Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SBS 2003 FTP-Zugang, WebAccess gegen Brute-Force schützen

Frage Microsoft Windows Server

Mitglied: thomas-se

thomas-se (Level 1) - Jetzt verbinden

28.10.2009, aktualisiert 10:40 Uhr, 6150 Aufrufe, 7 Kommentare

Erstmal Hallo an alle!

Ich verwende seit kurzem zuhause einen SBS 2003. So langsam fitze ich mich da rein und richte ich mir alle möglichen Funktionen ein, die man (ich) gebrauchen könnte. Der Server ist nach außen über eine Dyndns erreichbar, momentan ist FTP und HTTPS geroutet.

Gestern habe ich mir eine FTP-Seite eingerichtet. Der Zugriff ist geschützt über die Active Directory Authentifizierung.
Die Startverzeichnisse und Berechtigungen der Ordner habe ich alle passend gesetzt und es funktioniert auch alles ganz gut.
Heute morgen habe ich im Ereignis-Protokoll tausende Einträge über Anmeldeversuche stehen gehabt:
von 2:19 bis 3:46 Uhr wollte jemand aus Peking sich als Administrator anmelden. Eine Anmeldung ist nicht möglich, da er kein FTP-Startverzeichnis hat. Weiterhin habe ich natürlich auch ein sicheres Passwort verwendet.

Wie kann ich mich vor solchen Brute-Force Angriffen mit "einfachen" Mitteln schützen?

Weiterhin habe ich nun grade Sorge um den OMA und OWA Zugang zu meinen Server bekommen. Kann man die auch gegen Brute-Force Angriffe schützen?

Einen Virenscanner und eine Software-Firewall habe ich nicht, da ich mir diese für private Zwecke nicht kaufen will.
Mitglied: maretz
28.10.2009 um 11:30 Uhr
Moin,

eine Software-FW kann ich ja noch verstehen. Aber du verzichtest auf nen Virenscanner während du nen Server betreibst der öffentlich erreichbar ist? Hmm - ok, halt ich persönlich für zimlich .... ähm... naja... sagen wir ... suboptimal...

Du kannst gegen solche Angriffe nicht viel machen - da du vermutlich nicht die richtige Hardware dafür hast (eine richtige Firewall kann durchaus erkennen das jemand zig Connects auf nen FTP-Server macht - und diese Verbindung dann explizit für den Zeitraum X sperren). Entweder du gibst nen Dienst nach Aussen frei - dann lebe mit den Brute-Force-Angriffen. Oder du gibst den nich frei - dann kommt auch keiner drauf. Du kannst höchstens das ganze versuchen via VPN zu machen -> VPN auf deinen Server weiterleiten (oder nen entsprechenden Router nutzen) und dann darüber die erste Anmeldung laufen lassen... Dann darf man innerhalb des VPNs auch FTP usw. nehmen
Bitte warten ..
Mitglied: thomas-se
28.10.2009 um 11:53 Uhr
Das mit dem Virenschutz und der Firewall erzähle ich ja unseren Kunden auch immer, das ist mir bekannt... ich bin noch auf der Suche nach etwas kostenlosem...

Meine Hardware ist eher bescheiden, der Router ist eine EasyBox A802. Ich werde in diesem mal nachschauen, wie die Intrusion Detection dort funktioniert.

VPN hatte ich sowieso vor, da muss ich aber erstmal sehen, ob ich dafür einen guten Client für meinen Palm finde.

könnte ich die Zugriffberechtigung auf IP-Basis nutzen um ungewollte Benutzer generell fern zu halten?
Man kann ja dort angeben, dass man bestimmte IPs mit den dazugehörigen Subnetzmasken erlauben möchte. Wenn ich hier die gebräuchlichsten Class A der Provider in Deutschland hinzufüge, halte ich mir zumindest ausländische Angreifer fern oder?
Bitte warten ..
Mitglied: maretz
29.10.2009 um 05:57 Uhr
Ähm - fährst du auch im Auto los und kaufst dir die Sicherheitsgurte mal später irgendwann? Nur doof wenns vorher knallt...

Die Idee mit den IPs wird zwar möglicherweise gehen - aber das ist einfach der falsche Ansatz. Ein Angriff kann also nicht aus D kommen? Warum - sitzen hier keine Script-Kiddys am T-Offline-Anschluss zuhause?

Hier hilft eben nur ein vernünftiges Konzept - und nicht irgendwo in der mitte nen bisserl was rumpfuschen... Nur weil dein Auto dann den Sicherheitsgurt im Kofferraum hat bringt er dir als FAHRER immer noch nichts.
Bitte warten ..
Mitglied: thomas-se
29.10.2009 um 10:38 Uhr
Ich wollte diese Frage nicht zu einer Grundsatzdiskussion werden lassen. Mir sind gewisse Prinzipien schon bekannt. Meine Frage ging ja auch eher dahin, obs eine Möglichkeit gibt, die das Betriebssystem schon bietet.
Ich hatte geschrieben "So langsam fitze ich mich da" - damit meinte ich, dass ich mich damit noch nicht auskenne und somit ein Neuling bin, der dabei ist, sich in das System einzuarbeiten.

Ich habe den Clamwin als Virenscanner installiert und lasse täglich komplett durchscannen.

Die Intrusion Detection EasyBox A802 habe ich gestern eingerichtet, nur leider (wie ich es mir schon vorher dachte) funktioniert diese nicht zuverlässig. Heute morgen habe ich wieder einen Besucher im ähnlichen Zeitraum gehabt, diesmal kam er aus Shanghai.

Da das Betriebsystem keine Sicherheitsfunktionen bietet und die EasyBox auch keinen Schutz bietet, benötige ich somit eine andere Schutzeinrichtung. Den Port für den FTP-Zugriff könnte man ja auf einen anderen setzen, damit es nicht so offensichtlich ist.

Eine gute Freeware-Firewall für Server gibts nicht oder?
Somit bleibt mir ja nur noch die Anschaffung einer Hardware-Firewall. Diese würde dann hinter der EasyBox sitzen, da Vodafone nur den Modeminstallationscode preisgibt. Welche Eigenschaften sollte die Firewall besitzen?
Bitte warten ..
Mitglied: maretz
29.10.2009 um 12:00 Uhr
Moin,

ich würde dir hier zu einem "komplett-Paket" raten. Monowall, Shorewall oder z.B. Astaro Security Gateway (nutze ich selbst - mit ner Privatlizenz is die Kostenlos für bis zu 10 Clients). Da hast du dann ne Firewall, Proxy (mit Virenscanner), SMTP/POP-Proxy (inkl. Viren- und Spam-Scanner). Du kannst die in ner VM oder auf einem richtigen Recher installieren - oder dir die entsprechende Hardware direkt von Astaro kaufen (in firmen würde ich immer die HW-Lösung nehmen - haben davon einige im Einsatz, laufen gut... Privat reicht die VM- oder PC-Version).

Damit hast du dann schonmal einen guten Ansatz geschaffen deinen Server RICHTIG zu sichern. Alles andere ist eben leider nur nen bisserl was fürs Auge... (schöne bunte felder die aufpoppen usw...)
Bitte warten ..
Mitglied: thomas-se
30.10.2009 um 09:54 Uhr
Vielen Dank für die Empfehlung!

Ich habe mir gestern den VMWare Server installiert und dort drauf den Astaro Security Gateway eingerichtet. Auf dem ersten Blick macht das einen super Eindruck.
Da es dann heute morgen (selbst für einen Informatiker) etwas zu lange ging, werde ich also heute Abend mir die Firewall genauer anschauen.
Bitte warten ..
Mitglied: thomas-se
04.11.2009 um 21:25 Uhr
Die Firewall ist prima, kann ich auch nur weiterempfehlen. Funktioniert nun alles bestens
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Serverumzug SBS 2003 nach 2012R2 ohne Active Directory (2)

Frage von step777 zum Thema Windows Server ...

Informationsdienste
gelöst FTP-Zugang unter IIS 8 (15)

Frage von jan.eisold zum Thema Informationsdienste ...

Exchange Server
gelöst SBS 2003 und Multisendcon: Mailversand an t-online Adressen funktioniert nicht (11)

Frage von danieluk15 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
RODC über VPN - Verbindung weg (10)

Frage von stefan2k1 zum Thema Windows Server ...