Virusspredning utenfor domene på et domene nettverk.

[StHans]

Hei!

 

Har noen spørsmål ang. domene nettverk…

På min jobb har vi 2 servere som igjen kjører noen virtuelle servere (ca 5 pr. server).

Nettverket er delt opp slik at det er et administrativt nett som brukes av de forskjellige kontor pc-er og et gjestenett som hvem som helst kan koble seg til, dette går da også via serveren. Noen har da her også brukt muligheten til å koble til privat pc-er på de nettverksuttakene som er konfigurert til administrativt bruk, men ikke meldt seg inn i domenet. Vil ikke det bli det samme om man kobler seg til gjeste nett eller administrativt nett da man uansett ikke har tilgang til noe annet enn internett?

Administrativt nett og gjestenett har da forskjellige ip adresser også, og de forskjellige nettverksuttak er konfigurert til de forskjellige nettverk. Gjestenettet styres via en virtuell proxy server.

 

Det som da er problemet er at for en stund siden begynte serverne våre å klikke, restarte hvert 45 minutt og lignende. Det vil si at vi ikke hadde noen tilgang til dokumentene som er lagret på server i løpet av en uke. Support folk ble satt på saken fra dag en og kom fram til etter ca. 5-6 dager at vi hadde blitt angrepet av virus.

Her skyldte de på at det var kommet inn via private pc-er.

Så mitt spørsmål er da om pc-er som ikke er aktivert i domenet, men kun bruker internett tilgangen via server kan spre virus på serverne når de ikke har tilgang til noen fil områder eller noe på server?

 

Altså, support gjengen kom fram til at serverne hadde fått virus via en av privat pc-ene som er koblet til nettverket, men ikke aktivert mot domenet. I tillegg så var det kun 3-4 av de virtuelle serverne som fikk virus, de andre fungerte greit men ble litt påvirket av selve serveren som kjører VMware da.

 

Litt ekstra info:

OS som ble kjørt var Windows server 2008 på serverne og på de virtuelle ble det blandet mellom 2000, 2003 og 2008.

Virtuelle serverne er satt opp via VMware vCenter Server.

Antivirus programmet som blir brukt er ”Trend Micro – Office Scan”.

Domenet er satt opp ved hjelp av active directory

 

Oppsummert:

1.

Blir det ikke det samme om man kobler seg til gjeste nett eller administrativt nett når man ikke er aktivert mot domenet og uansett ikke har tilgang til noe annet enn internett?

 

2.

Kan pc-er som ikke er aktivert i domenet, men kun bruker internett tilgangen via server spre virus på serverne når de ikke har tilgang til noen fil områder eller noe annet på server?

 

3.

Hvordan hadde det seg at kun noen av serverne sluttet å fungere?

[BlueEAGLE]

1: Nei, det blir ikke det samme. Selv om du ikke har tilgang til domenet så har du IP-tilgang til servere i domenet. Du kan også logge deg på en server fra en maskin som ikke er med i domene så lenge du har IP-tilgang til den serveren.

 

2: Mnjaaa.. Hvis det er åpne sikkerhetshull i noen tjenester på serverene så kan man få tilgang igjennom å utnytte disse. Hvis det er noen nettverksressurser som ikke er sikret så vil disse være tilgjengelige og hvis en bruker logger på en server med en domenebruker så kan en tastelogger få tak i brukernavnet og selv autentisere mot nettverksressurser. Dette gjelder autentisering mot webmail, nettversressurser eller andre ting hvor domenebrukeren blir brukt for å autentisere.

 

3: Det å finne fellesnevnere for serverene som ble slått ut er alfa og omega for å finne ut hvilken svakhet som ble brukt.

 

Trenger dere en ny nettverksadministrator?

[StHans]

2: Mnjaaa.. Hvis det er åpne sikkerhetshull i noen tjenester på serverene så kan man få tilgang igjennom å utnytte disse. Hvis det er noen nettverksressurser som ikke er sikret så vil disse være tilgjengelige og hvis en bruker logger på en server med en domenebruker så kan en tastelogger få tak i brukernavnet og selv autentisere mot nettverksressurser. Dette gjelder autentisering mot webmail, nettversressurser eller andre ting hvor domenebrukeren blir brukt for å autentisere.

 

Her var det mest snakk om at en privat pc hadde virus uten at noen prøvde å spre det. Disse pcene som var tilkoblet ble brukt av personer som er under middels god med pc bruk. Har mine visse tvil om at noen har prøvd eller kan utnytte sikkerhetshull. Av de som har tilgang iallefall.

 

3: Det å finne fellesnevnere for serverene som ble slått ut er alfa og omega for å finne ut hvilken svakhet som ble brukt.

 

Kan prøve å sjekke opp hvilke servere som ble slått ut for å se om det er noe spesielt med disse.

 

Trenger dere en ny nettverksadministrator?

 

Ettersom at vi eier en del av firmaet som nå var vårt support team så har vi nok ikke muligheten til å bytte. Det er de som drifter serverne våre også til dags dato.

 

 

Men takk for god forklaring. Skal prøve å finne ut mere om dette.

[BlueEAGLE]

Jeg påstår ikke at det er gjort med overlegg men virus og malware er kjent for å utnytte svakheter. Mao, hvis har oversikt over hvilke sikkerhetshull som ikke var lappet så kan det hjelpe med å finne ut nøyaktig hva som gikk galt.

 

Kjenner du til hvilke switcher som er brukt i nettverket?

[Gjest Slettet-t8fn5F]

Bruk msba og se etter hull.

http://technet.microsoft.com/en-us/security/cc184924

[StHans]

Jeg påstår ikke at det er gjort med overlegg men virus og malware er kjent for å utnytte svakheter. Mao, hvis har oversikt over hvilke sikkerhetshull som ikke var lappet så kan det hjelpe med å finne ut nøyaktig hva som gikk galt.

 

Kjenner du til hvilke switcher som er brukt i nettverket?

 

Ok, såntsett ja.

 

Er brukt Cisco switcher. omtrent 12 stk hvis jeg ikke husker feil. Fleste 24 porters.

 

Skal prøve ut MBSA.