Meldungen vom IDS

StefanZach · Beitrag von **StefanZach** » Di 05.06.2007, 17:27

Hallo,

vielleicht kann mir jemand weiterhelfen, da ich doch eher anwendungslastisch bin und damit nichts so recht anfangen kann.

Ich bekommen an meinem Admin-PC hin und wieder vom Logserver der Securepoint folgende Meldungen (als Popup)

Beispiel:
Securepoint IDS Notification! Jun 5 09:51:46 IDS Server[1382]: [1

8] BACKDOOR typot trojan traffic [Classification: A Network Trojan was detected] [Priority: 1]: {TCP} 61.84.61.231:43631 -> 212.202.xxx.xxx:5900 Please check the log for additional messages.

Im Logfile steht jedoch auch nicht viel mehr als diese Meldung.
Was heißt das nun? Findet hier nur ein Angriff (bzw. Versuch) statt oder kommt es zu ungewolltem Eindringen. Ich gehe mal nur vom Angriff aus, andernfalls wäre die Firewall recht sinnloss.
Die IP 212.202.xxx.xxx ist die externe IP unserer Firewall. 5900 ist der TCP-Port von VNC. Es läuft jedoch nichts mit VNC (auch nicht als Proxy oder Gateway).

Also muss ich mir hier Gedanken machen?

Vielleicht noch eine Bitte. Solche Meldungen sollte man im ersten Step etwas "user"-freundlicher gestalten. Das macht sich aus vertrieblicher Sicht besser, beim Kunden.

mfg
Stefan Zach

M Goeres · Beitrag von **M Goeres** » Di 05.06.2007, 22:08

Hallo,
das ist der Fluch und der Segen eines IDS.

1. Ja es ist ein Angriff, denn das ist ein Versuch auf 5900 (VNC) einen Connect zu testen..von irgendeinem Botnetz das sich erweitern will.

2. Ist dieser Dienst aktiviert?
Wenn 2 = Nein, dann wuerde ich mich entspannt mit wichtigen Dingen beschaeftigen, denn wer soll auf die Anfrage antworten (koennen)?

Wenn 2 = Ja...warum? Denn VNC sollte nicht fuer ANY erreichbar sein, bzw. direkt in s LAN durchgereicht werden (siehe VNC-Proxy).

Und nun 3. Warum VNC? - Selbst PPTP ist sicherer als per VNC den Server eines Kunden aus der ferne direkt zu administrieren. Ist zwar ein alter VPN-Typ aber sicherer als die Standard(Free)-Variante des VNC und selbst mit W2K locker zu machen.

Wenn ich falsch liege....korrigiert mich bitte, aber selbst der Pri-MX wird hier "bei mir privat" oft als PORTSWEEP angemosert, weil zuviel durchrauscht...IDS = Alarm den man interpretieren muss, oder?

Gruss

M.Goeres

M Goeres · Beitrag von **M Goeres** » Di 05.06.2007, 22:47

Noch ein kleiner Nachtrag zum vertrieblichen:

Technik kann und sollte technischer Vertrieb bei den richtigen Leuten und mit den richtigen Worten sein, aber reiner Vertrieb kann keine Technik sein...ich fange auch nicht an mit Margen zu jonglieren, wenn ich einen Server installiere.

Bei einem sauberen IDS kann es kein Gruen und Rot geben, dass jeder versteht und die, die es versuchen, wie das grosse "gelbe S" mit den Internet Security-Gehampel schaffen mehr Support-Faelle, als das Sicherheit geschaffen wird.

Intrusion Detection System = koennte, aber muss nicht...ich mache Dich (den Admin aus der Technik) nur aufmerksam das da was in Deinem LAN oder den Vorkehrungen vor Problemen kraenkeln koennte....sieh es, interpretier es und handel.

Gruss

M.Goeres