Re: Firewall noch sicher?

Michael Kuhn wrote:
ich hab mit einem kleinem Problem zu kämpfen und weiss nicht wie das
prüfen soll.
Wir habe hier noch eine Symantec Gateway Security 320 Appliance die
nicht mehr weiterentwickelt wird von Symantec wohl. Jedenfalls gab es
seit einem Jahr keine Updates mehr.

Was sägt der Hersteller dazu? Ist sie nur so gut gemacht (*hust*
Symantec ...), dass man keine braucht, oder ist der Support eingestellt?


Wir verzeichnen in den Logfile mehrere Angriffe die geblockt werden.

Aha? Welcher Art?


Was ich nicht sehen kann ob evtl. doch die Box geknackt worden ist
oder nicht.

Zeigt sie den gewünschten Regelsatz an? Kann man sie auf Werkszustand
zurücksetzen (inkl. Firmware aus sicherer Quelle aufspielen) und den
geicherten und überprüften Regelsatz wieder einspielen und verhält sie
sich dann noch so wie vorher?


Was mich misstrauisch macht das auf einem Windows Server von uns in den
Securtiylogfiles Warnungen kommen das versucht wurde mit einem falschen
Benutzername sich einzuloggen. Wie z.B. computername, webmaster usw usw.

Das Logfile wird doch wohl hergeben, woher diese Versuche kommen? Vom
Gateway oder ist es ein interner Angreifer (verseuchter anderer Eimer) ?


Bei der Firewall selben sind nicht viele Ports offen, nur SMTP und HTTP.

INBOUND? Wer servt diese beiden Dienste?

Für jeden Dienst gibt es einen eigenen Server.

Und die sind ok? Rudimentär auf Rootkits etc überprüft? Netztopologie?
Sind die in einer DMZ? Werden Verbindungen von dort ins interne Netz
unterdrückt?


Desweitern sind noch VPN Tunnel evtl. aktiviert auf der Box, aber
nicht immer aktiv.

Auch da müßtest Du an der Herkunft der Logon-Versuche sehen, ob es aus
dem VPN-Netz sein kann. Und an der zeitliche Korrellation.


Hat jemand eine Idee wie man überprüfen kann ob ein erfolgreicher
Angriff durch die Box stattgefunden hat bzw. stattfinden kann.

Ideen hab ich. Du darfst Sie nur neuerdings nicht mehr in die Tat
umsetzen - denn dazu brauchst Du IDR Werkzeuge, die man auch zur
Begehung einer Tat nach §202a/b verwenden könnte und damit je nach
Laune des betreffenden Richters auch den Zwecks haben, solche Taten zu
begehen.

Also leb einfach damit, dass die Kiste evtl. geknackt ist und freue Dich,
dass der Betreffende jetzt nicht nur deswegen, sondern auch wegen Besitz
der dazu verwendbaren Werkzeuge verknackt wird. Sollte er sich in D mal
erwischen lassen.

Oder kauf' ne neue Kiste, stell irgendwas ein, aber überprüf' bloß
nicht, ob sie das auch tut. *grummel*


CU, Andy
.

Relevant Pages

  • Re: Network settings conflict
    ... We are attempting to use the proprietary VPN software that comes with the ... Symantec 360r gateway. ... all i do is hit OK and look at the Symantec log file and I can see that I ... I googled a MS Knowledge base article that showed that veritas can disable ...
    (microsoft.public.windows.server.sbs)
  • Symantec spam filtering
    ... We currently use several products within the Symantec Enterprise Edition package. ... The DNS MX records send email to the gateway product, and then the gateway product relays ... the gateway product has blocked 1901 emails via the heuristics spam engine. ...
    (microsoft.public.exchange2000.admin)
  • Re: Firewall noch sicher?
    ... Wir habe hier noch eine Symantec Gateway Security 320 Appliance die ... In der Regel kann man, Rechner sauber konfiguriert, Firewalls aller Art ... Andreas (PGP Key available on public key servers) ...
    (de.comp.security.firewall)
  • Re: Sybari or Trendmicro?
    ... I don't know about Symantec Mail Security for Exchange. ... Symantec AV for SMTP ... gateway is a decent product, ... already using Symantec AV product to protect our Exchange server, ...
    (microsoft.public.exchange.admin)
  • Re: email not coming in from specific domain
    ... I had that particular domain whitelisted in both the Symantec Mail Securty for MS Exchange and the ... SMTP for Gateways. ... for sure how many emails they have attempted to send. ... ran some SMTP commands against the Gateway machine, ...
    (microsoft.public.exchange2000.admin)