Platte mit Truecrypt verschlüsseln, dir ein Script schreiben, dass diese Platte automatisch zur Zeit X mountet, die Daten via Robocopy rüberschaufelt und anschließend wieder unmountet.
Die Verschlüsselung dient hier lediglich dazu, dass die Daten auf der Platte für das OS im Normalfall unzugänglich sind.

Was du natürlich noch von Hand machen müsstest, währe die Platte vor bzw nach dem Backup vom Rest des Systems zu trennen, damit das Backup auch wirklich offline ist.

Wenn das noch nicht offline genug ist, sicher auf Band.
 
dreadkopp schrieb:
@Traumzauberbaum: joah, wie gesagt, die Ports für ungesichertes pop3/imap sollte ich mal schließen. Laufen gerade aber sowieso nur ins Nirvana [emoji14]


@ChrisRE84: Tobit.David sagt mir mal gar nix. Aber zu deinen 'Crypto-Angriffen': Alle mir begannen Crypto-Trojaner werden nicht aktiv von außen eingebracht sondern z.B. in einem Download versteckt, als Mailanhang o.Ä. und vom Nutzer dann selber ausgeführt und berechtigt alles zu tun. Das ist ja auch eine der großen Krux mit Windows, dass der Standartaccount erstmal volle administrative Rechte hat. Wenn du da in deinem Netz unbdarftere Nutzer hast reduziere ihre Nutzerklasse mal zu einem normalen User. Damit lässt sich schon sehr viel verhindern.
Zum Vergrößern anklicken....
Genau darauf wollte ich hinaus. Die Absicherung hat über layer 7 zu erfolgen. Erst wenn dieser nicht mehr als Gefahrenquelle No 1 identifizierbar sind sollte man über andere Sachen nachdenken. Faustregel:

Je höher man im OSI aufsteigt, desto höher die Gefahr für "Dummheiten"

Ich habe mit Kopfschütteln im Microserver Thread mitgelesen...

Gesendet von meinem XT1635-02 mit Tapatalk
 
Zuletzt bearbeitet:
Traumzauberbaum schrieb:
Je höher man im OSI aufsteigt, desto höher die Gefahr für "Dummheiten"

Ich habe mit Kopfschütteln im Microserver Thread mitgelesen...
Zum Vergrößern anklicken....

Was stand denn da so schlimmes? Will ungern so doof sterben wie ich heute bin. ;)
 
@ ChrisRe84 - zum Thema Krypto-Trojaner.

Wie schon erwähnt, hängt das ganze am User - das ist übrigens Layer 8 nicht 7!
Die Umwandlung von User-accounts im Windows von Admin zu nur noch User bewirkt bei einem solchen Trojaner erstmal nur das die Files verschlüsselt werden, nicht aber gleich die ganze Platte. (Ich habe dazu mit diversen Trojaner in ner Sandbox Tests durchgeführt)
Die wichtigste Absicherung ist aber ein offline-Backup, sprich z.B. eine ausgeschaltet USB-Festplatte - da kann der Trojaner nämlich erstmal nicht ran.
2. sobald auffällt das sowas läuft -> Kiste aus! - so schnell wie möglich, im Zweifel eben Stecker ziehen.
-> Die Rechte auf Netzlaufwerke sollten für die User nach dem Minimalprinzip vergeben werden, heist, wenn lesend reicht, dann auch nicht mehr - so kann auch der Trojaner, der ja mit den Userrechten arbeitet, nichts böses tun - verschlüsseln ist ja eine Schreiboperation.

Am Mailserver solltest Du ggf. die erlaubten Anhänge anpassen.
Die letzten Crypto-Viren/Trojaner kamen in Word und Excel-Files, bzw. gleich als ZIP - Hier kann man aber z.B. auch im Client schon mal standardmäßig Makros deaktiveren. - Hilft auch schon nen ganzes Stück weiter, aber nicht gegen ungepatchte Office-Versionen, die dann mit einem Bufferoverflow zu irgendwas gebracht werden.

Schlimm ist vorallem aber auch, das die modernen Crypto-Viren nicht immer die notwendigen Files aus dem Netz nachladen, manche bauen die komplett selbst aus dem Makro.
Gegen die, die aus dem Netz noch die notwendige *.exe nachladen, kann man ja genau diesen Filetyp z.B. an nem Proxy sperren - zumindest von unbekannt Seiten oder eben für alle User außer dem einen Admin.

Zu Guter letzt - Virenschutz. Mag sein, das die Virenscanner etwas hinterher hinken, aber es gibt hier auch einen (setzen wir in der Firma ein) der quasi genau anders herum arbeitet - ohne die Performance der Rechner extrem zu verlangsamen. Dieser arbeitet auf Basis von whitelists für Programme, unbekannte *.exe werden erstmal geblockt und ggf. per "Meldung über komische aktivitäten nach Hause" dann analysiert, dieser erkennt aber auch anhand von Hashes und Prüfsummen, Verhaltensmustern von Dateien, wenn z.B. als Word.exe etwas ganz anderes passiert, als eben Word normal macht -> Erkennungsrate bei internen Tests (auch wieder mit der Sandbox) lag bei 100%

Ansonst kann ggf. eine entsprechende Subscribtion auf dem Mailgateway/proxy auch schon viel gefiltert werden.

so long.
 
besterino schrieb:
Was stand denn da so schlimmes? Will ungern so doof sterben wie ich heute bin. ;)
Zum Vergrößern anklicken....
Naja. Vor allem die mangelnde Einsicht, dass man sich so einen crypto Trojaner selbst einfängt... Wilde Hack Theorie... Wie ich oben schon erwähnt habe - die rdp Variante ist eher nicht wahrscheinlich. Zu 99,999% ist ein Anwender des lokalen Netz Schuld... Gibt dazu aber auch mittlerweile wirklich genug Material im Netz.

Bei frankysweb gibt es auch einen guten Artikel, wie man seinen File Server absichert... Einfach mal Google anwerfen.

P.S.: Post oben angepasst, dass klar wird, dass ich l8 meinte...
P.P.S.: Dummheiten ist wahrlich das falsche Wort. Unannehmlichkeiten? :/ :)

Gesendet von meinem XT1635-02 mit Tapatalk
 
Zuletzt bearbeitet:
Das ist immer ein Error-40, Layer 8 oder EifoK Problem :)
 
die Sophos UTM, als auch eine Hardwarefirewalll schützen nicht gegen die durch User ausgeführten Krypto-Locker.
Da helfen nur die 3 Gebote:
1. Backup
2. Backup
3. Verdammt nochmal ein Backup!

Wie ein Sinnvolles Backup ausschaut, kann jeder für sich klären, aber es sollte zumindest offline sein und mit einem dedizierten User laufen (wenn automatisiert). Extern wäre natürlich auch toll, wenn man die Möglichkeit hat (Offside ist als Empfehlung mehr als 50km vom eigentlichen Einsatzort...)

Ansonst hilft leider nur Brain.exe 2.0 und die Anwender sensibilisieren.

Wir haben in der Firma 2 mindergut gemachte Goldeneye-Mails bekommen - so hoch die gelobt werden - die Schreibfehler sind drin - und Makros sind verdammt nochmal per default aus !
 
Google?..

Btw. Backup ist auch kein zuverlässiger Schutz gegen Crypto-Trojaner. Jedenfalls solange die im System zur Zeit der Infektion verfügbar sind. Einige Varianten löschen auch Backup Sets.

Gesendet von meinem XT1635-02 mit Tapatalk
 
konfetti schrieb:
und Makros sind verdammt nochmal per default aus !
Zum Vergrößern anklicken....

Ja, das bringt aber nur dann was, wenn man das ganze via Gruppenrichtlinien forcieren kann, da leider viele sonst einfach stumpf auf den "Trotzdem aktiviern" Button klicken oder sich die Makrosicherheit anpassen. Ist ja viel bequemer :wall:

Thema Scripte --> Auch wenns nur eine Behelfslösung gegen User ist, die stumpf auf alles drauf klicken, was nicht bei drei aufm Baum ist: Da die meisten Cryptolocker nicht nur via Makro sondern auch via .js oder ähnlichen Scripten als Anhang kommen, kann man die Dateizuordnung etwas anpassen, so dass diese Scripte nicht durch einen Doppelklick ausgeführt werden können.
 
Naja...
Genau wegen sowas kann man sich halt fix ne kleine Domäne aufziehen. Der Aufwand ist zwar da, aber wenn man sich schon anmaßt der Admin zu sein daheim, dann richtig :)

Gesendet von meinem XT1635-02 mit Tapatalk
 
Moin,

ich habe meines Shares alle auf readonly gesetzt, wenn ein User was auf ein Share kopieren will kann er das mit nur mit WinSCP, abgesichert mit Key und Passphrase somit kann ein eventueller Trojaner nicht so einfach Schreibrechte erlangen.

-teddy
 
Traumzauberbaum schrieb:
Bei frankysweb gibt es auch einen guten Artikel, wie man seinen File Server absichert... Einfach mal Google anwerfen.
Zum Vergrößern anklicken....

Das ist allerdings noch nicht weitgenug gedacht...
"Absichern" heist ja in dem Fall nur ggü. bekannten Sachen schützen... Das Risiko kommt doch aber von den unbekannten Sachen. Was ist/passiert, wenn du dir was einfängst, was dort nicht in der Liste steht??


Aus meiner Sicht kann/muss man das zusammen mit einer Audit-Policy lösen. Sprich es werden pro User in einem Script Zugriffscounter gezählt. Und ähnlich der Erweiterung dort seitens Franky, der Usern die Freigabeberechtigung unterbindet, müsste man "einfach" bei überschreiten gewisser Schwellwerte A) Warnungen schicken und B) den Access ganz wegdroppen.
Denn es ist äußerst untypisch, das ein User hunderte oder tausende Files auf einen Share innerhalb kürzester Zeit anfässt.

Schützt nebenbei sogar noch vor Datenklau :fresse:
-> hat aber auch einen Pferdefuß, nämlich, wenn das gewollt passiert. Also ein User sagen wir einen Projektordner mit xxxx vielen Daten da auf den Server kippt. -> aber das kann er ja dann ggf. anmelden und es wird administrativ eingebracht?
 
Deswegen sag ich ja auch direkt vorher: lerne Gefahren zu erkennen. Dann passiert sowas nicht...
Mal im Ernst... Nahezu alles kommt via Bewerbung - stellt man selber ein? Wer so eine Bewerbung zusammen schustert, bei der man iwas aktivieren soll, der hat halt Pech.

Ich verstehe halt nicht, warum 99% der Deutschen mit fremdem Essen Probleme hat, aber alles und jeden auf seinem pc Zugriff gewährt ohne nachzudenken. (Die Angst vor Ausländer Karte hab ich mal bewusst nicht gezogen ;))

Gesendet von meinem XT1635-02 mit Tapatalk
 
Dem ist natürlich so... Aber, ich finde es grundsätzlich schwierig zu erkennen, wann etwas nicht dazu gehört/gefährlich ist für einen User, der damit vllt gar nix zu tun hat oder der sich damit nicht auskennt.

Ich selbst habe auf der Arbeit bspw. ein ziemlich eklatantes Problem. Wir haben einen Kunden, von dem bekommen wir via Mail Makroaktivierte Officedokumente. -> wir droppen die Dinger am Mailgateway. Allerdings ist das eben mit heiden Arbeit verbunden, weil die Mails quasi wichtig sind. -> dem Kunden das aufzudrücken, was WIR als Firma wollen, ist so ohne weiteres nicht. Denn der Kunde macht es sich einfach -> er nimmt sein Dokument, wo diese Makros drin sind, weil sie ihm helfen und schickt es an uns zur weiteren Bearbeitung. Er macht sich da auch gar keine Platte, weil es ihn nicht interessiert. Und vor allem, weil er, damit es nicht als makroaktiviertes Dokument bei uns rein kommt, damit Aufwand hätte, die ihm niemand zahlt.

Wie lösen? Die Administration rennt also dem Problem hinterher und prüft händisch diese Anhänge in einem angeschotteten Bereich, wo nix kaput gehen kann -> und gibt diese dann frei, wenn safe.

Dem Kunden den Stinkefinger zeigen und sagen, gibts mir uns nicht, ist halt nicht. Da stehen ein paar Mio Umsatz im Jahr ggü. mehreren Mrd. Umsatz im Jahr. Wenn nicht wir der Partner des Kunden sind, tuts ein anderer... Zu unseren Nachteilen, weil unser Umsatz eben dann nicht stimmt. Klassisches Henne/Ein Problem, wenn man nicht die Marktmacht hat, den eigenen Kunden seine Policys aufzudrücken.


Um auf das Problem zurück zu kommen, wie bekommst du Personalerin Erna nun eingetrichtert, dass das, was da als Anhang in der Mail xy reinkommt, ggf. schadhaft ist und nicht aufzumachen ist? Auch sind wir leider heute in einem Arbeitnehmermarkt, heist, der Arbeitnehmer sucht sich aus, wohin er geht. Vor allem bei "Fachkräften" ist das der Fall. Wenn du händeringendst Personal suchst und nix findest, wir das Risiko um so größer, da man eben dann idR "doch" rein guckt um zu sehen, ob da was hinter steckt.
Wir hatten jüngst erst eine ganz komische Bewerbung, mit Office anhängen. Eins davon (Word) sogar makroaktiviert, allerdings ohne Makro dran/drin. Es war wirklich eine Bewerbung! Wenn auch Personalerin Erna hier sich nicht hat foppen lassen und der Administration diese Bewerbung zur Prüfung gegeben hat :wink:
Noch schwieriger wird das, wenn es um internationale Betriebe geht. Schon mal eine Bewerbung in Fern-Ost oder dem nahen Osten gesehen? -> das ist nix mit sauberen Anschreiben, Lebenslauf und alles nach haarklein deutscher Manier. Da kommt ne Mail mit ein paar Sätzen und ggf. sowas, was ansatzweise an einen Lebenslauf erinnert und gut ist. Das scheint mir dort "gängig" zu sein. Auch nimmt man es dort mit Fehlern, Rechtschreibung, Formatierung usw. nicht 100% genau. -> das erkennen von fake und echt wird damit fast unmöglich!
Das einzige was hilft, den Bewerbern ein Portal für die Bewerbung und zum Upload der Anlagen zu geben und Bewerbungen per Mail generell nicht anzunehmen oder mit dem Hinweis auf dieses Portal abzulehnen. -> möglicherweise macht sich der Bewerber aber dann gar nicht die Arbeit das zu erledigen und geht schon gleich woanders hin. :(
 
Oh ja, das kenn ich aus meiner Firma auch zu gut, wo es einige Kunden gibt, die uns regelmäßig solche (unsignierten) Makrofiles schicken.
Klar, die machen es sich einfach und der Rest darf gucken, wie er damit klar kommt.

Das beste ist dann natürlich noch, wenn genau solche Kunden meckern, dass wir wohl die einzigen seiner hunderten Liferanten währen, bei denen genau diese Dokumente nicht per default funktionieren. :wall:

Da wünscht man sich doch schon fast dass es die als nächstes trifft :fresse:
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh