Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SBS 2003 FTP-Zugang, WebAccess gegen Brute-Force schützen

Frage Microsoft Windows Server

Mitglied: thomas-se

thomas-se (Level 1) - Jetzt verbinden

28.10.2009, aktualisiert 10:40 Uhr, 6175 Aufrufe, 7 Kommentare

Erstmal Hallo an alle!

Ich verwende seit kurzem zuhause einen SBS 2003. So langsam fitze ich mich da rein und richte ich mir alle möglichen Funktionen ein, die man (ich) gebrauchen könnte. Der Server ist nach außen über eine Dyndns erreichbar, momentan ist FTP und HTTPS geroutet.

Gestern habe ich mir eine FTP-Seite eingerichtet. Der Zugriff ist geschützt über die Active Directory Authentifizierung.
Die Startverzeichnisse und Berechtigungen der Ordner habe ich alle passend gesetzt und es funktioniert auch alles ganz gut.
Heute morgen habe ich im Ereignis-Protokoll tausende Einträge über Anmeldeversuche stehen gehabt:
von 2:19 bis 3:46 Uhr wollte jemand aus Peking sich als Administrator anmelden. Eine Anmeldung ist nicht möglich, da er kein FTP-Startverzeichnis hat. Weiterhin habe ich natürlich auch ein sicheres Passwort verwendet.

Wie kann ich mich vor solchen Brute-Force Angriffen mit "einfachen" Mitteln schützen?

Weiterhin habe ich nun grade Sorge um den OMA und OWA Zugang zu meinen Server bekommen. Kann man die auch gegen Brute-Force Angriffe schützen?

Einen Virenscanner und eine Software-Firewall habe ich nicht, da ich mir diese für private Zwecke nicht kaufen will.
Mitglied: maretz
28.10.2009 um 11:30 Uhr
Moin,

eine Software-FW kann ich ja noch verstehen. Aber du verzichtest auf nen Virenscanner während du nen Server betreibst der öffentlich erreichbar ist? Hmm - ok, halt ich persönlich für zimlich .... ähm... naja... sagen wir ... suboptimal...

Du kannst gegen solche Angriffe nicht viel machen - da du vermutlich nicht die richtige Hardware dafür hast (eine richtige Firewall kann durchaus erkennen das jemand zig Connects auf nen FTP-Server macht - und diese Verbindung dann explizit für den Zeitraum X sperren). Entweder du gibst nen Dienst nach Aussen frei - dann lebe mit den Brute-Force-Angriffen. Oder du gibst den nich frei - dann kommt auch keiner drauf. Du kannst höchstens das ganze versuchen via VPN zu machen -> VPN auf deinen Server weiterleiten (oder nen entsprechenden Router nutzen) und dann darüber die erste Anmeldung laufen lassen... Dann darf man innerhalb des VPNs auch FTP usw. nehmen
Bitte warten ..
Mitglied: thomas-se
28.10.2009 um 11:53 Uhr
Das mit dem Virenschutz und der Firewall erzähle ich ja unseren Kunden auch immer, das ist mir bekannt... ich bin noch auf der Suche nach etwas kostenlosem...

Meine Hardware ist eher bescheiden, der Router ist eine EasyBox A802. Ich werde in diesem mal nachschauen, wie die Intrusion Detection dort funktioniert.

VPN hatte ich sowieso vor, da muss ich aber erstmal sehen, ob ich dafür einen guten Client für meinen Palm finde.

könnte ich die Zugriffberechtigung auf IP-Basis nutzen um ungewollte Benutzer generell fern zu halten?
Man kann ja dort angeben, dass man bestimmte IPs mit den dazugehörigen Subnetzmasken erlauben möchte. Wenn ich hier die gebräuchlichsten Class A der Provider in Deutschland hinzufüge, halte ich mir zumindest ausländische Angreifer fern oder?
Bitte warten ..
Mitglied: maretz
29.10.2009 um 05:57 Uhr
Ähm - fährst du auch im Auto los und kaufst dir die Sicherheitsgurte mal später irgendwann? Nur doof wenns vorher knallt...

Die Idee mit den IPs wird zwar möglicherweise gehen - aber das ist einfach der falsche Ansatz. Ein Angriff kann also nicht aus D kommen? Warum - sitzen hier keine Script-Kiddys am T-Offline-Anschluss zuhause?

Hier hilft eben nur ein vernünftiges Konzept - und nicht irgendwo in der mitte nen bisserl was rumpfuschen... Nur weil dein Auto dann den Sicherheitsgurt im Kofferraum hat bringt er dir als FAHRER immer noch nichts.
Bitte warten ..
Mitglied: thomas-se
29.10.2009 um 10:38 Uhr
Ich wollte diese Frage nicht zu einer Grundsatzdiskussion werden lassen. Mir sind gewisse Prinzipien schon bekannt. Meine Frage ging ja auch eher dahin, obs eine Möglichkeit gibt, die das Betriebssystem schon bietet.
Ich hatte geschrieben "So langsam fitze ich mich da" - damit meinte ich, dass ich mich damit noch nicht auskenne und somit ein Neuling bin, der dabei ist, sich in das System einzuarbeiten.

Ich habe den Clamwin als Virenscanner installiert und lasse täglich komplett durchscannen.

Die Intrusion Detection EasyBox A802 habe ich gestern eingerichtet, nur leider (wie ich es mir schon vorher dachte) funktioniert diese nicht zuverlässig. Heute morgen habe ich wieder einen Besucher im ähnlichen Zeitraum gehabt, diesmal kam er aus Shanghai.

Da das Betriebsystem keine Sicherheitsfunktionen bietet und die EasyBox auch keinen Schutz bietet, benötige ich somit eine andere Schutzeinrichtung. Den Port für den FTP-Zugriff könnte man ja auf einen anderen setzen, damit es nicht so offensichtlich ist.

Eine gute Freeware-Firewall für Server gibts nicht oder?
Somit bleibt mir ja nur noch die Anschaffung einer Hardware-Firewall. Diese würde dann hinter der EasyBox sitzen, da Vodafone nur den Modeminstallationscode preisgibt. Welche Eigenschaften sollte die Firewall besitzen?
Bitte warten ..
Mitglied: maretz
29.10.2009 um 12:00 Uhr
Moin,

ich würde dir hier zu einem "komplett-Paket" raten. Monowall, Shorewall oder z.B. Astaro Security Gateway (nutze ich selbst - mit ner Privatlizenz is die Kostenlos für bis zu 10 Clients). Da hast du dann ne Firewall, Proxy (mit Virenscanner), SMTP/POP-Proxy (inkl. Viren- und Spam-Scanner). Du kannst die in ner VM oder auf einem richtigen Recher installieren - oder dir die entsprechende Hardware direkt von Astaro kaufen (in firmen würde ich immer die HW-Lösung nehmen - haben davon einige im Einsatz, laufen gut... Privat reicht die VM- oder PC-Version).

Damit hast du dann schonmal einen guten Ansatz geschaffen deinen Server RICHTIG zu sichern. Alles andere ist eben leider nur nen bisserl was fürs Auge... (schöne bunte felder die aufpoppen usw...)
Bitte warten ..
Mitglied: thomas-se
30.10.2009 um 09:54 Uhr
Vielen Dank für die Empfehlung!

Ich habe mir gestern den VMWare Server installiert und dort drauf den Astaro Security Gateway eingerichtet. Auf dem ersten Blick macht das einen super Eindruck.
Da es dann heute morgen (selbst für einen Informatiker) etwas zu lange ging, werde ich also heute Abend mir die Firewall genauer anschauen.
Bitte warten ..
Mitglied: thomas-se
04.11.2009 um 21:25 Uhr
Die Firewall ist prima, kann ich auch nur weiterempfehlen. Funktioniert nun alles bestens
Bitte warten ..
Ähnliche Inhalte
Linux
gelöst Error bei brute-force (KaliLinux) (7)

Frage von Yaron8008 zum Thema Linux ...

Batch & Shell
gelöst Batch-Script für FTP-Zugang lässt sich nicht als Admin ausführen (5)

Frage von Bobstarlet zum Thema Batch & Shell ...

Exchange Server
gelöst SBS 2003 Exchange deaktiviert - E-Mail-Versand untereinander funktioniert nicht (3)

Frage von Wirdnoch zum Thema Exchange Server ...

Windows Server
öffentlicher kalender bei sbs 2003 exchange (5)

Frage von jensgebken zum Thema Windows Server ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Windows Systemdateien
NTFS und die Defragmentierung (25)

Frage von WinLiCLI zum Thema Windows Systemdateien ...

Windows Server
WIndows Server 2016 core auf dem Intel NUC NUC5i5RYK i5 5250U (17)

Frage von IxxZett zum Thema Windows Server ...

LAN, WAN, Wireless
Zwei Subnetze mit je eigenem Router und Internetzugang verbinden (17)

Frage von hannsgmaulwurf zum Thema LAN, WAN, Wireless ...