Hallo zusammen,
die UTM hat sich insbesondere in den letzten 3 Monaten bei mehreren meiner Kunden als wahrer Heilsbringer herausgestellt. Die UTM Lösung wird jetzt generell als TMG - Replacement bei Neukunden eingesetzt, und tut das, was sie soll sehr gut. Mit Hilfe von SNORT sind einige Einbrüche gut aufgedeckt worden. Allerdings bin ich noch am Studieren...
Die prinzipiell schonmal recht gute Übersicht bietet mir zwar rudimentäre Analysemöglichkeiten, jedoch schlägt SNORT auch nicht in jedem Fall an - Beispiel: Bei einem Kunden stand ein Server unter Beschuss einer US-IP, welche sich zunächst mit einem Portscans über mehrere Tage verteilt versucht hat, und anschließend per mir noch unbekannten RDP-Exploit in einen aktuellen 2008R2 Windows-Terminalserver eingedrungen ist (Kennwortschwächen ausgeschlossen nach Sichtung der noch vollständigen Windows Protokolle, NLA wurde nicht erzwungen, Server ist derzeit noch in der Forensik).
Es war in der UTM-Protokollierung sehr mühsam für mich, die Zusammenhänge und den Hergang des Angriffs zu entdecken. Aufgeflogen ist er im SNORT sofort ausgehend, nachdem er sich auf betreffender Hütte daneben benommen hatte.
Ein Script-Kiddie geht m.E. bei den ersten Versuchen zwar zunächst auch mit klassischem Portscan vor, in sofern ist die Email-Benachrichtigung bei diesen Dingen recht hilfreich, doch würde ich mir hier mehr Automatismus wünschen, d.h. z.B. eine (fiktive) Regel, welche die Quell-IP bei solchen Ereignissen in eine Netzwerkhostgruppe packen könnte. Die False-Positives kann ich ja gut erkennen und auch in die manuell geänderte Liste unter "Erweitert" packen.
Da die UTM für mich noch recht neu ist, ist für mich interessant, wie ihr mit Firewallereignissen, Meldungen von Snort und den Übersichten umgeht. Vielleicht habe ich meinerseits noch deutliches Verbesserungspotential.
Danke für Eure Hilfe!
This thread was automatically locked due to age.