Mir schein bisher als wäre versucht worden über den ftp-server zugang kriegen zu wollen, noch ging alles gut weil dieser nur über eine vpn erreichbar war, habe den Dienst erstmal ausgeschaltet.

Dabei einmal die zwischenfrage, src ist die adresse von aussen und dst die interne oder?

Außerdem finde ich die Arbeit des Bösen gut, hierdurch wurden  immerhin viele wirklich böse taten von Regierungen und Unternehmen afgedeckt.

Welche Art von "Angriffen" sind es denn ?

Sind es nur Portscans, Pings, ICMP-Anfragen?

wie oben geschrieben: analysieren !

Möglicherweise ist es auch nur Teil des Internet-Grundrauschens. Siehe:

https://www.administrator.de/frage/h%C3%A4ufige-port-scans-normal-333558.html

und

https://www.administrator.de/frage/h%C3%A4ufige-port-scans-normal-333558.html

Privat oder Geschäftlich ?

Gegebenenfalls sollte noch eine UTM zwischen Router und internem Netzwerk verbaut und konfiguriert werden und dann den erreichbaren server in eine DMZ packen und vom restlichen internen Netz trennen.

Könnt Ihr analysieren, ob die Zugriffe mit (wechselnden / fortlaufenden ) Anmeldedaten erfolgen oder ob es nur reine Portscans sind ?

JA, da sind wahrshceinlcih viele Portscans mit bei, jedoch war zuvor nie Protkolliert vom Server das eine Anmeldung fehlgeschlagen ist, von aussen (ich vertippe mich natürlich gerne mal bei PW´s)

Somit fällt für mich auch Pings und ICMP weg. Weiter Analysiert konnte ich bisher nicht, ist nicht ganz so mein Fachgebiet...

Ist den eine UTM oder NGFW nötig wenn der Router ne Firewall hat sowie alle Geräte hier im netz? (Ausser Drucken und Smartphone von kollegen)

Und mit DMZ komme ich gerade an meine Wissensgrenze

Mit welchen Anmelde daten es versucht wird kann ich leider nicht rausfinden...

---

@tomas2 schrieb:
[...]

 

Ist den eine UTM oder NGFW nötig wenn der Router ne Firewall hat [...]

---

Das hängt davon ab, ob Dein Router eine echte Firewall (stateful) hat oder nur einen NAT-Filter, der von den Herstellern gerne als Firewall beworben wird.

Das hängt auch davon ab, wie sicher Euer Netz sein kann/muss/darf:

• Kundendaten?
• personenbezogene Daten
• Entwicklungen, Zeichnungen, Finanzdaten, ...
• Unterlagen von Kunden, die nicht für Dritte zugänglich sein sollen

oder ist es nur ein Server zum Austausch wirklich unwichtiger Daten, die zum Versand per E-Mail zu groß sind.

Such mal im Netz nach:

 router Firewall vs. hardware Firewall

Router vs. Firewall

Sprich mal mit (D)einem Systemhaus / IT-Berater

Oft reicht auch schon eine Einstiegs-UTM mit Basic Guard-Schutz. Die haben schon einen ordenlichen Leistungsumfang. Hier kann auch eingestellt werden, wer z.B. berechtigt ist *.exe *.com - Dateien herunterzuladen, oft ist auch eine zusätzliche Antivirenprüfung integriert. Zusammen mit denen auf den PC's hat man dann 2 von zwei unterschiedlichen Herstellern - was ja auf einem PC gar nicht oder nur sehr schwer möglich ist.

Ich habe gute Erfahrungen mit einer Sophos SG 105 mit Basic Guard Lizenz. Die Läuft hinter einer Fritz-Box.

So habe mich nun etwas dem Thema Hardware-Firewall angelesen.

Im Router ist eine IP4v-SPI Firewall, gedenke mal das dies Ausreichend ist für eingehende Pakete, die IP6 ist über all deaktivert, mit der habe ich mich noch nicht ausreichend beschäftigt...

Der Server sowie ein Rechner beinhalt Sensible Daten aller Art, daher ja mein Anliegen im Forum xD

Von eine UTM o.ä. bin ich irgendwie nicht wirklich überzeugt, ich mache mich mal eher an Strengere Regeln für alle FW...

Achja und Traurigerweise bin ich der IT_Experte hier =P, wie immer wird am Flaschen Ende gespart weil Mensch keine Ahnung vom Thema hat.

Welche möglichkeiten habe ich den Herrauszufinden wie und was Angegriffen wurde? Geht da was mit CMD oder Shell? oder bleiben mir nur (nicht angefertigte) Log daten?

Daher das UPnP nur für Hardware geräte dient und ich nicht davon ausgehe das niemand ins büro einbricht um Schadsoftware zu installieren hatte ich bis dato keine bedenken, dies wurde zur installation einer Kamera benötigt.

Habe es erstmal deaktiviert und Arbeite mit Statischen IP´s und Portweiterleitung

@tomas2

Wenn man unbedingt Zugriff von Extern braucht, dann macht man das ausschließlich per VPN.

Ist mir durchaus bewusst und so eingerichtet.

Dies geht aber nun auch am Thema vorbei ?!

Daher nun keine Antworten mehr kommen, erstmal Schönes Wochenende allen und danke für die Teilnahme.

Nun werde ich mich wohl mit DMZ beschäftigen müssen

---

@tomas2 schrieb:

Daher nun keine Antworten mehr kommen, erstmal Schönes Wochenende allen

---

Wir müssen ja auch mal was essen und andere Dinge tun. Aber keine Angst, wir rennen nicht weg!

und danke für die Teilnahme.

Nun werde ich mich wohl mit DMZ beschäftigen müssen

---

 Ist ja gut, wenn wir Anreize zum Lernen und zum Beschäftigen mit der Sicherheit geben konnten.

Im Router ist eine IP4v-SPI Firewall

Das liest sich im Datenblatt schon mal besser, wie gut die aber ist ???

Achja und Traurigerweise bin ich der IT_Experte

Das geht vielen so. Ist nicht schlimm. Kenn ich sehr gut.
Ich meinte eher, Du könntest mal einen externen Berater fragen. Am besten einen, der nicht verkaufen möchte sondern gegen Honorar berät - wegen der Unabhängigkeit.

 Der Server sowie ein Rechner beinhalt Sensible Daten aller Art,

 Dann würde ich zu einer UTM raten. Schon deshalb, weil auch Kunden, Mandanten, Auftraggeber, Geschäftspartner mal fragen können, welche Sicherheitsvorkehrungen Ihr getroffen habt.

Die UTM kann einfach hinter den Zyxel geschaltet werden. Gibt es als Rackmount oder Desktop-Gerät und mit bunter aufgeräumter Web-Oberfläche. VPN ist auch mit drinne. Was bei uns am meisten "Meldungen" verursacht, ist das Verhindern von Downloads für *.exe *.com Dateien und anderer ausführbarer Kram. (Software, die Updates braucht ist in einer Whitelist). Ein zusätzlicher Virenscanner ist auch mit drinne und es wird auch ein Modul gegen KryptoLocker angeboten.

Der zyxel kann ja Telefone und Faxe bedienen und auch W-LAN für Gäste bereitstellen und - falls möglich - ein Gast-LAN außerhalb Eures Netzes.  (hierüber kann der Admin dann auch mal Software herunterladen).

 Schönes Wochenende auch Dir !

Gruß

Daher das Protkoll des Servers sagt das es ein fehlgeschlagener Login von user www-data oder anonymous war gehe ich nicht von PortScans aus

Anmeldungen gehen nur über https mit tsl/ssl.

Die Meldung des Roters waren u.a.:

2017-06-12 09:19:27  kernel: Firewall violation detectedIN=ppp1 OUT= MAC= src=2.87.47.8 DST=91.58.194.18 LEN=48 TOS=0x00 PRIO=0x0 PREC=0x00 TTL=120 ID=60979 DF PROTO=TCP SPT=3165 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0 MARK=0x100 

Also wenn ich mich für die UTM endscheide würde ich die für das gesamte Netzwerk nehmen und nicht nur für den Server.

Worauf ist hierbei zu achten damit es nciht einfach nur ne Switch mit nem kostenlosen McAffe ist?!

In der UTM müssen dann alle verbindungen ins Internet mit Black und Whitelisten geregelt werden?

---

@tomas2 schrieb:

Also wenn ich mich für die UTM endscheide würde ich die für das gesamte Netzwerk nehmen und nicht nur für den Server.

 Das wäre sinnvoll. In der UTM kann eine DMZ eingerichtet werden für den Server und die anderen Anschlüsse stehen für das eigene LAN und ggf- für einen Gastzugang zur Verfügung. UTM's haben i.d.R. mehrere LAN-Anschlüsse.

---

 

Worauf ist hierbei zu achten damit es nciht einfach nur ne Switch mit nem kostenlosen McAffe ist?!

 Ich kenne aus meinem Umfeld nur eine Sophos SG 105. Wenn Du das Datenblatt nimmst und mit anderen Geräten vergleichst, kannst Du ungefähr abschätzen, was das Teil so können muss. Weitere bekannte Hersteller wären Cisco, Fortinet, Lancom (Made in Germany (bei Aachen)),

In der UTM müssen dann alle verbindungen ins Internet mit Black und Whitelisten geregelt werden?

---

 Da gibt es verschiedene Strategien:

a)
Deny All und dann einzelne Aktionen erlauben / Wege freigeben

b)

Allow All und dann einzelne Aktionen verbieten / bestimmte Wege (Ports, Protokolle, ... ) sperren oder bestimmte Seiten (facebook, Twitter, ... ) sperren

c)

a und b mischen

Hierfür empfehle ich, Kontakt mit einem Systemhaus / IT-Firma aufzunehmen. Du als IT-Verantwortlicher kannst da sehr hilfreich sein und Eure Anforderunge, Wünsche, usw. sammeln, aufschreiben präzise mit der Fa. kommunizieren. Die Einweissung (DU) und die Dokumentation (für Dich) nicht vergessen !

Tipp: Eine Sophos UTM kann man auch schon mal privat testen. Die Software gibt es für Privat kostenlos zum Herunterladen. Diese muss auf einem separaten PC installiert werden, der mindestens 2 Netzwerkanschlüsse hat (2 billige Netzwerkkarten reichen). Eine Anmeldung ist erforderlich.

Alternativ könnte auch ein zweiter Internetanschluss herhalten.

Ich weiß; das Budget ! Ja, ja.

Argumente für den Chef: Locky, Neue Varianten von Locky, E-Mails sind inzwischen so echt, dass sie nur schwer zu erkennen sind, Drive-By-Downloads, Was kostet ein Tag Ausfall, was kosten 3 Tage Ausfall (der Admin braucht ja auch Zeit, um alles wieder zu installieren, Was kostet die UTM + 3x die Einjahreslizenz heruntergerechnet auf einen Arbeitstag ? Das Auto vom Chef hat doch auch x Airbags, Gurtstraffer, Gurte, Spurwechselassistenten, Einparkhilfe, ESP, ABS

Gruß

Dilbert