Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 38 subscribers
  • Views 627 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Diverse Sicherheitsfragen ASG 7.306

canhaber
Hallo,

Ich arbeite seit kurzem mit der ASG 7.306 und mir ist beim Daily report etwas aufgefallen, was mich etwas stutzig macht.

Einerseits bekomme ich täglich mehrere E-Mails mit der Warnung dass es zu mehrerern (ca. 400 am Tag) Failed SSH Logins von diversen IPs gekommen ist. DIese Logins werden mit teilweise obskuren Logins durchgeführt:

Failed SSH login attempt from 216.146.46.74 at 2009:03:10-07:08:35 with username administrar
-- 
System Uptime      : 5 days 9 hours 48 minutes
System Load        : 0.00
System Version     : Astaro Security Gateway Software 7.306

Please refer to the manual for detailed instructions.

Handelt es sich dabei um Angriffe? Soll ich die SSh Funktionalität deaktivieren?

Weiters habe ich im Report unter Network Usage bei den Top 10 Servern große Datenmengen gesehen. Diese Server wurden aber von den Mitarbeitern im Netzwerk nicht adressiert:
84.53.182.154 n/a 420 961 399.0 MB 8.99 %
84.53.182.152 n/a 412 248 389.8 MB 8.78 %
84.53.182.155 n/a 307 925 292.6 MB 6.59 %
84.53.182.139 n/a 301 783 285.9 MB 6.44 %
84.53.182.171 n/a 270 439 255.9 MB 5.76 %
84.53.182.168 n/a 265 811 248.0 MB 5.59 %
84.53.182.193 n/a 236 488 225.3 MB 5.07 %
84.53.182.202 n/a 236 459 224.6 MB 5.06 %
84.53.182.185 n/a 228 231 217.1 MB 4.89 %

Whois ergibt einen Server in den USA...was soll ich davon halten?

Kann mir vllt jemand weiterhelfen?

Wäre es eigentlich möglich einen Daily Report zu posten oder jemanden der Erfahrung damit hat wertet dies aus?

Ich will nämlich nicht nach einiger Zeit draufkommen, dass diverse Hintertüren die ganze Zeit offen sind und jemand ständig Firmeninterne Daten 
kopiert...

Danke vielmals für Eure Hilfe!

Lg Can


This thread was automatically locked due to age.
  • 0
    hallo,

    Prinzipiell sind die ssh versuche schon "Angriffe". Ein Bot versucht mit Standard Benutzernamen und Passwörtern bei dir einzudringen. Nachdem man eh nicht allzuviel auf der Astaro per SSH machen kann würds ich aufjedenfall deaktivieren - dann hast da schonmal ruhe.

    so: die ips scheinen alle zu akamai zu gehören - Die bieten scheinbar Unternehmenssoftrware an. Stichwort SaaS Software as a Service ? Wikipedia

    kann es sein dass ihr von der Firma Software nutzt? denn dann wäre natürlich der Traffic klar zu erklären, wenn euer CRM oder ähnliches bei denen auf diesen Servern liegt :-)
  • 0 in reply to x-tec
    Hi, 

    noch ein kleines Add-On.
    Akamai ist der groesste Anbiter einer CDN loesung. Das steht fuer Content Distribution Network. Sprich die verteilung von SOftware und Updates.
    Microsoft sowie auch Apple nutzen diesen Service um ihre updates zu verteilen. 

    Sprich wenn ihr Microsoft oder Apple System in eurem Netzwerk habt und diese eingestellt sind automatisch updates herunterzuladen, dann koennte der Traffic davon kommen. 

    Um das zu verifizieren kannst du Dir auch in das Accounting Reporting schauen, dort kannst du sehen welche Interne IP adresse mit diesen Servers kommuniziert hat. 

    Gruss GErt
Unfiltered HTML