[redhat-list-de] Schuetzende Netzwerke

[Martin A. Brown]

Gruesse aus den USA,

 : > Gibts für Linux-Router eigentlich auch intelligente Proggies, die Würmer
 : > & Co. erkennen und ihr Treiben blocken - oder muß sowas in einem Switch
 : > integriert sein?
 :
 : Ich meine auch, mal eine OSS Kombi aus IPTABLES und SNORT gesehen zu 
 : haben, das sowas ähnliches automatisch macht.
 :
 : Genau das ist auch das Problem der Cisco-Lösung: Da wird gerne
 : der Effekt einer infizierten Kiste vervielfacht, indem man (automatisch)
 : überreagiert und z.B. ganze Segmente "abtötet".

Obwohl ich mich nicht richtig mit dieser Cisco Lösung auskenne, hätte ich 
genau diese Frage.  Ich verstehe das Ausschalten von ganzen Netzwerken
(OK, Segmenten) überhaupt nicht unter der Sicherheitsrubrik.  Mir hört es 
aus wie ein Zutat eines DDoS Rezepts.

Besser wäre eine gemischte Lösung auf die Frank schon hingewiesen 
hat...ein Switch der über snort oder snort_inline [0] verfügbar ist, am 
einfachsten wenn Linux selbst der Switch ist.  Ich empfehle in dieser Lage 
die Linux bridge Projekt [1] und diese Einleitung, veröffentlicht von 
Linux Magazin [2].  Wer richtig paranoid wird, darf sich vorstellen:  
infizierte Rechner werden automatisch unter ihrem eigenen 
Quarantänenetwzerk (ich denke an VLANs [3]) gestellt werden wo ein 
Updateserver vorhanden ist.

 : Ein paar Pakete mit gefälschter Absenderadresse durchs Netz jagen und 
 : der "intelligente Netzwerkvirenschutz" schaltet das Netz ab...in einer 
 : DMZ würde ich sowas daher nicht einsetzen...:-)

Das kommt völlig darauf an, wie klug der Netzwerk ausgelegt wurde, aber im 
Prinzip bin ich einverstanden--das ist die größte Gefahr von reagierende 
und selbst-schützende Technologien:  der unausgereifte Plan.

 : Mein Ansatz bei diesem Thema ist allerdings immer noch:
 : -Lokaler Virenschutz aufm Client, RealTime.
 : -Zentraler E-Mail-Virenschutz über Scanner auf den Mailservern.
 :  - Blocken gewisser Attachments: PIF, SCR, BAT, COM, ZIP...
 : -HTTP-Traffic filtern, + am besten keinen IE einsetzen.

Stimmt, stimmt, stimmt. Und womöglich, besonders mit Windows, Personal 
Firewall und AntiSpyware auch.  Ich verbringe ganze Tage auf dem Telefon 
mit Kunden und den obigen Mantren.

 : Netzwerkvirenschutz hört sich zwar cool an, reagiert aber defacto erst, 
 : wenn schon mindestens eine Kiste erfolgreich infiziert ist, die lokalen 
 : Sachen und speziell das E-Mail-scannen reagieren aber vorher...

Das läßt sich nicht besser sagen können, und deutet auf die Kernproblem: 
die Bedrohung rechtzeitig identifizieren damit geschutzt anstatt reagiert 
wird.

-Martin

P.S.  Ich weiß, daß mein Deutsch gelegentlich unbeholfen klingt; 
      hoffentlich wird trotzdem verzeihen!

  [0] http://snort-inline.sourceforge.net/
  [1] http://bridge.sourceforge.net/
  [2] http://www.linux-magazin.de/Artikel/ausgabe/2004/12/bridgewall/bridgewall.html
  [3] http://www.candelatech.com/~greear/vlan.html
      http://ns1.lanforge.com/mailman/listinfo/vlan

-- 
Martin A. Brown --- SecurePipe, Inc. --- mabrown at securepipe.com