JasminScholz Geschrieben 18. Februar 2002 Geschrieben 18. Februar 2002 Hallo! Habe das problem, dass ich begründen muss, dass der IIS von Microsoft nicht sicher ist bezüglich der Abschottung mit einer Firewall gegen externe. Thema: Angriffe auf Microsoft IIS and so. Kann mir jemand sagen, wie ich da an Fakten komme, die ich in meiner Arbeit verwenden kann? Danke! Zitieren
lapso Geschrieben 18. Februar 2002 Geschrieben 18. Februar 2002 Original geschrieben von JasminScholz Hallo! Habe das problem, dass ich begründen muss, dass der IIS von Microsoft nicht sicher ist bezüglich der Abschottung mit einer Firewall gegen externe. Thema: Angriffe auf Microsoft IIS and so. Kann mir jemand sagen, wie ich da an Fakten komme, die ich in meiner Arbeit verwenden kann? Microsoft Security Bulletin abonnieren Im ernst hab ich keine infos, sorry. Aber so extrem unsicher wie viele meinen zu wissen ist er auch nicht unbedingt. Gruss Matze Zitieren
k2-fly Geschrieben 19. Februar 2002 Geschrieben 19. Februar 2002 Hallo such einfach mal nach >code red virus< Der hat doch irgendwie alle möglichen Scherheitslücken im IIS ausgenutzt hier die erste seite, als ich auf google gesucht habe(es gibt echt fett viel) http://www.abraxas.ch/inside/codeRed/code_red.htm Zitieren
lapso Geschrieben 20. Februar 2002 Geschrieben 20. Februar 2002 Original geschrieben von k2-fly Hallo such einfach mal nach >code red virus< Der hat doch irgendwie alle möglichen Scherheitslücken im IIS ausgenutzt Code Red war nie eine Gefahr für den IIS, so man ihn denn korrekt administriert hat Ich finde es überhaupt unglaublich, dass man etwas begründen soll, was nicht Fakt ist. Was für ein Ziel verfolgt eine solche Aufgabenstellung? Grüße Matze Zitieren
k2-fly Geschrieben 20. Februar 2002 Geschrieben 20. Februar 2002 Naja, ich weis nicht ob deine Behauptung so rihtig ist, schliesslich wurden ja wirklich einige IIS befallen. Selbst wenn alle diese Administratoren "zu blöd" waren, hätte M$, meiner Meinung nach, diese ganzen Türen nicht offen stehen lassen sollen. Beim IIS ist es ja so, dass dort erstmal alle Türen aufstehen und der Admin sie von Hand zumachen muss, super schlechtes System!!! Die meisten(sogar Freeware) arbeiten andersherum, es ist alles geschlossen und ich muss öffnen was ich brauche, ist doch wirklich sinnvoller, oder? PS: EIn Kollege hat gerade gemeint dass es sehr wohl Sicherheitslücken im IIS gab/gibt die nicht mit der Einstellung zu haben, sondern nur durch einen M$ Patch behoben werden können. Zitieren
lapso Geschrieben 20. Februar 2002 Geschrieben 20. Februar 2002 Original geschrieben von k2-fly Naja, ich weis nicht ob deine Behauptung so rihtig ist, schliesslich wurden ja wirklich einige IIS befallen. Nun ist es aber so, dass die betroffenen IIS falsch oder gar nicht (was naheliegt) administriert wurden. Das kann also mit jeder Software passieren, so denn ein Sicherheitsloch in ihr entdeckt wird. Selbst wenn alle diese Administratoren "zu blöd" waren, hätte M$, meiner Meinung nach, diese ganzen Türen nicht offen stehen lassen sollen. Das Code Red-Loch war keine offene Tür, sondern ein Bug. Die Administratoren waren nicht einfach "zu blöd" sondern haben ihren Job sträflich vernachlässigt - oder es gab sie schlichtweg gar nicht. Beim IIS ist es ja so, dass dort erstmal alle Türen aufstehen und der Admin sie von Hand zumachen muss, super schlechtes System!!! Du kennst ganz offensichtlich den IIS nicht aus eigener Erfahrung. Welche Türen meinst Du denn? Die meisten(sogar Freeware) arbeiten andersherum, es ist alles geschlossen und ich muss öffnen was ich brauche, ist doch wirklich sinnvoller, oder? ??? Wenn ich Apache installiere, so serviert der mir sofort nach dem Start eine Website, d.h. eine "Tür" ist bereits offen, ohne dass ich sie explizit geöffnet hätte. Genauso ist es im IIS auch. PS: EIn Kollege hat gerade gemeint dass es sehr wohl Sicherheitslücken im IIS gab/gibt die nicht mit der Einstellung zu haben, sondern nur durch einen M$ Patch behoben werden können. Natürlich. Das ist bei vielen Anwendungen so. Bugs sind doch nichts ungewöhnliches, sondern normal. Wenn man einen IIS fährt, muss man diesen natürlich auch administrieren, das heißt: Service Packs und Security Fixes einspielen. Das Heißt auch: Microsoft Security Bulletin abonnieren und lesen. Vernachlässigt man das fahrlässigerweise, so hat man ein Problem - das gilt uneingeschränkt für jeden Server. See Bugtraq. Grüße Matze Zitieren
k2-fly Geschrieben 20. Februar 2002 Geschrieben 20. Februar 2002 Fakt ist aber 1. Wollte der Initiator des Threads wissen welche Bugs der IIS hat 2. Ich hab nur gesagt was ich so gelesen habe Ok, ich geb mich ja geschlagen, ich kenne den IIS wirklich nicht, ich habe nur den Tomcat und den Apache bei mir laufen. Also dann Ciao Zitieren
lapso Geschrieben 20. Februar 2002 Geschrieben 20. Februar 2002 Original geschrieben von k2-fly Fakt ist aber 1. Wollte der Initiator des Threads wissen welche Bugs der IIS hat Und dazu hab ich gesagt, dass mir keine bekannt sind, da alles gepatcht ist. Es ging ja auch um IIS hinter Firewall - kling so wie: Meine Firewall ist mies, deswegen schiebe ich alle ihre Angriffpunkte dem IIS in die Schuhe. So klang die Frage des "Initiators" IMHO. Eben das typische, undifferenzierte und unqualifizierte Rumgehacke auf Microsoft. 2. Ich hab nur gesagt was ich so gelesen habe "Microsoft ist schlecht" Ok, ich geb mich ja geschlagen, ich kenne den IIS wirklich nicht, ich habe nur den Tomcat und den Apache bei mir laufen. Ich leider alle drei. Wobei ich sagen muss, dass die Administration des IIS wesentlich komfortabler und vor allem übersichtlicher ist als die von Apache/Tomcat. Und mir ist durchaus bewußt, dass es bei kommandozeilenbasierten Admin-Tools wahrscheinlicher ist, Fehler zu machen, die sicherheitskritisch sind. Und last but not least: 100%-ige Sicherheit gibt es nicht, auch und erst recht nicht bei "LAMP". Gruss Matze Zitieren
k2-fly Geschrieben 20. Februar 2002 Geschrieben 20. Februar 2002 Alles klar Matze, ich seh wir verstehen uns :OD :OD :OD :OD Zitieren
timmi-bonn Geschrieben 22. Februar 2002 Geschrieben 22. Februar 2002 Original geschrieben von lapso Code Red war nie eine Gefahr für den IIS, so man ihn denn korrekt administriert hat Ich finde es überhaupt unglaublich, dass man etwas begründen soll, was nicht Fakt ist. Was für ein Ziel verfolgt eine solche Aufgabenstellung? Hallo lapso, zunächst einmal sollte es Dir zu denken geben, daß große Konzerne (z.B. Deutsche Bank) den Einsatz von IIS aus Sicherheitsbedenken heraus konzernweit (d.h. weltweit) verboten haben und unter enormem finanziellen Aufwand Alternativen gesucht und installiert haben. "So man ihn denn korrekt administriert hat" ... ;-)) Was heißt denn "korrekt", wenn der zuständige Administrator laufend neue Patches einspielen muß(te), um die Sicherheit zu gewährleisten? Die Patches resultier(t)en fast alle aus erfolgreichen Einbrüchen in IIS basierte Systeme. D.h, das System war vor jedem Einspielen des aktuellen Patches unsicher. Wer will das verantworten?!? Glaube mir, bei Summen, die 7-stellig (und höher) sind, wird bei jeder Firma 3-mal überlegt, ob sich dieser finanzielle Aufwand nicht vielleicht doch irgendwie vermeiden läßt. gruß, timmi Zitieren
lapso Geschrieben 22. Februar 2002 Geschrieben 22. Februar 2002 Original geschrieben von timmi-bonn zunächst einmal sollte es Dir zu denken geben, daß große Konzerne (z.B. Deutsche Bank) den Einsatz von IIS aus Sicherheitsbedenken heraus konzernweit (d.h. weltweit) verboten haben und unter enormem finanziellen Aufwand Alternativen gesucht und installiert haben. Das ist Unternehmenspolitik-ob die sich nur am Kriterium "Sicherheit" aufhängt, lassen wir mal dahin gestellt. Es gibt auch andere sehr große Unternehmen, die durchweg MS-Produkte einsetzen, weltweit. Was heißt denn "korrekt", wenn der zuständige Administrator laufend neue Patches einspielen muß(te), um die Sicherheit zu gewährleisten? Es sind zwar mehr Patches als bei anderen Produkten, aber auch dort existiert genau dieselbe Problematik. Jedes System muss im Lauf der Zeit angepaßt werden. Oder glaubst Du etwa, dass ein zwei jahre altes Linux mit dem Apache und sendmail, möglichst noch in Standardkonfiguration und vielen Veränderungen, von damals heute noch als sicher gelten würde? Ich hoffe inständigst nicht. Die Patches resultier(t)en fast alle aus erfolgreichen Einbrüchen in IIS basierte Systeme. D.h, das System war vor jedem Einspielen des aktuellen Patches unsicher. Wer will das verantworten?!? Jedes System ist latent unsicher. Die Sicherheitslücken werden bei jeder closed-source-Software größenteils auf dese Art bekannt. Wenn wir nur auf Webserver abstellen, dann schau doch mal auf defaced.alldas.de, was täglich so alles passiert. Windows-Systeme sind zwar in der Überzahl, aber auch Solaris, Linux, BSD und AIX sind keineswegs vor Angriffen gefeit. Glaube mir, bei Summen, die 7-stellig (und höher) sind, wird bei jeder Firma 3-mal überlegt, ob sich dieser finanzielle Aufwand nicht vielleicht doch irgendwie vermeiden läßt. Welche Summe meinst du nun, ist mir nicht ganz klar. Eine IIS-Farm administrieren kostet Millionen? Mir ist klar, dass der IIS nicht immer die zu bevorzugende Lösung ist, vor allem in sensiblen Bereichen (Finanz, Medizin, Recht...). Was mir aber nicht klar ist, da muss ich nochmal auf den Thread-Initiator zurückkommen, ist die Aufgabenstellung "erkläre warum der IIS zwingend unsicher ist". Das ist doch nicht normal; normal wäre:"Vergleichen Sie Webserver, vor allem die Sicherheit betreffend". Das ist es, was mich störte. Grüße Matze Zitieren
timmi-bonn Geschrieben 22. Februar 2002 Geschrieben 22. Februar 2002 Original geschrieben von lapso Welche Summe meinst du nun, ist mir nicht ganz klar. Eine IIS-Farm administrieren kostet Millionen? Hallo Matze, die konzern-, d.h. welt-weite Umstellung einer solchen zentralen Komponente wie IIS ist nicht vergleichbar mit dem Wechsel eines Programmes im LAN oder auf einem Einzeloplatzrechner. Hier muß zeitlich koordiniert geplant werden; Standards müssen neu definiert und dokumentiert werden, Schnittstellen und Interferenzen müssen untersucht werden; (z.B. eCommerce, ASP / JSP) usw...usw... Alleine der administrative Aufwand hierfür liegt deutlich im 2-stelligen Millionenbereich. Und das macht niemand, auch (oder gerade!) die Deutsche Bank nicht ohne zwingenden Grund. Glaub's mir ruhig! gruß, timmi Zitieren
lapso Geschrieben 22. Februar 2002 Geschrieben 22. Februar 2002 Original geschrieben von timmi-bonn Alleine der administrative Aufwand hierfür liegt deutlich im 2-stelligen Millionenbereich. Und das macht niemand, auch (oder gerade!) die Deutsche Bank nicht ohne zwingenden Grund. Glaub's mir ruhig! Ach das meintest du. Glaub ich auch. Allerdings sind 2mioDM nicht einmal peenuts für die Deutsche Bank, das ist höchstens ein Fliegenschiss. Wär ich nu böse, würde ich argumentieren: "Wenn die Bank das macht, dann hat sie sicherlich eine Menge Gründe dafür, aber dies ist noch kein hinreichender Beleg dafür, dass der IIS ein schlechtes Produkt ist". hehehe. belassen wir´s doch einfach dabei. Ich mag weder Microsoft noch die "MitLinuxWärDasNichtPassiert"-Pickelgesichter. Gruß Matze Zitieren
timmi-bonn Geschrieben 22. Februar 2002 Geschrieben 22. Februar 2002 Original geschrieben von lapso Allerdings sind 2mioDM nicht einmal peenuts für die Deutsche Bank, das ist höchstens ein Fliegenschiss. Hallo Matze, "2mioDM" sind noch nicht 'mal ein 2-stelliger Millionenbetrag. ;-) gruß, timmi (amüsiert) Zitieren
lapso Geschrieben 22. Februar 2002 Geschrieben 22. Februar 2002 Original geschrieben von timmi-bonn Hallo Matze, "2mioDM" sind noch nicht 'mal ein 2-stelliger Millionenbetrag. ;-) gruß, timmi (amüsiert) hehe. das gönne ich dir. Liegt vielleicht daran, dass ich letzte woche über 60 stunden gearbeitet und bis vor zwei stunden noch richtig zeitdruck hatte... 20Mio sind auch nicht übel(auf meinem Konto) aber der Bank nicht besonders wichtig. Ich geh besser mal schlafen nu. Gruss Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.