IDS / IPS - Trojaner-Schutz: Erklärung im Wiki-Anleitung seltsam

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Schmitti
Beiträge: 23
Registriert: Fr 30.11.2018, 00:14

IDS / IPS - Trojaner-Schutz: Erklärung im Wiki-Anleitung seltsam

Beitrag von Schmitti »

Moin, liebe Gemeinde,

wir in der Firma finden es richtig super, dass die UTM jetzt auch eine Schutzfunktion gegen Trojaner-Netzwerkaktivitäten aufweist. Allerdings verzweifeln wir an der Beschreibung in der Hilfe bzw. im WIKI.

Im Wiki steht diesbezüglich folgendes geschrieben:
Wenn im Netzwerk Aktionen festgestellt werden, die einem Trojaner gleichen, können diese im Reiter Trojaner unterbunden werden.

[justify] [/justify]
[table][tr][td]Wir empfehlen grundsätzlich keinen direkten Verkehr mit anderen Netzwerken, vor allem dem Internet zuzulassen.[/td]
[/tr]
[/table]
Wir verstehen das dahingehend, dass die Schalter erst dann umgelegt werden sollen, sobald man - also wir als Admins - entsprechende schädliche Aktivitäten festgestellt hat. Irgendwie klingt das komplett widersprüchlich. Denn eigentlich brauchen wir einen präventiven Schutz vor Trojanern, keinen nachträglichen. Außerdem wissen wir nicht, woher wir die Info nehmen sollen, dass trojanische Aktivitäten vorhanden sind - wenn nicht von der UTM. Und sofern die UTM diese Aktivitäten feststellen sollte, warum unterbindet sie diese dann nicht automatisch!?

Wahrscheinlich verstehen wir hier etwas nicht richtig. Wir würden uns daher sehr freuen, wenn man uns genauer aufklären könnte.

Vielen Dank schon mal dafür und viele freundliche Grüße

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo Schmitti,

Mit der Empfehlung ist gemeint, dass aus Gründen der Sicherheit eine Verbindung auch regulär nicht direkt ins Internet aufgebaut werden sollte. Also zum Beispiel beim Aufrufen einer Webseite: Besser den HTTP-Proxy der UTM nutzen als die Geräte direkt im Internet surfen zu lassen. 

Grüße
Svenja

P.S.: Wenn du uns auch den Link zum entsprechenden Artikel gibst, dann können wir auch genauer auf diesen eingehen ;-)

Schmitti
Beiträge: 23
Registriert: Fr 30.11.2018, 00:14

Beitrag von Schmitti »

Hallo, Svenja,

vielen Dank für Deine rasche Antwort!

Zunächst den Link, damit ich den nicht vergesse:

https://wiki.securepoint.de/UTM/APP/IDS-IPS

Es geht um den letzten Punkt auf der Seite, unter "Trojaner".

Warum sollen diese Funktionen erst nachträglich aktiviert werden und nicht präventativ bereits vorab?

Viele Grüße

Schmitti

Benutzeravatar
Lauritzl
Securepoint
Beiträge: 61
Registriert: Mo 09.12.2019, 10:29

Beitrag von Lauritzl »

Hallo Schmitti,
Sie haben natürlich recht - die Funktion kann durchaus vorab aktiviert werden. Geschichtlich hatte sich dieses Menü anders entwickelt, daraus entstand die bisherige Formulierung.
Wir haben das überarbeitet und jetzt hoffentlich klarer formuliert.
Im Wiki steht jetzt auch der Hinweis auf Cyber Defence Cloud mit dem Threat Intelligence Filter der Trojanern noch besser entgegen wirken kann.

Herzliche Grüße
Lauritz Laatzen

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

evtl. noch als Zusatz Info: Wenn das IDS/IPS aktiviert ist, sollten Sie prüfen ob noch alles funktioniert. Gerade im Bezug mit Domänen Controllern. 
Als Beispiel: Port 1025/tcp - wird vom AD aber auch von dem Trojaner "Blackjack" verwendet.

Gruß

Antworten