Firma Prüft Sicherheit im Netzwerk

Hallo,

ich administriere ein Netzerk mit ca 30 Rechnern.

1 Windows 2000 IIS Server
1 Linux IMAP CYRUS / Webserver Server
1 ADS Server

und 27 Clients.

192.168.50.0/24

Ich setzte für den Internetzugang eine IPCOP Firewall ein.

1.4.11

Das ist der einzigste Zugang zum Netzwerk.

Dieses Netzwerk ist wiederum durch eine feste IP Adresse mit einem Universitäts Netzwerk verbunden.

Es muss auf einen Terminalserver Windows 2000 zugegriffen werden,
desweiteren noch auf einen LDAP IMAP.

Also machte ich auf der IPCOP Firewall Weiterleitungen ins interne Netzwerk.

Die rote Schnittstelle hat eine feste IP-Adresse. " Wie gesagt Uninetzwerk"

Eine Firma wurde beauftragt das Netzwerk auf Fehler bzw. Sicherheit zu überprüfen,
da ich mich mit den Thema noch nicht intensiv beschäftigt habe, meine Frage an euch.

Wie kann ich bei der Firewall feststellen, welche Angriffsmöglichkeiten es gibt um in das Interne Netzwerk zu kommen?

Ich denke ein Admin dessen Hauptaufgabe das ist könnte mir evtl. einen Tipp geben.

Vorneweg weiss ich, dass man mit den richtigen Tools und viel Geduld in einige Netzwerke kommt.

Wenn noch Informationen gebraucht werden, bitte schreiben.

Stehen die Server, auf die von aussen zugegriffen werden soll in einer DMZ (gelbe Schnittstelle) und ist das Netz physikalisch getrennt von Deinem internen Netz (grüne Schnittstelle)?

Hallo,

nein sind sie nicht, es gibt nur zwei Schnittstellen eine rote und eine grüne.

Da ich aber in einer Universität arbeite gibt es wohl noch andere Firewalls im ganzen Netzwerk.

Also

-- Internes Netzwerk --- Firewall --- Universitäts Netzwerk

Und dazwichen sind wiederum einige CiscoRouter geschaltet.

Das hat zwar mit Security zu tun aber ist eine netzwerkaffine Frage deshalb schiebe ich das mal ins Netzwerkforum ;-)

Das heisst also, dass man deinen Apache hacken kann, einen rootkit installiert, und sich dann mittels dieser Maschine in Deinem LAN monatelang völlig unbemerkt austoben.

Ich würde jetzt eigentlich gerne Thread-Ping-Pong spielen und das wieder nach Security zurückschieben weil's da eigentlich schon hingehört.

Firewalls geben nur einen begrenzten Schutz. Irgendwas müssen die ja durchlassen - sonst könnte man auch den Stecker ziehen.

Wenn jetzt der Dienst für den Daten durchgelassen werden einen Programmierfehler beinhaltet (Stichwort: Buffer Overflow) den ein Hacker/Cracker ausnutzen kann dann kann er unter Umständen daß System übernehmen ohne daß die Firewall da eine Chance hat das überhaupt zu bemerken oder zu verhindern.

Deswegen packt man Serversysteme auf die ein Zugriff 'von außen' möglich ist üblicherweise in eine sogenannte DMZ. Und die Firewall wird so konfiguriert daß aus der DMZ heraus kein Zugriff ins interne Netz möglich ist.

Ein IDS (Intrusion Detection System) kann verwendet werden um 'ungewöhnlichen' Netzwerkverkehr zu erkennen und dann zu alarmieren. Dazu muß man das IDS natürlich erst einmal so konfigurieren daß es weiß was 'normaler' Netzwerkverkehr ist.

Egal was man tut - es gibt keinen 100%igen Schutz.