linuxguru
Goto Top

Technisches Problem - Server abschotten

Hallo,
ein Server 2003 SBS wird des öfteren von Außen angegriffen. Einem Angreifer ist es gelungen mal rein zu kommen und sich einen eigenen Benutzer anzulegen. Das wurde zwar behoben, allerdings soll es nicht nochmal vorkommen. Mir ist bewusst, daß der erweiterte MS Support für 2003 nicht mehr lange läuft.

Ich möchte gerne den Server besser abschotten. Momentan ist er direkt hinter einer Fritzbox 7390 dran und er soll für einen Benutzer per VPN erreichbar sein. Ich überlege was hier am besten zur Verbesserung der Sicherheit beitragen würde.

Evtl. eine DMZ? Ich habe damit noch keine Erfahrung, wäre aber für günstige Vorschläge offen, es soll nicht gleich noch ein Server hingestellt werden. Es wäre z.B. sowas wie ein Raspberry PI oder ein Router mit VDSL bzw. Gigabit LAN denkbar.

Content-ID: 224069

Url: https://administrator.de/contentid/224069

Ausgedruckt am: 23.11.2024 um 00:11 Uhr

killtec
killtec 09.12.2013 um 15:24:50 Uhr
Goto Top
Hi,
loggt sich denn der Benutzer via VPN ein? Wrauf läuft das VPN, auf den Server oder die Fritzbox?
Hast du "sichere" Administrationskennwörter?

Gruß
Linuxguru
Linuxguru 09.12.2013 um 15:46:08 Uhr
Goto Top
Momentan gibt es noch keinen VPN Benutzer, der soll aber kommen. Es gibt ein sicheres Kennwort für den Admin. Der Angriff ist aber schon einige Monate her. Trotzdem soll sich die Sicherheit natürlich verbessern. Der Server benötigt allerdings unbedingt einen Web Zugriff, da Anfang des Jahres auf gehostetes Exchange umgestellt wurde.
aqui
aqui 09.12.2013 um 15:47:17 Uhr
Goto Top
Wenn er wirklich NUR per VPN erreichbar ist ist er doch hinreichend sicher ! Mal vorausgesetzt das das VPN nicht gerade PPTP basierend ist ?!
Bis du dir sicher das es VPN ist, oder meinst du mit "VPN" nur dummes Port Forwarding auf der Fritzbox, was den einfachen Einbruch dann erklären würde.
Bei einem VPN müsste der Angreifer dann erstmal das IPsec VPN (wenn das VPN über die FB hoffentlich realisiert ist ?!) überwinden um dann Zugriff auf den Server zu erlangen den er dann zusätzlich überwinden müsste.
Leider ist deine Beschreibung an dieser Stelle sehr oberflächlich ?! face-sad

Generell ist das ein etwas dilettantischer Aufbau. Mit nur ein ganz klein wenig mehr Professionalität würde man sowas mit einer kleinen Firewall abfrühstücken, die das VPN realisiert und zusätzlich dem VPN User nur die IP Resourcen und Applikationen (Ports) auf dem Server mit einer Accessliste freigibt die er wirklich braucht.
killtec
killtec 09.12.2013 um 15:50:14 Uhr
Goto Top
Hi,
stimme da aqui zu. Was noch ist. das Outlook Web App solltest du nur über SSL (Port 443) laufen lassen.

Gruß
Linuxguru
Linuxguru 09.12.2013 aktualisiert um 15:59:21 Uhr
Goto Top
Es ist aber noch kein VPN realisiert. Bei der Fritzbox sind nur der 3389 und 80-ger Ports weitergeleitet. Sonst nichts. Vermutlich erfolgte der Angiff also über einen dieser beiden Ports, am wahrscheinlichsten über den Port 80.
Lochkartenstanzer
Lochkartenstanzer 09.12.2013 um 16:26:40 Uhr
Goto Top
Zitat von @killtec:

Hi,
stimme da aqui zu. Was noch ist. das Outlook Web App solltest du nur über SSL (Port 443) laufen lassen.

Outlook-WebApp sollte auch nur über VPN und nicht über Portweiterleitung erreichbar sein. Anonsten kann man sich das schenken.

lks
Ausserwoeger
Ausserwoeger 09.12.2013 aktualisiert um 16:40:58 Uhr
Goto Top
Hi

Ich würde dir raten ein VPN einzurichten auf deine Fritzbox hin und die Portweiterleitungen abzuschalten.
3389 RDP braucht dann keiner mehr RDP kannst dann einfach über VPN betreiben und Outlook webapp auch.

Was läuft den auf Port 80 nur OWA oder muss auch zugriff für Kunden auf Port 80 gewährleistet sein ?

LG Andy
keine-ahnung
keine-ahnung 09.12.2013 um 17:46:42 Uhr
Goto Top
Zitat von @Linuxguru:

erfolgte der Angiff also über einen dieser beiden Ports, am wahrscheinlichsten über den Port 80.
Das halte ich für ein Gerücht ... das offene Scheunentor ist der RDP-Port. Wie kann man den offen ins Netz stellen??

LG, Thomas
Lochkartenstanzer
Lochkartenstanzer 09.12.2013 aktualisiert um 18:52:18 Uhr
Goto Top
Zitat von @Linuxguru:

Es ist aber noch kein VPN realisiert. Bei der Fritzbox sind nur der 3389 und 80-ger Ports weitergeleitet. Sonst nichts. Vermutlich
erfolgte der Angiff also über einen dieser beiden Ports, am wahrscheinlichsten über den Port 80.

Und du wunderst dich, daß der Server "aufgemacht" wurde? RDP weiterzuleiten ist wie eine nicht abgeschlossene Haustür. Jeder darf rein, der sich traut, die Türklinke herunterzudrücken.

lks
aqui
aqui 09.12.2013 aktualisiert um 19:24:23 Uhr
Goto Top
Dem kann man nur zustimmen. Das macht den ganzen Thread eigentlich diletantisch, denn wer wissentlich entweder aus Faulheit oder Dummheit so viele Löcher in seine Firewall bohrt (und die auf der FB ist noch nichtmal eine SPI Firewall) um damit dann ausgerechnet auch noch ein Microsoft OS ontop noch ein altes, im Internet offen zu exponieren muss sich eigentlich nicht wundern. Ein "Guru" eigentlich noch weniger, denn bei ihm nimmt man ja an das er genau weiss was er tut, oder ?!
Fragt man sich wahrlich was dann das VPN dann zusätzlich eigentlich noch soll wenns doch mit RDP auch geht…?!
Dein grundlegendes Problem bei dem Thema ist ein ganz anderes…nämlich ein fehlendes oder dilettantisches grundlegendes Sicherheitskonzept !
Linuxguru
Linuxguru 09.12.2013 aktualisiert um 18:46:56 Uhr
Goto Top
Hast heute Arroganz gefrühstückt oder? Ich darf dich beruhigen, der Server und der Router wurden vor meiner Zeit eingerichtet und nicht von mir. Wurde gebeten etwas zu helfen um es sicherer zu machen. Du solltest erstmal darüber nachdenken, bevor du Leute unberechtigterweise beleidigst denn sonst bist du nichts weiter als ein Troll.
Linuxguru
Linuxguru 09.12.2013 um 18:45:56 Uhr
Goto Top
Allerdings ist es zur Zeit nicht offen. Ich kann nicht sagen ob es damals - bei dem Angriff auf war oder geschlossen. Das ist das Problem. Der Port 80 ist für owa, es läuft kein Webserver.
aqui
aqui 09.12.2013 um 19:22:13 Uhr
Goto Top
Wer in die Küche geht sollte eigentlich ein wenig Hitze abkönnen und nicht gleich die beleidigte Leberwurst spielen wenns mal etwas rauher wird. Gleiches gilt auch für ein Forum. Mit vorsätzlicher Beleidigung hat das auch nichts zu tun, den Schuh hast du dir selber angezogen.
OK zurück zum eigentlichen Problem.
TCP 80 ist nicht notwendig für OWA denn wie oben bereits mehrfach angemerkt sollte man den komplett auf TCP 443 legen. Aber auch das ist wieder Frickeln und Löcher bohren auf Kosten der Serversicherheit.
Was hintert dich dadran den ganzen Quatsch des unsäglichen Port Forwarding abzuschalten und nur VPN zu benutzen (das dann auf der FB) wie es sein sollte. OK als kleines Zugeständnis vielleicht einzig OWA auf 443 öffnen damit die iPhone Nutzer, Androiden und mobilen Laptops nicht verrückt spielen.
Alchimedes
Alchimedes 09.12.2013 um 21:51:45 Uhr
Goto Top
Hallo,

den 2003 Server kannst Du nicht mehr absichern das ist ne Totgeburt, nur den Zugriff auf diesen.
Eine DMZ ,richtig eingerichtet , sichert die anderen Netzwerksegmente und ist schnell realisiert, als Linuxguru weisst Du das ja. face-smile

Von Aussen sollten keine Ports erreichbar/sichtbar sein, da gerade 3389 ein Geschenk an die Schwachsinnigen da draussen ist.

Sondern hier rigoros über VPN arbeiten, DMZ einrichten , schon sieht die Welt besser aus.
Die Fritzmoehre kann VPN, dahinter z.b einen Linksys 54 GL mit dd-wrt oder openwrt, hier entsprechend die Netzwerke aufteilen, (Selbst das WLAN kann man so
konfigurieren das es einen eigenen Netzbereich bekommt) und Ende aus Mickymaus.

http://wiki.openwrt.org/doc/howto/dmz

Gruss
spacyfreak
spacyfreak 10.12.2013 aktualisiert um 09:35:17 Uhr
Goto Top
Zur "Sicherheit beim remote access" gehört neben starker Verschlüsselung von Punkt-zu-Punkt auch eine starke Authentisierung - das ist viel wichtiger als akademische Diskussionen ob man AES oder 3DES nehmen soll im VPN.

Man kann ja verschlüsseln wie man will - wenn nur via Benutzername/Kennwort angemeldet wird hat man immer das latente Risiko dass ein Keylogger das mitliest.
Dem kann man wiederum entgegenwirken indem man nicht von "überall" VPN auf den Server zulässt, beispielsweise wenn der eine Anwender stets von demselben Netz aus zugreift (zb zu Hause) dann könnte man den Zugriff per VPN auf diese IP einschränken, sodass einer der das Kennwort mitgelesen hat dennoch nicht zugreifen kann weil er halt eine andere öff. IP hat, die eben nicht freigeschaltet ist für den Zugriff.

Ansonsten gibts Clientzertifikats-Authentisierung, RSA SecurID Tokens und sowas nicht "aus Langeweile" sondern um genau das zu verhindern.
Aber Server an ner Fritzbox und VPN - das klingt irgendwie alles wenig verheissungsvoll unter professionellen Gesichtspunkten.
ich würd da ne richtige Firewall hinstellen (zb Sophos UTM oder Cisco ASA) und da das VPN hin verlagern (benutzt Clientzertifikate).
Alternativ kann man eventuell auf VPN verzichten und per RDP auf den Server zugreifen je nachdem was man genau erwartet.
Den RDP Port kann man auch (optional) herrlich verbiegen in der Registry zb auf einen Port der eher unwahrscheinlich von einem Angreifer gescannt wird, sagen wir TCP10987, was nicht bombensicher ist, aber eine feindl. Übernahme doch etwas unwahrscheinlicher macht, zusätzlich zu anderen Sicherungsmassnahmen).
RDP verschlüsselt auch und kann auch via SSL zusätzlich geschützt werden - Problem der Authentisierung via Benutzername/Kennwort ist da aber genauso gegeben.