[redhat-list-de] Schuetzende Netzwerke
Martin A. Brown
mabrown-redhat-de at securepipe.com
Fri May 13 00:48:15 UTC 2005
Gruesse aus den USA,
: > Gibts für Linux-Router eigentlich auch intelligente Proggies, die Würmer
: > & Co. erkennen und ihr Treiben blocken - oder muß sowas in einem Switch
: > integriert sein?
:
: Ich meine auch, mal eine OSS Kombi aus IPTABLES und SNORT gesehen zu
: haben, das sowas ähnliches automatisch macht.
:
: Genau das ist auch das Problem der Cisco-Lösung: Da wird gerne
: der Effekt einer infizierten Kiste vervielfacht, indem man (automatisch)
: überreagiert und z.B. ganze Segmente "abtötet".
Obwohl ich mich nicht richtig mit dieser Cisco Lösung auskenne, hätte ich
genau diese Frage. Ich verstehe das Ausschalten von ganzen Netzwerken
(OK, Segmenten) überhaupt nicht unter der Sicherheitsrubrik. Mir hört es
aus wie ein Zutat eines DDoS Rezepts.
Besser wäre eine gemischte Lösung auf die Frank schon hingewiesen
hat...ein Switch der über snort oder snort_inline [0] verfügbar ist, am
einfachsten wenn Linux selbst der Switch ist. Ich empfehle in dieser Lage
die Linux bridge Projekt [1] und diese Einleitung, veröffentlicht von
Linux Magazin [2]. Wer richtig paranoid wird, darf sich vorstellen:
infizierte Rechner werden automatisch unter ihrem eigenen
Quarantänenetwzerk (ich denke an VLANs [3]) gestellt werden wo ein
Updateserver vorhanden ist.
: Ein paar Pakete mit gefälschter Absenderadresse durchs Netz jagen und
: der "intelligente Netzwerkvirenschutz" schaltet das Netz ab...in einer
: DMZ würde ich sowas daher nicht einsetzen...:-)
Das kommt völlig darauf an, wie klug der Netzwerk ausgelegt wurde, aber im
Prinzip bin ich einverstanden--das ist die größte Gefahr von reagierende
und selbst-schützende Technologien: der unausgereifte Plan.
: Mein Ansatz bei diesem Thema ist allerdings immer noch:
: -Lokaler Virenschutz aufm Client, RealTime.
: -Zentraler E-Mail-Virenschutz über Scanner auf den Mailservern.
: - Blocken gewisser Attachments: PIF, SCR, BAT, COM, ZIP...
: -HTTP-Traffic filtern, + am besten keinen IE einsetzen.
Stimmt, stimmt, stimmt. Und womöglich, besonders mit Windows, Personal
Firewall und AntiSpyware auch. Ich verbringe ganze Tage auf dem Telefon
mit Kunden und den obigen Mantren.
: Netzwerkvirenschutz hört sich zwar cool an, reagiert aber defacto erst,
: wenn schon mindestens eine Kiste erfolgreich infiziert ist, die lokalen
: Sachen und speziell das E-Mail-scannen reagieren aber vorher...
Das läßt sich nicht besser sagen können, und deutet auf die Kernproblem:
die Bedrohung rechtzeitig identifizieren damit geschutzt anstatt reagiert
wird.
-Martin
P.S. Ich weiß, daß mein Deutsch gelegentlich unbeholfen klingt;
hoffentlich wird trotzdem verzeihen!
[0] http://snort-inline.sourceforge.net/
[1] http://bridge.sourceforge.net/
[2] http://www.linux-magazin.de/Artikel/ausgabe/2004/12/bridgewall/bridgewall.html
[3] http://www.candelatech.com/~greear/vlan.html
http://ns1.lanforge.com/mailman/listinfo/vlan
--
Martin A. Brown --- SecurePipe, Inc. --- mabrown at securepipe.com
More information about the redhat-list-de
mailing list