Advanced Threat Protection

Hallo Community,

bei mir hat die Advanced Threat Protection diese Meldung ausgegeben:

  Benutzer/Host Bedrohungsname Ziel Ereignisse Ursprung  
1 xxx.xxx.xxx.xxx C2/Generic-A 185.7.214.104 1 Iptables C2/Generic-A","origin":"Iptables","sum_events_str":"1","cnt_srcip_int":"1","threaturl":""threatname":"C2/Generic-A","cnt_srcip_str":"1","cnt_srcip_per":"100.00","icon_exception":{"icon":"core/img/icons/plus.png","name":"exception","title":"Eine">www.sophos.com/.../plus.png","name":"exception","title":"Eine Ausnahme erstellen"},"first_seen":"2022-08-07 16:22:42","idx":1,"sum_events_per":"100.00"}, update_name: "aptp_exception"});' id="ELEMENT_exception_1">

Dieses Event war einmalig gestern, Sonntag 2022-08-07 16:22:42

Nun bin ich natürlich auf der Suche, was hier passiert ist. Quelle ist unser Mailserver. Der Virenscan läuft noch, hat aber bisher keinen Fund gemeldet.

Jetzt hab ich im Firewall-Log gesehen, dass diese Seite auch vorher schon aufgerufen und blockiert wurde, ohne dass eine Meldung kam.

Im Gegensatz zur Meldung der Advanced Threat Protection steht im Log die 185.7.214.104 als Source:

2022:08:06-03:30:04 mail-2 ulogd[23255]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62002" initf="eth1" srcmac="f8:75:88:8c:bb:7a" dstmac="XX:XX:XX:XX:XX:XX" srcip="185.7.214.104" dstip="xxx.xxx.xxx.xxx" proto="6" length="60" tos="0x00" prec="0x00" ttl="58" srcport="37028" dstport="443" tcpflags="SYN"

Das wiederum würde bedeuten, dass der Angriff von außen kam und blockert wurde.

Wie würdet ihr das deuten?

Parents
  • Ich werde als ersten Schritt versuchen eine DMZ zu bauen und dann den Mailserver in diese zu verschieben.

    Wenn ihr sagt, ein DNAT ist unsicher, was würdet ihr denn als Alternative sehen?

  • DNAT ist nicht per se unsicher aber du machst damit halt Löcher in eine Firewall um meist von extern nach intern durchzugreifen. Vor allem in dem klassischen Setup, Mailserver intern aber mit DNAT alles von extern erreichbar. Das Ding steht damit praktisch ungeschützt im Internet, wenn das dann noch jemand hackt (weil Updates brauchen wir eh nicht, steht ja "hinter" Firewall), dann hast einen Intruder im Netz.

    Wenn du wirklich einen Mailserver selbst betrieben willst, dann das Ding in eine DMZ, immer sauber alle Updates einspielen und ordentlich Backupen. Eventuell auch die Webserver Protection der Firewall für Webzugriff andenken. Alternativ den Zugang der Clients zum Mailserver nur per VPN erlauben und SMTP komplett über die Mail Protection der Firewall abhandelt.

    bye Josef

    BERGMANN engineering & consulting GmbH, Wien/Austria

Reply
  • DNAT ist nicht per se unsicher aber du machst damit halt Löcher in eine Firewall um meist von extern nach intern durchzugreifen. Vor allem in dem klassischen Setup, Mailserver intern aber mit DNAT alles von extern erreichbar. Das Ding steht damit praktisch ungeschützt im Internet, wenn das dann noch jemand hackt (weil Updates brauchen wir eh nicht, steht ja "hinter" Firewall), dann hast einen Intruder im Netz.

    Wenn du wirklich einen Mailserver selbst betrieben willst, dann das Ding in eine DMZ, immer sauber alle Updates einspielen und ordentlich Backupen. Eventuell auch die Webserver Protection der Firewall für Webzugriff andenken. Alternativ den Zugang der Clients zum Mailserver nur per VPN erlauben und SMTP komplett über die Mail Protection der Firewall abhandelt.

    bye Josef

    BERGMANN engineering & consulting GmbH, Wien/Austria

Children
No Data