Hej IT-Experts
Vi har en eller flere lokale maskiner som sender "malware" ud af huset.!
Da jeg desværre ikke ejer en appliance boks som kan "sniffe" på lokale ip adresser, kan det være lidt svært at finde de få maskiner.
Jeg har tilmeldt mig OpenDNS, og de mener jeg sprøjter Malware ud.
Netværket er for uoverskueligt, til at scanne de enkle maskiner.
Jeg bruger Mcafee på alle maskiner med antivirus,antispy ,firewall. som alle er opdateret.!
Der er prøvet med forskellige software "sniffers" men er ikke kommet tættere en løsning.
En god ide ?
Jeppe : Hej IT-Experts Vi har en eller flere lokale maskiner som sender "malware" ud af huset.! Da jeg desværre ikke ejer en appliance boks som kan "sniffe" på lokale ip adresser, kan det være lidt svært at finde de få maskiner. Jeg har tilmeldt mig OpenDNS, og de mener jeg sprøjter Malware ud. Netværket er for uoverskueligt, til at scanne de enkle maskiner. Jeg bruger Mcafee på alle maskiner med antivirus,antispy ,firewall. som alle er opdateret.! Der er prøvet med forskellige software "sniffers" men er ikke kommet tættere en løsning. En god ide ?
Sæt en TMG op som proxy og tving alt traffik igemmen den og så med netværks inspection så kan du se ret meget om hvad der forgår på dit setup
Flemming Riis | mail/msn flemmingriis @ hotmail.com | +45 20910607 |
Bum Bum Flemming..
Det var den lange forkromet løsning
Min opsætning består af en Sonicwall 2040 firewall i dag, vil du så tillade alt trafik igennem den ind til TMG`en ? (Altså i test øjemed)
Så jeg forbinder 1 netkort direkte til sonicwall og 2 netkort til det lokale netværk.! ?
Spørgsmåler er om jeg skal ud og købe en Blue Coat boks....
Jeppe : Bum Bum Flemming.. Det var den lange forkromet løsning Min opsætning består af en Sonicwall 2040 firewall i dag, vil du så tillade alt trafik igennem den ind til TMG`en ? (Altså i test øjemed) Så jeg forbinder 1 netkort direkte til sonicwall og 2 netkort til det lokale netværk.! ? Spørgsmåler er om jeg skal ud og købe en Blue Coat boks....
ikke specialt forkromet men hvis du ikke har IPS/IDS i din SonicWall er du nødt til at finde et produkt der har så du har styr på trafikken, hvis din malware kun benytter http/https kan du sprærre for det i Sonicvwallen og kun tillade det bliver startet fra TMG og så kan du via en GPO sætte TMG som proxy men så ser du kun de 2 protokoller og ikke alt muligt andet
Alternativ sætte snort til at kigge på trafikken men det er typisk ikke specialt brugervenligt
Hvis du er ude efter en løsning uden krom, kan man komme langt med en monitor port og en Wireshark.
Men det tager tid. :-|
hvis du aktivt har malware på nettet er det få cuttet internet forbindelse så hurtigt så muligt aka lav en blok regel for alt pånår de systemer der ikke må slukkes. du kan have en TMG op at køre på et par timer så kommer du rigtigt langt med at se hvad der sker og du gambler ikke med sikkerheden
Har før haft held med Mortens forslag.
Hvis du har mulighed for at sætte en Monitor/Mirror port op i dine switches og så starte en overvågning af disse med Ethereal/Wireshark, kan dette muligvis afsløre en eller flere maskiner, der står og sprøjter noget ud af en bestemt type eller port.
Har før sporet en maskine, der stod og sprøjtede en masse ud på ex. port 68/udp via denne fremgangsmåde.
Hvis du er heldig kan din ISP måske hjælpe dig med at fortælle hvilken type af trafik og evt. port du skal kigge efter.
Husk hvis du evt. benytter andre software sniffers(der ikke er proxy el. gateway) skal du gøre det via en Monitor/Mirror port(evt. i din backbone switch hvor du samler evt. andre uplinks i og du har Internettet ind på) ellers får du ikke al trafik med.
ACSE(Apple Certified Service Engineer)CCSP(Canto Certified System Provider)
Hvad med remote scanning af netværkets maskiner.. det kan af gode grunde ikke klare rootkit-inficerede maskiner, men måske alligevel et forsøg værd. Og når du finder inficerede maskiner, så husk lige, at hvis en maskine først har været "udlånt" til noget malware, så bliver den aldrig din igen, før den er reinstalleret.
Jeg kender ikke lige produktet, og du kan sikkert finde et bedre selv, men her et eksempel på hvad jeg mener : http://www.emco.is/products/network-malware-cleaner/features.php
Og må jeg have lov til at anbefale, at du lukker for alt udadgående SMTP trafik, og sørger for at KUN den mailserver du bruger internt har lov til at sende emails ud.. på den måde kan du i hvert fald scanne et sted på alt e-mail trafik. Hvis du ikke selv hoster SMTP, så er det et godt tidspunkt at begynde på det.. og så prøv at se på din mailservers statestikker, måske er de mest aktive sendere også dem med malware :-)
Nåh jo,, din egen maskine,, den du administrerer med,, få nu aktiveret den interne firewall i windows. Du har ikke så meget at arbejde på, hvis din maskine pludseligt også er inficeret.. hehe
c") Peace Out.. Mvh. Jan.
Btw. Den der kommer først til møllen, får sin sæk nederst i bunken... No worry, dont hurry !