#1
Hallo BIn neu hier und hoffe in Eurer Community eine letzte Hilfe zu finden. Habe ein Rätsel, bei der es ums Auswerten von Firewall und DNS Logs geht.
Angabe sind die die Regeln der internen und externen Firewall (als NAT), es wurde ein Systemangriff durchgeführt. Man soll nun rausfinden was passiert ist (hab ich schon) bzw. wie man die Firewall Regeln besser definieren kann.
Der Angriff wurde durch Pings, danach Portscans durchgeführt. Der DNS Server (BIND 8.2.2) wurde mittels Buffer Overload gehackt, Back Orifice installiert.
Mein Problem ist, wie ich die Regeln besser definieren kann. OK, auf dem HTTP und DNS Server konnte man von extern über alle Ports, mit allen Protokollen zugreifen. -> Ok, nur die wichtigsten aufmachen. Hier schon mein erstes Problem: Benötige ich für einen HTTP Server nur Port 80, für einen DNS nur Port 53 ?
Löst mein Problem auch nicht, bzw. hätte den Angriff nciht verhindert, da der Angrifff m.M. nach über Port 53 stattgefunden hat -> den kann ich aber nicht zumachen.
Hätte jemand vielleicht 20 Minuten (ich bin sicher ihr braucht nicht länger für das Rätsel) und kann mir einen Tipp für die Regeln geben ?
Falls nicht, einen Versuch wars wert
lG Phoebe
Dieser Beitrag wurde am 20.12.2004 um 20:49 Uhr von phoebe77 editiert.
Um auf dieses Thema zu ANTWORTEN bitte erst » hier kostenlos registrieren!!
BIn neu hier und hoffe in Eurer Community eine letzte Hilfe zu finden.
Habe ein Rätsel, bei der es ums Auswerten von Firewall und DNS Logs geht.
Angabe sind die die Regeln der internen und externen Firewall (als NAT), es wurde ein Systemangriff durchgeführt.
Man soll nun rausfinden was passiert ist (hab ich schon) bzw. wie man die Firewall Regeln besser definieren kann.
Der Angriff wurde durch Pings, danach Portscans durchgeführt.
Der DNS Server (BIND 8.2.2) wurde mittels Buffer Overload gehackt, Back Orifice installiert.
Mein Problem ist, wie ich die Regeln besser definieren kann.
OK, auf dem HTTP und DNS Server konnte man von extern über alle Ports, mit allen Protokollen zugreifen. -> Ok, nur die wichtigsten aufmachen.
Hier schon mein erstes Problem:
Benötige ich für einen HTTP Server nur Port 80, für einen DNS nur Port 53 ?
Löst mein Problem auch nicht, bzw. hätte den Angriff nciht verhindert, da der Angrifff m.M. nach über Port 53 stattgefunden hat -> den kann ich aber nicht zumachen.
Hätte jemand vielleicht 20 Minuten (ich bin sicher ihr braucht nicht länger für das Rätsel) und kann mir einen Tipp für die Regeln geben ?
Falls nicht, einen Versuch wars wert
lG
Phoebe