Wichtiger Sicherheitshinweis für FRITZ!Box-Nutzer

In den letzten Tagen wurden Angriffe auf Fritzboxen über den Fernzugriff realisiert. Der Hersteller AVM rät deshalb, das Sicherheitsupdate zu laden und den Fernzugriff auf den Anrufbeantworter abzuschalten. Bei den von uns über m-net geschaltenen FRITZ!Boxen wird das Update zentral geschalten, es muss also kein manuelles Update getätigt werden.

Die Täter haben über den Port 443 einen Angriff durchgeführt und sind so in die FRITZ!Box eingedrungen. Dabei konnten auch Passwörter entwendet werden. AVM stellt nun ein wichtiges Sicherheitsupdate für FRITZ!Box bereit. Damit keine weiteren Angriffe nach diesem Muster erfolgen können, führen Sie bitte ein Update Ihrer FRITZ!Box durch. Allen Kunden, die den HTTPS-Internetzugriff auf FRITZ!Box-Geräte aktiviert hatten, empfehlen wir zur Sicherheit die Änderung aller Kennwörter, die in der FRITZ!Box hinterlegt waren.

Informationen dazu finden Sie in einem Sicherheitshinweis von AVM

Weitere Infos auf einem Youtube Video zum Update der FRITZ!Box

16 Millionen Emails gehackt

Bei einem Angriff über Pishing-Mails wurden die Passwörter von 16 Millionen Emails geknackt, etwa die hälfte davon gehören deutschen Nutzern. Das Bundesamt für Sicherheit in der Informationstechnik rät, die eigene Email überprüfen zu lassen. Dies ist auf folgender Seite möglich: https://www.sicherheitstest.bsi.de/

Wer seine Emailadresse eingibt, bekommt eine Nachricht mit dem angegebenen Code, wenn die Emailadresse betroffen ist. Unseren Kunden raten wir, die eigene Emailadresse prüfen zu lassen und uns zu benachrichtigen, sollten Sie betroffen sein. Es könnten Viren auf Ihren Computer geraten sein, die möglicherweise die Sicherheit der Daten gefährden.

Zum Schutz vor Angriffen empfehlen wir, den professionellen Antivirus von ESET zu installieren. Senden Sie uns bei Fragen einfach eine Email an info@lachenmair.info oder über unser Kontaktformular

ESET Gateway Security for Linux als Upstream Proxy für SQUID

Der SQUID Proxy-Server ist ein beliebtes Programm um den Internetzugang in Firmen zu kanalisieren und kontrollieren. Squid bietet die Möglichkeit Zugänge nach Benutzern einzuschränken oder Webseiten zu sperren. Jedoch fehlt dem Proxyserver die Möglichkeit den Internetverkehr auf Viren zu prüfen. Hier setze ich mit ESET Gateway Security für Linux/BSD/Solaris als Lösung an.

Proxy Chaining

Die Idee hinter dieser Lösung steckt darin für den Benutzer eine nicht sichtbare Verkettung der Dienste zu erstellen und den Internetverkehr bereits am Gateway auf Viren zu prüfen. Das Proxy Chaining mit ESET Gateway Security als Upstreamproxy ermöglich Ressourcen zu sparen da die Software auf der gleichen Maschine mit SQUID installiert wird. Als Grundlage dient ein aktuelles Debian unter XEN:


Installation Debian & Squid

Neben einer Debian-Server-Standard-Installation (fixe IP, gehärteter SSH-Zugang) wird der SQUID-Server installiert und nach eigenen Bedürfnissen angepasst.
Auf die Einzelheiten einer SQUID-Installation wird in diesem How-To nicht eingegangen.

Anmerkungen zur Installation

In diesem Beispiel ist SQUID und ESET Gateway Security auf der IP 192.168.200.10 installiert, das Netzwerk ist 192.168.200.0/24.

Installation ESET Gateway Security for Linux

Die komplette Installation von ESET Gateway Security erfolgt als root. Daher empfiehlt es sich vor der Installation per “su” zum Root des Systems zu werden. An erster Stelle wird das auf http://www.eset.com/de/download/business/detail/family/54/?installer=offline#offline,80 heruntergeladene BIN-File auf den Server kopiert.

Ich verwende WinSCP um die Datei auf den Server zu bringen:


Vor der Installation sollte

apt-get install ed libc6-i386 libssl-dev

ausgeführt und installiert werden.

Basisinstallation und Grundkonfiguration

Nachdem Kopiervorgang wird auf dem Server die BIN-Datei gestartet und ESET Gateway Security installiert:


Das Software End-User License Agreement das angezeigt wird kann “q” beendet werden.
Die Frage ob das Agreement angenommen wird mit “y” beantworten:


Nach Belieben kann die Samples Submission bejaht oder verneint werden.
Hier können verdächtige Dateien zur Analyse an ESET übertragen werden:


Als Nächstes erstelle ich einen Symlink für das Konfigurationsverzeichnis nach /etc/eset via:

ln –s /etc/opt/eset/esets /etc/eset

Im nächsten Schritt wird das Lizenzfile nach /etc/eset/license kopiert. Das Lizenzfile wird am besten mit der BIN-Datei per WinSCP hochgeladen. Im nächsten Schritt wird der ESETS Daemon neugestartet:

/etc/init.d/esets stop && /etc/init.d/esets start

Der Weg über den Parameter “restart” ist hier nicht ausreichend. Danach erfolgt die Grundkonfiguration von ESET Gateway Security Linux.
Zum Start des Konfigurationsprogramms

/opt/eset/esets/sbin/esets_setup

ausführen. Zur Einrichtung stellt das Install-Script ein paar Fragen an den Benutzer:


“Do you want to see commands, which will be executed during installation? (y/n, default=y)” mit “y” beantworten.
Für die geplante Konfiguration wird Punkt 1) HTTP gewählt. In diesem Schritt wird Upstream-Proxy für SQUID eingerichtet:


Mit “4” wird das Konfigurationsprogramm beendet. Die vorgeschlagene Anpassung der IP-Tables-Regeln ist in diesem
Fall nicht nötig das dies vom SQUID erledigt wird.

Um ESET Gateway Security per http konfigurieren zu können wird der Webserver in der Datei /etc/eset/esets.cfg editiert:

nano /etc/eset/esets.cfg

Im Abschnitt [wwwi] werden die Parameter angepaßt:

[wwwi]

# Settings for ESETS Web Interface configuration module
# agent_enabled = yes/no
# Enables operation of the esets_wwwi.

agent_enabled = yes

# listen_addr = “address”
# Address (IP or name) where esets_wwwi listens for HTTPS client connections.
# If set to 0.0.0.0 then esets_wwwi listens on all available network interfaces.

listen_addr = “192.168.200.10”

# listen_port = port

# TCP port where esets_wwwi listens for HTTPS client connections.
# You may have to open this port in your firewall.

listen_port = 60080

# username and password needed for accessing the interface (required)

username = “admin”

password = “passwort”

Mit den, für das System, angepassten, neuen Einstellungen wird der ESETS Dienst neugestartet:

/etc/init.d/esets stop && /etc/init.d/esets start

Konfiguration per Weboberfläche

Ab jetzt kann das System per Weboberfläche konfiguriert werden:


Zur Anmeldung im Konfigfile hinterlegte Anmeldedaten verwenden und am System anmelden:


 

 

Unter Configuration/Global/Update Options werden zuerst die Benutzerdaten um Updates zu laden hinterlegt:


 

Auf Spezialfunktionen wie das Anlegen eines Update-Mirrors wird in dieser Anleitung nicht eingegangen.
Mit Klick auf “Save Changes” und anschliessend auf “Apply Changes” werden die Einstellungen gespeichert.

Über Control/Update können die Einstellungen mit dem Start eines manuellen Updates geprüft werden:


Updates mit “Status 0” wurden erfolgreich heruntergeladen.

Unter Configuration/HTTP werden die Einstellungen zum Scannen des http-Verkehrs eingestellt.
Die hier gezeigten Einstellungen sind eine Empfehlung können und sollten individuell anpasst werden:


Die Optionen “Potentially unsafe apps” und “Potentially unwantet apps” sollten aktiviert sein um
den Schutz vor unsicheren Anwendungen wie Trojanern etc. zu erhöhen.

SQUID.conf

 

nano /etc/squid3/squid.conf

Dort werden folgende Einstellungen eingetragen:

acl internetzugriff src 192.168.200.0/24 #netzwerk der zugreifenden rechner
cache_peer 192.168.200.10 parent 8080 0 no-query no-delay default
cache_peer_access 192.168.200.10 allow internetzugriff

Um die Einstellungen zu aktivieren muß der SQUID-Dienst neugestartet warden:

/etc/init.d/squid3 restart

Test der Installation

Zum Testen von ESET Gateway Security lade ich auf www.eicar.com das Virustestfile:


Bei richtiger Konfiguration wird der Downloadversuch so quitiert:


Somit ist der Konfigurationsvorgang zum Prüfen des http-Verkehrs mittels Proxy-Chaining unter SQUID mit ESET Gateway Security abgeschlossen.

Voodoo:

Mit einem transparent konfiguriertem Squid kann der Internetverkehr aller Clients ohne die Aktivierung des Proxys in den Browsereinstellungen geprüft werden.

In dem hier aufgezeigten Bespiel verwenden wir einen Squid-Server samt ESET Gateway Security als transparenten Proxy auf einem Rechner mit nur 1er Netzwerkkarte.
Im ersten Schritt werden die Iptables mit diesem Script hierfür anpasst:

#!/bin/sh

# Squid server IP

SQUID_SERVER=”192.168.200.10″

# Interface connected to Internet

INTERNET=”eth0″

# Address connected to LAN

LOCAL=”192.168.200.0/22″

# Squid port

SQUID_PORT=”3128″

# Clean old firewall

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

iptables -t mangle -F

iptables -t mangle -X

# Enable Forwarding

echo 1 > /proc/sys/net/ipv4/ip_forward

# Setting default filter policy

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

# Unlimited access to loop back

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

# Allow UDP, DNS and Passive FTP

iptables -A INPUT -i $INTERNET -m state –state ESTABLISHED,RELATED -j ACCEPT

# set this system as a router for Rest of LAN iptables -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE iptables -A FORWARD -s $LOCAL -j ACCEPT

# unlimited access to LAN

iptables -A INPUT -s $LOCAL -j ACCEPT

iptables -A OUTPUT -s $LOCAL -j ACCEPT

# DNAT port 80 request comming from LAN systems to squid 3128 ($SQUID_PORT) aka transparent proxy iptables -t nat -A PREROUTING -s $LOCAL -p tcp –dport 80 -j DNAT –to $SQUID_SERVER:$SQUID_PORT

# if it is same system

iptables -t nat -A PREROUTING -i $INTERNET -p tcp –dport 80 -j REDIRECT –to-port $SQUID_PORT

# DROP everything and Log it

iptables -A INPUT -j LOG

iptables -A INPUT -j DROP

 

Nach Anpassung und Test im System dieses Script beim Start automatisch aktivieren. In der Squid.Conf ist auch eine weitere Anpassung nötig:

#transparentproxy

http_port 192.168.200.10:3128 transparent
http_port 80 vhost

Auch hier gilt:

    /etc/init.d/squid3 restart

 

Abschließend sind noch die Routingeinträge an diesem Rechner anzupassen und am DHCP-Server das Gateway für die Clients auf den Squid-Server umstellen.
Die hier beschriebene Lösung stellt einen Lösungsvorschlag dar und kann auf individuelle Bedürfnisse angepasst werden.

Viel Freude mit ESET Gateway Security und SQUID

 

 

 


Tipps und Tricks bei der Installation von ESET Remote Administrator

ESET Remote Administrator ist ein Tool welches es im Firmennetzwerk ermöglicht
alle verbundenen Clients zentral zu administrieren. Hier finden Sie einige Tipps
für die Installation und die Verwendung von ESET Remote Administrator.

Installation des Servers

 Anlegen eines Benutzers

Ich verwende zur Installation des Services einen Benutzer, der lokaler Administrator
ist. Dazu wird ein Benutzer aus dem Active Directory verwendet. Dieser sollte im AD
nur Benutzer sein. Dieser Benutzer wird der lokalen Gruppe “Administratoren” hinzugefügt.

Vorbereitungen DNS

Im täglichen Einsatz hat sich bewährt, einen eigenen DNS-Eintrag für den
ESET Remote Administrator Server zu definieren. So müssen im Falle eines Serverumzugs
keine Änderungen an Clients vorgenommen werden. Hierfür lege ich einen A-Eintrag
im lokalen DNS-Server an:


Dieser Name wird bei der Installation für den Server verwendet.

Vorbereitungen Firewall

Für den Clientzugriff muss die Firewall am RA-Server angepasst werden:


 

ESET verwendet folgende Ports:

Name Port Protokoll Funktion
ESET_RA_Inbound_HTTP-Mirror

2221

TCP

stellt ESET-Updates für verbundene
Clients per HTTP zur Verfügung
ESET_RA_Inbound_Client

2222

TCP

Ermöglicht Clients Verbindung mit dem
RA-Server aufzunehmen
ESET_RA_Inbound_Console

2223

TCP

Ermöglicht den Zugriff für die Administrations-Konsole
ESET_RA_Inbound_Remoteinstaller

2224

TCP

Port der bei Remoteinstallationen verwendet wird
ESET_RA_Inbound_Webserver

2225

TCP

Ermöglicht Zugriff auf die ERA Webconsole
ESET_RA_Inbound_Replication

2846

TCP

Ermöglicht die Replikation zwischen mehreren ERA-Servern

 

Mit Blick auf Sicherheitsaspekte sollten nur benötigte Ports freigeschalten werden. Wird zum
Beispiel Replikation nicht verwendet, erübrigt sich die Freigabe des Ports 2846. Es ist auch zu
beachten dass die Ports für den RA-Server auch frei definiert werden können. In diesem Szenario
sind die Ports in der Firewall anzupassen.

Installation des ESET Remote Administrator Servers

Nach dem Start der Installationsdatei benutzerdefinierte Installation wählen:


Durch Klick auf Weiter zur Auswahl des Lizenzschlüssels:


Mit Klick auf Weiter zur Auswahl des Programmpfades:


Diesen mit Weiter bestätigen.


Wird ein Domainbenutzer verwendet den Namen der Active Directory Domain voranstellen:

 DOMAINNAME\Benutzername

Mit Klick auf Überprüfen die Berechtigung überprüfen:


Klicken Sie auf “Okay” und “Weiter”

Im nächsten Fenster kann die Datenbank für den ESET Remote Administrator Server
ausgewählt werden. In Szenarien unter 100 Clients kann auf die Accessdatenbank
zurückgegriffen werden:


Durch einen Klick auf Weiter wird die Auswahl bestätigt.


Die Pfade der Datenordner können bei behalten werden. In diesen Verzeichnissen
werden die Datenbank, Policies und Installerpakete für die Remoteinstallation abgelegt.
Der Standardpfad ist: “C:\ProgramData\ESET\ESET Remote Administrator”

Mit Klick auf Weiter kommen Sie weiter.

Im nächsten Fenster wird der Servername auf den zuvor festgelegten Servernamen
geändert:


Des Weiteren können die Firewallports für den Zugriff auf den Server verändert werden.
Jede Änderung muß an der Firewall nachgepflegt werden. Mit Klick auf Weiter erscheint
das Fenster zur Vergabe der Passwörter.


Vergeben Sie auf jeden Fall ein Passwort für den Zugriff auf die Konsole. Mit Passwort
für Clients sichern Sie die Kommunikation der Clients mit dem ERA-Server. Mit Klick auf
Weiter geht es zum nächsten Fenster.


In diesem Fenster lasse ich die Standartwerte stehen. Diese können später in der
Remote Console angepasst werden. Hierfür muss das Häkchen für die
“Update-Einstellungen später einrichten” gesetzt werden. Mit Klick auf Weiter
geht es zu den SMTP-Einstellungen:


Klick auf Weiter


Hier werden die Einstellungen für den ESET Remote Administrator Webserver festgelegt.
Bei einem bereits installierten Webserver müssen die Ports entsprechend angepasst
werden. Klick auf “Serverports testen”:


Klick auf Weiter um zu den nächsten Optionen zu gelangen.


Diese Einstellungen nur im Falle einer Fehlersuche verändern.

Mit Klick auf Weiter wird die Konfiguration der Optionen abgeschlossen:


Mit Klick auf Installieren wird ESET Remote Administrator Server installiert.


Mit Klick auf Fertigstellen schließen Sie die Installation der Serverkomponente ab

 Installation der ESET Remote Administrator Console

Start der era_console-EXE


Mit Klick auf Weiter und den Lizenzvereinbarungen zustimmen:


Nach einem Klick auf Weiter im nächsten Fenster die Benutzerdefinierte Installation auswählen.


Den Standardpfad im nächsten Fenster beibehalten


und mit Klick auf Weiter zum nächsten Fenster gelangen.

In diesem Fenster wird der Servername aus der Installation des Servers verwendet:


Mit einem Klick auf Weiter öffnet sich ein Fenster mit dem die Installation gestartet werden kann.


Durch Klick auf Fertigstellen gelangen Sie zur Remote Administrator Console.

Szenarien mit mehreren ERA-Servern

In vielen Szenarien gibt es Geräte die sich nur über das Internet mit Ihrem Unternehmen
verbinden. Meist wird dies mit VPN-Szenarien gelöst. Bei Smartphones, die auch über den
Remote Administrator gemanagt werden können, ist dies meist nicht der Fall. Durch das
Feature der Replikation können Sie einen weiteren Server in Ihrer DMZ in Betrieb nehmen
und somit auch Geräte außerhalb des Firmennetzwerkes administrieren.


Weitere Szenarien der Replikation sind die Verwaltung mehrere Standorte mit eigenständigen
ERA-Servern. Hier können hierarchische Strukturen aufgebaut werden und zentral administriert
werden. Bei Fragen zu ESET Remote Administrator und die Implementation stehen wir Ihnen jederzeit
gerne mit Rat und Tat zur Verfügung.

 

Achten Sie auf Ihren Virenschutz!

Ihr Computer ist potenziell ständig unter Angriff von schädlichen Programmen aus dem Internet. Verschiedene Programme bieten Schutz vor diesen Angriffen – und je besser die Software auf Ihr System und Ihre Bedürfnisse abgestimmt ist, desto sicherer sind Ihre Daten.

Sicherheitssoftware gibt es nicht nur für einzelne Rechner (PC und Mac) und komplette Netzwerke, die Sie bei manchen Optionen sogar mit Remote-Admin-Lösungen verwalten (lassen) können, sondern auch für mobile Endgeräte. So können Sie sicher sein, dass Ihr Unternehmen auch dann vor Malware geschützt ist, wenn Ihre Mitarbeiter über Smartphones auf Ihr Netzwerk zugreifen. Dieses Einfalltor für schädliche Software wird nämlich häufig übersehen, dabei sind gerade die Endgeräte des Außendienst ein echtes Sicherheitsrisiko für Unternehmen.

Bei der Auswahl des Anti-Virus-Programms bzw. der Sicherheitssoftware gibt es verschiedene Aspekte zu beachten. Die Software muss nicht nur zum Rechner bzw. zum System passen, wichtig ist auch, wie viel Ressourcen das Programm benötigt. Auf gut Deutsch: Verlangsamt sich ihr Rechner, wenn der Virenschutz im Hintergrund wacht?

Daneben unterscheiden sich die Sicherheits-Programme in ihrer Reaktionsgeschwindigkeit und Genauigkeit. Manche sind zwar schnell im Erkennen von Bedrohungen, sind aber sozusagen „überempfindlich“ und betrachten auch vollkommen harmlose Daten als Bedrohung. Das bedeutet natürlich Abstriche im Bereich Zuverlässigkeit.
Wir empfehlen Ihnen die schnell und unmerkbar arbeitende Sicherheits- und Anti-Viren-Software von ESET und beraten Sie gerne genauer zur Auswahl und Installation der passenden Produkte.