!Sicherheit im Netz! - checkt mal wieder Leute

utakurt · 22.02.2004, 23:09

Inspieriert durch ein anderes Forum (möchte ich nicht näher nennen) sollte man vielleicht auch hier wieder zum Thema Sicherheit einige Checks vornehmen lassen:

Als erstes auf alle Fälle seinen PC scannen lassen. zb von hier:

je nach Ergebnis geeignete Schritte unternehmen.

Was zb. auch recht hilft ist ein Hardware Router wo man den "dmz" auf eine PhantomIP stellt und zum eigentlichen PC nur die Ports weiterleitet die man auch wirklich braucht und zusätzlich eine firewall installiert die sogut es geht die Software die am PC läuft unter Kontrolle hält (natürlich mit der Grundregel BLOCK ALL)
Infos könnt ihr hier finden:
http://www.protecus.de/Firewall_Security/home.html

Ich selbst arbeite mit Virtual FTP in meinem DLINK Router - ist seeeehr brauchbar und mE besser noch als die DMZ!

flinx · 22.02.2004, 23:12

Zitat:

Was zb. auch recht hilft ist ein Hardware Router wo man den "dmz" auf eine PhantomIP stellt

Für was soll das gut sein?

g17 · 22.02.2004, 23:40

Zitat:

Original geschrieben von flinx
Für was soll das gut sein?

Wahrscheinlich als quasi Honeypot gemeint.
Aber da stelle ich lieber richtige auf.

g17

utakurt · 22.02.2004, 23:52

Zitat aus www.suse.de:

4.3.1 Honeypot Systeme

Honeypots sind Systeme, die vorgeben, Sicherheitslücken zu haben. Wenn ein Angreifer dieses System entdeckt, wird er es attackieren und keine Probleme haben, die Sicherheitsmechanismen zu überwinden. Der Angreifer denkt, daß er sich auf einem normalen Computersystem befindet, wurde in Wahrheit aber in eine abgeschottete Umgebung umgeleitet. Der SO wird darüber benachrichtigt und hat nun die Möglichkeit das Verhalten des Gegners zu beoabachten und zu analysieren. Somit ist es vielleicht möglich, das Bestreben des Gegners zu erkennen oder sogar neue Angriffsformen zu entdecken.

Das Deception Toolkit (DTK) und ManTrap sind gute Beispiele für ein hostbasiertes Honeypot System. Theoretisch sind auch netzbasierte Honeypots (Honeynet) möglich, die dem Angreifer ein ganzes Netz vorgaukeln, indem sie auf einem Rechner mehrere Virtual Machines (VM) mit virtuellen Netzverbindungen implementieren. Secure Networks, Inc (SNI) hatte mal ein Honeynet angekündigt, es aber anscheinend nie bis zur Auslieferungsreife gebracht.

Honeypots sind sehr zuverlässig beim Erkennen von Attacken, können dem SO aber unnötig Arbeit machen, da jeder noch so unbegabte Angreifer in das System einbrechen kann. Diese Angreifer wollen häufig keine speziellen Informationen stehlen, sondern nur ihre Langeweile vertreiben oder IRC Bots aufsetzen. Solche Angriffe sind zeitraubend und liefern dem SO keine neuen Erkenntnisse. Da ein Honeypot nur eine Falle darstellt, kann es natürlich passieren, daß der Angreifer nicht in sie hineintappt und somit unentdeckt bleibt. Honeypots eignen sich besonders in einer DMZ oder vor einer Firewall, da der Angreifer dort nur wenig Angriffsfläche findet und so die Wahrscheinlichkeit höher ist, daß der Honeypot Ziel der Attacken wird.

Weitere Infos dazu auch hier

http://intranets.ch/weblog/Members/u...net-sicherheit
http://www.sueddeutsche.de/sz/wissen/red-artikel805/

flinx · 23.02.2004, 00:07

Aha. Ich hab bei "PhantomIP" eine nichtexistierende IP verstanden, keinen Honeypot.

g17 · 23.02.2004, 00:07

Zitat:

Original geschrieben von utakurt
Zitat aus www.suse.de:

4.3.1 Honeypot Systeme

Honeypots sind Systeme, die vorgeben, Sicherheitslücken zu haben. Wenn ein Angreifer dieses System entdeckt, wird er es attackieren und keine Probleme haben, die Sicherheitsmechanismen zu überwinden. Der Angreifer denkt, daß er sich auf einem normalen Computersystem befindet, wurde in Wahrheit aber in eine abgeschottete Umgebung umgeleitet. Der SO wird darüber benachrichtigt und hat nun die Möglichkeit das Verhalten des Gegners zu beoabachten und zu analysieren. Somit ist es vielleicht möglich, das Bestreben des Gegners zu erkennen oder sogar neue Angriffsformen zu entdecken.

Das Deception Toolkit (DTK) und ManTrap sind gute Beispiele für ein hostbasiertes Honeypot System. Theoretisch sind auch netzbasierte Honeypots (Honeynet) möglich, die dem Angreifer ein ganzes Netz vorgaukeln, indem sie auf einem Rechner mehrere Virtual Machines (VM) mit virtuellen Netzverbindungen implementieren. Secure Networks, Inc (SNI) hatte mal ein Honeynet angekündigt, es aber anscheinend nie bis zur Auslieferungsreife gebracht.

Honeypots sind sehr zuverlässig beim Erkennen von Attacken, können dem SO aber unnötig Arbeit machen, da jeder noch so unbegabte Angreifer in das System einbrechen kann. Diese Angreifer wollen häufig keine speziellen Informationen stehlen, sondern nur ihre Langeweile vertreiben oder IRC Bots aufsetzen. Solche Angriffe sind zeitraubend und liefern dem SO keine neuen Erkenntnisse. Da ein Honeypot nur eine Falle darstellt, kann es natürlich passieren, daß der Angreifer nicht in sie hineintappt und somit unentdeckt bleibt. Honeypots eignen sich besonders in einer DMZ oder vor einer Firewall, da der Angreifer dort nur wenig Angriffsfläche findet und so die Wahrscheinlichkeit höher ist, daß der Honeypot Ziel der Attacken wird.

Weitere Infos dazu auch hier

http://intranets.ch/weblog/Members/u...net-sicherheit
http://www.sueddeutsche.de/sz/wissen/red-artikel805/

Das ist eh bekannt.
Darum habe ich auch *quasi* geschrieben.
Denn ohne IP nix Honeypot, denn wo soll er angreifen.

g17

g17 · 23.02.2004, 00:11

Zitat:

Original geschrieben von flinx
Aha. Ich hab bei "PhantomIP" eine nichtexistierende IP verstanden, keinen Honeypot.

Das hat er ja auch nicht gemeint,sonst hätte er es ja geschrieben.Er hatt es schon so gemeint wie du und ich es verstanden haben.
Denn wie sollte ein ONU einen Honeypot einrichten. Die meisten schaffen das einrichten nicht mal vom Router. SCNR.

g17

red 2 illusion · 23.02.2004, 00:44

Zitat:

[i]Original geschrieben von g17

Die meisten schaffen das einrichten nicht mal vom Router. SCNR.

Wie darf ich das verstehen?

Suche schon lange jemanden der sich auskennt mit meinem Router aber nix is. Die Doku ist so unverständlich das ich erst das ganze studieren müßte aber ohne Doku eben.

Also meine Wall kennt folgende Hooks:

Input
Sink
Forward
Source
Output

welche Pakerl sollen Sinnvollerweise an welcher Stelle gedropt werden.

flinx · 23.02.2004, 01:15

Zitat:

Suche schon lange jemanden der sich auskennt mit meinem Router ..

Neugierig bin: Welcher ists denn? Speedtouch?

Zitat:

welche Pakerl sollen Sinnvollerweise an welcher Stelle gedropt werden.

IMHO gibts keine Universal-Regeln. Du musst wissen was du willst und das dann entsprechend umsetzen.

red 2 illusion · 23.02.2004, 01:50

.

Also brauch den 80 und 21.

Wenn ich wenigsten ein paar Vorschläge hätte wie ich das ganze aufbauen kann.

Also dem Hook kann ein Chain zugewiesen werden. Ein Chain besteht aus Regeln. So entstehen Verknüpfungen.

Im Handbuch steht noch das es sehr schnell sehr schwer werden kann die richtigen Regeln zu finden und das einfache, wenige Regeln für Daus besser wären. Mit wenigen Regeln kann man lt. Handbuch nicht die ganze Sicherheit herausholen.

Da ist ein Schema der Wall:

www.members.aon.at/temp0/5.JPG

Alle Pakete immer von links nach rechts.

22.02.2004, 23:09	#1
utakurt Inventar Registriert seit: 21.03.2000 Alter: 60 Beiträge: 4.329	!Sicherheit im Netz! - checkt mal wieder Leute Inspieriert durch ein anderes Forum (möchte ich nicht näher nennen) sollte man vielleicht auch hier wieder zum Thema Sicherheit einige Checks vornehmen lassen: Als erstes auf alle Fälle seinen PC scannen lassen. zb von hier: http://check.lfd.niedersachsen.de/start.php http://www.port-scan.de/ http://www.symantec.com/securitycheck http://www.sygatetech.com/ je nach Ergebnis geeignete Schritte unternehmen. Was zb. auch recht hilft ist ein Hardware Router wo man den "dmz" auf eine PhantomIP stellt und zum eigentlichen PC nur die Ports weiterleitet die man auch wirklich braucht und zusätzlich eine firewall installiert die sogut es geht die Software die am PC läuft unter Kontrolle hält (natürlich mit der Grundregel BLOCK ALL) Infos könnt ihr hier finden: http://www.protecus.de/Firewall_Security/home.html Ich selbst arbeite mit Virtual FTP in meinem DLINK Router - ist seeeehr brauchbar und mE besser noch als die DMZ!

22.02.2004, 23:52	#4
utakurt Inventar Registriert seit: 21.03.2000 Alter: 60 Beiträge: 4.329	Volltreffer Zitat aus www.suse.de: 4.3.1 Honeypot Systeme Honeypots sind Systeme, die vorgeben, Sicherheitslücken zu haben. Wenn ein Angreifer dieses System entdeckt, wird er es attackieren und keine Probleme haben, die Sicherheitsmechanismen zu überwinden. Der Angreifer denkt, daß er sich auf einem normalen Computersystem befindet, wurde in Wahrheit aber in eine abgeschottete Umgebung umgeleitet. Der SO wird darüber benachrichtigt und hat nun die Möglichkeit das Verhalten des Gegners zu beoabachten und zu analysieren. Somit ist es vielleicht möglich, das Bestreben des Gegners zu erkennen oder sogar neue Angriffsformen zu entdecken. Das Deception Toolkit (DTK) und ManTrap sind gute Beispiele für ein hostbasiertes Honeypot System. Theoretisch sind auch netzbasierte Honeypots (Honeynet) möglich, die dem Angreifer ein ganzes Netz vorgaukeln, indem sie auf einem Rechner mehrere Virtual Machines (VM) mit virtuellen Netzverbindungen implementieren. Secure Networks, Inc (SNI) hatte mal ein Honeynet angekündigt, es aber anscheinend nie bis zur Auslieferungsreife gebracht. Honeypots sind sehr zuverlässig beim Erkennen von Attacken, können dem SO aber unnötig Arbeit machen, da jeder noch so unbegabte Angreifer in das System einbrechen kann. Diese Angreifer wollen häufig keine speziellen Informationen stehlen, sondern nur ihre Langeweile vertreiben oder IRC Bots aufsetzen. Solche Angriffe sind zeitraubend und liefern dem SO keine neuen Erkenntnisse. Da ein Honeypot nur eine Falle darstellt, kann es natürlich passieren, daß der Angreifer nicht in sie hineintappt und somit unentdeckt bleibt. Honeypots eignen sich besonders in einer DMZ oder vor einer Firewall, da der Angreifer dort nur wenig Angriffsfläche findet und so die Wahrscheinlichkeit höher ist, daß der Honeypot Ziel der Attacken wird. Weitere Infos dazu auch hier http://intranets.ch/weblog/Members/u...net-sicherheit http://www.sueddeutsche.de/sz/wissen/red-artikel805/

23.02.2004, 00:07	#5
flinx Inventar Registriert seit: 08.04.2001 Beiträge: 3.101	Aha. Ich hab bei "PhantomIP" eine nichtexistierende IP verstanden, keinen Honeypot.

23.02.2004, 01:50	#10
red 2 illusion Inventar Registriert seit: 25.04.2003 Beiträge: 4.079	. Also brauch den 80 und 21. Wenn ich wenigsten ein paar Vorschläge hätte wie ich das ganze aufbauen kann. Also dem Hook kann ein Chain zugewiesen werden. Ein Chain besteht aus Regeln. So entstehen Verknüpfungen. Im Handbuch steht noch das es sehr schnell sehr schwer werden kann die richtigen Regeln zu finden und das einfache, wenige Regeln für Daus besser wären. Mit wenigen Regeln kann man lt. Handbuch nicht die ganze Sicherheit herausholen. Da ist ein Schema der Wall: www.members.aon.at/temp0/5.JPG Alle Pakete immer von links nach rechts.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)