Wie sichert ihr euren Würfel gegen Angriffe auf dem Internet?

Interessant finde ich dabei sogar, dass es da Null Einsicht gibt. Auf beiden Seiten nicht... Denn, wenn man einmal so nen Mist durch hat, dann kann man sowas bspw. beim nächsten mal ja in den Verträgen unterbinden um damit dem/den Kunden gewisse Erziehung mitzugeben... Macht dann aber auch keiner, weil die Vertragsabteilung davon vllt gar nix weis oder im Konkreten Fall gar nicht mehr dran gedacht hat, das da schonmal was war... Leider die Realität.
Und im Nachgang, ohne Reglung da eine Einigung zu finden, wo mindestens eine der Parteien einen Nachteil haben wird -> schwierig...



PS: mich würde übrigens noch interessieren, wie Andere (auch in größeren Umgebungen) versuchen ihre Fileserver abzusichern?
Der Ansatz mit der Policy da oben von Frankys Blog ist ja gar nicht mal so verkehrt, geht mir aber noch nicht weit genug -> und ist halt eher reagieren auf Basis "alter" Daten bzw. "altem" Wissen (die File Extentions)...
Vllt hat da wer noch andere Ideen?
Die Audit-Geschichte ist schon für mich fast ideal, krankt aber eben an ein paar Stellen wie schon angesprochen... Und ist recht aufwendig.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Also ich würde fast zu 99%iger Sicherheit sagen, dass ich keine dubiosen Anhänge, oder gar .ZIP- oder .EXE-Dateien in eMails geöffnet habe!
Verifizierungs-eMails von Amazon, Commerzbank, Volksbank, Sparkasse etc. pp werden ohne nachzusehen sofort in den Papierkorb verschoben und dieser wird jeden Tag automatisch gelöscht!


Send by  iPhone 6s
 
PS: mich würde übrigens noch interessieren, wie Andere (auch in größeren Umgebungen) versuchen ihre Fileserver abzusichern?
Zum Vergrößern anklicken....

Bei mir in der Firma (etwa 70-80 Nutzer) rennt der Fileserver auf Linux.
Dort läuft ein fail2ban im Hintergrund, was auf den Samba Dienst aufpasst, ähnlich wie die bereits genannte Lösung unter Windows. Wird ein den verdächtiges File erstellt gibts ne Mail aufs Handy und der betroffene Rechner hat erst mal nen Tag Pause.

Klar, das ganze ist etwas pflegeintensiv und schützt auch nur vor bekannten Mustern, aber besser als nichts.

Die Files auf dem Server werden nicht direkt gelöscht sondern erst mal nur ein eine Art Papierkorb verschoben, der für den User nicht erreichbar ist. So könnte ich im Fall der Fälle die Daten direkt wiederherstellen, ohne sie erst von den Bändern zurückzuholen.

Ansonsten wird der Fileserver natürlich jede Nacht auf Band gesichert und noch alle Änderungen des Tages auf USB Platten.

Zudem sollten wir mit UTM + Sandbox den meisten Mist aus unserem Netz raus halten sowie das Nachladen von Schadsoftware verhindern.
 
Wir rollen gerade Browser in the Box als Standardbrowser aus. Ist ein bisserl langsamer beim Starten aber wenn man ihn offen lässt eigentlich ein ganz normaler Chrome. Damit sind jedenfalls dubiose Websites und links in Mails ziemlich ausgeknockt.
 
Am Endpoint läuft ein Virenscanner, der per Whitelist arbeitet - Panda nennt er sich und ist eigentlich in der Hinsicht echt gut - hat zwar auch Nachteile, aber die Schmerzen kann man überstehn, wenn man schon 2-3 mal mit verschlüsselten Files zu tun gehabt hat.

Der Filer selbst wird Nachts gebackup - Disk to Tape + eine offline-Kopie mit Vorgängerversion alle 15Minuten - wenn die User schnell genug melden, das da was im argen ist, kann man das relativ gut handhaben -> copy stoppen, schauen was schon verschlüsselt ist und dann ggf. vom Backup-Filer über die Vorgängerversion holen, sonst vom Band.

In unseren Niederlassungen läuft das genauso, nur das die offline-Kopie nicht so lange vorhält.

100% Schutz gibt es nie. - Auch wir sind leider gezwungen, bestimmte Dokumenten-typen weiterzugeben/durchzulassen, bzw. haben bei manchen Kunden sogar das Problem, das leider einfach nur ne Mail mit Anhang, ohne Betreff und Text in der Mail kommt - da is quasi der Text im Dokument - unschön, aber hilft nunmal nichts.
Manche Mailsysteme übergeben die Mails auch anders, wie haben z.B. nen Kunden, der schickt *.RTF-Dokumente, nicht weil die das anhängen, sondern weil unser Mailgateway beim Maileingang das falsch versteht und mit dem Kundenmailsystem das nicht passend aushandelt -> Mail ist dann im Anhang.

per *.rtf kam aber auch schon mal nen Crypto-Virus an, der garnicht als Makro lief, sondern eine Zero-Day Lücke ausgenutzt hat, die das Office zum Absturzbrachte und durch den Bufferoverflow dann noch was nachgeladen hatte.
-> Gegen das nachladen sind eben die *.exe und andere am Webproxy der zwanghaft verteilt wird gesperrt.

nicht schön, aber that's life.
 
Bin im Moment noch am überlegen, ob wir nicht doch auf Win10 gehen sollten... Nicht weil es so toll ist, sondern eher, weil es ein gut stemmbares Abomodell für die Enterprise Extension gibt. Für ein paar Piepen im Monat von der vorhandenen Pro auf die Enterprise und dann mit Applocker die Kiste zudrehen und nur Whitelisten, was auch wirklich gehen soll/darf. Das dürfte normal eine ganze Menge erstmal wegdroppen, vor allem eben Tools, die sich direkt als Binary kompilieren oder diese Binarys aus dem Netz ziehen... Leider ist halt der Proxy, wenn es der "Angreifer" richtig versucht, nicht wirklich in der Lage, da direkten Schutz zu geben, da sich das Internet nunmal so ohne weiteres nicht Whitelisten lässt. Wir sind mittlerweile soweit, dass Dropbox und Co bei uns komplett geblockt ist -> in den ersten Wellen der Cryptotrojaner kamen die Files ja teils über Dropbox Links. Aber der Rest, mittlerweile kommt der Mist ja von irgendwo, ohne dass man es direkt eingrenzen kann... Man rennt effektiv nur hinterher und hofft darauf, dass es andere zuerst trifft -> und man von deren Berichten dann sein System zugedreht bekommt.
Schick ist definitiv was anderes...

Auch steht bei uns wohl nächstes Jahr an, die alte NetApp in den Schrott zu werfen -> und damit alle Fileshares auf ein anderes System umzuziehen... Das Backup/Snapshotzeug der NetApp ist schon nicht ganz schlecht und recht komfortabel. Aber bspw. der Part oben mit dem Fileblocken oder die von mir genannte Thematik mit dem Auswerten der Auditlogs ist damit nur umständlich oder gar nicht lösbar. -> ein Windows, ggf. Linux based Fileserver direkt als VM auf dem NetApp Storage wäre da einfacher. Dafür büße ich die Snapshot Replikation ein... Irgendwie alles noch nicht so 100% das, was mir da gefällt. Das Backup Thema könnte man dann aber mit Veeam abfackeln und direkt den kompletten Fileserver wegsichern, via CBT und VSS dürfte das auch nicht sonderlich lange dauern -> SFR geht auch über den Veeam Explorer... Mal gucken. Über VSS die Vorgängerversionen bereit halten geht ja ebenso... Müsste also machbar sein.
Eigentlich würde ich mir aber was auf ZFS Basis wünschen... So recht kommt da aber nix businesstaugliches oder bezahlbares. Ein Allrounder fehlt mir irgendwie. Sowas wie eben eine NetApp, nur mit ZFS :fresse: Der Ansatz von NetApp geht zwar in eine ähnliche Richtung, kommt aber da irgendwie noch nicht ran. Keine Ahnung, ob die da in neueren OnTap Versionen was gedreht haben...
 
Man kann Office Makros auch mit ssl Zertifikat ausstatten. Dann nur noch die durchlassen, die signiert sind.
Das haben wir als Anforderungen an die "Entwickler" raus gegeben. Wer sich dran hält kriegt weiter Geld, wer nicht wird ersetzt.

Gesendet von meinem XT1635-02 mit Tapatalk
 
Wenn man selber mit Makros arbeiten muss ist es schon sinnvoll, auf signierte zu bestehen.
Blöd nur, wenn M$ es verpatzt und ein Office 2013 dann z.B die Zertifikate nicht mehr lesen kann :-[

Noch blöder, wenn M$ es dann auch noch Monate lang nicht schafft diesen Bug zu fixen :mad:
 
Naja... Hab halt nur 2010 im Einsatz. Da gibt es genug andere Probleme ;) perfekt gibt es halt nicht..

Gesendet von meinem XT1635-02 mit Tapatalk
 
fdsonne schrieb:
Auch steht bei uns wohl nächstes Jahr an, die alte NetApp in den Schrott zu werfen -> und damit alle Fileshares auf ein anderes System umzuziehen... Das Backup/Snapshotzeug der NetApp ist schon nicht ganz schlecht und recht komfortabel. Aber bspw. der Part oben mit dem Fileblocken oder die von mir genannte Thematik mit dem Auswerten der Auditlogs ist damit nur umständlich oder gar nicht lösbar. -> ein Windows, ggf. Linux based Fileserver direkt als VM auf dem NetApp Storage wäre da einfacher. Dafür büße ich die Snapshot Replikation ein... Irgendwie alles noch nicht so 100% das, was mir da gefällt. Das Backup Thema könnte man dann aber mit Veeam abfackeln und direkt den kompletten Fileserver wegsichern, via CBT und VSS dürfte das auch nicht sonderlich lange dauern -> SFR geht auch über den Veeam Explorer... Mal gucken. Über VSS die Vorgängerversionen bereit halten geht ja ebenso... Müsste also machbar sein.
Eigentlich würde ich mir aber was auf ZFS Basis wünschen... So recht kommt da aber nix businesstaugliches oder bezahlbares. Ein Allrounder fehlt mir irgendwie. Sowas wie eben eine NetApp, nur mit ZFS :fresse: Der Ansatz von NetApp geht zwar in eine ähnliche Richtung, kommt aber da irgendwie noch nicht ran. Keine Ahnung, ob die da in neueren OnTap Versionen was gedreht haben...
Zum Vergrößern anklicken....

was heist alt? - ich mein selbst die FAS270 die ich noch in der Hand hatte, war als NFS-Share für nen ESX Gold wert -> Das Storage übernimmt grad bei gleichen VMs auch dank DeDup schon mal viel -> und Snapshot-Replikation kann die NetApp doch auch. Da macht ein virtueller Filer doch erst recht Sinn, wenn er auf der NetApp als SAN läuft.

Bei meinem jetzigen Arbeitgeber wurden die alten Hitachis durch HP 3PAR Systeme ersetzt, der Filer der direkt auf nem HP-Server mit Shelfs lief ist jetzt virtuell nen Server2016 - DeDup und Co sind an -> braucht jetzt deutlich weniger realen Platz ;)
 
fdsonne schrieb:
Eigentlich würde ich mir aber was auf ZFS Basis wünschen... So recht kommt da aber nix businesstaugliches oder bezahlbares. Ein Allrounder fehlt mir irgendwie. Sowas wie eben eine NetApp, nur mit ZFS :fresse: Der Ansatz von NetApp geht zwar in eine ähnliche Richtung, kommt aber da irgendwie noch nicht ran. Keine Ahnung, ob die da in neueren OnTap Versionen was gedreht haben...
Zum Vergrößern anklicken....
https://www.ixsystems.com/truenas/
Da ihr Kostentechnisch bereits bei NetApp angekommen seid, dürfte TruNAS auch nicht teurer sein - schätze ich mal.
TruNAS ist im Prinzip FreeNAS mit Support und für TruNAS zertifizierter Hardware.

Allerdings sowas wie ein Distributions-/Resellernetwork gibt es da (noch) nicht, d.h. alles auf englisch.
Wie das mit SLAs aussieht, kann ich nicht sagen.
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh