tom's networking guide
 
Anzeige

Hubert und die goldenen Tubas, zweiter Teil

Netzwerksicherheit

Die goldenen Tubas, zweiter Teil

Bombensichere Tunnel

Während seine Füße im Takt zu "The House Is Rockin'" mitwippten, begann er mit dem Aufbau eines neuen Dienstes, der den zuvor gelöschten Dienst "Any" ersetzen sollte. Dafür definierte er einen Paketfilter, der als einzige aktivierte und erlaubte Ports exakt die Ports zuließ, die seine benutzerdefinierten JIT-Anwendungen nutzten, nämlich 20546 ? 20550. Dadurch würde kein Hacker mehr in der Lage sein, Überraschungen wie HTTP, FTP oder sonstige Daten, die für den JIT-Datenaustausch ohne Bedeutung sind, durch den Tunnel zu schicken.

Zuletzt erstellte er den Dienst und nannte ihn JIT_svc_ConGlomCo. Als Zielort für den Dienst wählte er den soeben von ihm angelegten Alias. Durch die Verwendung eines einleuchtenden Namens anstelle einer IP-Adresse für den Zielort erhöhte sich die Wahrscheinlichkeit, dass seine Mitarbeiter die Einstellungen verstehen würden, wenn sie einmal während seiner Abwesenheit etwas anpassen müssten. Er richtete den Dienst so ein, dass er ausgehenden Traffic nur von seinem JIT-Server und zu dem ConGlomCo_JIT_srvr zuließ. Den ankommenden Traffic richtet er genau andersherum ein. Außerdem passte er auch seine vorhandenen DNS-Proxy- und Ping-Dienste an, indem er sie um den JIT-Server von ConGlomCo als Zielort ergänzte. Rücksichtsvoll wie er nun mal war, richtete er noch einen weiteren Dienst ein, der Ping-Anfragen vom JIT-Server von ConGlomCo an seinen JIT-Server ermöglichte.

Gerade als die Band mit vollem Gitarreneinsatz und Trommelwirbel ihr Konzert zu Ende brachte, speicherte er die neue Konfiguration in seiner Firebox ab. Während Pfiffe und Applaus von der CD in seinen Ohren klangen, drückte er seine Zufriedenheit aus, indem er in seiner besten Rockstar-Stimme röhrte "Danke, Madison!".

Aber der Rockstar in ihm wurde schnell wieder leiser und kam schließlich ganz zum Schweigen, als ihm klar wurde, dass eigentlich alle VPN-Tunnel auf diese Art und Weise eingestellt werden sollten. Er zog eine Grimasse. Freier Samstag - Adeee.

Hubert testete den Tunnel und überprüfte seine Funktion. Alles bestens. Er machte sich eine kurze Notiz, dass er Andi beauftragen wollte, einen kleinen Cronjob zu schreiben, der alle paar Minuten eine DNS-Abfrage an den DNS-Server von ConGlomCo richtete und ihm und Andi eine E-Mail schickte, sobald ConGlomCo die IP-Adresse für den Server jit15.dbserver.internal.conglomco.com änderte.

Damit war die Verbindung zwischen ConGlomCo und Gotthilf & Söhne gerettet. Das nächste große Problem: Hatten es die Leute, die ConGlomCo gehackt hatten, geschafft, auch in Huberts Netzwerk einzudringen? Er glaubte es eigentlich nicht, aber es war auf jeden Fall klüger, das zu überprüfen.

Von seiner Management Station aus überprüfte er kurz seine Auth-Logs und Error-Logs bis zum 3. November, dem Tag, von dem Chew sagte, dass ihre Server da noch intakt waren. Da die JIT-Anwendungen alle sehr stark an die Bedürfnisse von Gotthilf & Söhne angepasst worden waren, war es nicht möglich, dass die gängigen automatisierten Exploits gegen seinen Server unbemerkt blieben. Ein Hacker würde bereits jede Menge Spuren in den Protokolldateien hinterlassen, während er noch versuchte, etwas über den Server herauszufinden. Aber die Protokolldateien wiesen keine ungewöhnlichen Vorfälle auf.

Hubert erinnerte sich daran, einige LiveSecurity-Artikel mit dem Titel "I've Been Hacked! What Should I Do?" (Was tun bei Hackerangriffen?) gesehen zu haben. Also rief er den Editorials Index von LiveSecurity auf und fand dort die Reihe von Rik Farrow zum Thema "Disaster Recovery" aufgelistet. Nach kurzem Überfliegen fand er heraus, dass Teil 4 und Teil 6 für ihn besonders hilfreich waren. Die Nutzung von Sleuth Kit und Autopsy zur Überprüfung von Software anhand bekannter Prüfsummen schien ihm eine schnelle Möglichkeit zur Überprüfung der Integrität von auf dem Server vorhandenen Anwendungen. Mithilfe des Terminplaners in Outlook gab er Andi den Auftrag, die Server unter Befolgung von Rik Farrows Ratschlägen zu inspizieren.

Damit hatte er alle ihm zur Verfügung Mittel ausgeschöpft, um auf das Eindringen in das Netzwerk eines Partners zu reagieren. Angesichts der angespannten Atmosphäre bei ConGlomCo befürchtete er allerdings, dass Chew wohl ihren Job verlieren würde. Er fragte sich, ob er je erfahren würde, was tatsächlich bei ConGlomCo passiert war.

Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Mehr zum Thema
Netzwerksicherheit
IT-Administrator Hubert Wolf trifft es diesmal in seiner Kernkompetenz: das "Just In Time"-Bestellsystem. Hier können Sie nicht nur lesen, wie er dem Kommunikationsproblem zwischen den Systemen auf den Grund geht, sondern sogar mitraten und gewinnen. [mehr]
Netzwerksicherheit
IPsec-Problembehebung war weder seine Stärke noch zählte sie zu seinen Lieblingsbeschäftigungen von IT-Administrator Hubert Wolf. Hier können Sie nicht nur lesen, wie er dem VPN-Problem auf den Grund geht, sondern sogar mitraten und gewinnen. [mehr]
Netzwerksicherheit
IT-Administrator Hubert Wolf trifft es diesmal ganz unerwartet: Aus dem Drucker des Vertriebs kommen geheime Waffenpläne. Hier können Sie nicht nur lesen, wie er diesem merkwürdigen Vorfall auf den Grund geht, sondern sogar mitraten und gewinnen. [mehr]
Virtuelle Kriminalität in Europa
Online-Schutzgelderpressung, Phishing, Kreditkartenbetrug, Geldwäsche, Hacking, Kinderarbeit im Netz, Betriebsspionage, Politisches Verbrechen ? die bösen Geister, die mit "Internet für Alle" kamen, sind so einfach nicht loszuwerden. [mehr]
Netzwerksicherheit
Montag in der Frühe ereilte IT-Administrator Hubert Wolf die schlechteste aller Nachrichten: Sein Netz war gehackt. Eile war geboten. Hier können Sie nicht nur lesen, wie er sich aus dieser misslichen Lage befreit, sondern sogar mitraten. [mehr]
Zyxel Zywall-IDP10
Die Abwehr von Internet-Attacken wird für Klein- und Mittelstandsbetriebe unverzichtbar. Wir haben getestet, wie weit der Schutz von Zyxels KMU-Sicherheits-Appliance ZyWall IDP 10 wirklich reicht. [mehr]
Innominate mGuard und Watchguard Firebox X Edge
Im zweiten Teil vergleichen wir Security-Appliances für Arbeitsgruppen und kleinere Unternehmen. Im Testlabor konnten sie zeigen, wie gut Internet-Zugänge schützen VPN-Verbindungen aufbauen können. [mehr]
Innominate mGuard
Knallrot, mausgroß wie eine Computermaus und keine Form zu pressen ? das kann kein richtiges Sicherheits-Appliance sein! Wir haben uns das Gerät angeschaut und bemerkenswertes festgestellt. [mehr]
Arbeitsrecht-Leitfaden
Der ungeregelte Internet-Zugriff birgt für jedes Unternehmen enorme Risiken. In diesem Beitrag finden Arbeitgeber und Arbeitnehmer praktische Entscheidungshilfen, Beispieltexte und Checklisten zur Risikominimierung. [mehr]
Neue IEEE-802.11-Standards
Die drahtlose Vernetzung mit 802.11-Produkte gilt als unsicher. WEP: geknackt, Authentifizierung: Fehlanzeige. IEEE802.1x, IPSec-Funk-VPNs und IEEE802.11i-Technologien wie AES und WPA2 sollen die Sicherheitslöcher stopfen. [mehr]
Anzeige