ComputerBase Menü
Aktuelles

Diskussion und Austausch zu IT-Security und Ransomware

Hannibal Smith

Hannibal Smith

Jumbo Frame
🎅Rätsel-Elite ’24
Registriert
Apr. 2015
Beiträge
1.206
Hallo zusammen,

nachdem ich eben mal kurz in den Kommentaren des Threads zum Ransomware Angriff auf CDPR war, ist mir wieder eine Frage in den Sinn gekommen, die ich mir seit längerem stelle.

Wie verschlüsselt Ransomware und warum ist das (für so viele) nicht aufzuhalten?

Das verschlüsseln der Systeme müsste ja relativ gleichzeitig erfolgen und so, dass der Admin das System nicht einfach vom Netz trennen oder abschalten kann. Dafür ist dann ja ein ziemlich großes Maß an Rechenleistung gefragt, was eigentlich auffallen müsste.
Zumindest schlägt bei uns das Netzwerkmonitoring bei einer zu hohen CPU Last Alarm, in der vsphere Umgebung wäre es genauso zu sehen und dann gibt es ja noch SIEM etc.

Weiterhin sollte doch jede moderne Firewall am Gateway zum Internet Funktionen wie IPS beherrschen. Von Mailfirewalls, die Links unbrauchbar machen, Anhänge scannen und Makros blockieren mal ganz zu Schweigen.

Klar, der einzig richtige Schutz intern ist nur durch eine Netzwerksegmentierung an einer zentral im Netz sitzenden Firewall gegeben. Aber auch die kann nicht zu 100% schützen, da viele Segmente die gleichen Freigaben benötigen, z.B. den Storage, den Mailserver, das AD etc.
Dennoch kann man viele Sicherheitslücken wie Medizin Technik und Co damit ganz gut abschotten.

Um wieder zum Thema zu kommen:

Was würde mich denn daran hindern, sofern ich es eben mitbekomme, die vsphere Umgebung abzuschalten oder einfach alle Ports der Core und Distribution Switche zu deaktivieren? Klar wäre ab diesem Moment das Unternehmen erstmal offline, aber das ist ja dann das geringste Problem.

Ich mein da gehört ja echt einiges dazu - mit einem Domainaccount eines normalen Users verschlüsselt man nicht mal eben ein ganzes Unternehmen.

Bin mal auf eure Gedankengänge und Antworten gespannt. Könnte ein ganz guter Austausch zum Thema Security werden.

Gruß
Hannibal
 
YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

vielleicht hilft dir das und eine Netzsegmentierung klingt auf dem Papier immer total sicher, aber ist meiner Meinung nach auch nicht wirklich eine effektive Lösung. Es verzögert die Verbreitung im Netzwerk nur.
 
Danke für das Video, war echt aufschlussreich, wobei n paar Dokumente ja definitiv nicht die Masse in einem Firmennetzwerk widerspiegeln.

Due Segmentierung bringt natürlich keinen 100%igen Schutz, den gibt es ja auch nicht, aber man gewinnt schon sehr viel, wenn z.B. die gesamten Geräte der Medizin Technik, die meistens weder mit aktuellen Betriebssystemem oder gar Updates versorgt sind, am besten noch mit lokalen Adminberechtigungen laufen, in eigene Vlans isoliert werden und nur die nötigste Kommunikation über die FW zugelassen wird.
 
Hannibal Smith schrieb:
Das verschlüsseln der Systeme müsste ja relativ gleichzeitig erfolgen und so, dass der Admin das System nicht einfach vom Netz trennen oder abschalten kann. Dafür ist dann ja ein ziemlich großes Maß an Rechenleistung gefragt, was eigentlich auffallen müsste.
Zumindest schlägt bei uns das Netzwerkmonitoring bei einer zu hohen CPU Last Alarm, in der vsphere Umgebung wäre es genauso zu sehen und dann gibt es ja noch SIEM etc.
Zum Vergrößern anklicken....

Prinzipell könnte man, wenn die Berechtigungen die das Virus zu dem Zeitpunkt hat, mit Bootloader etc. anfangen, und so schon das Neustarten durch normale Anwender abfangen.
Ich war noch nie betroffen, kann mich aber nicht vorstellen, dass das alle so machen - und selbst wenn, kann man die Platte ja an einem anderen PC anklemmen. Da gibt es keine Magie - wenn man früh genug einschreitet, kann nicht viel verschlüsselt worden sein.

Was CPU Last Alarm angeht: Ich glaube nicht, dass auf Anwender-PCs die CPU Last gemonitored wird. Wir hatten früher mal bei den Win7 Terminalservern die CPU Last drin, weil der IE gerne mal 100% gezogen hat, und damit potenziell mehrere dutzend User von der Arbeit abgehalten hat. Aber das haben wir aus technischen Gründen nicht mehr, da die Ressourcenzuweisung deutlich besser geworden ist, und sowas die anderen User nicht mehr beeinträchtigt.

Auf Servern könnte es natürlich auffallen, wobei da auch die Frage nach der Reaktionszeit ist. Wenn bei uns ein 100% CPU Alarm kommt, sag ich den Kollegen bescheid, aber wann die das angucken? Können schon mal ein paar Stunden rum sein. Wenn das Nachts passiert, kriegt es eh keiner mit, außer es sind sehr kritische Systeme.

Aber auch hier könnte man als Programmierer des Virus hingehen und sagen, dass die CPU Last dynamisch ist, immer so, dass die Gesamtlast nie über 80% geht oder sowas. Dann fällt das auch nicht so auf.

Hannibal Smith schrieb:
Weiterhin sollte doch jede moderne Firewall am Gateway zum Internet Funktionen wie IPS beherrschen.
[...]
Klar, der einzig richtige Schutz intern ist nur durch eine Netzwerksegmentierung an einer zentral im Netz sitzenden Firewall gegeben.
[...]
Zum Vergrößern anklicken....

Was das "rausplaudern" von Infos angeht, hast du durchaus recht. Aber hier ist die Frage, wie gut sowas konfiguriert ist, bzw. wieviel IPS noch bringt, wenn man nicht mit SSL-Interception arbeitet, was bei vielen auch nicht der Fall sein dürfte. Klar, bei großen Firmen ja. Aber bei kleinen bzw. sehr schnell gewachsenen eher weniger, würde ich denken.

Hannibal Smith schrieb:
Was würde mich denn daran hindern, sofern ich es eben mitbekomme, die vsphere Umgebung abzuschalten oder einfach alle Ports der Core und Distribution Switche zu deaktivieren? Klar wäre ab diesem Moment das Unternehmen erstmal offline, aber das ist ja dann das geringste Problem.
Zum Vergrößern anklicken....

Nichts. Fahr die VM runter, und du hast das Teil erstmal angehalten. Das aber mitzukriegen ist die Kunst.
Bei Netzwerktraffic - mach den Port dicht und fertig.

Hannibal Smith schrieb:
Ich mein da gehört ja echt einiges dazu - mit einem Domainaccount eines normalen Users verschlüsselt man nicht mal eben ein ganzes Unternehmen.
Zum Vergrößern anklicken....

Kommt auf die Policy an. Wenn der User weitreichende Schreibrechte auf einem Netzwerkshare hat...


Insgesamt versterhe ich durchaus deine Fragen dazu, aber wenn wir mal ehrlich sind, werden sich nur wenige Firmen so viele Gedanken dazu machen. Und diese trifft es dann meist. 100% sicher ist man nie, aber ich bin mir zB relativ sicher, dass auch ein guter Verschlüsselungstrojaner bei uns im Unternehmen wenig Chancen hätte, weil die Richtlinien so frustrierend sicher verfasst sind, dass viele Kollegen bei diesen Themen regelmäßig am verzweifeln sind :D
 
  • Gefällt mir
Reaktionen: Hannibal Smith
Snowi schrieb:
Was CPU Last Alarm angeht: Ich glaube nicht, dass auf Anwender-PCs die CPU Last gemonitored wird.
Zum Vergrößern anklicken....
Das stimmt natürlich, bin tatsächlich von den Servern ausgegangen. Und bezüglich der verlegung auf Nachts hast du natürlich auch recht, wüsste tatsächlich kein System bei uns, das so relevant ist und nachts aktiv gemonitored wird.

Snowi schrieb:
Aber hier ist die Frage, wie gut sowas konfiguriert ist, bzw. wieviel IPS noch bringt, wenn man nicht mit SSL-Interception arbeitet,
Zum Vergrößern anklicken....
Mhhh SSL Inspektion ist hier logischerweise auch pflicht - dann kann die Kommunikation mit ! bekannten! CC Server allerdings schnell blockiert werden.

Im Endeffekt ist das alles also zwar durchaus hilfreich, bringt aber auch nix bei fahrlässig Konfigurierten Netzen und Usern mit zuvielen Berechtigungen. Wobei auch hier definitiv die Frage zu stellen ist, ob ein User schreibrechte für einen großteil des Storages benötigt oder ob man dann grundsätzlich etwas beim Aufbau falsch gemacht hat.

Snowi schrieb:
relativ sicher, dass auch ein guter Verschlüsselungstrojaner bei uns im Unternehmen wenig Chancen hätte, weil die Richtlinien so frustrierend sicher verfasst sind, dass viele Kollegen bei diesen Themen regelmäßig am verzweifeln sind :D
Zum Vergrößern anklicken....
Klingt interessant. Mit Richtlinien meinst du GPOs? Mit Features wie Applocker, Application Guard etc.?
Interessiert mich tatsächlich extrem wie andere Firmennetze aufgebaut sind und welche Technologien zum Schutz verwendet werden. Bei uns gibt es GPO Seitig auch einige Hürden und Einschränkungen und dank LAPS jeden Tag neue PWs für die lokalen Adminuser.
 
Hannibal Smith schrieb:
Aber auch die kann nicht zu 100% schützen, da viele Segmente die gleichen Freigaben benötigen, z.B. den Storage, den Mailserver, das AD etc.
Zum Vergrößern anklicken....
Ransomware funktioniert nur wenn User Zugriff auf etwas haben.
Eine gesunde Berechtigungsstruktur hilft ungemein.

ich wüsste jetzt nicht warum ein infizierter User irgendwas was dem Mailserver oder auf dem AD verschlüsseln könnte. Jeder User, incl. der normale Alltags-Arbeitsuser der IT-ler, sollte hier gar keinen Zugriff haben um irgendwas zu verschlüsseln.

Im Sinne der Prävention kann man immer nur an Sicherheitsupdates appellieren. Sicherheitsupdates sind das, was ransomware daran hindert sich mehr Rechte zu besorgen als der User hat.

Ebenso halte ich es als Schutz für unerlässlich dass der normale Alltagsbenutzer - und auch der normale Admin Account! - keinen Zugriff auf die Backups hat. Der Zugriff auf Backups sollte immer über einen separaten User erfolgen, die logischerweise auch nicht das gleichen Passwort hat.

Es bringt gegen ransomware auch nichts, wenn man seinen PC einfach auf ein NAS wegsichert.
Solange der User Zugriff auf diesen NAS share hat, wird eigentlich auch die ransomware zugriff haben. Eine simple NAS Sicherung mag gegen löschen und Defekte helfen, aber gegen ransomware muss der Zugriff zum Backup abgeschnitten werden.

Hannibal Smith schrieb:
Dafür ist dann ja ein ziemlich großes Maß an Rechenleistung gefragt, was eigentlich auffallen müsste.
Zumindest schlägt bei uns das Netzwerkmonitoring bei einer zu hohen CPU Last Alarm, in der vsphere Umgebung wäre es genauso zu sehen
Zum Vergrößern anklicken....
zum einen wird ransomware immer intelligenter und lastet nicht voll aus, zum anderen: Mal Hand aufs Herz, wie oft schaut ihr denn in die Alarme vom Monitoring rein?

Hannibal Smith schrieb:
Was würde mich denn daran hindern, sofern ich es eben mitbekomme, die vsphere Umgebung abzuschalten oder einfach alle Ports der Core und Distribution Switche zu deaktivieren? Klar wäre ab diesem Moment das Unternehmen erstmal offline, aber das ist ja dann das geringste Problem.
Zum Vergrößern anklicken....
Zieh mal in einem Unternehmen fälschlicherweise "den Stecker". Dann weißt du wo das Problem liegt. Es gibt Firmen die verlieren in der Zeit Millionen. Das ist zwar extrem, aber mehrere Tausender sind bei einem kleinen Mittelständler schon drin.
Ich war schon vor der Entscheidung den "großen" Stecker zu ziehen und es ist eine harte Entscheidung wenn die komplette Firma nicht mehr arbeiten kann.
Stecker ziehen ist hingegen bei einzelnen Clients genau richtig. Wenn sich wirklich ein User was dubioses eingefangen hat wird der Client sofort vom Netzwerk genommen oder das Stromkabel rausgezogen.

Aber auch hier gilt: Das Ding kann nur das verschlüsseln, wo Beate Meyer auch dran kommt. Dass ransomware über zero day exploits an lokale Adminrechte kommt mag sein, aber sicher nicht an netzwerkweite Adminrechte.
Hannibal Smith schrieb:
LAPS jeden Tag neue PWs für die lokalen Adminuser.
Zum Vergrößern anklicken....
Ransomware holt sich Rechte nicht über alte Passwörter. Klar, wenn euere Adminpasswörter in irgendwelchen Passwortlisten stehen dann könnte das passieren.
Aber in Bezug auf Ransomware halte ich den täglichen Wechsel von Passwörtern für stark überzogen.
Wobei man sich über Passwort-Policys eigentlich tagelang unterhalten und streiten kann.
 
  • Gefällt mir
Reaktionen: PHuV
h00bi schrieb:
ich wüsste jetzt nicht warum ein infizierter User irgendwas was dem Mailserver oder auf dem AD verschlüsseln könnte. Jeder User, incl. der normale Alltags-Arbeitsuser der IT-ler, sollte hier gar keinen Zugriff haben um irgendwas zu verschlüsseln.
Zum Vergrößern anklicken....
Danke für deine Antwort, glaube hier haben wir uns allerdings falsch verstanden :D
Hannibal Smith schrieb:
Aber auch die kann nicht zu 100% schützen, da viele Segmente die gleichen Freigaben benötigen, z.B. den Storage, den Mailserver, das AD etc.
Zum Vergrößern anklicken....
Hier ging es mir um eine Netzwerksegmentierung an einer zentralen Firewall - und eben hierfür gibt es dann die Freigaben für die Kommunikation der Segmente mit Systemen wie dem Mailserver, dem AD uns so weiter.

h00bi schrieb:
Im Sinne der Prävention kann man immer nur an Sicherheitsupdates appellieren. Sicherheitsupdates sind das, was ransomware daran hindert sich mehr Rechte zu besorgen als der User hat.
Zum Vergrößern anklicken....
Im groß und ganzen sollte das auf jeden Fall umgesetzt und automatisiert werden, die Erfahrung zeigt allerdings, dass das nicht für alle Systeme machbar ist (leider). Solche Systeme lassen sich (viel größeres Leider) nicht immer aus dem Netzwerk verbannen.

h00bi schrieb:
zum einen wird ransomware immer intelligenter und lastet nicht voll aus, zum anderen: Mal Hand aufs Herz, wie oft schaut ihr denn in die Alarme vom Monitoring rein?
Zum Vergrößern anklicken....
ganz klar, gegen Intelligente Systeme hilft auch dummes Monitoring nicht wirklich, wobei ich sagen muss, dass ich auf einem Bildschirm immer die Alert Meldungen des Monitorings offen habe - ich muss aber auch zugeben, dass ich da maximal 4-5 Mal am Tag reinschau :/

h00bi schrieb:
Zieh mal in einem Unternehmen fälschlicherweise "den Stecker". Dann weißt du wo das Problem liegt. Es gibt Firmen die verlieren in der Zeit Millionen. Das ist zwar extrem, aber mehrere Tausender sind bei einem kleinen Mittelständler schon drin.
Ich war schon vor der Entscheidung den "großen" Stecker zu ziehen und es ist eine harte Entscheidung wenn die komplette Firma nicht mehr arbeiten kann.
Stecker ziehen ist hingegen bei einzelnen Clients genau richtig. Wenn sich wirklich ein User was dubioses eingefangen hat wird der Client sofort vom Netzwerk genommen oder das Stromkabel rausgezogen.

Aber auch hier gilt: Das Ding kann nur das verschlüsseln, wo Beate Meyer auch dran kommt. Dass ransomware über zero day exploits an lokale Adminrechte kommt mag sein, aber sicher nicht an netzwerkweite Adminrechte.
Zum Vergrößern anklicken....
Natürlich ist das immer mit einem Risiko verbunden und sollte deshalb auch nur dann als letzte Option gesehen werden, wenn nichts anderes mehr hilft. Dennoch in meinen Augen besser als die "einmal alles neu" Option, bei der dann auch teilweise die Hardware weichen muss, weil nicht klar ist, ob noch etwas tiefer als OS Ebene gedrungen ist. Dafür müsste man aber noch die Chefetage sensibilisieren, dass so etwas als letzter Schritt zum tragen kommen darf.
h00bi schrieb:
Aber in Bezug auf Ransomware halte ich den täglichen Wechsel von Passwörtern für stark überzogen.
Wobei man sich über Passwort-Policys eigentlich tagelang unterhalten und streiten kann
Zum Vergrößern anklicken....
es nervt auch ;) allerdings ist es mir ziemlich egal ob das PW nun 1 Tag/1 Woche/1 Montag gilt - ich könnte es mir sowieso nicht merken ^^
 
h00bi schrieb:
Aber auch hier gilt: Das Ding kann nur das verschlüsseln, wo Beate Meyer auch dran kommt. Dass ransomware über zero day exploits an lokale Adminrechte kommt mag sein, aber sicher nicht an netzwerkweite Adminrechte.
Zum Vergrößern anklicken....
Das halte ich in den heutigen Zeiten von staatlichen Hackern und Hacks von staatlichen Hackern für ziemlich gewagt. Man muss davon ausgehen, das man Opfer eines ZeroDay exploits wird. Punkt. Alles andere ist hoffen/wetten darauf das es nicht passiert. Wenn man eine gewisse Größe/Wichtigkeit hat, dann muss man davon ausgehen das sich jemand auch mit ZeroDay an dich wirft und da zähle ich alle Behörden, aber auch kritis, Krankenhäuser etcpp dazu.
Hannibal Smith schrieb:
Natürlich ist das immer mit einem Risiko verbunden und sollte deshalb auch nur dann als letzte Option gesehen werden, wenn nichts anderes mehr hilft. Dennoch in meinen Augen besser als die "einmal alles neu" Option, bei der dann auch teilweise die Hardware weichen muss, weil nicht klar ist, ob noch etwas tiefer als OS Ebene gedrungen ist. Dafür müsste man aber noch die Chefetage sensibilisieren, dass so etwas als letzter Schritt zum tragen kommen darf.
Zum Vergrößern anklicken....
Wenn jemand drin ist, dann kannst du im Zweifel gar nicht so schnell schauen wie sich der durchs System bewegt. Klar kann es auch dauern und isoliert sein man darf/sollte aber nicht darauf vertrauen. Und ja es wird leider viel zu oft gewettet...

Meist ist das ja ok, aber dann nicht weinen wenn es schief geht.

Wir hatten in unserer Branche selten Jahr nen Hack von quasi allem was Rang und Namen hat. Gut da ist nen Schutz gegen ransomware nicht machbar wegen den Kosten, aber so kann es auch Firmen gehen. Und dann bist du am ARSCH. Da sichere offline Backups zu haben ist viel Wert.

Ich würde aber im Allgemeinen auch nicht davon ausgehen, das etwas auf der Hardware zurück bleibt. Aber kontrollieren muss man es natürlich..

Und bezüglich Daten. Es reicht doch schon wenn einzwei wichtige Dateien oder Datenbanken weg sind. Dann wirst du zahlen. Sprich was ich sage will ist, das ein kleiner Bruchteil der Daten schon ausreichen kann das man ein riesen Problem hat und nicht mehr arbeiten kann.

Daher

Vom schlimmsten ausgehen und dagegen schützen dann schläft man ruhiger
 
Skysnake schrieb:
Das halte ich in den heutigen Zeiten von staatlichen Hackern und Hacks von staatlichen Hackern für ziemlich gewagt. Man muss davon ausgehen, das man Opfer eines ZeroDay exploits wird. Punkt. Alles andere ist hoffen/wetten darauf das es nicht passiert. Wenn man eine gewisse Größe/Wichtigkeit hat, dann muss man davon ausgehen das sich jemand auch mit ZeroDay an dich wirft und da zähle ich alle Behörden, aber auch kritis, Krankenhäuser etcpp dazu.
Zum Vergrößern anklicken....
Das ist jetzt aber ziemliche Phrasendrescherei.
Klar muss man davon ausgehen. Aber was willst du großartig dagegen machen außer die Lücken schnellstmöglich zu patchen? Genau das ist ja der Punkt an zero day....
Schnellstmöglich patchen ist aber für reibungslose Geschäftsabläufe nicht wirklich geeignet.
Zudem ist es ein meilenweiter Unterschied ob dir ein Trojaner oder ransomware untergeschoben wird. Die Malwareerkennung funktioniert generell bei Trojanern deutlich besser als bei ransomware.
Die Malware muss ja erstmal gegen die Malwareerkennung bestehen, bevor sie sich über Zero Day Lücken höhere Rechte beschaffen kann.

Skysnake schrieb:
Ich würde aber im Allgemeinen auch nicht davon ausgehen, das etwas auf der Hardware zurück bleibt. Aber kontrollieren muss man es natürlich..
Zum Vergrößern anklicken....
Ich weiß nicht wie tief ihr in der IT Security aktiv seid, aber ich könnte das garnicht kontrollieren und ich bin mir recht sicher dass unsere Dienstleister das auch nicht könnten, obwohl wir von einem nicht gerade kleinen Systemhaus mit eigener Securityabteilung betreut werden.
Selbst der Gerätehersteller würde das nicht als Dienstleistung anbieten, die sagen tausch die Hardware. Sie müssten ja sonst so gründlich prüfen, dass sie das garantieren können und das wäre teurer als neue Hardware.
 
Naja, bei uns müsstest du dann hunderte bis tausende Server wegwerfen. Was ist nicht realistisch. Da steht das System lieber nen paar Monate.

Aber ja, ein Kunde hat nach nem Vorfall den Cluster nicht mehr in Betrieb genommen. Der wäre eh nur noch einige Monate gelaufen...
 
h00bi schrieb:
Ich weiß nicht wie tief ihr in der IT Security aktiv seid, aber ich könnte das garnicht kontrollieren und ich bin mir recht sicher dass unsere Dienstleister das auch nicht könnten, obwohl wir von einem nicht gerade kleinen Systemhaus mit eigener Securityabteilung betreut werden.
Selbst der Gerätehersteller würde das nicht als Dienstleistung anbieten, die sagen tausch die Hardware. Sie müssten ja sonst so gründlich prüfen, dass sie das garantieren können und das wäre teurer als neue Hardware.
Zum Vergrößern anklicken....
Genau so kenne ich das auch. Bei uns in der Nähe hats auch einen Versorgungsbetrieb weggehauen und dort hieß es dann auch "einmal alles neu".

Skysnake schrieb:
Naja, bei uns müsstest du dann hunderte bis tausende Server wegwerfen.
Zum Vergrößern anklicken....
hunderte ESX Server? Uii hört sich nach ner riesen Umgebung an
 
Nein alles bare metal.

Die größte Einzelinstanz aktuell sind über 2k Rechner.

Insgesamt kommt da schon einiges zusammen...
 
1000 Hardwareserver ist mal ein Wort - wieviele VMs laufen denn da drauf?

Ich mein wir haben knapp 2500 Clients/Rechner und 200-300 VMs
 
Wie gesagt, alles bare metal. Da läuft nicht eine VM ;)
Sind halt Cluster sprich auch über ein Filesystem angebunden, das dann auch 50GB/s oder so drückt und alle User können natürlich alle Ressourcen über das queueing System nutzen...

Und bei den Systemen wird eher nen Alarm ausgelöst wenn die CPU nicht 100% load hat. Auch substained über Tage GB/s lesen ist durchaus normales Verhalten....

Ach und User arbeiten natürlich auch 24/7/365...

Du hast immer so ein paar Spezies dabei die z.b. nach ner Wartung auf den Login pollen um ihre Jobs als erstes abschicken zu können... sind dann ja trotz fair share schneller dran...

"Trick the fair share" ist da teilweise nen richtiger Sport wo sich admins und User versuchen zu überbieten...
 
Hannibal Smith schrieb:
wüsste tatsächlich kein System bei uns, das so relevant ist und nachts aktiv gemonitored wird.
Zum Vergrößern anklicken....

Sind schon welche bei uns, hauptsächlich sowas wie LDAP, Exchange usw. die in die Bereitschaft alarmieren, wenn ein kritischer Zustand eintritt (Also zB bei Exchange sobald 1/3 der Server wegfällt)

Hannibal Smith schrieb:
Klingt interessant. Mit Richtlinien meinst du GPOs? Mit Features wie Applocker, Application Guard etc.?
Zum Vergrößern anklicken....

Jap, nur ausführbar was vorher freigegeben wurde, keine Markos, keine nicht freigegebenen Dateiformate etc.
Am eigenen System pfuschen ist da leider nicht :(

h00bi schrieb:
Mal Hand aufs Herz, wie oft schaut ihr denn in die Alarme vom Monitoring rein?
Zum Vergrößern anklicken....

Das sind bei uns ~10 Vollzeitstellen die das machen, weil sich rausgestellt hat, dass die Abteilungen selbst Fehler oft nur bemerkt haben, wenn sie von der Hotline ein Ticket bekommen haben ;) Ist leider relativ spät, wenn mehrere tausend Mitarbeiter deshalb nicht arbeiten können...

h00bi schrieb:
Zieh mal in einem Unternehmen fälschlicherweise "den Stecker". Dann weißt du wo das Problem liegt. Es gibt Firmen die verlieren in der Zeit Millionen.
Zum Vergrößern anklicken....

Geht schnell, kenn ich leider besser als mir lieb ist. Natürlich nicht absichtlich, sondern eher: Ups, da hat Cisco sich wohl vertan mit der Angabe, dass die Configänderung live gemacht werden kann, und dir auf einmal die gesamte Netzwerkinfrastruktur neustartet... Richtig interessant wird es aber, wenn einem die Revision im Nacken sitzt, weil evtl. Kundendaten verloren gehen könnten.

Was die Server angeht kann ich nicht mithalten. Wir haben zwar auch viele, aber nicht mehrere Tausend. Interessant ist es trotzdem, weil es sehr verschiedene Sachen sind die da laufen, teilweise Virtuell, teilweise Physisch... Macht Spaß so, bin froh damit arbeiten zu können.
 
Snowi schrieb:
Sind schon welche bei uns, hauptsächlich sowas wie LDAP, Exchange usw. die in die Bereitschaft alarmieren,
Zum Vergrößern anklicken....
ja Meldungen schicken unsere auch, meinte mit aktiv ehr eine Person die nur da dran sitzt und guckt
Snowi schrieb:
nur ausführbar was vorher freigegeben wurde, keine Markos, keine nicht freigegebenen Dateiformate etc.
Zum Vergrößern anklicken....
Mit Ausnahme der Dateifirmate ist das bei uns auch so. Zudem ist das Ausführen egal welcher Programme weder vom Desktop oder sonstigen User Verzeichnissen erlaubt.

Snowi schrieb:
Das sind bei uns ~10 Vollzeitstellen die das machen,
Zum Vergrößern anklicken....
Krass, das geht bei uns leider nicht. Darf ich auch hier nach der Branche fragen?

Snowi schrieb:
auf einmal die gesamte Netzwerkinfrastruktur neustartet...
Zum Vergrößern anklicken....
Autsch... kenne mich mit Cisco zwar nicht aus, das wir nur Extreme Networks im Haus haben aber das müssen dann aber riesige config Änderungen sein, wenn auf allen Switchen gleichzeitig.

Sehr interessant zu lesen, wie riesig eure Netzwerke sein müssen - oder wie unterbesetzt wir sind :Smile
 
Hannibal Smith schrieb:
ja Meldungen schicken unsere auch, meinte mit aktiv ehr eine Person die nur da dran sitzt und guckt
Zum Vergrößern anklicken....

Gut, das haben wir auch nicht Nachts (Wobei Nachts = 22-6 Uhr, und Sa+So)

Hannibal Smith schrieb:
Krass, das geht bei uns leider nicht. Darf ich auch hier nach der Branche fragen?
Zum Vergrößern anklicken....

Versicherung. Die Vollzeitstellen kommen durch Schichtbetrieb von früh morgens bis spät Abends + Bereitschaft für Nachts/Wochenende/Feiertage, damit man das vernünftig Zeitlich aufteilen kann etc

Hannibal Smith schrieb:
Autsch... kenne mich mit Cisco zwar nicht aus, das wir nur Extreme Networks im Haus haben aber das müssen dann aber riesige config Änderungen sein, wenn auf allen Switchen gleichzeitig.
Zum Vergrößern anklicken....

Wäre schön wenn - wir hatten das mal wegen einer kleinen Änderung an VLANs, und dann sind einfach mal alle neu gestartet. Ist zwar relativ schnell wieder vorbei das ganze, darf aber halt nicht sein :D
Gibt da natürlich deutlich schlimmere Fehler, will da aber nicht zu sehr ins Detail gehen :D

Hannibal Smith schrieb:
Sehr interessant zu lesen, wie riesig eure Netzwerke sein müssen - oder wie unterbesetzt wir sind :Smile
Zum Vergrößern anklicken....

Problematisch wird's da vor allem durch Software Defined Networking. Auf der einen Seite ein Segen, weil du nicht mehr 50x eine VLAN Änderung auf jedem Switch einzeln aktivieren musst, auf der anderen Seite hast du sehr schnell einen Single Point of Failure, was die Konfiguration angeht. Wenn du ein "klassisches" Netzwerk hast, und du konfigurierst einen Switch kaputt, läuft der Rest noch. Wenn du im Cisco ACI (ist deren Implementation von SDN) was kaputt machst, hast du schnell das gesamte Netzwerk abgeschossen.
 
Snowi schrieb:
Wobei Nachts = 22-6 Uhr, und Sa+So
Zum Vergrößern anklicken....
Wir haben auch ne Bereitschaft, die macht aber ehr sowas wie Passwörter zurücksetzen etc.
Je nach Meldung wurden die dann aber eventuell eskalieren - hoff ich mal ;)
Snowi schrieb:
Software Defined Networking
Zum Vergrößern anklicken....
Bei uns noch ganz klassisch...
Snowi schrieb:
Auf der einen Seite ein Segen, weil du nicht mehr 50x eine VLAN Änderung auf jedem Switch einzeln aktivieren musst, auf der anderen Seite hast du sehr schnell einen Single Point of Failure, was die Konfiguration angeht.
Zum Vergrößern anklicken....
... wie du schon sagst, zwar mehr Arbeit aber auch im Troubleshooting einfacher
Snowi schrieb:
Cisco ACI
Zum Vergrößern anklicken....
dürfte das Pendant zur Extreme Fabric sein. Wobei hier nur der Core und Distribution Part automatisiert funktioniert, für den Access Bereich gibt es weiterhin vlans und NAC zu administrieren.

Ich selbst arbeite in einem etwas größeren Krankenhaus mit knapp 3500 Mitarbeitern.
Ergänzung ()

Skysnake schrieb:
Sind halt Cluster sprich auch über ein Filesystem angebunden, das dann auch 50GB/s oder so drückt
Zum Vergrößern anklicken....
Das ist echt ordentlich, wie schnell ist denn euer Netzwerk im Core angebunden?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

drmiu
Job in der IT-Security
2
Antworten
34
Aufrufe
3.779
Benji18
Benji18
guerill4krieger
Büchertipps zum Thema IT-Security / Netzwerksicherheit
Antworten
0
Aufrufe
1.089
guerill4krieger
guerill4krieger
gaunt
Fortbildung im Bereich IT Security
Antworten
4
Aufrufe
1.204
Fu Manchu
F
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz