Schädling löscht kompl. lokales Netzwerk?

[tnase]

Hallo zusammen.

Gibt es einen Schädling, der in kürzester Zeit ein lokales Lan lahm legen könnte? Angedacht ist folgende Situation.
Durch fehlerhaften Sicherheitseinstellungen wird ein System infiziert. Dieser Schadcode würde sich in kürzester zeit im Netz verbreiten. Da das Netzwerk sozusagen redundant ist, werden hier unterschiedliche Netzwerkbereiche verwendet (192.168.6.x und 192.168.13.x) Verbindung zwischen den Netzwerken wird durch eine 2M/Bit Standleitung gewährleistet.
Der Horror würde eine Infektion beider Netze beinhalten.
Neben mehr oder weniger aktuelle Windows-Systeme (MS-Updates und Adobe) wird jedoch ein Schwerpunkt auf aktuelle Virensignaturen (Kaspersky) gelegt.
Beide Netzwerke haben einen Zugang zum Internet, welches über einen Router läuft. Eines der beiden hat als Firewall IPCop (Version ziemlich veraltet).
Die Windowsclients und server haben keine aktive Firewall.
Fast überall läuft Windows XP und die Server 2003.

Jetzt Ihr.

Gruss,
Thomas.

 

[Mitsch87]

Bei so etwas frage ich mich immer: Erwartest du jetzt eine Anleitung wie du dein Schulnetzwerk hacken kannst von uns oder wie?

 

[BigLebensky]

Und was ist nun genau die Frage?
Obs einen Virus/Tronjaner was auch immer gibt, der beide Netzwerke gleichzeitig lahm legen könnte?

 

[ayrufus]

Wo ist jetzt die Frage?

Natürlich gibt es solche Schädlinge, frag mal die Admins von www.heise.de.

 

[mam97]

tach

klar, gibt es. allerdings sind diese mittlerweile eher selten geworden, da die virenschreiber im moment mehr an daten interessiert sind (oder an geld) als daran, schaden zu verursachen.

mein vorgehen wäre:
1. ipcop updaten! (die entwickeln gerade weiter, die version 1.9.17 macht n guten eindruck)
2. überprüfen, ob du ev. firewalls mit antivirus drauf kaufen möchtest (für deinen einsatz z.b. die juniper ssg5) und diese sauber konfigurieren (zugriffsrechte, abläufe, vpn etc.)
3. regel definieren, wer was im netzwerk darf und dich allgemein mit security auseinandersetzen.

gruss

 

[tnase]

Bei so etwas frage ich mich immer: Erwartest du jetzt eine Anleitung wie du dein Schulnetzwerk hacken kannst von uns oder wie?

Nein. Ich hätte gerne einen Namen, um abzuklären, ob KAV Business Space damit zurecht kommt und eventl. Hinweise, ob diese von mir beschriebene Situation an Fahrlässigkeit grenzt. Die Datenbanken etc. sind nicht auf Rohlinge oder Wechselplatten gesichert.

Ergänzung (12. November 2010)

Und was ist nun genau die Frage?
Obs einen Virus/Tronjaner was auch immer gibt, der beide Netzwerke gleichzeitig lahm legen könnte?

Ja. Keine Möglichkeit, mehr etwas zu retten. Mit einer Infektion alles relevante "wech".

Ergänzung (12. November 2010)

tach

klar, gibt es. allerdings sind diese mittlerweile eher selten geworden, da die virenschreiber im moment mehr an daten interessiert sind (oder an geld) als daran, schaden zu verursachen.

mein vorgehen wäre:
1. ipcop updaten! (die entwickeln gerade weiter, die version 1.9.17 macht n guten eindruck)
2. überprüfen, ob du ev. firewalls mit antivirus drauf kaufen möchtest (für deinen einsatz z.b. die juniper ssg5) und diese sauber konfigurieren (zugriffsrechte, abläufe, vpn etc.)
3. regel definieren, wer was im netzwerk darf und dich allgemein mit security auseinandersetzen.

gruss

zu 1:
Langfristig möchte ich mich von IPcop verabschieden, da ich gerne einen Anbieter mit support nutzen möchte.
zu 2:
Hier ist die Grundsätzliche Frage nach FW innerhalb einer Domain. KAV hat ein "Hackermodul", was einer FW gleich kommt. Diese ist aber serverseitig deaktiviert - lässt zentral schnell beheben.
zu 3:
Richtlinien sind soweit angeglichen - dies aber mehr auf Benutzerebene. Hier werden eher die Mitarbeiter eingeschränkt, wobei dies noch lange kein Hindernis für einen Virus /Trojaner sein muss.


Thomas.

Ergänzung (12. November 2010)

Wo ist jetzt die Frage?

Natürlich gibt es solche Schädlinge, frag mal die Admins von www.heise.de.

Demnach hatten sie einen ähnlichen Fall?! Wobei Heise etc. wesentlicher attraktiver für einen bewussten Angriff.
Aber es gibt auch die nicht gezielte Attacke.

 

[mam97]

1) dann schau dir mal endian an (ist nur ein beispiel, gibt da sehr viele - astaro hat mir jeweils auch noch gut gefallen)
Du darfst hier aber nicht support mit konfigurationshilfen gleichstellen. Garantie, support etc. alles super - aber die konfiguration welche die alles oder nix frage ist bei der sicherheit, musst du trotzdem selber machen.
hier gibt es firmen die dir gerne helfen falls du hilfe brauchst.
2) ich hab am liebsten immer ne firewall zwischen den netzen, da kannst du gleich mal alle nicht benötigten ports schliessen und sauber loggen (resp. events triggern). aber eben, jedem das seine.
3) ja, aber es erschwert es schon mal. wenn die benutzer kein recht haben eine "fremde" exe auszuführen oder nur über proxy surfen dürfen und emails über den zentralen (geschützten) server beziehen bist du schon sehr weit

gruss

 

[mumpel]

Um's Datenbackup werdet ihr aber so oder so nicht drum herum kommen. Sämtliche Sicherheitskonzepte basieren immer auf einem Backup-Fallback. Den Rest kann man mit mehr oder weniger Aufwand immer umgehen.

 

[mam97]

@mumpel: lol, genau deshalb bin ich nochmals zurückgekommen! hatte ich vergessen! :-D

backup von daten ist der beste weg die daten zu sichern.