Jump to content

KES11.5 Firewall not working


Go to solution Solved by alexcad,

Recommended Posts

Posted

Guten Tag,

 

leider heute eine schreckliche Entdeckung an einem Exchange 2013 gemacht:

KES11.5.0.590 Windows Server 2012R2

Eventlog ID 4625 über 2000x von einer IP: 185.118.164.198

Man kann es auch als “Hacken” oder Brute Force bezeichnen.

 

WARUM greift “Schutz von Netzwerkbedrohungen” dort nicht??

WARUM greift nicht mal eine Block Richtline in den Firewalleinstellungen selbst?

Action: Verbieten

Name: Block Test

Protokoll: Nicht definiert

Richtung: Ein/Aus

Netzwerkadapter: leer

Lebensdauer: Leer

Remote-Adresse: Adressen aus Liste

185.118.164.198/32

Lokale Adresse: Beliebig

 

Aktuell ist die KES Firewall deaktiviert und ich vertraue aktuell auf die Windows Firewall.

 

 

Ich bitte dringend um Hilfe und Unterstützung.

 

 

Viele Grüße,

gringo

Posted

das ist ein anderes Modul (Schutz vor Netzwerkangriffen).

Ich würde aber am Server die KSWS (nicht KES) installieren.

Posted

Hallo Gringo,

generell solltest du auf Servern nicht die KES, sondern die KS4WS einsetzen.

https://support.kaspersky.com/de/ksws10

https://support.kaspersky.com/de/ksws11 

Weitere Infos findest du auch hier im Forum.

Link


Dieses Schutzprodukt ist speziell für den Einsatz auf Servern konzipiert. Dabei gilt es zu beachten:

  • Funktionen in Abhängigkeit der Lizenz: https://support.kaspersky.com/de/12784
  • Für KS4WS 10.1.2 ist mind. CriticalFix 11 empfehlenswert (beim Support anfordern).
  • KS4WS 11.0 ist mit CF3, der seit Freitag zur Verfügung steht, bereit für den produktiven Einsatz (beim Support anfordern).
  • KS4WS hat kein eigenes FW-Modul. Über die Richtlinie lässt sich aber die Windows-FW managen, wovon ich aber abraten würde (ist nicht gut gelöst).

Zurück zu deinen Fragen: Die “Blocken Regel” sollte eigentlich greifen. Hier wäre die Frage, wie das in der Richtlinie umgesetzt wurde. Wenn du möchtest, kannst du die Richtline exportieren, zippen und mir schicken. Meine Email-Adresse stelle ich bei Bedarf gerne per PM zur Verfügung.

Private Nachrichten kannst du folgendermaßen schicken:
 


Grüße
Alex

Posted

Herzlichen Dank für Eure Antworten - werde ich heute noch umsetzten!

 

Viele Grüße,

Gringo

Posted

Hallo Gringo,

ich habe mir deine Frage nochmal reingezogen: Eigentlich sollte Traffic von einer öffentlichen IP gar nicht in dein lokales Netz durschlagen. Da ist ja hoffentlich ein Firewall zwischen LAN und WAN.
Würde das auch nochmal zum Anlass nehmen, die Unternehmens-Firewall zu prüfen.

Grüße
Alex

Posted

Hallo Alex,

 

danke fürs nachhaken.

Das stimmt sehr wohl - aber um den Server um den es geht, ist ein Exchange.

Somit muss zum abfragen der Mails ohne VPN ein Port dafür offen sein.

 

Habe erfolgreich auf KS4WS aktualisiert incl CF3.

Trotzdem, wenn ich mich selbst dort mit falschen Logindaten 50 mal am OWA anmelde, block die Firewall nicht.

KSWS verwendet ja die Windows Firewall, sehe ich das richtig?

 

Du bekommst gleich noch eine PN!

 

Viele Grüße,

Steph

  • Solution
Posted

… Trotzdem, wenn ich mich selbst dort mit falschen Logindaten 50 mal am OWA anmelde, block die Firewall nicht...

 

… das ist auch nicht Aufgabe eines EndpointSecurity-Produktes bzw. eines Firewall-Moduls.

Natürlich müssen Exchange und ggf. noch andere Dienste, sprich gewisse Ports, von außen erreichbar sein. Allerdings sollte man das über passende Konfigurationen und Funktionen auf Netzwerkebene fassen: Firewall/UTM, DMZ, Reverse Proxy, …
Gerade für Exchange würde ich einen Reverse Proxy empfehlen, z. B.:

https://kemptechnologies.com/de/reverse-proxy/reverse-proxy/

Potentielle Angriffe von außen werden von einer UTM Firewall weitaus effektiver erkannt und abgewehrt.
Auch erkannte Gefahrenquellen -wie in deinem Fall die externe IP aus den Logs- sollten auf UTM-/Firewall-Ebene geblockt werden, also nicht erst im LAN durch Host-basierte Regeln/Funktionen.
Und: Von außen erreichbare Systeme/Dienste müssen gut gepatcht sein, sprich möglichst frei von Schwachstellen.


Dennoch sollte natürlich die Kaspersky-Firewall funktionieren, wenn eine entsprechende Regel konfiguriert wurde. (bezieht sich auf die KES)
Das kann ich mir gern mal anschauen, Antwort auf PM folgt.

Für KS4WS gilt: Die Windows-Firewall lässt sich über die Richtlinie konfigurieren. Daher sind die Regeln auch hier nicht dynamisch. Ich setze das eigentlich nicht ein - wenn auf einem/den Server(n) hostbasierte Firewall-Einstellungen erforderlich sind, wird das besser per GPO konfiguriert. 
Um Server netzwerktechnisch optimal zu schützen, sollte man die Netze segmentieren. Das gängige 3-Tier-Modell sieht dabei getrennte Netze für Workstations, Server und Domänen-Controller vor. Dazwischen sitzt jeweils die UTM-Firewall mit sehr restriktiven Regeln. Von daher ergibt sich eher selten der Bedarf an einer hostbasierten Firewall-Konfiguration.

Wichtiger Punkt ist eben: Weder die Windows-Firewall, noch ein Endpoint-Security-Produkt können reguläre, aber fehlgeschlagene Anmeldeversuche (falsches PW) an Exchange detektieren und dynamisch per Firewall blocken. 

Grüße
Alex

Guest
This topic is now closed to further replies.


×
×
  • Create New...