Exhange hinter reverseproxy meldung bsi 6.3
Moderator: Securepoint
Exhange hinter reverseproxy meldung bsi 6.3
Werte Kollegen,
Hallo Securepoint Support!
Wie ist eure Einschätzung bezüglich der vom BSI gemeldeten Sicherheitslücke im EXChange seit Version 2010?
Wie viele andere auch nutze ich die Reverse proxy Funktion in der UTM zum Schutz und zur Veröffentlichung der OWA Schnittstelle im Netz.
Ist der ExChange dadurch vor dem exploit geschützt? Das BSI ist in dem veröffentlichen Dokument da leider nicht eindeutig.
Grüße
Georg
Hallo Securepoint Support!
Wie ist eure Einschätzung bezüglich der vom BSI gemeldeten Sicherheitslücke im EXChange seit Version 2010?
Wie viele andere auch nutze ich die Reverse proxy Funktion in der UTM zum Schutz und zur Veröffentlichung der OWA Schnittstelle im Netz.
Ist der ExChange dadurch vor dem exploit geschützt? Das BSI ist in dem veröffentlichen Dokument da leider nicht eindeutig.
Grüße
Georg
Ist interessant (auch ob der Threat-Intelleigence Feed, resp. CyberDefense Cloud die Verbindungen direkt auf 443 erkennen und proaktiv über IDS/IPS blocken kann?)! Erste Anzeichen dafür dass die CyberDefense Cloud teilweise Verbindungen blockiert hat, habe ich in den von mir betreuten UTMs sehen können.
Im Forum bei Heise gab es einen User der sehr umfassend von seiner Erfahrung mit dem Exploit berichtet hat. Alle seine Systeme sollen sich nach seinen Angaben hinter einem Reverse-Proxy (Sophos) befunden haben.
Es sollen auch Systeme durch den R-Proxy infiziert worden sein. Allerdings wurde kein System, welches neben R-Proxy auch mit Geo-IP-Blocking arbeitet und alle Anfrage außerhalb von DE ablehnt, infiziert.
Unabhängig vom aktuellen Exploit ist das GEO-IP-Blocking auch für unsere SecurePoint-UTMs sehr interessant.
So oft, wie ich in den Logs mitbekomme dass die UTMs gescannt werden oder versucht wird (z.B. SMTP-)Dienste auszuspähen - überwiegend aus Asien oder Russische Föderation) - wäre so ein Feature für die UTMs echt überfällig und eine baldige Implementierung sehr willkommen!
LG,
Malte
Im Forum bei Heise gab es einen User der sehr umfassend von seiner Erfahrung mit dem Exploit berichtet hat. Alle seine Systeme sollen sich nach seinen Angaben hinter einem Reverse-Proxy (Sophos) befunden haben.
Es sollen auch Systeme durch den R-Proxy infiziert worden sein. Allerdings wurde kein System, welches neben R-Proxy auch mit Geo-IP-Blocking arbeitet und alle Anfrage außerhalb von DE ablehnt, infiziert.
Unabhängig vom aktuellen Exploit ist das GEO-IP-Blocking auch für unsere SecurePoint-UTMs sehr interessant.
So oft, wie ich in den Logs mitbekomme dass die UTMs gescannt werden oder versucht wird (z.B. SMTP-)Dienste auszuspähen - überwiegend aus Asien oder Russische Föderation) - wäre so ein Feature für die UTMs echt überfällig und eine baldige Implementierung sehr willkommen!
LG,
Malte
Der RP schützt hier alleine nicht, wenn der Verkehr nicht zusätzlich aktiv überwacht wird. Hier ist wirklich die Frage, ob die CyberDefense nicht bei manch einem das Exchange Desaster verhindert hat, aber das ist nur reine Mutmaßung.
Nicht desto trotzt wäre hier Geo Blocking eine nützliche Funktion gewesen. Zusätzlich wären jetzt auch endlich mal die Let's Enrcypt Implementierung angesagt und wenn man den RP wirklich sicher machen will eine 2FA Authentifizierung. Hier können sich einige Security Firmen wirklich nicht rühmen und Securepoint gehört leider dazu, da hier Funktionen, welche es bei der Konkurrent schon lange gibt, einfach nicht voran kommen. Vielleicht hat jetzt mal einer den letzten Schuss gehört.
Nicht desto trotzt wäre hier Geo Blocking eine nützliche Funktion gewesen. Zusätzlich wären jetzt auch endlich mal die Let's Enrcypt Implementierung angesagt und wenn man den RP wirklich sicher machen will eine 2FA Authentifizierung. Hier können sich einige Security Firmen wirklich nicht rühmen und Securepoint gehört leider dazu, da hier Funktionen, welche es bei der Konkurrent schon lange gibt, einfach nicht voran kommen. Vielleicht hat jetzt mal einer den letzten Schuss gehört.
Der Threat Intelligence Filter im IDS unterbindet nur den Zugriff von IP-Adressen, die auf unserer Blacklist stehen. Wird der Angriff von einer IP-Adresse ausgefuehrt die uns nicht bekannt ist, kann dieser den Zugriff nicht sperren.
Richtig sicher wird es mit einem VPN-Tunnel. Viele Endgeraete haben heutzutage VPN-Konnektivitaet als Option. Und auch wenn es erst einmal aufwaendig klingt: Das Ergebnis ist ein Exchange oder eine andere anfaellige/ fuer Angriffe attraktive interne Ressource, die nicht von Außen in irgendeiner Form direkt angesprochen werden kann. Sondern nur ueber den Tunnel.
Zum Geo-IP Blocking kann ich aktuell jedoch nichts sagen.
Richtig sicher wird es mit einem VPN-Tunnel. Viele Endgeraete haben heutzutage VPN-Konnektivitaet als Option. Und auch wenn es erst einmal aufwaendig klingt: Das Ergebnis ist ein Exchange oder eine andere anfaellige/ fuer Angriffe attraktive interne Ressource, die nicht von Außen in irgendeiner Form direkt angesprochen werden kann. Sondern nur ueber den Tunnel.
Zum Geo-IP Blocking kann ich aktuell jedoch nichts sagen.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Es gibt noch eine weitere Moeglichkeit: "Zugriff ueber den Reverse-Proxy nur mit zertifikatsbasierenden Authentifizierung"
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
-
- Beiträge: 46
- Registriert: Do 26.03.2020, 15:08
Die IDS/IPS samt Cyber Defence Cloud der Next Gen UTM, ist also nur ein billiger IP-Filter o.OMario hat geschrieben: Der Threat Intelligence Filter im IDS unterbindet nur den Zugriff von IP-Adressen, die auf unserer Blacklist stehen. Wird der Angriff von einer IP-Adresse ausgefuehrt die uns nicht bekannt ist, kann dieser den Zugriff nicht sperren.
Eine OPNsense mit suricata ist hier also mehr "Next Gen" als eine SecurePoint?
Dann wären wir wieder bei der fehlenden Let's Encrypt Implementierung.Mario hat geschrieben: Es gibt noch eine weitere Moeglichkeit: "Zugriff ueber den Reverse-Proxy nur mit zertifikatsbasierenden Authentifizierung"
Erschreckend oder? ^^joser19330 hat geschrieben: Die IDS/IPS samt Cyber Defence Cloud der Next Gen UTM, ist also nur ein billiger IP-Filter o.O
Eine OPNsense mit suricata ist hier also mehr "Next Gen" als eine SecurePoint?
So simpel ist das natuerlich nicht, da die Liste durch unser Content-Filter Team zusammen getragen und aktuell gehalten wird.joser19330 hat geschrieben:Die IDS/IPS samt Cyber Defence Cloud der Next Gen UTM, ist also nur ein billiger IP-Filter o.OMario hat geschrieben: Der Threat Intelligence Filter im IDS unterbindet nur den Zugriff von IP-Adressen, die auf unserer Blacklist stehen. Wird der Angriff von einer IP-Adresse ausgefuehrt die uns nicht bekannt ist, kann dieser den Zugriff nicht sperren.
Eine OPNsense mit suricata ist hier also mehr "Next Gen" als eine SecurePoint?
Suricata ist ein Aufsatz, welcher weitere Funktionalitaeten fuer die Ueberwachung bietet. Im Endeffekt also ein erweitertes Regelwerk, welches auf Pattern reagiert usw. Zudem koennen auch Daten abgegriffen werden. Mit diesem Werkzeug sollte man vorsichtig bezueglich des Datenschutz sein. Eine Performance/ Hardware-Anforderung steht hier auch noch im Raum.
Ein Teil dieser Features ist ueber die Securepoint Firewall realisierbar. Sei es ueber den HTTP-Proxy oder eben entsprechendes Logging usw.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Let's encrypt wird mit der v12 kommen.carsteng hat geschrieben:Dann wären wir wieder bei der fehlenden Let's Encrypt Implementierung.Mario hat geschrieben: Es gibt noch eine weitere Moeglichkeit: "Zugriff ueber den Reverse-Proxy nur mit zertifikatsbasierenden Authentifizierung"
Erschreckend oder? ^^joser19330 hat geschrieben: Die IDS/IPS samt Cyber Defence Cloud der Next Gen UTM, ist also nur ein billiger IP-Filter o.O
Eine OPNsense mit suricata ist hier also mehr "Next Gen" als eine SecurePoint?
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Bei uns wurde kein System angegriffen, welches hinter einem Reverseproxy stand. Ich blocke über den Reverseproxy aber auch alle Anfragen an /ECP usw. das scheint zumindest schlimmeres verhindert zu haben. Auf einem System ohne ReverseProxy, wo nur eine Sophos nach Spam und Viren filterte gab es mehrere Zugriffe über das ProxyLogin wo dann JavaScript Dateien ausgeführt wurden. Es wurden auch unbekannte Webshells eingerichtet(mehrere .aspx Dateien im www root).
Patchen sollte man auf jeden Fall. Von der Cloud Intelligenz hätte ich jetzt aber ehrlich gesagt auch mehr erwartet. So scheint das ja nur eine zentrale IP Blacklist zu sein. Dachte das Teil erkennt dynamisch wenn z.B. auf einmal auffällig viele Zugriffe von bestimmten IPs auf bestimmte Ports bei mehreren Kunden passieren. Aber wie so oft im Leben, was der Vertrieb verspricht, muss die Technik erst mal halten ;-)
Patchen sollte man auf jeden Fall. Von der Cloud Intelligenz hätte ich jetzt aber ehrlich gesagt auch mehr erwartet. So scheint das ja nur eine zentrale IP Blacklist zu sein. Dachte das Teil erkennt dynamisch wenn z.B. auf einmal auffällig viele Zugriffe von bestimmten IPs auf bestimmte Ports bei mehreren Kunden passieren. Aber wie so oft im Leben, was der Vertrieb verspricht, muss die Technik erst mal halten ;-)
-
- Beiträge: 46
- Registriert: Do 26.03.2020, 15:08
Klar, theoretisch ist auch jeder Server der nicht lokal bei einem steht ein "Cloud Server". Somit ist ein Mitarbeiter bei SP der eine Liste pflegt natürlich auch Cloud Intelligenz. Solltet ihr per Script von verschiedenen Quellen eure Blacklists zusammentragen könnt ihr sogar KI dran schreiben. Sorry Securepoint aber das Marketing mag das vielleicht als vollkommen korrekt ansehen aber man erwartet schon etwas mehr hinter den Kulissen als sowas.Mario hat geschrieben:So simpel ist das natuerlich nicht, da die Liste durch unser Content-Filter Team zusammen getragen und aktuell gehalten wird.
Was suricata ist war mir bewusst, deswegen hatte ich das als Beispiel erwähnt. Es wäre doch schön gewesen, wenn ihr den js payload über eure "Cloud Intelligenz" hättet weg blocken können bei allen Kunden. Damit hättet ihr effektiv was für die Sicherheit getan aber paar IP's zu blocken ist da nur ein tropfen auf den heißen Stein.
Kann ich so bestätigen. Unser Exchange hängt ebenfalls hinter einem Reverse Proxy wo auch kein ECP geht und dieser wurde nicht attackiert.MB1982 hat geschrieben: Bei uns wurde kein System angegriffen, welches hinter einem Reverseproxy stand. Ich blocke über den Reverseproxy aber auch alle Anfragen an /ECP usw. das scheint zumindest schlimmeres verhindert zu haben. Auf einem System ohne ReverseProxy, wo nur eine Sophos nach Spam und Viren filterte gab es mehrere Zugriffe über das ProxyLogin wo dann JavaScript Dateien ausgeführt wurden. Es wurden auch unbekannte Webshells eingerichtet(mehrere .aspx Dateien im www root).
Patchen sollte man auf jeden Fall. Von der Cloud Intelligenz hätte ich jetzt aber ehrlich gesagt auch mehr erwartet. So scheint das ja nur eine zentrale IP Blacklist zu sein. Dachte das Teil erkennt dynamisch wenn z.B. auf einmal auffällig viele Zugriffe von bestimmten IPs auf bestimmte Ports bei mehreren Kunden passieren. Aber wie so oft im Leben, was der Vertrieb verspricht, muss die Technik erst mal halten ;-)
Die Intelligenz unseres Contentfilter-Teams ist sicher nicht kuenstlich. Und natuerlich bedienen wir uns auch weiterer Hilfsmittel. Das Zusammentragen von vorhandenen Listen ist eine davon.joser19330 hat geschrieben:Klar, theoretisch ist auch jeder Server der nicht lokal bei einem steht ein "Cloud Server". Somit ist ein Mitarbeiter bei SP der eine Liste pflegt natürlich auch Cloud Intelligenz. Solltet ihr per Script von verschiedenen Quellen eure Blacklists zusammentragen könnt ihr sogar KI dran schreiben. Sorry Securepoint aber das Marketing mag das vielleicht als vollkommen korrekt ansehen aber man erwartet schon etwas mehr hinter den Kulissen als sowas.Mario hat geschrieben:So simpel ist das natuerlich nicht, da die Liste durch unser Content-Filter Team zusammen getragen und aktuell gehalten wird.
Was suricata ist war mir bewusst, deswegen hatte ich das als Beispiel erwähnt. Es wäre doch schön gewesen, wenn ihr den js payload über eure "Cloud Intelligenz" hättet weg blocken können bei allen Kunden. Damit hättet ihr effektiv was für die Sicherheit getan aber paar IP's zu blocken ist da nur ein tropfen auf den heißen Stein.
Kann ich so bestätigen. Unser Exchange hängt ebenfalls hinter einem Reverse Proxy wo auch kein ECP geht und dieser wurde nicht attackiert.MB1982 hat geschrieben: Bei uns wurde kein System angegriffen, welches hinter einem Reverseproxy stand. Ich blocke über den Reverseproxy aber auch alle Anfragen an /ECP usw. das scheint zumindest schlimmeres verhindert zu haben. Auf einem System ohne ReverseProxy, wo nur eine Sophos nach Spam und Viren filterte gab es mehrere Zugriffe über das ProxyLogin wo dann JavaScript Dateien ausgeführt wurden. Es wurden auch unbekannte Webshells eingerichtet(mehrere .aspx Dateien im www root).
Patchen sollte man auf jeden Fall. Von der Cloud Intelligenz hätte ich jetzt aber ehrlich gesagt auch mehr erwartet. So scheint das ja nur eine zentrale IP Blacklist zu sein. Dachte das Teil erkennt dynamisch wenn z.B. auf einmal auffällig viele Zugriffe von bestimmten IPs auf bestimmte Ports bei mehreren Kunden passieren. Aber wie so oft im Leben, was der Vertrieb verspricht, muss die Technik erst mal halten ;-)
Um den Payload zu blockieren muss dieser ja erst einmal bekannt sein/ entdeckt werden. Das macht suricata auch nicht einfach so von alleine. Wild IP-Adressen zu blockieren hilft hier auch nicht wirklich weiter, denn der Angriff kann praktisch von ueberall kommen, wenn der Reverse Proxy auf das gesamte Internet horcht.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
-
- Beiträge: 46
- Registriert: Do 26.03.2020, 15:08
Das mit der KI war offensichtlich ein scherz, hätte mich auch gewundert, wenn sowas bei euch zum Einsatz kommt :PMario hat geschrieben:Die Intelligenz unseres Contentfilter-Teams ist sicher nicht kuenstlich. Und natuerlich bedienen wir uns auch weiterer Hilfsmittel. Das Zusammentragen von vorhandenen Listen ist eine davon.joser19330 hat geschrieben:Klar, theoretisch ist auch jeder Server der nicht lokal bei einem steht ein "Cloud Server". Somit ist ein Mitarbeiter bei SP der eine Liste pflegt natürlich auch Cloud Intelligenz. Solltet ihr per Script von verschiedenen Quellen eure Blacklists zusammentragen könnt ihr sogar KI dran schreiben. Sorry Securepoint aber das Marketing mag das vielleicht als vollkommen korrekt ansehen aber man erwartet schon etwas mehr hinter den Kulissen als sowas.Mario hat geschrieben:So simpel ist das natuerlich nicht, da die Liste durch unser Content-Filter Team zusammen getragen und aktuell gehalten wird.
Was suricata ist war mir bewusst, deswegen hatte ich das als Beispiel erwähnt. Es wäre doch schön gewesen, wenn ihr den js payload über eure "Cloud Intelligenz" hättet weg blocken können bei allen Kunden. Damit hättet ihr effektiv was für die Sicherheit getan aber paar IP's zu blocken ist da nur ein tropfen auf den heißen Stein.
Kann ich so bestätigen. Unser Exchange hängt ebenfalls hinter einem Reverse Proxy wo auch kein ECP geht und dieser wurde nicht attackiert.MB1982 hat geschrieben: Bei uns wurde kein System angegriffen, welches hinter einem Reverseproxy stand. Ich blocke über den Reverseproxy aber auch alle Anfragen an /ECP usw. das scheint zumindest schlimmeres verhindert zu haben. Auf einem System ohne ReverseProxy, wo nur eine Sophos nach Spam und Viren filterte gab es mehrere Zugriffe über das ProxyLogin wo dann JavaScript Dateien ausgeführt wurden. Es wurden auch unbekannte Webshells eingerichtet(mehrere .aspx Dateien im www root).
Patchen sollte man auf jeden Fall. Von der Cloud Intelligenz hätte ich jetzt aber ehrlich gesagt auch mehr erwartet. So scheint das ja nur eine zentrale IP Blacklist zu sein. Dachte das Teil erkennt dynamisch wenn z.B. auf einmal auffällig viele Zugriffe von bestimmten IPs auf bestimmte Ports bei mehreren Kunden passieren. Aber wie so oft im Leben, was der Vertrieb verspricht, muss die Technik erst mal halten ;-)
Um den Payload zu blockieren muss dieser ja erst einmal bekannt sein/ entdeckt werden. Das macht suricata auch nicht einfach so von alleine. Wild IP-Adressen zu blockieren hilft hier auch nicht wirklich weiter, denn der Angriff kann praktisch von ueberall kommen, wenn der Reverse Proxy auf das gesamte Internet horcht.
Mal im Ernst der Payload oder nach was zu suchen ist, ist öffentlich im Netz zu finden sogar samt POC Exploit und check Script. Klar ist das nicht immer so aber bei 99% der "Attacken" ist der Ablauf früher oder später bekannt und könnte erkannt werden. Es ging mir nie um von alleine oder sowas, sondern das man sowas erkennen könnte und somit zumindest eine Hand voll Kunden schützen könnte (zumindest bei so großen Sachen wie die Exchange Lücke) und man sich eher sowas von einer Intelligenten Cyber Cloud vorstellt als ein IP Filter.
Im Prinzip gebe ich Ihnen da auch Recht. Wenn der Reverse-Proxy da auf Viren scannen wuerde/ koennte waere das schon mal ein Schritt. Ich denke jedoch nicht, das es in dem Moment geholfen haette. Bis das Pattern vom AV integriert ist dauert es ja auch eine Weile. Der Reverse-Proxy ist aber, soweit ich das weiß, nicht fuer diesen Zweck integriert. Er soll Webserver verfuegbar machen/ Lastenausgleich ermoeglichen, ohne das direkt per DESTNAT-Regel mit den Servern kommuniziert wird. Idealerweise stehen die Server dann auch in einem eigenen Netz ohne ANY-Regel zu dem Rest der Mannschaft.
Besser waere es gewesen, von Anfang an den Exchange hinter einem VPN zu betreiben, oder den Reverse-Proxy mit der Anforderung auf ein Client-Zertifkat zu verwenden. Beides haette ausreichend geschuetzt. Und zwar ohne ein entsprechendes Pattern.
Wer den Server per DESTNAT-Regel nach Außen geschoben hat kann auch nicht durch einen Reverse-Proxy mit fiktiven AV geschuetzt werden. Da hilft alles nichts. Maximal eine Schulung bei uns oder eben so ein Vorfall, der demjenigen vor Augen fuehrt, das dies eine sehr schlechte Idee gewesen ist.
Das IDS/ IPS allgemein zu verbessern ist auf jeden Fall auch eine wichtige Sache. Potential besteht hier definitiv. Gerne auch in unserer Wunschbox Ideen hinterlassen!
Ich wuensche ein schoenes Wochenende!
Besser waere es gewesen, von Anfang an den Exchange hinter einem VPN zu betreiben, oder den Reverse-Proxy mit der Anforderung auf ein Client-Zertifkat zu verwenden. Beides haette ausreichend geschuetzt. Und zwar ohne ein entsprechendes Pattern.
Wer den Server per DESTNAT-Regel nach Außen geschoben hat kann auch nicht durch einen Reverse-Proxy mit fiktiven AV geschuetzt werden. Da hilft alles nichts. Maximal eine Schulung bei uns oder eben so ein Vorfall, der demjenigen vor Augen fuehrt, das dies eine sehr schlechte Idee gewesen ist.
Das IDS/ IPS allgemein zu verbessern ist auf jeden Fall auch eine wichtige Sache. Potential besteht hier definitiv. Gerne auch in unserer Wunschbox Ideen hinterlassen!
Ich wuensche ein schoenes Wochenende!
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Edit!
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Das alles sind nun ein paar Mitarbeiter die eine Blacklist pflegen? Oder was sollen die Echtzeit Daten sein? Die Antivirus Definitionen? Bin ehrlich gesagt ein wenig erschrocken und entsetzt. Ich meine die Kollegen von Sophos trommeln ja ähnlich. Anscheinend müsen für den Verkauf die Buzzwords Cloud Cyber KI Learning Managed enthalten sein. Unter Schwarmintelligenz würde ich z.B. schon verstehen, dass die SP UTMs gemeinsam feststellen wenn von einer bestimmten IP, bestimmte Ports und ReverseProxy Adressen in kurzer Zeit angesprochen werden.NextGen Unified Threat Management Firewalls
Schwarmintelligenz, Data-Mining und Machine Learning machen Securepoint UTM-Firewalls zu einer der effektivsten und effizientesten Lösungen für Ihre IT-Sicherheit. Securepoints Cyber Defence Cloud versorgt die UTM-Firewall kontinuierlich mit Echtzeit-Daten zu aktuellen Bedrohungen und Angriffen und sorgt so für zuverlässige Netzwerksicherheit.
-
- Beiträge: 30
- Registriert: Mo 19.01.2015, 09:25
Das sehe ich leider sehr ähnlich, was die Marketing-Abteilung schreibt klingt leider sehr viel besser als es in Wirklichkeit ist. Und die Wunschbox wird leider auch sehr schnell aus Ausrede benutzt, man sollte es dort posten. Wenn man sich aber anschaut, dass dort seit 2 Jahren Geoblock gefordert wird, auch nicht gerade von wenig Personen und es immer noch nicht implementiert ist stellt sich die Frage, ob wirklich auf die Wünsche eingegangen wird oder nur wenn es gerade auch passt.MB1982 hat geschrieben:Das alles sind nun ein paar Mitarbeiter die eine Blacklist pflegen? Oder was sollen die Echtzeit Daten sein? Die Antivirus Definitionen? Bin ehrlich gesagt ein wenig erschrocken und entsetzt. Ich meine die Kollegen von Sophos trommeln ja ähnlich. Anscheinend müsen für den Verkauf die Buzzwords Cloud Cyber KI Learning Managed enthalten sein. Unter Schwarmintelligenz würde ich z.B. schon verstehen, dass die SP UTMs gemeinsam feststellen wenn von einer bestimmten IP, bestimmte Ports und ReverseProxy Adressen in kurzer Zeit angesprochen werden.NextGen Unified Threat Management Firewalls
Schwarmintelligenz, Data-Mining und Machine Learning machen Securepoint UTM-Firewalls zu einer der effektivsten und effizientesten Lösungen für Ihre IT-Sicherheit. Securepoints Cyber Defence Cloud versorgt die UTM-Firewall kontinuierlich mit Echtzeit-Daten zu aktuellen Bedrohungen und Angriffen und sorgt so für zuverlässige Netzwerksicherheit.
Hallo,MB1982 hat geschrieben: Bei uns wurde kein System angegriffen, welches hinter einem Reverseproxy stand. Ich blocke über den Reverseproxy aber auch alle Anfragen an /ECP usw. das scheint zumindest schlimmeres verhindert zu haben. Auf einem System ohne ReverseProxy, wo nur eine Sophos nach Spam und Viren filterte gab es mehrere Zugriffe über das ProxyLogin wo dann JavaScript Dateien ausgeführt wurden. Es wurden auch unbekannte Webshells eingerichtet(mehrere .aspx Dateien im www root).
Patchen sollte man auf jeden Fall. Von der Cloud Intelligenz hätte ich jetzt aber ehrlich gesagt auch mehr erwartet. So scheint das ja nur eine zentrale IP Blacklist zu sein. Dachte das Teil erkennt dynamisch wenn z.B. auf einmal auffällig viele Zugriffe von bestimmten IPs auf bestimmte Ports bei mehreren Kunden passieren. Aber wie so oft im Leben, was der Vertrieb verspricht, muss die Technik erst mal halten ;-)
das sperren von /ECP hat bei allen meinen Exchangeservern eine Infektion verhindert! Bei anderen Servern hinter einem RP (mit erreichbarem /ECP wurden Webshells eingerichtet.
lgo