Hallo, ich suche nach einer box mit 2 ethernet buchsen, die man zwischen ein Endgerät und den zugehörigen port stöpseln kann. Die box würde den Datenverkehr 1:1 durchleiten, aber in Echtzeit analysieren. Wenn dabei port scanner, attacken auf das Endgerät oder verdächtige Aktivität vom Gerät ins Netz erkannt wird, würde die box die Verbindung kappen und eine rote led o.ä. anmachen. Ein router mit integrierter firewall ist nicht das was ich suche. Ein virenscanner auf dem Endgerät ist in diesem Fall auch nicht möglich. Gibt es sowas? Danke!
Nein, sowas gibt es nicht. Diese Box würde ja nur die Netzwerkpakete sehen. Eine E-Mail aber z.B. besteht aus sehr vielen Netzwerkpakete. Die ominöse Box müsste also alle zusammengehörigen Pakete herausfiltern und die E-Mail komplett zusammen setzten um diese dann auf Viren zu untersuchen. Das scheitert schon am HTTPS beim surfen bzw am SSL von E-Mails, diese Pakete sind verschlüsselt und vor eben solchen "Mitlesern" geschützt. Einfach gesagt: Das, was deine Box machen soll, nennt sich Man-In-The-Middle und ist beliebte Methode von Hackern die Passwörter u.ä. abfischen wollen. Die Sicherheitstechnik setzt derzeit alles daran, dass genaus sowas nicht möglich ist...
Ein reiner Hardware-Filter: https://dahlhausen.de/shop/de/anaesthesieintensiv/beatmungsfilter/bakterien-virenfilter.html
Erkennung von Port-Scannerattacken und von ungewöhnlichem Netzwerkverkehr sind klassische Firewall-Aufgabe. Das gewünschte Gerät dafür wäre in dem Fall also doch ein Router mit firewall, die halt im Falle eines Falles dichtmacht. Für alles, was per E-Mail reinkommt, macht das ein eigener email-Server mit Virenscanner. Dito für File-Downloads, das macht ein Proxy. Für alles zusammen reicht jede beliebige Linux-Dose. Sonstige Angriffserkennung auf das Endgerät wird, wie zuvor geschrieben, schwieriger. Oliver
:
Bearbeitet durch User
Gero schrieb: > Nein, sowas gibt es nicht. > > Diese Box würde ja nur die Netzwerkpakete sehen. > Eine E-Mail aber z.B. besteht aus sehr vielen Netzwerkpakete. Die > ominöse Box müsste also alle zusammengehörigen Pakete herausfiltern und > die E-Mail komplett zusammen setzten um diese dann auf Viren zu > untersuchen. > > Das scheitert schon am HTTPS beim surfen bzw am SSL von E-Mails, diese > Pakete sind verschlüsselt und vor eben solchen "Mitlesern" geschützt. > > Einfach gesagt: Das, was deine Box machen soll, nennt sich > Man-In-The-Middle und ist beliebte Methode von Hackern die Passwörter > u.ä. abfischen wollen. Die Sicherheitstechnik setzt derzeit alles daran, > dass genaus sowas nicht möglich ist... Schon klar, dass so eine box keine payload analysen von ene-to-end verschlüsselten Kommunikationen vornehmen kann. Aber wenn z.B. Service probe oder port scan Attacken* von dem oder auf das überwachte Gerät vorgenommen werden, kann das sehr wohl erkannt werden. Oder wenn das überwachte Gerät eigenständig herausgehende Verbindungen auf verdächtige ports aufbaut. Mit KI Mitteln lassen sich sehr wohl usage patterns auch ohne inhaltliche Datenkenntnis identifizieren, die einen gewissen Hinweis auf verdächtiges Verhalten nahelegen. *Diese art von Attacken gehen einem Befall oft voraus.
Angehängte Dateien:
SCNR.
Lothar M. schrieb: > Ein reiner Hardware-Filter: > https://dahlhausen.de/shop/de/anaesthesieintensiv/beatmungsfilter/bakterien-virenfilter.html ist als Idee nicht schlecht, hat aber nicht die geforderten "...2 ethernet buchsen..." ;-) MfG von der Spree Frank
Suchender schrieb: > Hallo, ich suche nach einer box mit 2 ethernet buchsen, die man zwischen > ein Endgerät und den zugehörigen port stöpseln kann. Die box würde den > Datenverkehr 1:1 durchleiten, aber in Echtzeit analysieren. Wenn dabei > port scanner, attacken auf das Endgerät oder verdächtige Aktivität vom > Gerät ins Netz erkannt wird, würde die box die Verbindung kappen und > eine rote led o.ä. anmachen. Du suchst eine Firewall mit DPI (deep packet inspection) bzw ein Intrusion Detection System, SNORT ist das Opensource tool welches einen da sofort in den Sinn kommt. Wenn die Firewall auch ein Root-CA mitbringt welches dein Lokaler Client kennt, ist es auch bedingt möglich bei verschlüsselten Verbindungen man in the middle zu spielen.
Man kann manche Firewalls mit inhaltlicher Analyse auch auf Layer 2 betreiben. Sie arbeiten dann nicht als Router, sondern als Bridge.
Danke erst mal für die sachdienlichen Antworten! Das Problem mit Firewalls in Routern liegt darin, dass die Router nur das gesamte Sement nach aussen abschirmen, d.h. wenn innerhalb eines Segmentes ein Gerät bereits befallen ist, kann es sich innerhalb des Segments nach Belieben austoben, ohne dass der Router es merkt (habe ich schon oft erlebt). Die Probleme mit Sicherheitssoftware auf den Endgeräten sind hinlänglich bekannt, deswegen denke ich, dass eine "box in the middle" durchaus ihre Berechtigung hätte. Ein konkreter use case ist, dass wir Geräte mit Netzwerkanbindung selber hertellen, auf denen eigene Schutzsoftware nicht laufen kann (in der Regel RTOS mit proprietärer Netzwerksoftware). Diese Geräte sind zuweilen durch Attacken zwar nicht befalls-, aber störungsgefährdet. In 90% aller Fälle, in denen Kunden mit Störungsberichten an uns herantreten, stellt sich am Ende des Tages nach Snifferanalysen im Netz heraus, dass die Geräte Angriffsziel von Schadsoftware im Kundennetz geworden sind. Da berechtigterweise die Admins bei den Kunden eher nervös werden, wenn wir aus ihren Netzen Sniffertraces anfordern, wäre die bessere Lösung so eine box, die die vitalen Daten (also welche Ip bzw. MAC Adresse mit welchen Attackeversuchen unsere Geräte stören) liefert. Es gibt sogar schon Überlegungen, so eine box selber zu machen oder in Auftrag zu geben... Payloadanalysen sind in der Konstellation sowieso kein Thema, weil die Geräte nicht auf den verdächtigen ports (135,138,445,80,21 etc) horchen.
Suchender schrieb: > Das Problem mit Firewalls in Routern liegt darin, dass die Router nur > das gesamte Sement nach aussen abschirmen, d.h. wenn innerhalb eines > Segmentes ein Gerät bereits befallen ist, kann es sich innerhalb des > Segments nach Belieben austoben, ohne dass der Router es merkt (habe ich > schon oft erlebt). Das kann man im erwähnten L2 Modus und genug Ports erledigen. Die Firewall ersetzt dann den Switch.
:
Bearbeitet durch User
Suchender schrieb: > einer box mit 2 ethernet buchsen Solche Kisten mit einigen kW Anschlussleistung sind käuflich. Kleiner Nachteil ist nur, daß der Hersteller von hinten ständig frische Signaturen nachladen wird. Somit ist das nächste gefährliche Türchen nach draußen wieder offen. Ein Virenscanner kann nur die Viren erkennen, die er schon kennt. Deswegen kann nachladen durchaus nützlich sein, aber auch ein Risiko.
oszi40 schrieb: > Suchender schrieb: >> einer box mit 2 ethernet buchsen > > Solche Kisten mit einigen kW Anschlussleistung sind käuflich. Kleiner > Nachteil ist nur, daß der Hersteller von hinten ständig frische > Signaturen nachladen wird. Somit ist das nächste gefährliche Türchen > nach draußen wieder offen. Ein Virenscanner kann nur die Viren erkennen, > die er schon kennt. Deswegen kann nachladen durchaus nützlich sein, aber > auch ein Risiko. Super, danke, hast Du mir da einen link für so ein Gerät? Danke.
Suchender schrieb: > Hallo, ich suche nach einer box mit 2 ethernet buchsen, die man zwischen > ein Endgerät und den zugehörigen port stöpseln kann. Die box würde den > Datenverkehr 1:1 durchleiten, aber in Echtzeit analysieren. Es dürfte sogar das Gegenteil geben: Stichworte BND Bundestrojaner / oder NSA im Backbone. Mindestens sniffing, uU auch mit injection. Bevor du nachfragst: dazu kein link lieferbar :D
Viren? Was für Dinger? ;) Lange nix mehr Spannendes gesehen. Alles schon alte Hüte. Also Beste Sicherheit: Wenn es nicht nötig ist, sei Offline. Mach Updates und lass dich nicht Verarschen. Suchender schrieb: > Ein > Virenscanner auf dem Endgerät ist in diesem Fall auch nicht möglich. Das klingt nach einem veraltetem embedded device. Also wenn es wirklich Daten ins Netz übertragen muss solltest du eine Firewall davor setzen und nur noch die wirklich benötigten Ports freigeben. Wenn auch dieser Port angreifbar ist solltest du je nach dem was da wirklich drüber geht noch Filter und Proxys verwenden. Oder das Gerät austauschen. Erzähl doch mal was genau das für ein Gerät ist und was es macht.
Suchender schrieb: > einen In Kalifornien gibt es eine Antivirenfirma. Meiner Meinung nach ist das Unsinn. Beispiel:Wenn ich einen Zaun mit 1000 Löchern habe, nützt auch ein scharfer Wachhund wenig. Besser wäre den ZUGANG zu Deinen "Schäfchen" so zu beschränken, daß gar keine Zugriffe möglich sind. Wenn Zugriffe nötig sind, dann erlaube NUR diese!
Suchender schrieb: > Ein konkreter use case ist, dass wir Geräte mit Netzwerkanbindung selber > hertellen, auf denen eigene Schutzsoftware nicht laufen kann (in der > Regel RTOS mit proprietärer Netzwerksoftware). Diese Geräte sind > zuweilen durch Attacken zwar nicht befalls-, aber störungsgefährdet. Dann packt man einen Router zwischen das Gerät und das Kundennetz, der nur die für die Kommunikation mit dem Gerät tatsächlich erforderlichen Netzwerkports durchlässt. Das dürfte das Problem schon entschärfen. Wenn man nun auch noch untersucht, welche Geräte im Kundennetz nun wiederum überhaupt mit Deinen Geräten kommunizieren dürfen, und dem Router entsprechende Regeln verpasst, dürfte das Problem weitestgehend gelöst sein. Was für ein RTOS wird da verwendet?
Suchender schrieb: > Diese Geräte sind zuweilen durch Attacken zwar nicht befalls-, aber > störungsgefährdet. In 90% aller Fälle, in denen Kunden mit > Störungsberichten an uns herantreten, stellt sich am Ende des Tages nach > Snifferanalysen im Netz heraus, dass die Geräte Angriffsziel von > Schadsoftware im Kundennetz geworden sind. Das hört sich für mich sehr merkwürdig an. Normalerweise sind interne Firmennetze recht sauber. Bist du dir sicher, dass nicht euer Gerät zu empfindlich ist?
Jan H. schrieb: > Normalerweise sind interne Firmennetze recht sauber. Manche Kunden sind keine Firmen, sondern z.B. Universitäten, und was dort im Netzwerk los ist, kann ... interessant sein.
Wenn ein embedded Device kein verkappter PC ist, den man entsprechend restriktiv zu konfigurieren vergass, sollten eigentlich sowieso nur jene Ports offen sein, die dazu gedacht sind, angesprochen zu werden. Wenn der TCP/IP Stack nicht völlig hinüber ist, ist damit schon einiges erreicht. Die Verbreitung einer Infektion im lokalen Netz setzt üblicherweise gleichartige oder ähnliche Geräte voraus. Embedded Devices mit speziellem Betriebssystem sind in normalen lokalen Netzen zwar nicht ungewöhnlich, aber stellen eine eigene Klasse dar, was Angriffe angeht. Die üblichen kommerziellen Virenscanner wiederum schützen praktisch nur PCs und Server. Gehört das Device nicht in diese Klasse, ist ein Scanner rausgeworfenes Geld.
Jan H. schrieb: > Normalerweise sind interne Firmennetze recht sauber. Zu unnormalen Zeiten wie "Sasser" starben die ungepatchten Rechner wie die Fliegen. https://de.wikipedia.org/wiki/Sasser Wenn ein Virenscanner den Sasser gefunden hatte, war der Rechner leider schon versaut. So gesehen, ist es bei "Industrie 4.0" etwas wichtiger, vorbeugend zu wirken.
Jan H. schrieb: > Das hört sich für mich sehr merkwürdig an. Normalerweise sind interne > Firmennetze recht sauber. Das ist zumindest die Hoffnung. Das traditionelle Verfahren einer einzigen Perimeter-Firewall, die das saubere interne Netz vom schmutzigen Internet trennt, ist allerdings nicht unbedingt ausreichend. Es kann wichtig werden, auch innerhalb des Firmennetzes verschiedene Netzbereiche durch eine interne Firewall zu trennen. Nicht alle Firmen sind wasserdicht gebaut, mit zugeklebten USB-Ports, authentifizierenden Switch-Ports etc. Da kann schon mal der Wartungstechniker einer Produktionsanlage mit einem USB-Stick den Steuer-PC erwischen. Sehr hilfreich kann hier eine Trennung dieses Produktionsnetzes vom Restnetz sein. Nicht zuletzt, weil solche Anlagen oft nicht auf der Höhe der Zeit sind, was Fixlevels angeht. Nett sind beispielsweise auch Drucker und NAS-Devices. Die sind hinsichtlich Netzanbindung und Betriebssystem längst zu umfangreichen Kommunikationsknoten geworden. Aber während PCs und Server monatlich ihre Fixes kriegen und gute Passwörter haben, ist das bei Blackboxes ausgesprochen selten. Nicht weil sie keine Bugs hätten, sondern weil niemand sie auf dem Radar hat - deren Hersteller eingeschlossen. Als Zwischenstation zur Verschleierung von SSH Pfaden sind sie aber prima geeignet. Auch da kann eine Separation nützlich sein.
:
Bearbeitet durch User
Suchender schrieb: > Schon klar, dass so eine box keine payload analysen von ene-to-end > verschlüsselten Kommunikationen vornehmen kann. Gehen tut das schon, aber dazu müsste er die https Verbindungen aufbrechen und das willst du nicht, weil du dann am Client kaum eine ordentliche Controlle hast. Manche Antivirensoftware macht übrigens genau das direkt auf dem Desktop. Gut ist das aber trotzdem nicht. Antivirensoftware ist sowieso nur bedingt geeignet. Schadcode, den sie nicht kennt, wird sie durchlassen. Lege besser mehr Wert auf ein gut abgesichertes Desktopsystem und nutze das Rechtemanagement, welches dir moderne Betriebssysteme zur Verfügung stellen. Und öffne vor allem nicht jede Datei, schon gar nicht irgendwelche E-Mailanhänge von unbekannten. Mailserver und Antivirensoftware können gut zusammenarbeiten und die E-Mails und Anhänge scannen lassen. Das solltest du dann entsprechend einrichten. Einzelne Dateien kann man auch auf virustotal zum Testen mit dutzenden Antivirensoftware uploaden. Man sollte allerdings beachten, dass man da nichts privates hochlädt, das andere nicht sehen können sollen.
Jan H. schrieb: > Normalerweise sind interne > Firmennetze recht sauber. Das ist eine veraltete Sicherheitsstrategie bzw. veraltete Denke. Heutzutage sollte man Firmennetzwerke so auslegen, dass man nicht dem internen Netz vertraut und es genauso wie ein fremdes Netz behandelt. Die Gründe warum sind vielfältig, angefangen beim Arbeitnehmer, der Daten klauen und weitergeben will. Oder auch ganz unbedarft, weil er einen USB Stick auf dem Parkplatz gefunden hat und nachgucken wollte, was drauf war. Und schwupps ist die Malware auf dessen Arbeitsrechner und somit im Firmennetz.
A. K. schrieb: > Wenn ein embedded Device kein verkappter PC ist, den man entsprechend > restriktiv zu konfigurieren vergass, sollten eigentlich sowieso nur jene > Ports offen sein, die dazu gedacht sind, angesprochen zu werden. Allein dies (und sinnentsprechende Formulierungen) zeigt doch sehr schön den Layer-8-Fehler auf. Immer derselbe Blödsinn mit den ach so schlimmen "offenen Ports". Ports, an denen kein Dienst lauscht, sind nicht "offen"! Ein ordentlich konfiguriertes Netzwerkgerät, egal welcher Bauart, hat also kein Problem.
ich² schrieb: > Ein ordentlich konfiguriertes Netzwerkgerät, egal welcher Bauart, hat > also kein Problem. Ein Dienst, der nicht läuft, ist nicht angreifbar. Ein Dienst, der läuft und von aussen ansprechbar ist ("offen"), kann es aber sein. Auf diese Art erwischt man beispielsweise Webserver. Um dagegen vorzugehen, ohne den Dienst zu reparieren, kann man Firewalls mit der erwähnten deep packet inspection davor schalten. Wie auch Virenscanner reagieren die aber auch erst, wenn ein Problem schon bekannt ist, und auch nur auf das bestimmte Problem. Und wie bei Virenscanner auch, adressieren diese Filter vorwiegend Probleme in gängigen Szenarien, nicht in exotischen kaum verbreiteten Geräten. Generischere Abwehr gibts bei Szenarien, in denen der Angreifer nicht gezielt Bugs adressiert, sondern unspezifisch arbeitet wie in DoS Attacken, wenn er Adressen oder Ports scannt oder Passwörter durchprobiert. Das können bessere Firewalls ggf erkennen und abwehren, auch ohne den Dienst zu kennen.
:
Bearbeitet durch User
>> Ein reiner Hardware-Filter: >> >> https://dahlhausen.de/shop/de/anaesthesieintensiv/beatmungsfilter/bakterien-virenfilter.html > ist als Idee nicht schlecht, hat aber nicht die geforderten "...2 > ethernet buchsen..." Kreative Lösung: https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcTbHp_b6If8C3bmiZLRrQieFeTAJSN6k7Jv7NKB19NVqbYsWilmJw
Wenn man das Gerät ordentlich sichern will, muss IMHO ein "Jump-Host" zwischen das Gerät und das interne Netz. Dieser Knoten dazwischen muss alle Clients, die aus dem Netzwerk zugreifen wollen, z.B. mittels User Zertifikaten o.ä. authentifizieren und stellt einen Proxy bereit, der die Daten dann puffert bzw. durchleitet. Wenn die Rede von RTOS und Embedded Geräten ist, dann wird es sicherlich hauptsächlich um Steuerungsdaten oder Messwerte gehen. Wenn es nicht um Antwortzeiten im Picosekundenbereich geht, ist es sinnvoll, die Kommunikation über einen Proxy zu führen, der das eigentliche Gerät nach "außen" abschirmt. Mit welcher Hard/Software dieses System ausgerüstet wird, kommt haupsächlich auf die zu erwartende Kommunikationslast an. Steuer und Messdaten im 10 Megabitbereich, selbst 100MBit/s schafft man mit überschaubarer Hardware (Intel Atom, 2 Kerne, 2GB Ram) und etwas Linux. Als Stichworte zur Software: Reverse Proxy, Proxy Authentication, Jump host _.-=: MFG :=-._
:
Bearbeitet durch User
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.