7
SBS 2003 FTP-Zugang, WebAccess gegen Brute-Force schützen
Erstmal Hallo an alle!
Ich verwende seit kurzem zuhause einen SBS 2003. So langsam fitze ich mich da rein und richte ich mir alle möglichen Funktionen ein, die man (ich) gebrauchen könnte. Der Server ist nach außen über eine Dyndns erreichbar, momentan ist FTP und HTTPS geroutet.
Gestern habe ich mir eine FTP-Seite eingerichtet. Der Zugriff ist geschützt über die Active Directory Authentifizierung.
Die Startverzeichnisse und Berechtigungen der Ordner habe ich alle passend gesetzt und es funktioniert auch alles ganz gut.
Heute morgen habe ich im Ereignis-Protokoll tausende Einträge über Anmeldeversuche stehen gehabt:
von 2:19 bis 3:46 Uhr wollte jemand aus Peking sich als Administrator anmelden. Eine Anmeldung ist nicht möglich, da er kein FTP-Startverzeichnis hat. Weiterhin habe ich natürlich auch ein sicheres Passwort verwendet.
Wie kann ich mich vor solchen Brute-Force Angriffen mit "einfachen" Mitteln schützen?
Weiterhin habe ich nun grade Sorge um den OMA und OWA Zugang zu meinen Server bekommen. Kann man die auch gegen Brute-Force Angriffe schützen?
Einen Virenscanner und eine Software-Firewall habe ich nicht, da ich mir diese für private Zwecke nicht kaufen will.
Gestern habe ich mir eine FTP-Seite eingerichtet. Der Zugriff ist geschützt über die Active Directory Authentifizierung.
Die Startverzeichnisse und Berechtigungen der Ordner habe ich alle passend gesetzt und es funktioniert auch alles ganz gut.
Heute morgen habe ich im Ereignis-Protokoll tausende Einträge über Anmeldeversuche stehen gehabt:
von 2:19 bis 3:46 Uhr wollte jemand aus Peking sich als Administrator anmelden. Eine Anmeldung ist nicht möglich, da er kein FTP-Startverzeichnis hat. Weiterhin habe ich natürlich auch ein sicheres Passwort verwendet.
Wie kann ich mich vor solchen Brute-Force Angriffen mit "einfachen" Mitteln schützen?
Weiterhin habe ich nun grade Sorge um den OMA und OWA Zugang zu meinen Server bekommen. Kann man die auch gegen Brute-Force Angriffe schützen?
Einen Virenscanner und eine Software-Firewall habe ich nicht, da ich mir diese für private Zwecke nicht kaufen will.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 128086
Url: https://administrator.de/contentid/128086
Printed on: April 19, 2024 at 12:04 o'clock
7 Comments
Latest comment
Moin,
eine Software-FW kann ich ja noch verstehen. Aber du verzichtest auf nen Virenscanner während du nen Server betreibst der öffentlich erreichbar ist? Hmm - ok, halt ich persönlich für zimlich .... ähm... naja... sagen wir ... suboptimal...
Du kannst gegen solche Angriffe nicht viel machen - da du vermutlich nicht die richtige Hardware dafür hast (eine richtige Firewall kann durchaus erkennen das jemand zig Connects auf nen FTP-Server macht - und diese Verbindung dann explizit für den Zeitraum X sperren). Entweder du gibst nen Dienst nach Aussen frei - dann lebe mit den Brute-Force-Angriffen. Oder du gibst den nich frei - dann kommt auch keiner drauf. Du kannst höchstens das ganze versuchen via VPN zu machen -> VPN auf deinen Server weiterleiten (oder nen entsprechenden Router nutzen) und dann darüber die erste Anmeldung laufen lassen... Dann darf man innerhalb des VPNs auch FTP usw. nehmen
eine Software-FW kann ich ja noch verstehen. Aber du verzichtest auf nen Virenscanner während du nen Server betreibst der öffentlich erreichbar ist? Hmm - ok, halt ich persönlich für zimlich .... ähm... naja... sagen wir ... suboptimal...
Du kannst gegen solche Angriffe nicht viel machen - da du vermutlich nicht die richtige Hardware dafür hast (eine richtige Firewall kann durchaus erkennen das jemand zig Connects auf nen FTP-Server macht - und diese Verbindung dann explizit für den Zeitraum X sperren). Entweder du gibst nen Dienst nach Aussen frei - dann lebe mit den Brute-Force-Angriffen. Oder du gibst den nich frei - dann kommt auch keiner drauf. Du kannst höchstens das ganze versuchen via VPN zu machen -> VPN auf deinen Server weiterleiten (oder nen entsprechenden Router nutzen) und dann darüber die erste Anmeldung laufen lassen... Dann darf man innerhalb des VPNs auch FTP usw. nehmen
Das mit dem Virenschutz und der Firewall erzähle ich ja unseren Kunden auch immer, das ist mir bekannt... ich bin noch auf der Suche nach etwas kostenlosem...
Meine Hardware ist eher bescheiden, der Router ist eine EasyBox A802. Ich werde in diesem mal nachschauen, wie die Intrusion Detection dort funktioniert.
VPN hatte ich sowieso vor, da muss ich aber erstmal sehen, ob ich dafür einen guten Client für meinen Palm finde.
könnte ich die Zugriffberechtigung auf IP-Basis nutzen um ungewollte Benutzer generell fern zu halten?
Man kann ja dort angeben, dass man bestimmte IPs mit den dazugehörigen Subnetzmasken erlauben möchte. Wenn ich hier die gebräuchlichsten Class A der Provider in Deutschland hinzufüge, halte ich mir zumindest ausländische Angreifer fern oder?
Meine Hardware ist eher bescheiden, der Router ist eine EasyBox A802. Ich werde in diesem mal nachschauen, wie die Intrusion Detection dort funktioniert.
VPN hatte ich sowieso vor, da muss ich aber erstmal sehen, ob ich dafür einen guten Client für meinen Palm finde.
könnte ich die Zugriffberechtigung auf IP-Basis nutzen um ungewollte Benutzer generell fern zu halten?
Man kann ja dort angeben, dass man bestimmte IPs mit den dazugehörigen Subnetzmasken erlauben möchte. Wenn ich hier die gebräuchlichsten Class A der Provider in Deutschland hinzufüge, halte ich mir zumindest ausländische Angreifer fern oder?
Ähm - fährst du auch im Auto los und kaufst dir die Sicherheitsgurte mal später irgendwann? Nur doof wenns vorher knallt...
Die Idee mit den IPs wird zwar möglicherweise gehen - aber das ist einfach der falsche Ansatz. Ein Angriff kann also nicht aus D kommen? Warum - sitzen hier keine Script-Kiddys am T-Offline-Anschluss zuhause?
Hier hilft eben nur ein vernünftiges Konzept - und nicht irgendwo in der mitte nen bisserl was rumpfuschen... Nur weil dein Auto dann den Sicherheitsgurt im Kofferraum hat bringt er dir als FAHRER immer noch nichts.
Die Idee mit den IPs wird zwar möglicherweise gehen - aber das ist einfach der falsche Ansatz. Ein Angriff kann also nicht aus D kommen? Warum - sitzen hier keine Script-Kiddys am T-Offline-Anschluss zuhause?
Hier hilft eben nur ein vernünftiges Konzept - und nicht irgendwo in der mitte nen bisserl was rumpfuschen... Nur weil dein Auto dann den Sicherheitsgurt im Kofferraum hat bringt er dir als FAHRER immer noch nichts.
Ich wollte diese Frage nicht zu einer Grundsatzdiskussion werden lassen. Mir sind gewisse Prinzipien schon bekannt. Meine Frage ging ja auch eher dahin, obs eine Möglichkeit gibt, die das Betriebssystem schon bietet.
Ich hatte geschrieben "So langsam fitze ich mich da" - damit meinte ich, dass ich mich damit noch nicht auskenne und somit ein Neuling bin, der dabei ist, sich in das System einzuarbeiten.
Ich habe den Clamwin als Virenscanner installiert und lasse täglich komplett durchscannen.
Die Intrusion Detection EasyBox A802 habe ich gestern eingerichtet, nur leider (wie ich es mir schon vorher dachte) funktioniert diese nicht zuverlässig. Heute morgen habe ich wieder einen Besucher im ähnlichen Zeitraum gehabt, diesmal kam er aus Shanghai.
Da das Betriebsystem keine Sicherheitsfunktionen bietet und die EasyBox auch keinen Schutz bietet, benötige ich somit eine andere Schutzeinrichtung. Den Port für den FTP-Zugriff könnte man ja auf einen anderen setzen, damit es nicht so offensichtlich ist.
Eine gute Freeware-Firewall für Server gibts nicht oder?
Somit bleibt mir ja nur noch die Anschaffung einer Hardware-Firewall. Diese würde dann hinter der EasyBox sitzen, da Vodafone nur den Modeminstallationscode preisgibt. Welche Eigenschaften sollte die Firewall besitzen?
Ich hatte geschrieben "So langsam fitze ich mich da" - damit meinte ich, dass ich mich damit noch nicht auskenne und somit ein Neuling bin, der dabei ist, sich in das System einzuarbeiten.
Ich habe den Clamwin als Virenscanner installiert und lasse täglich komplett durchscannen.
Die Intrusion Detection EasyBox A802 habe ich gestern eingerichtet, nur leider (wie ich es mir schon vorher dachte) funktioniert diese nicht zuverlässig. Heute morgen habe ich wieder einen Besucher im ähnlichen Zeitraum gehabt, diesmal kam er aus Shanghai.
Da das Betriebsystem keine Sicherheitsfunktionen bietet und die EasyBox auch keinen Schutz bietet, benötige ich somit eine andere Schutzeinrichtung. Den Port für den FTP-Zugriff könnte man ja auf einen anderen setzen, damit es nicht so offensichtlich ist.
Eine gute Freeware-Firewall für Server gibts nicht oder?
Somit bleibt mir ja nur noch die Anschaffung einer Hardware-Firewall. Diese würde dann hinter der EasyBox sitzen, da Vodafone nur den Modeminstallationscode preisgibt. Welche Eigenschaften sollte die Firewall besitzen?
Moin,
ich würde dir hier zu einem "komplett-Paket" raten. Monowall, Shorewall oder z.B. Astaro Security Gateway (nutze ich selbst - mit ner Privatlizenz is die Kostenlos für bis zu 10 Clients). Da hast du dann ne Firewall, Proxy (mit Virenscanner), SMTP/POP-Proxy (inkl. Viren- und Spam-Scanner). Du kannst die in ner VM oder auf einem richtigen Recher installieren - oder dir die entsprechende Hardware direkt von Astaro kaufen (in firmen würde ich immer die HW-Lösung nehmen - haben davon einige im Einsatz, laufen gut... Privat reicht die VM- oder PC-Version).
Damit hast du dann schonmal einen guten Ansatz geschaffen deinen Server RICHTIG zu sichern. Alles andere ist eben leider nur nen bisserl was fürs Auge... (schöne bunte felder die aufpoppen usw...)
ich würde dir hier zu einem "komplett-Paket" raten. Monowall, Shorewall oder z.B. Astaro Security Gateway (nutze ich selbst - mit ner Privatlizenz is die Kostenlos für bis zu 10 Clients). Da hast du dann ne Firewall, Proxy (mit Virenscanner), SMTP/POP-Proxy (inkl. Viren- und Spam-Scanner). Du kannst die in ner VM oder auf einem richtigen Recher installieren - oder dir die entsprechende Hardware direkt von Astaro kaufen (in firmen würde ich immer die HW-Lösung nehmen - haben davon einige im Einsatz, laufen gut... Privat reicht die VM- oder PC-Version).
Damit hast du dann schonmal einen guten Ansatz geschaffen deinen Server RICHTIG zu sichern. Alles andere ist eben leider nur nen bisserl was fürs Auge... (schöne bunte felder die aufpoppen usw...)
Vielen Dank für die Empfehlung!
Ich habe mir gestern den VMWare Server installiert und dort drauf den Astaro Security Gateway eingerichtet. Auf dem ersten Blick macht das einen super Eindruck.
Da es dann heute morgen (selbst für einen Informatiker) etwas zu lange ging, werde ich also heute Abend mir die Firewall genauer anschauen.
Ich habe mir gestern den VMWare Server installiert und dort drauf den Astaro Security Gateway eingerichtet. Auf dem ersten Blick macht das einen super Eindruck.
Da es dann heute morgen (selbst für einen Informatiker) etwas zu lange ging, werde ich also heute Abend mir die Firewall genauer anschauen.
Die Firewall ist prima, kann ich auch nur weiterempfehlen. Funktioniert nun alles bestens 
