Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Technisches Problem - Server abschotten

Frage Microsoft Windows Server

Mitglied: Linuxguru

Linuxguru (Level 1) - Jetzt verbinden

09.12.2013 um 15:20 Uhr, 2787 Aufrufe, 15 Kommentare, 1 Danke

Hallo,
ein Server 2003 SBS wird des öfteren von Außen angegriffen. Einem Angreifer ist es gelungen mal rein zu kommen und sich einen eigenen Benutzer anzulegen. Das wurde zwar behoben, allerdings soll es nicht nochmal vorkommen. Mir ist bewusst, daß der erweiterte MS Support für 2003 nicht mehr lange läuft.

Ich möchte gerne den Server besser abschotten. Momentan ist er direkt hinter einer Fritzbox 7390 dran und er soll für einen Benutzer per VPN erreichbar sein. Ich überlege was hier am besten zur Verbesserung der Sicherheit beitragen würde.

Evtl. eine DMZ? Ich habe damit noch keine Erfahrung, wäre aber für günstige Vorschläge offen, es soll nicht gleich noch ein Server hingestellt werden. Es wäre z.B. sowas wie ein Raspberry PI oder ein Router mit VDSL bzw. Gigabit LAN denkbar.
Mitglied: killtec
09.12.2013 um 15:24 Uhr
Hi,
loggt sich denn der Benutzer via VPN ein? Wrauf läuft das VPN, auf den Server oder die Fritzbox?
Hast du "sichere" Administrationskennwörter?

Gruß
Bitte warten ..
Mitglied: Linuxguru
09.12.2013 um 15:46 Uhr
Momentan gibt es noch keinen VPN Benutzer, der soll aber kommen. Es gibt ein sicheres Kennwort für den Admin. Der Angriff ist aber schon einige Monate her. Trotzdem soll sich die Sicherheit natürlich verbessern. Der Server benötigt allerdings unbedingt einen Web Zugriff, da Anfang des Jahres auf gehostetes Exchange umgestellt wurde.
Bitte warten ..
Mitglied: aqui
09.12.2013 um 15:47 Uhr
Wenn er wirklich NUR per VPN erreichbar ist ist er doch hinreichend sicher ! Mal vorausgesetzt das das VPN nicht gerade PPTP basierend ist ?!
Bis du dir sicher das es VPN ist, oder meinst du mit "VPN" nur dummes Port Forwarding auf der Fritzbox, was den einfachen Einbruch dann erklären würde.
Bei einem VPN müsste der Angreifer dann erstmal das IPsec VPN (wenn das VPN über die FB hoffentlich realisiert ist ?!) überwinden um dann Zugriff auf den Server zu erlangen den er dann zusätzlich überwinden müsste.
Leider ist deine Beschreibung an dieser Stelle sehr oberflächlich ?!

Generell ist das ein etwas dilettantischer Aufbau. Mit nur ein ganz klein wenig mehr Professionalität würde man sowas mit einer kleinen Firewall abfrühstücken, die das VPN realisiert und zusätzlich dem VPN User nur die IP Resourcen und Applikationen (Ports) auf dem Server mit einer Accessliste freigibt die er wirklich braucht.
Bitte warten ..
Mitglied: killtec
09.12.2013 um 15:50 Uhr
Hi,
stimme da aqui zu. Was noch ist. das Outlook Web App solltest du nur über SSL (Port 443) laufen lassen.

Gruß
Bitte warten ..
Mitglied: Linuxguru
09.12.2013, aktualisiert um 15:59 Uhr
Es ist aber noch kein VPN realisiert. Bei der Fritzbox sind nur der 3389 und 80-ger Ports weitergeleitet. Sonst nichts. Vermutlich erfolgte der Angiff also über einen dieser beiden Ports, am wahrscheinlichsten über den Port 80.
Bitte warten ..
Mitglied: Lochkartenstanzer
09.12.2013 um 16:26 Uhr
Zitat von killtec:

Hi,
stimme da aqui zu. Was noch ist. das Outlook Web App solltest du nur über SSL (Port 443) laufen lassen.

Outlook-WebApp sollte auch nur über VPN und nicht über Portweiterleitung erreichbar sein. Anonsten kann man sich das schenken.

lks
Bitte warten ..
Mitglied: Ausserwoeger
09.12.2013, aktualisiert um 16:40 Uhr
Hi

Ich würde dir raten ein VPN einzurichten auf deine Fritzbox hin und die Portweiterleitungen abzuschalten.
3389 RDP braucht dann keiner mehr RDP kannst dann einfach über VPN betreiben und Outlook webapp auch.

Was läuft den auf Port 80 nur OWA oder muss auch zugriff für Kunden auf Port 80 gewährleistet sein ?

LG Andy
Bitte warten ..
Mitglied: keine-ahnung
09.12.2013 um 17:46 Uhr
Zitat von Linuxguru:

erfolgte der Angiff also über einen dieser beiden Ports, am wahrscheinlichsten über den Port 80.
Das halte ich für ein Gerücht ... das offene Scheunentor ist der RDP-Port. Wie kann man den offen ins Netz stellen??

LG, Thomas
Bitte warten ..
Mitglied: Lochkartenstanzer
09.12.2013, aktualisiert um 18:52 Uhr
Zitat von Linuxguru:

Es ist aber noch kein VPN realisiert. Bei der Fritzbox sind nur der 3389 und 80-ger Ports weitergeleitet. Sonst nichts. Vermutlich
erfolgte der Angiff also über einen dieser beiden Ports, am wahrscheinlichsten über den Port 80.

Und du wunderst dich, daß der Server "aufgemacht" wurde? RDP weiterzuleiten ist wie eine nicht abgeschlossene Haustür. Jeder darf rein, der sich traut, die Türklinke herunterzudrücken.

lks
Bitte warten ..
Mitglied: aqui
09.12.2013, aktualisiert um 19:24 Uhr
Dem kann man nur zustimmen. Das macht den ganzen Thread eigentlich diletantisch, denn wer wissentlich entweder aus Faulheit oder Dummheit so viele Löcher in seine Firewall bohrt (und die auf der FB ist noch nichtmal eine SPI Firewall) um damit dann ausgerechnet auch noch ein Microsoft OS ontop noch ein altes, im Internet offen zu exponieren muss sich eigentlich nicht wundern. Ein "Guru" eigentlich noch weniger, denn bei ihm nimmt man ja an das er genau weiss was er tut, oder ?!
Fragt man sich wahrlich was dann das VPN dann zusätzlich eigentlich noch soll wenns doch mit RDP auch geht…?!
Dein grundlegendes Problem bei dem Thema ist ein ganz anderes…nämlich ein fehlendes oder dilettantisches grundlegendes Sicherheitskonzept !
Bitte warten ..
Mitglied: Linuxguru
09.12.2013, aktualisiert um 18:46 Uhr
Hast heute Arroganz gefrühstückt oder? Ich darf dich beruhigen, der Server und der Router wurden vor meiner Zeit eingerichtet und nicht von mir. Wurde gebeten etwas zu helfen um es sicherer zu machen. Du solltest erstmal darüber nachdenken, bevor du Leute unberechtigterweise beleidigst denn sonst bist du nichts weiter als ein Troll.
Bitte warten ..
Mitglied: Linuxguru
09.12.2013 um 18:45 Uhr
Allerdings ist es zur Zeit nicht offen. Ich kann nicht sagen ob es damals - bei dem Angriff auf war oder geschlossen. Das ist das Problem. Der Port 80 ist für owa, es läuft kein Webserver.
Bitte warten ..
Mitglied: aqui
09.12.2013 um 19:22 Uhr
Wer in die Küche geht sollte eigentlich ein wenig Hitze abkönnen und nicht gleich die beleidigte Leberwurst spielen wenns mal etwas rauher wird. Gleiches gilt auch für ein Forum. Mit vorsätzlicher Beleidigung hat das auch nichts zu tun, den Schuh hast du dir selber angezogen.
OK zurück zum eigentlichen Problem.
TCP 80 ist nicht notwendig für OWA denn wie oben bereits mehrfach angemerkt sollte man den komplett auf TCP 443 legen. Aber auch das ist wieder Frickeln und Löcher bohren auf Kosten der Serversicherheit.
Was hintert dich dadran den ganzen Quatsch des unsäglichen Port Forwarding abzuschalten und nur VPN zu benutzen (das dann auf der FB) wie es sein sollte. OK als kleines Zugeständnis vielleicht einzig OWA auf 443 öffnen damit die iPhone Nutzer, Androiden und mobilen Laptops nicht verrückt spielen.
Bitte warten ..
Mitglied: Alchimedes
09.12.2013 um 21:51 Uhr
Hallo,

den 2003 Server kannst Du nicht mehr absichern das ist ne Totgeburt, nur den Zugriff auf diesen.
Eine DMZ ,richtig eingerichtet , sichert die anderen Netzwerksegmente und ist schnell realisiert, als Linuxguru weisst Du das ja.

Von Aussen sollten keine Ports erreichbar/sichtbar sein, da gerade 3389 ein Geschenk an die Schwachsinnigen da draussen ist.

Sondern hier rigoros über VPN arbeiten, DMZ einrichten , schon sieht die Welt besser aus.
Die Fritzmoehre kann VPN, dahinter z.b einen Linksys 54 GL mit dd-wrt oder openwrt, hier entsprechend die Netzwerke aufteilen, (Selbst das WLAN kann man so
konfigurieren das es einen eigenen Netzbereich bekommt) und Ende aus Mickymaus.

http://wiki.openwrt.org/doc/howto/dmz

Gruss
Bitte warten ..
Mitglied: spacyfreak
10.12.2013, aktualisiert um 09:35 Uhr
Zur "Sicherheit beim remote access" gehört neben starker Verschlüsselung von Punkt-zu-Punkt auch eine starke Authentisierung - das ist viel wichtiger als akademische Diskussionen ob man AES oder 3DES nehmen soll im VPN.

Man kann ja verschlüsseln wie man will - wenn nur via Benutzername/Kennwort angemeldet wird hat man immer das latente Risiko dass ein Keylogger das mitliest.
Dem kann man wiederum entgegenwirken indem man nicht von "überall" VPN auf den Server zulässt, beispielsweise wenn der eine Anwender stets von demselben Netz aus zugreift (zb zu Hause) dann könnte man den Zugriff per VPN auf diese IP einschränken, sodass einer der das Kennwort mitgelesen hat dennoch nicht zugreifen kann weil er halt eine andere öff. IP hat, die eben nicht freigeschaltet ist für den Zugriff.

Ansonsten gibts Clientzertifikats-Authentisierung, RSA SecurID Tokens und sowas nicht "aus Langeweile" sondern um genau das zu verhindern.
Aber Server an ner Fritzbox und VPN - das klingt irgendwie alles wenig verheissungsvoll unter professionellen Gesichtspunkten.
ich würd da ne richtige Firewall hinstellen (zb Sophos UTM oder Cisco ASA) und da das VPN hin verlagern (benutzt Clientzertifikate).
Alternativ kann man eventuell auf VPN verzichten und per RDP auf den Server zugreifen je nachdem was man genau erwartet.
Den RDP Port kann man auch (optional) herrlich verbiegen in der Registry zb auf einen Port der eher unwahrscheinlich von einem Angreifer gescannt wird, sagen wir TCP10987, was nicht bombensicher ist, aber eine feindl. Übernahme doch etwas unwahrscheinlicher macht, zusätzlich zu anderen Sicherungsmassnahmen).
RDP verschlüsselt auch und kann auch via SSL zusätzlich geschützt werden - Problem der Authentisierung via Benutzername/Kennwort ist da aber genauso gegeben.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
Problem mit Windows Server 2012 R2 (MSConfig - Systemstart Modus) (3)

Frage von FloFMS zum Thema Windows Server ...

Windows Server
gelöst Etwas schräges Problem im TCPIP (Windows Server) (8)

Frage von emeriks zum Thema Windows Server ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (10)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...