Schutz eines Firmennetzwerkes vor DAUs

Dumdideldum

Here to stay

Registered: Jun 2001
Location: Vienna
Posts: 1511

30.04.2002 - 11:24

Ein Freund von mir ist hobbymässiger Admin in der Firma seines Vaters.
Es vergeht kaum ein Monat, in dem sie nicht von Viren geplagt werden. Auslöser sind meines Erachtens die Angestellten, die holladoro jedes Mail Attachment und jegliche Dateien aus dem Internet ausführen.
Da er sich mit der Materie aber weniger auskennt, und ich auch nur begrenzt, zerbrech ich mir den Kopf, wie man deren Netzwerk vor den Aktionen der DAUs etwas schützen kann.
Betriebssysteme sind - nona Windowse. Gewisse Dateien werden auf einem Unix-Server abgelegt, natürlich schön verbunden mit der Netzwerk-Freigabe, d.h. Zugriff durch den Windows-Explorer, d.h. diese Dateien werden zentral infiziert.
Dem Unix-Server ist es natürlich wurscht, nur die Clients werden laufend neu infiziert. Sie haben zwar eine Virensoftware laufen (F-Secure für Netzwerk), nur wird dessen Können von den laufenden Neuinfektionen überfordert.
Darum meine Frage:
Welche Aktionen (sei es Software oder auch erzieherischer Natur

kann man setzen, um das Problem zumindest einzudämmen).

Ich hab mir einige Gedanken darüber gemacht:
Outlook Express kicken und durch einen anderen E-Mail-Client ersetzen.
Auf jedem Client (sollte dies nicht schon geschehen sein) ein Antivirus-Proggi.
Maybe auch eine Firewall, die die Ausführung gefährlicher Attachements verhindert, die Attachements in Quarantäne setzt.

Was weiter gehen würde:
Eine Linux-Firewall (anstatt des Hardware-Routers), welcher einkommende E-Mails ausfiltert. Gibt es fertige Linux-Pakete dafür, die wennmöglich gratis bis günstig sind?

Bin auf eure Anregungen neugierig

Thanx

xdfk

pädagogisch wertvoll

Registered: Sep 2000
Location: Graz
Posts: 6441

30.04.2002 - 11:35

nachdem es sich um eine firma handelt und dort geld verloren geht bei einem ausfall würd ich einen fähigen administrator empfehlen.

wenn du das problem selbst lösen willst: es gibt virenscanner die alle mails schon am mailserver checken.
weiters den usern einen proxy vorschnallen der downloads von exe usw verbietet.

JonnyB

Blutiger Neubei

Registered: Mar 2001
Location: Leoben
Posts: 656

30.04.2002 - 11:38

Also ich hätte da ein paar Lösungsvorschläge:
1. Profiadmin anheuern

2. Wir haben auf der Uni einen eigenen (Linux-)Server für die Studenten (Webserver, Mail, ...). Auf diesem Server rennt eine Antivirensoftware, die automatisch jedes Mail checkt und bei einer Infektion eine entsprechende Warnung schickt, statt der ursprünglichen Mail. Welche Software das jetzt genau ist kann ich leider nicht sagen, hab schon länger keinen Virus mehr geschickt bekommen.

3. Trennung von E-Mail/Internet und firmeninternem Netzwerk. Je nach Größe der Firma und Bedarf an Internetzugriff z.B. pro Büroraum ein Compi mit Internetanschluß aber ohne Verbindung zum LAN. Attachments werden dann auf diesen "unsicheren" Computern zuerst gescannt und dann auf ein Speichermedium (Zip, PD, DVD-RAM) gespeichert. Ist zwar etwas komplizierter in der Handhabung, dafür aber relativ sicher (auch gegen Hacker).

Dumdideldum

Here to stay

Registered: Jun 2001
Location: Vienna
Posts: 1511

30.04.2002 - 12:01

Ja, Profiadmin wär sicher die beste Lösung

Nur ist das Unternehmen klein, und solche (sicher ausufernden) Kosten sollen wennmöglich verhindert werden.

Darum will ich ja ein paar einfache Lösungen ins Auge fassen. Maybe wäre auch eine Linux-Firewall nicht schlecht, die vorallem Mail-Attachements unschädlich machen soll (darin liegt das Hauptproblem, vorallem in Verbindung mit DAUs).
Welche Linux-Firewall (sollte fertig sein, ISO) kennt ihr, die genau solche Funktionen erfüllen?

Dank

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11281

30.04.2002 - 12:31

1. dausichere und halbwegs sichere fw => http://www.smoothwall.com
2. mailserver aufsetzten (der sollte nicht auf der fw laufen)
3. am mailserver alle mail nach viren scannen und gleich mal alles was ne bestimmte endung hat nach /dev/null kopieren (mp3, mov, mpg, vbs, bat, exe,...)

ich würde es von ner firma machen lassen, da dein bekannter keine ahnung von linux usw hat. kostet zwar was, ist aber weit günstiger als das was jetzt läuft.

xdfk

pädagogisch wertvoll

Registered: Sep 2000
Location: Graz
Posts: 6441

30.04.2002 - 12:33

eine firewall checkt keine emails :rolleyes:

sie verhindert meiner bisherigen interpretation nach nur kommunikation von "innen" mit "außen"

was du benötigst ist ein mailserver der automatisch nach viren scannt
und a bissal einschulung für daus

außerdem noch einen proxy der das downloaden von gefährlichen dateien verhindert.

außerdem weg von outlook
das ist ja die virenschleuder nr.1

was haben die clients für ein os installiert?
ich hoffe doch dass die nicht alle mit einem admin account arbeiten?

Dumdideldum

Here to stay

Registered: Jun 2001
Location: Vienna
Posts: 1511

30.04.2002 - 12:54

Ich benutz auch Smoothwall, vorrangiges Ziel ist aber nicht das Aufsetzen einer Firewall, sondern eines Rechners, der die E-Mails prüft.
Gibt es so ein Linux-Package nicht? Es muss nicht unbedingt eine Virensoftware beinhalten, sondern einfach nur die Möglichkeit, Attachements, die .exe oder .vbs usw. nach /dev/null ins Nirvana schickt.

@xdfk
Als OS wird, der Situation entsprechend, Windows 98 benutzt. :rolleyes:

Und wenn ich von DAUs spreche, dann meine ich auch DAUs. Jeder Client im Netzwerk besitzt eine E-Mail-Adresse, und die ist natürlich im WAN. :rolleyes:

Und dies umzumodeln ist unmöglich, weniger technisch, sondern es ist nahezu unmöglich, allen Angestellten die Neuerungen beizubringen :rolleyes:

Abgesehen davon, welche E-Mail-Server gibt es, die dies ermöglichen, ohne die E-Mail-Adressen im Netzwerk zu verändern (wie gesagt, es sind keine lokalen Accounts, sondern sie liegen im WAN). Über Sinn oder Unsinn zu diskutieren ist zwecklos, ich hätte es natürlich anders gemacht, aber bitte.

Darum hätte ich ja eine Lösung favorisiert, die auf einem Standalone-Rechner realisiert wird. Der sollte einfach die E-Mails checken, die über das Internet ins Netzwerk laufen, und einfach Attachements gen /dev/null befördern, ohne die E-Mail Adressen zu verändern.

Bin für erneute Vorschläge dankbar, aber bitte nicht solche, die das komplette Netzwerk in Frage stellen. Es gibt Sachen, die sind einfach so, auch wenn sie vollkommen kompliziert, unpraktisch und sicherheitstechnisch zweifelhaft sind :rolleyes:

Danke trotzdem

xdfk

pädagogisch wertvoll

Registered: Sep 2000
Location: Graz
Posts: 6441

30.04.2002 - 12:56

Zitat
Und wenn ich von DAUs spreche, dann meine ich auch DAUs. Jeder Client im Netzwerk besitzt eine E-Mail-Adresse, und die ist natürlich im WAN.
Und dies umzumodeln ist unmöglich, weniger technisch, sondern es ist nahezu unmöglich, allen Angestellten die Neuerungen beizubringen

äähm das kapier ich nicht
wird in der firma kein zentraler email server verwendet???????

und wg. angestellten die sich aufregen: die werden einfach nicht gefragt.
die bekommen eh geld dafür dass sie arbeiten das sollte genügen damit sie sich mit neuerungen anfreunden.

Dumdideldum

Here to stay

Registered: Jun 2001
Location: Vienna
Posts: 1511

30.04.2002 - 13:05

@xdfk
Nach meinen Schilderungen sollte es bereits klar sein, dass kein E-Mail-Server benutzt wird. Warum denn auch, wenn es so auch geht

xdfk

pädagogisch wertvoll

Registered: Sep 2000
Location: Graz
Posts: 6441

30.04.2002 - 13:33

WTF? laufen die ganzen rechner 24/7 und jeder ist sein eigener mailserver???

das kann irgendwie nicht ganz funktionieren. das gibts nicht. das geht einfach nicht

es muss einen mailserver geben. vielleicht beim provider?

DAO

Si vis pacem, para bellum

Registered: Mar 2001
Location: Austria
Posts: 4969

30.04.2002 - 14:21

wenns nur offcie worken muessen und ein bissl fileaustauschen or what ever hau linux drauf mit staroffice

dann gibt keine viren probs mehr

Dumdideldum

Here to stay

Registered: Jun 2001
Location: Vienna
Posts: 1511

30.04.2002 - 16:05

Zitat von xdfk
es muss einen mailserver geben. vielleicht beim provider?

u g0t it

xdfk

pädagogisch wertvoll

Registered: Sep 2000
Location: Graz
Posts: 6441

30.04.2002 - 16:41

na dann hast eh kein problem
holst du dir über deinen eigenen mailserver die mails vom provider. scan sie und stell auf allen clients ein dass sie die emails vom internen server bekommen.
fertig problem gelöst patient tot.

Zitat
Nach meinen Schilderungen sollte es bereits klar sein, dass kein E-Mail-Server benutzt wird. Warum denn auch, wenn es so auch geht

dann ist das aber absoluter blödsinn was du da geschrieben hast. oder waren deswegen die smileys dabei? bist der meister der verwirrung schaut aus.

Binärmensch

Banned

Registered: Dec 2001
Location: österreich / ni..
Posts: 724

30.04.2002 - 17:22

Zitat von xdfk
na dann hast eh kein problem
holst du dir über deinen eigenen mailserver die mails vom provider. scan sie und stell auf allen clients ein dass sie die emails vom internen server bekommen.
fertig problem gelöst patient tot.

dann ist das aber absoluter blödsinn was du da geschrieben hast. oder waren deswegen die smileys dabei? bist der meister der verwirrung schaut aus.

was is da blödsinn?
er hat doch gesagt das jeder die emailadresse im WAN hat ----> ergo: kein eigener mailserver

Dumdideldum

Here to stay

Registered: Jun 2001
Location: Vienna
Posts: 1511

30.04.2002 - 17:23

Zitat von xdfk
dann ist das aber absoluter blödsinn was du da geschrieben hast. oder waren deswegen die smileys dabei? bist der meister der verwirrung schaut aus.

Dass ein Mailserver fürs Mailen nötig ist ist logisch, ich hab nur geglaubt, du meinst immer einen lokalen Mailserver.

Die Accounts liegen beim Provider.

Zitat

Nach meinen Schilderungen sollte es bereits klar sein, dass kein E-Mail-Server benutzt wird. Warum denn auch, wenn es so auch geht

Ich wollte nur zum Ausdruck bringen, dass in diesem Netzwerk nix so ist, wie es sein sollte - deswegen auch die rolleyes.

(Sollte keinesfalls ein Seitenhieb auf dich sein

k?

Dumdideldum Here to stay Registered: Jun 2001 Location: Vienna Posts: 1511	30.04.2002 - 11:24 Ein Freund von mir ist hobbymässiger Admin in der Firma seines Vaters. Es vergeht kaum ein Monat, in dem sie nicht von Viren geplagt werden. Auslöser sind meines Erachtens die Angestellten, die holladoro jedes Mail Attachment und jegliche Dateien aus dem Internet ausführen. Da er sich mit der Materie aber weniger auskennt, und ich auch nur begrenzt, zerbrech ich mir den Kopf, wie man deren Netzwerk vor den Aktionen der DAUs etwas schützen kann. Betriebssysteme sind - nona Windowse. Gewisse Dateien werden auf einem Unix-Server abgelegt, natürlich schön verbunden mit der Netzwerk-Freigabe, d.h. Zugriff durch den Windows-Explorer, d.h. diese Dateien werden zentral infiziert. Dem Unix-Server ist es natürlich wurscht, nur die Clients werden laufend neu infiziert. Sie haben zwar eine Virensoftware laufen (F-Secure für Netzwerk), nur wird dessen Können von den laufenden Neuinfektionen überfordert. Darum meine Frage: Welche Aktionen (sei es Software oder auch erzieherischer Natur kann man setzen, um das Problem zumindest einzudämmen). Ich hab mir einige Gedanken darüber gemacht: Outlook Express kicken und durch einen anderen E-Mail-Client ersetzen. Auf jedem Client (sollte dies nicht schon geschehen sein) ein Antivirus-Proggi. Maybe auch eine Firewall, die die Ausführung gefährlicher Attachements verhindert, die Attachements in Quarantäne setzt. Was weiter gehen würde: Eine Linux-Firewall (anstatt des Hardware-Routers), welcher einkommende E-Mails ausfiltert. Gibt es fertige Linux-Pakete dafür, die wennmöglich gratis bis günstig sind? Bin auf eure Anregungen neugierig Thanx
xdfk pädagogisch wertvoll Registered: Sep 2000 Location: Graz Posts: 6441	30.04.2002 - 11:35 nachdem es sich um eine firma handelt und dort geld verloren geht bei einem ausfall würd ich einen fähigen administrator empfehlen. wenn du das problem selbst lösen willst: es gibt virenscanner die alle mails schon am mailserver checken. weiters den usern einen proxy vorschnallen der downloads von exe usw verbietet.
JonnyB Blutiger Neubei Registered: Mar 2001 Location: Leoben Posts: 656	30.04.2002 - 11:38 Also ich hätte da ein paar Lösungsvorschläge: 1. Profiadmin anheuern 2. Wir haben auf der Uni einen eigenen (Linux-)Server für die Studenten (Webserver, Mail, ...). Auf diesem Server rennt eine Antivirensoftware, die automatisch jedes Mail checkt und bei einer Infektion eine entsprechende Warnung schickt, statt der ursprünglichen Mail. Welche Software das jetzt genau ist kann ich leider nicht sagen, hab schon länger keinen Virus mehr geschickt bekommen. 3. Trennung von E-Mail/Internet und firmeninternem Netzwerk. Je nach Größe der Firma und Bedarf an Internetzugriff z.B. pro Büroraum ein Compi mit Internetanschluß aber ohne Verbindung zum LAN. Attachments werden dann auf diesen "unsicheren" Computern zuerst gescannt und dann auf ein Speichermedium (Zip, PD, DVD-RAM) gespeichert. Ist zwar etwas komplizierter in der Handhabung, dafür aber relativ sicher (auch gegen Hacker).
Dumdideldum Here to stay Registered: Jun 2001 Location: Vienna Posts: 1511	30.04.2002 - 12:01 Ja, Profiadmin wär sicher die beste Lösung Nur ist das Unternehmen klein, und solche (sicher ausufernden) Kosten sollen wennmöglich verhindert werden. Darum will ich ja ein paar einfache Lösungen ins Auge fassen. Maybe wäre auch eine Linux-Firewall nicht schlecht, die vorallem Mail-Attachements unschädlich machen soll (darin liegt das Hauptproblem, vorallem in Verbindung mit DAUs). Welche Linux-Firewall (sollte fertig sein, ISO) kennt ihr, die genau solche Funktionen erfüllen? Dank
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11281	30.04.2002 - 12:31 1. dausichere und halbwegs sichere fw => http://www.smoothwall.com 2. mailserver aufsetzten (der sollte nicht auf der fw laufen) 3. am mailserver alle mail nach viren scannen und gleich mal alles was ne bestimmte endung hat nach /dev/null kopieren (mp3, mov, mpg, vbs, bat, exe,...) ich würde es von ner firma machen lassen, da dein bekannter keine ahnung von linux usw hat. kostet zwar was, ist aber weit günstiger als das was jetzt läuft.
xdfk pädagogisch wertvoll Registered: Sep 2000 Location: Graz Posts: 6441	30.04.2002 - 12:33 eine firewall checkt keine emails sie verhindert meiner bisherigen interpretation nach nur kommunikation von "innen" mit "außen" was du benötigst ist ein mailserver der automatisch nach viren scannt und a bissal einschulung für daus außerdem noch einen proxy der das downloaden von gefährlichen dateien verhindert. außerdem weg von outlook das ist ja die virenschleuder nr.1 was haben die clients für ein os installiert? ich hoffe doch dass die nicht alle mit einem admin account arbeiten?
Dumdideldum Here to stay Registered: Jun 2001 Location: Vienna Posts: 1511	30.04.2002 - 12:54 Ich benutz auch Smoothwall, vorrangiges Ziel ist aber nicht das Aufsetzen einer Firewall, sondern eines Rechners, der die E-Mails prüft. Gibt es so ein Linux-Package nicht? Es muss nicht unbedingt eine Virensoftware beinhalten, sondern einfach nur die Möglichkeit, Attachements, die .exe oder .vbs usw. nach /dev/null ins Nirvana schickt. @xdfk Als OS wird, der Situation entsprechend, Windows 98 benutzt. Und wenn ich von DAUs spreche, dann meine ich auch DAUs. Jeder Client im Netzwerk besitzt eine E-Mail-Adresse, und die ist natürlich im WAN. Und dies umzumodeln ist unmöglich, weniger technisch, sondern es ist nahezu unmöglich, allen Angestellten die Neuerungen beizubringen Abgesehen davon, welche E-Mail-Server gibt es, die dies ermöglichen, ohne die E-Mail-Adressen im Netzwerk zu verändern (wie gesagt, es sind keine lokalen Accounts, sondern sie liegen im WAN). Über Sinn oder Unsinn zu diskutieren ist zwecklos, ich hätte es natürlich anders gemacht, aber bitte. Darum hätte ich ja eine Lösung favorisiert, die auf einem Standalone-Rechner realisiert wird. Der sollte einfach die E-Mails checken, die über das Internet ins Netzwerk laufen, und einfach Attachements gen /dev/null befördern, ohne die E-Mail Adressen zu verändern. Bin für erneute Vorschläge dankbar, aber bitte nicht solche, die das komplette Netzwerk in Frage stellen. Es gibt Sachen, die sind einfach so, auch wenn sie vollkommen kompliziert, unpraktisch und sicherheitstechnisch zweifelhaft sind Danke trotzdem
xdfk pädagogisch wertvoll Registered: Sep 2000 Location: Graz Posts: 6441	30.04.2002 - 12:56 Zitat Und wenn ich von DAUs spreche, dann meine ich auch DAUs. Jeder Client im Netzwerk besitzt eine E-Mail-Adresse, und die ist natürlich im WAN. Und dies umzumodeln ist unmöglich, weniger technisch, sondern es ist nahezu unmöglich, allen Angestellten die Neuerungen beizubringen äähm das kapier ich nicht wird in der firma kein zentraler email server verwendet??????? und wg. angestellten die sich aufregen: die werden einfach nicht gefragt. die bekommen eh geld dafür dass sie arbeiten das sollte genügen damit sie sich mit neuerungen anfreunden.
Dumdideldum Here to stay Registered: Jun 2001 Location: Vienna Posts: 1511	30.04.2002 - 13:05 @xdfk Nach meinen Schilderungen sollte es bereits klar sein, dass kein E-Mail-Server benutzt wird. Warum denn auch, wenn es so auch geht
xdfk pädagogisch wertvoll Registered: Sep 2000 Location: Graz Posts: 6441	30.04.2002 - 13:33 WTF? laufen die ganzen rechner 24/7 und jeder ist sein eigener mailserver??? das kann irgendwie nicht ganz funktionieren. das gibts nicht. das geht einfach nicht es muss einen mailserver geben. vielleicht beim provider?
DAO Si vis pacem, para bellum Registered: Mar 2001 Location: Austria Posts: 4969	30.04.2002 - 14:21 wenns nur offcie worken muessen und ein bissl fileaustauschen or what ever hau linux drauf mit staroffice dann gibt keine viren probs mehr
Dumdideldum Here to stay Registered: Jun 2001 Location: Vienna Posts: 1511	30.04.2002 - 16:05 Zitat von xdfk es muss einen mailserver geben. vielleicht beim provider? u g0t it
xdfk pädagogisch wertvoll Registered: Sep 2000 Location: Graz Posts: 6441	30.04.2002 - 16:41 na dann hast eh kein problem holst du dir über deinen eigenen mailserver die mails vom provider. scan sie und stell auf allen clients ein dass sie die emails vom internen server bekommen. fertig problem gelöst patient tot. Zitat Nach meinen Schilderungen sollte es bereits klar sein, dass kein E-Mail-Server benutzt wird. Warum denn auch, wenn es so auch geht dann ist das aber absoluter blödsinn was du da geschrieben hast. oder waren deswegen die smileys dabei? bist der meister der verwirrung schaut aus.
Binärmensch Banned Registered: Dec 2001 Location: österreich / ni.. Posts: 724	30.04.2002 - 17:22 Zitat von xdfk na dann hast eh kein problem holst du dir über deinen eigenen mailserver die mails vom provider. scan sie und stell auf allen clients ein dass sie die emails vom internen server bekommen. fertig problem gelöst patient tot. dann ist das aber absoluter blödsinn was du da geschrieben hast. oder waren deswegen die smileys dabei? bist der meister der verwirrung schaut aus. was is da blödsinn? er hat doch gesagt das jeder die emailadresse im WAN hat ----> ergo: kein eigener mailserver
Dumdideldum Here to stay Registered: Jun 2001 Location: Vienna Posts: 1511	30.04.2002 - 17:23 Zitat von xdfk dann ist das aber absoluter blödsinn was du da geschrieben hast. oder waren deswegen die smileys dabei? bist der meister der verwirrung schaut aus. Dass ein Mailserver fürs Mailen nötig ist ist logisch, ich hab nur geglaubt, du meinst immer einen lokalen Mailserver. Die Accounts liegen beim Provider. Zitat Nach meinen Schilderungen sollte es bereits klar sein, dass kein E-Mail-Server benutzt wird. Warum denn auch, wenn es so auch geht Ich wollte nur zum Ausdruck bringen, dass in diesem Netzwerk nix so ist, wie es sein sollte - deswegen auch die rolleyes. (Sollte keinesfalls ein Seitenhieb auf dich sein k?

Schutz eines Firmennetzwerkes vor DAUs

Forum Index > Hardware > Peripherie > Netzwerktechnik

Dumdideldum

xdfk

JonnyB

Dumdideldum

spunz

xdfk

Dumdideldum

xdfk

Dumdideldum

xdfk

DAO

Dumdideldum

xdfk

Binärmensch

Dumdideldum