Firewall

Dieses Thema im Forum "Netzwerkprobleme & Internetprobleme" wurde erstellt von CaptainDusky, 17.02.2011.

  1. #1 CaptainDusky, 17.02.2011
    CaptainDusky

    CaptainDusky Erfahrener Benutzer

    Dabei seit:
    10.01.2007
    Beiträge:
    403
    Zustimmungen:
    0
    Guten Tag,

    ich habe derzeit ein Problem mit einem Netzwerk, der Anschlussinhaber hat schon den 2. Brief von seinem Provider bekommen, dass der Anschluss missbrauchlich genutzt wirt, nach Rücksprache mit diesem Support ergab es sich, dass es sich abei um Spam-Versand handeln soll.

    Ich habe das Netzwerk abgecheckt, einmal Nachts und einmal tagsüber im laufenden Betrieb mit Wireshark alles mitloggen lassen. Ist leider nichts zu finden. Nach dem 2. Gespräch mit dem Support stellte sich heraus, dass das ganze nur sporadisch ist (innerhalb von 2 Monaten vllt. 6-10 Beschwerde-Meldungen).

    Nun frag ich mich, was ich dagegen tun kann, und da kommt mir eigentlich nur eine Firewall-Lösung in Frage und da stehe ich auf dem Schlauch, was man nehmen kann und was nicht.

    Prinzipiell muss diese Firewall nur zw. Netzwerk und Internet stehen, wobei ich dann die Kontrolle haben muss, welcher Rechner über welchen Port ins Internet darf.

    Ich habe mal spaßeshalber mit IPCop rumgespielt (IPCop - Home) in Zusammenspiel mit dem AddOn BOT (Block Outgoing Traffic) und bin begeistert wie detailliert ich das einstellen kann. Nun will ich dafür aber ungerne einen Rechner hinstellen, sowas muss es doch auch fertig als kleine Box geben.

    Oder wäre es ausreichend, dafür 'n kleines Nettop mit 2 NICs hinzustellen und dann eben mit IPCop und BOT?

    Das Netzwerk besteht hauptsächlich aus 14 Rechnern, daher sollte es keine all zu teure Lösung sein

    Gruß

    CaptainDusky
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 helidoc, 17.02.2011
    Zuletzt bearbeitet: 17.02.2011
    helidoc

    helidoc killed by a black pudding
    Moderator

    Dabei seit:
    01.06.2007
    Beiträge:
    3.647
    Zustimmungen:
    1
    Ort:
    Bluemchenwiese
    Es gibt fertige Lösungen, allerdings sind die eher für Firmen gedacht, die dann auch den Support bezahlen - im Vergleich zu einem selbst zusammengebastelten Rechner und IPCop o.ä. unbezahlbar.

    Besonders viel Leistung brauchst du für sowas nicht. Ich benutze als Gateway zB einen alten Pentium 233@133MHz oder ein Alix-Board - zwar nicht mit IPCop, aber auch IPCop braucht keine riesige Systemleistung. Vielleicht hast du ja noch irgendwo alte Hardware rumstehen, oder kommst günstig an sowas... und wenn IPCop genau das bietet, was du suchst, würde ich es an deiner Stelle auch einsetzen.
     
  4. #3 Leonixx, 17.02.2011
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Wenn Spam über deinen Emailaccount gesendet wurde, dann bringt eine Firewall herzlich wenig, da der Hacker direkt über deinen Account Spams versendet. ;)
     
  5. #4 xandros, 18.02.2011
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    25.890
    Zustimmungen:
    91
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    Etwas sehr Aehnliches zu IPCop findest du als Fertigloesung von Endian aus Norditalien.
    (Die Mini- bzw. Mercury-Serie sollte im privaten Einsatz voellig ausreichend sein. mit 5-25 oder 10-100 Usern duerften die gross und schnell genug sein.)
    Die Hardware-Loesungen sind allerdings nicht gerade billig. Die Software gibt (oder gab es zumindest) auch kostenlos in einer Community-Edition, die sich ziemlich stark an IPCop orientiert hat und auf einem beliebigen Rechner eingesetzt werden konnte.

    (Das aendert aber nichts daran, was Leonixx geschrieben hat. Ausser der Mailserver steht ebenfalls in deinem Netzwerk und nicht irgendwo bei einem Hoster/Provider/....)
     
  6. #5 Jaulemann, 18.02.2011
    Zuletzt bearbeitet: 18.02.2011
    Jaulemann

    Jaulemann insgesamt zufrieden
    Moderator

    Dabei seit:
    26.09.2007
    Beiträge:
    3.940
    Zustimmungen:
    0
    Ort:
    Sehr idyllisch
    Bin da ja nicht annähernd auf dem Kenntnisstand wie unsere Experten, aber als "milchmädchen-Tip" vielleicht mal alle User des Netzwerks dazu anhalten ihre Mailaccount-Zugangsdaten zu ändern. Natürlich auch alle clients auf keylogger oä überprüfen. Problem dürfte aber weiterhin sein das bei Zugriff von externen Rechnern auf/von den "gehackten" Kandidaten auch die neuen Zugangsdaten wieder kompromittiert werden.
    Dann hilft nur dass Du als Admin einen Mailserver einrichtest auf den einzig Zugriff von eurem Netzwerk aus gestattet ist-alle aneren blockst Du per Netzwerkfirewall.
    Dh. du müsstest für jeden Client/Workstation einen Mailaccount einrichten, inkl Passwort etc. So hättest Du die komplette Kontrolle.
    Soweit ich mich informiert hab ist das aber eine äusserst komplexe Angelegenheit
     
  7. #6 xandros, 18.02.2011
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    25.890
    Zustimmungen:
    91
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    nicht wirklich. Man muss lediglich den MX-Record auf die eigene IP umleiten lassen, damit der Mailserver auch von extern erreichbar ist. Und das ist bei dynamischen IPs wieder ein Problem.
     
  8. #7 helidoc, 18.02.2011
    Zuletzt bearbeitet: 18.02.2011
    helidoc

    helidoc killed by a black pudding
    Moderator

    Dabei seit:
    01.06.2007
    Beiträge:
    3.647
    Zustimmungen:
    1
    Ort:
    Bluemchenwiese
    Das könnte man mit einem Smarthost umgehen - allerdings baut man sich zuhause ohne nähere Kenntnisse evtl. sehr schnell ein mehr oder weniger offenes Mailrelais...


    Zum eigentlichen Problem würde ich alle Rechner im Netz auf Schädlinge untersuchen - besser den Übeltäter direkt auszumerzen, als ihn durch eine Firewall versuchen zu unterdrücken - wobei man eine gut konfigurierbare Firewall natürlich trotzdem einsetzen kann...
     
  9. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  10. #8 CaptainDusky, 23.02.2011
    CaptainDusky

    CaptainDusky Erfahrener Benutzer

    Dabei seit:
    10.01.2007
    Beiträge:
    403
    Zustimmungen:
    0
    Oho, sehe gerade dass da ja doch noch einige Antworten gekommen sind, sehr gut :)

    Also ich habe da so ein paar Vermutungen.
    Der einzigste Rechner, der eigentlich nur Mails versenden darf, ist der SBS Server auf dem der Exchange läuft, dieser verschickt dann die E-Mails über einen Smarthost.
    Auf dem Server selbst läuft GFi MailEssentials, also jede ausgehende E-Mail die über den Server läuft, kann ich darüber nochmals nachvollziehen und da sehe ich nunmal, dass darüber eben nicht SPAM verschickt wird.

    Nach einem 2. Telefonat mit dem Support stellte sich heraus, dass es hauptsächlich Nachts passiert (zw. 21 und 5 Uhr), daher vermute ich einfach, dass dort irgendein Mitarbeiter aus der Produktion einfach mit seinem privaten Rechner/Notebook ins Netz einklinkt.

    Ich habe mir jetzt alte Hardware zusammengesucht und dort temporär aufgebaut, was dem Anschlussinhaber natürlich garnicht gefällt da so einen großen Rechner stehen zu haben.
    Also prinzipiell bin ich mit der IPCop/BOT-Lösung sehr zufrieden, würde mir allerdings andere Harware wünschen, die nicht so groß ist.

    Gelöst habe ich das ganze jetzt so, dass durch IPCop/BOT ja erstmal alles geblockt ist, dann dürfen nur ausgewähte Rechner über die Standardports 80/443/21 raus (+Proxy für FTP da es sonst Probleme bzgl. passiven FTP gibt), die Rechner aus der Produktion habe ich nur für ganz bestimmte IPs zugelassen, damit ich über die Fernwartung weiterhin darauf zugreifen kann.
    Der Server darf nur über Port 25/110 auf den Smarthost zugreifen.

    Für mich ist das Netz dadurch nach außen hin perfekt abgeschottet.

    Gruß

    CaptainDusky
     
  11. #9 helidoc, 23.02.2011
    helidoc

    helidoc killed by a black pudding
    Moderator

    Dabei seit:
    01.06.2007
    Beiträge:
    3.647
    Zustimmungen:
    1
    Ort:
    Bluemchenwiese
    Schau dir mal die Alix-Boards an. Die sind für solche Anwendungen wirklich klasse, ausserdem klein und sparsam. Booten kannst du diese Dinger von einer CF-Karte.

    Zur Sicherheit kannst du im IPCop-Forum ja noch nachfragen, ob die Hardware für das von dir gewünschte IPCop-Modul ausreichend ist. Ich nutze kein IPCop, daher kann ich dir das nun nicht bestätigen...
     
Thema: Firewall
Besucher kamen mit folgenden Suchen
  1. ipcop wireshark

    ,
  2. ipcop kompromittieren

    ,
  3. ipcop auf nettop

    ,
  4. nettop ipcop,
  5. begriff proxy,
  6. wireshark auf ipcop
Die Seite wird geladen...

Firewall - Ähnliche Themen

  1. Firewall Empfehlungen?

    Firewall Empfehlungen?: Hi! Hab mal eine Frage - ich verwende einen Antivirus von Norton - und hab überlegt ists denn wirklich eine gute und notwendige Idee sich auch...
  2. McAfee Firewall Datenverkehrssteuerung Tarnung

    McAfee Firewall Datenverkehrssteuerung Tarnung: Hallo Leute, bin neu hier und bin absoluter Laie in Sachen Computer und Firewall. Ich habe folgendes Problem: Ich habe meinen Laptop nach...
  3. Kostenlose Firewall für Windows 8.1

    Kostenlose Firewall für Windows 8.1: Hallo. Hab gehört, dass wie mitgelieferte FW von Windoof 8 nicht die Beste sein soll. Deswegen such ich jetzt ne kostenlose FW für Windows 8.1...
  4. Internet Probleme mit GData 2014 Firewall

    Internet Probleme mit GData 2014 Firewall: Hallo Zusammen Mein System wird von der aktuellsten Version des GData 2014 geschützt. Die Firewall ist auf Auto-Pilot eingestellt, Automatische...
  5. Firewall - Fehlercode 0x8007042c

    Firewall - Fehlercode 0x8007042c: Hi, meine Firewall ist nicht mehr an- und auszuschalten. Wenn ich dies versuche sieht es so aus wie im Anhang. Ich habe bereits mehrere...