Light Geschrieben 28. Oktober 2009 Geschrieben 28. Oktober 2009 Halli Hallo, Ich hab da mal ein Problem :confused: Ich soll es hinbekommen das unser Server auf Arbeit nicht mehr auf einen ping antwortet, aber trozdem erreichbar bleibt. Ich hab schon rumgesucht und auch etwas gefunden. iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP Ich weiß das klingt jetzt vielleicht etwas doof aber... wie benutzt man iptables und kann ich mit dem Code da oben wirklich die pinganfrage stoppen? Also ich mein das sieht ja mal net schwer aus, alle Anfragen und Antworten werden genommen und kommen dadurch nicht raus (wenn ich es richtig verstanden hab) Wäre nett wenn mir jemand erklären könnte wie das mit dem iptable funzt (weis ja net ob das als batch klappt...) Zitieren
Light Geschrieben 28. Oktober 2009 Autor Geschrieben 28. Oktober 2009 Hab noch etwas vergessen: - Also es ist ein Windows Web-Server - als Firewall läuft nur die Windows Firewall - wie oben schon gesagt, soll nur die Pingantwort nterdückt werden aber die Website trozdem erreichbar bleiben. So ich glaub das wars erstmal Zitieren
lordy Geschrieben 28. Oktober 2009 Geschrieben 28. Oktober 2009 Dir ist aber schon bewußt, das iptables für LINUX ist ?! Zitieren
afo Geschrieben 28. Oktober 2009 Geschrieben 28. Oktober 2009 Ein ping ist eine ICMP Echo Anfrage. Die Antwort ist ein ICMP Echo Reply. Windows hat eine eingebaute "Firewall" die sich ziemlich umfangreich konfigurieren lässt. Aber nicht auf Pings zu antworten ist ziemlich 90er Jahre... Zitieren
@@@ Geschrieben 28. Oktober 2009 Geschrieben 28. Oktober 2009 Gut über den Sinn und Unsinn einer solchen Aktion kann man streiten, aber das lass ich an dieser Stelle mal Unter Linux würdest das btw. nicht über ne Firewall machen wollen, sondern eher so: echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all Zitieren
Light Geschrieben 28. Oktober 2009 Autor Geschrieben 28. Oktober 2009 (bearbeitet) Sorry das mit dem iptable hab ich vorhin selber noch rausgefunden. Aber gibts sowas nicht irgendwie auch für Windows bzw. was wäre ne gute allternative? Hab viel über Ports sperren gelesen usw. aber so wirklich schlauer bin ich duch google und wikipedia auch nicht gewurden. Hat jemand ne gute Lösung :mod: "Chef hat gerade gesagt: Es ist ein Windows 2000 mit ms-ftp oder so Naja gestern hat irgendjemand im 2 Sekundentakt über den FTP Port pinganfragen geschickt und das warscheinlich ziemlich lange" Gruß Light Bearbeitet 28. Oktober 2009 von Light Zitieren
Light Geschrieben 28. Oktober 2009 Autor Geschrieben 28. Oktober 2009 Sorry das mit dem iptable hab ich vorhin selber noch rausgefunden. Aber gibts sowas nicht irgendwie auch für Windows bzw. was wäre ne gute allternative? Hab viel über Ports sperren gelesen usw. aber so wirklich schlauer bin ich duch google und wikipedia auch nicht gewurden. Hat jemand ne gute Lösung :mod: "Chef hat gerade gesagt: Es ist ein Windows 2000 mit ms-ftp oder so Naja gestern hat irgendjemand im 2 Sekundentakt über den FTP Port pinganfragen geschickt und das warscheinlich ziemlich lange" Gruß Light OK OK OK STOP STOP STOP Also hab nochmal mit Chef geredet und es sieht sooo aus: Der angreifer hat über den Ping nur rausgefunden das ein Pc/Server da ist und dann über ein Anmeldescript versucht sich über den FTP Port bei uns einzuloggen. Das Problem ist aber weiterhin das der Server nicht auf einen Ping antworten soll. Zitieren
flashpixx Geschrieben 28. Oktober 2009 Geschrieben 28. Oktober 2009 Der angreifer hat über den Ping nur rausgefunden das ein Pc/Server da ist und dann über ein Anmeldescript versucht sich über den FTP Port bei uns einzuloggen. Das ist völlig sinnlos, denn wenn ich mir schon die Mühe mache Server zu suchen, werde ich sicher einen Portscan ohne Ping machen und auch so sehr schnell herausfinden, dass ihr einen FTP betreibt. Das Problem ist aber weiterhin das der Server nicht auf einen Ping antworten soll. Ein soll sollte auf ein ICMP Paket antworten, nur ihr sollten den Dienst schützen. Wer FTP einsetzt handelt meines Erachtens grob fahrlässig, da die Authentifizierungsdaten unverschlüsselt über das Netz gehen. Wenn solltet ihr sFTP einsetzen und wenn ihr den FTP Dienst "unsichtbar" machen wollt, ihn an einen anderen Port als den Standardport binden bzw einen Knocking Dämon betreiben Zitieren
shrek2k1 Geschrieben 28. Oktober 2009 Geschrieben 28. Oktober 2009 Hi, portknocking ist meines erachtens nur auf *nix und linux Systemen realiserbar. Unter Windows Sytemen geht das über die ******* Firewall, falls ich mich nicht irre! Systemsteuerung > Windows Firewall > Erweitert > ICMP (bin mir aber nicht ganz sicher) mfg shrek Zitieren
lupo49 Geschrieben 28. Oktober 2009 Geschrieben 28. Oktober 2009 Hier mal lesen: Configuring ICMP Settings Dein Chef sollte sich evt. (noch einmal) in die Grundlagen von Netzwerkadministration einlesen. Zitieren
hades Geschrieben 28. Oktober 2009 Geschrieben 28. Oktober 2009 Es bringt null Punkte icmp echo request/reply (ping) zu unterdruecken. Frueher war das mal sinnvoll, da einige ICMP-Implementationen Probleme mit speziell praeparierten ICMP-Paketen hatten. Ein Portscan ist schnell durchgefuehrt und dann sieht man auch, dass dort ein FTP-Server auf dem Standardport lauscht. Womoeglich sieht man anhand des FTP-Banners auch noch welche Windowsversion und welche FTP-Server Version eingesetzt werden. Dann ist es ein Leichtes, speziell fuer diese Versionen existierende Exploits zu benutzen und den Server zu kompromittieren. Stellt Euch mal die Frage wofuer Ihr den FTP braucht und ob nicht sichere FTP-Alternativen (scp, ssh ftp, ftps) fuer Euren Verwendungszweck besser geeignet sind. Dann solltet Ihr auch mal ueberlegen, das museumsreife Windows 2000 durch ein neueres System zu ersetzen. Windows 2000 wird ab 13.07.2010 aus dem Support von MS komplett rausgenommen. Ab da wird es keine Windows-Updates mehr fuer Windows 2000 geben. Zitieren
hades Geschrieben 28. Oktober 2009 Geschrieben 28. Oktober 2009 Windows hat eine eingebaute "Firewall" die sich ziemlich umfangreich konfigurieren lässt. Das hier verwendete Windows 2000 hat keine eingebaute Windows Firewall. Diese gibt es erst bei Server 2003 (bzw. bei den Clientversionen ab Windows XP). Zitieren
men2work Geschrieben 28. Oktober 2009 Geschrieben 28. Oktober 2009 port knocking ist völlig unabhängig von betriebssystem...ist eine stinknormale client <> server anwendung...das hat also absolut nichts mit der eingebauten oder nicht eingebauten firewall zu tun. server lauscht...client sendet...server öffnet port PORTKNOCKING - A system for stealthy authentication across closed ports. : IMPLEMENTATIONS : implementations über icmp blocken brauchen wir garnicht reden...am besten noch icmp komplett sperren...und sich dann spätestens bei ipv6 wundern das garnichts mehr kommt. ----------------------------------------------------------------------------- im grossen und ganzen ist das prinzip doch total einfach...server dienst anbieten und wissen das er funktioniert und kein risiko darstellt ODER keinen server dienst anbieten. icmp sperren ist ähnlich schwachsinnig wie den port zu verlegen Security through obscurity ? Wikipedia Zitieren
afo Geschrieben 29. Oktober 2009 Geschrieben 29. Oktober 2009 @hades Zum zeitpunkt meiner Antwort hatte der Op diese Information leider noch nicht offenbart. Vielmehr hatte er soagr geschrieben, daß die Windows "Firewall" läuft. Insgesamt halte ich es auch für Sinnvoll von Win2000 wegzukommen. Spätestens mit den IIS 7 stellt auch Microsoft einen sicheren Weg über FTPS (oder FTPES) bereit. Da hat man auch gleich noch die Authentifizierung per Active Directory. Da kann man dann spezielle User für FTP anlegen und hat eigentlich eine ziemlich saubere Lösung. Vor allem, wenn der Server hauptsächlich für die eigene Belegschaft ist. Ansonsten kann es denke ich mit den CALs unübersichtlich werden. Ansonsten kann der FileZilla Server zum Beispiel auch FTPS. Oder man setzt eine spezielle Unixbox auf und hat dann eh alle Möglichkeiten. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.