[redhat-list-de] Schuetzende Netzwerke

[Frank Schneider]

Hallo,

> Moin! Cisco macht doch kräftig Werbung für selbstschützende Netzwerke.

Leider ja...man kann auch sagen, sie rennen einem die Bude ein und belabern
jeden, der nur entfernt nach Management oder Entscheider aussieht...;-(

Auf technischer Ebene ist dagegen meist ROTFL angesagt....:-))

> In einem Büro hat sich derletzt mal wieder jemand einen Wurm
> eingefangen, denRechners komplett lahmgelegt und das Netz heftig belastet.

Normalzustand...der Wurm scannt dann nach verwundbaren Systemen,
das gibt erstmal nen heftigen ARP-Sturm und/oder eben Verbreitungstraffic...
Ohne aktiven, aktuellen und guten Virenschutz ist Win allerdings auch
nicht mehr wirklich betreibbar, egal wieviel Geld und Aufwand man in 
Netzwerkvirenschutz steckt...

> Gibts für Linux-Router eigentlich auch intelligente Proggies, die Würmer
> & Co. erkennen und ihr Treiben blocken - oder muß sowas in einem Switch
> integriert sein?

Man kann das in einen Linuxrouter integrieren...läuft dann defacto auf ein
Abklemmen des entsprechenden IP-Netzes raus, aus dem der Wurm kommt.
Mehr geht nicht, da der Router als Layer-3-Gerät das infizierte System
nicht hindern kann, die Pakete rauszuhauen...er kann nur das Weiterleiten
derselben in andere IP-Netze verhindern. Im selben IP-Netz kann sich
die Infektion also lustig ausbreiten...

Ciscos Lösung macht u.a. genau das: Shutdown auf das entsprechende
Router-Interface, was genau gemacht wird, hängt allerdings stark von
der Topologie ab...bei 100% edler Ciscoware kann man auch das
infizierte System gezielt isolieren, je weniger Cisco dagegen im Einsatz
ist, umso grobschlächtiger wird meist die Reaktion auf eine entdeckte
Infektion.

Ich meine auch, mal eine OSS Kombi aus IPTABLES und SNORT gesehen
zu haben, das sowas ähnliches automatisch macht.

Will man das schuldige System alleine erwischen, bleibt nur:
Managebarer Switch und per alarming vom Netzwerk-IDS den Port
des fraglichen Systems abschalten. Dazu muß der Switch natürlich
seine CAM-Table (Zuordnung MAC-Adresse - Switchport) abfragbar 
machen, das geht aber zumeist bei managebaren Switches.

Vorsicht natürlich bei false Positives oder unter-Tisch-Hubs der
Kollegen, so ein Automatismus schaltet einem sehr schnell alles ab bzw.
klemmt eben u.U. nicht nur ein System ab.

Genau das ist auch das Problem der Cisco-Lösung: Da wird gerne
der Effekt einer infizierten Kiste vervielfacht, indem man (automatisch)
überreagiert und z.B. ganze Segmente "abtötet".

Nicht zu vernachlässigen ist auch, das man sich damit eine potentielle
DoS-Möglichkeit schafft: Ein paar Pakete mit gefälschter Absenderadresse
durchs Netz jagen und der "intelligente Netzwerkvirenschutz" schaltet
das Netz ab...in einer DMZ würde ich sowas daher nicht einsetzen...:-)

Mein Ansatz bei diesem Thema ist allerdings immer noch:
-Lokaler Virenschutz aufm Client, RealTime.
-Zentraler E-Mail-Virenschutz über Scanner auf den Mailservern.
 - Blocken gewisser Attachments: PIF, SCR, BAT, COM, ZIP...
-HTTP-Traffic filtern, + am besten keinen IE einsetzen.

Netzwerkvirenschutz hört sich zwar cool an, reagiert aber defacto erst,
wenn schon mindestens eine Kiste erfolgreich infiziert ist, die lokalen
Sachen und speziell das E-Mail-scannen reagieren aber vorher...

Gruß,
Frank.

-- 
Frank Schneider, <SPATZ1 at T-ONLINE.DE>.                           
People would rather live with a problem they cannot solve,
than accept a solution they cannot understand.
... -.-