13
Windows Firewall Endpunkt 1 und Endpunkt 2
Hallo Kolleginnen und Kollegen,
ich habe heute mal eine, ich denke für euch, sehr schnell zu beantwortende Frage.
Ich hätte mir gern die Antwort selbst gesucht nur leider finde ich dazu nix im Netz. Vielleicht suche ich auch einfach nur falsch.
Naja. Ich habe einen WinServer angemietet und bekomme im Servermanager angezeigt dass versucht wird sich von "fremden" Zugang zu verschaffen.
Jetzt habe ich mir über Powershell das EventLog einmal auslesen lassen und festgestellt dass es sich hier immer um die selben Subnetze handelt.
Diese habe ich jetzt in der Windows Firewall geblockt. Jetzt sind aber Fragen die ich mir stelle.
Was bedeutet denn Endpunkt 1 und Endpunkt 2? Siehe Bild.
Ist es möglich IPs die sich versuchen mit falschen Benutzern anzumelden auf soetwas wie ein Blacklist zu setzen sodass ich das nicht manuell in der Firewall machen muss?
Ist es möglich IPs die nicht aus Deutschland stammen grundsätzlich zu blocken? Im Bild angezeigt sind Bulgarien und Frankreich.
Vielen Dank euch schon einmal.
Grüße Marcel
ich habe heute mal eine, ich denke für euch, sehr schnell zu beantwortende Frage.
Ich hätte mir gern die Antwort selbst gesucht nur leider finde ich dazu nix im Netz. Vielleicht suche ich auch einfach nur falsch.
Naja. Ich habe einen WinServer angemietet und bekomme im Servermanager angezeigt dass versucht wird sich von "fremden" Zugang zu verschaffen.
Jetzt habe ich mir über Powershell das EventLog einmal auslesen lassen und festgestellt dass es sich hier immer um die selben Subnetze handelt.
Diese habe ich jetzt in der Windows Firewall geblockt. Jetzt sind aber Fragen die ich mir stelle.
Was bedeutet denn Endpunkt 1 und Endpunkt 2? Siehe Bild.
Ist es möglich IPs die sich versuchen mit falschen Benutzern anzumelden auf soetwas wie ein Blacklist zu setzen sodass ich das nicht manuell in der Firewall machen muss?
Ist es möglich IPs die nicht aus Deutschland stammen grundsätzlich zu blocken? Im Bild angezeigt sind Bulgarien und Frankreich.
Vielen Dank euch schon einmal.
Grüße Marcel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3030310121
Url: https://administrator.de/contentid/3030310121
Printed on: April 19, 2024 at 23:04 o'clock
13 Comments
Latest comment
Moin,
du hast den Windows Server so im Internet, ohne eine Firewall davor?
Gruß
Jasper
du hast den Windows Server so im Internet, ohne eine Firewall davor?
Gruß
Jasper
Zitat von @JasperBeardley:
Moin,
du hast den Windows Server so im Internet, ohne eine Firewall davor?
Gruß
Jasper
Moin,
du hast den Windows Server so im Internet, ohne eine Firewall davor?
Gruß
Jasper
Moin Jasper,
das Ding ist bei Host Europe gehostet. Ich denke dass die von sich auch noch eine davor haben. Sicher bin ich mir da aber nicht. Habe den übernommen und bekomme die Zugangsdaten für HE erst noch.
Grüße
Da haben es wohl bulgarische Hacker auf deine Windows Möhre abgesehen:
https://www.whois.com/whois/91.191.209.0
https://www.whois.com/whois/78.128.113.0
Die üblichen Angriffe im Subsekundentakt...
Ziemlich dumm wenn nicht fahrlässig ein Windows OS mit nacktem Ar...ins Internet zu exponieren ohne Firewall davor. Sowas machen nichtmal mehr Laien heutzutage.
Bist du wirklich sicher das du der Richtige zur Administrierung dieses Systems bist? Mit dieser haarstäubenden und naiven Sicherheitseinstellung von dir möchte man wahrlich niemals User auf diesem Server sein.
https://www.whois.com/whois/91.191.209.0
https://www.whois.com/whois/78.128.113.0
Die üblichen Angriffe im Subsekundentakt...
Ziemlich dumm wenn nicht fahrlässig ein Windows OS mit nacktem Ar...ins Internet zu exponieren ohne Firewall davor. Sowas machen nichtmal mehr Laien heutzutage.
Ich denke dass die von sich auch noch eine davor haben.
Traumtänzer...wach mal auf. Seit wann ist es Aufgabe von Providern für die Sicherheit seiner Kundensystem zu sorgen. Siehe @Njord90 unten.Bist du wirklich sicher das du der Richtige zur Administrierung dieses Systems bist? Mit dieser haarstäubenden und naiven Sicherheitseinstellung von dir möchte man wahrlich niemals User auf diesem Server sein.
Moin,
so wie du das schilderst ist es also ein vServer und bei denen ist man, soweit mir bekannt ist, selbst für die Absicherung verantwortlich.
Demnach, ohne genauere Informationen zum konfigurierten Umfeld zu haben, hört sich dass so an als wenn der WinServer aktuell mit blankem Ar*** im Internet hängt.
Wenn das kein produktiv genutzter Server ist erstmal runter fahren, vServer absichern und dann kannste die Kiste wieder hochfahren und damit dann weiter arbeiten.
so wie du das schilderst ist es also ein vServer und bei denen ist man, soweit mir bekannt ist, selbst für die Absicherung verantwortlich.
Demnach, ohne genauere Informationen zum konfigurierten Umfeld zu haben, hört sich dass so an als wenn der WinServer aktuell mit blankem Ar*** im Internet hängt.
Wenn das kein produktiv genutzter Server ist erstmal runter fahren, vServer absichern und dann kannste die Kiste wieder hochfahren und damit dann weiter arbeiten.
2
Moin...
Ich hätte mir gern die Antwort selbst gesucht nur leider finde ich dazu nix im Netz. Vielleicht suche ich auch einfach nur falsch.
oha..
Naja. Ich habe einen WinServer angemietet und bekomme im Servermanager angezeigt dass versucht wird sich von "fremden" Zugang zu verschaffen.
was und wie verstehst du unter "fremden" Zugang " ?
RDP... SMB.... was für ports sind den überhaubt offen, und wie ist die Kiste den gesichert?
RDP sollte nur über VPN genutzt werden... und NEIN nur den port zu ändern, bringt keine sicherheit!
Jetzt habe ich mir über Powershell das EventLog einmal auslesen lassen und festgestellt dass es sich hier immer um die selben Subnetze handelt.
Diese habe ich jetzt in der Windows Firewall geblockt. Jetzt sind aber Fragen die ich mir stelle.
du hast auslesen lassen?!?!?!?
ok, die frage, was für erfahrung mit dem Sicheren Umgang eines Root Server ist auch beantwortet!
Was bedeutet denn Endpunkt 1 und Endpunkt 2? Siehe Bild.
Ist es möglich IPs die sich versuchen mit falschen Benutzern anzumelden auf soetwas wie ein Blacklist zu setzen sodass ich das nicht manuell in der Firewall machen muss?
ja... mit einer Firewall vor deinem Root Server... und am besten keine offenen ports... zugang nur über VPN!
Ist es möglich IPs die nicht aus Deutschland stammen grundsätzlich zu blocken? Im Bild angezeigt sind Bulgarien und Frankreich.
ja...
das Ding ist bei Host Europe gehostet. Ich denke dass die von sich auch noch eine davor haben. Sicher bin ich mir da aber nicht.
da nix vor... deine windows büx ist voll im Internet!
Zitat von @MarFra:
Hallo Kolleginnen und Kollegen,
ich habe heute mal eine, ich denke für euch, sehr schnell zu beantwortende Frage.
jo..Hallo Kolleginnen und Kollegen,
ich habe heute mal eine, ich denke für euch, sehr schnell zu beantwortende Frage.
Ich hätte mir gern die Antwort selbst gesucht nur leider finde ich dazu nix im Netz. Vielleicht suche ich auch einfach nur falsch.
Naja. Ich habe einen WinServer angemietet und bekomme im Servermanager angezeigt dass versucht wird sich von "fremden" Zugang zu verschaffen.
RDP... SMB.... was für ports sind den überhaubt offen, und wie ist die Kiste den gesichert?
RDP sollte nur über VPN genutzt werden... und NEIN nur den port zu ändern, bringt keine sicherheit!
Jetzt habe ich mir über Powershell das EventLog einmal auslesen lassen und festgestellt dass es sich hier immer um die selben Subnetze handelt.
Diese habe ich jetzt in der Windows Firewall geblockt. Jetzt sind aber Fragen die ich mir stelle.
ok, die frage, was für erfahrung mit dem Sicheren Umgang eines Root Server ist auch beantwortet!
Was bedeutet denn Endpunkt 1 und Endpunkt 2? Siehe Bild.
Ist es möglich IPs die sich versuchen mit falschen Benutzern anzumelden auf soetwas wie ein Blacklist zu setzen sodass ich das nicht manuell in der Firewall machen muss?
Ist es möglich IPs die nicht aus Deutschland stammen grundsätzlich zu blocken? Im Bild angezeigt sind Bulgarien und Frankreich.
das Ding ist bei Host Europe gehostet. Ich denke dass die von sich auch noch eine davor haben. Sicher bin ich mir da aber nicht.
Habe den übernommen und bekomme die Zugangsdaten für HE erst noch.
bist du sicher, das du der richtige bist, für solche aufgaben?Vielen Dank euch schon einmal.
Grüße Marcel
FrankGrüße Marcel
1Zitat von @148523:
Da haben es wohl bulgarische Hacker auf deine Windows Möhre abgesehen:
https://www.whois.com/whois/91.191.209.0
https://www.whois.com/whois/78.128.113.0
Die üblichen Angriffe im Subsekundentakt...
Ziemlich dumm wenn nicht fahrlässig ein Windows OS mit nacktem Ar...ins Internet zu exponieren ohne Firewall davor. Sowas machen nichtmal mehr Laien heutzutage.
Bist du wirklich sicher das du der Richtige zur Administrierung dieses Systems bist? Mit dieser haarstäubenden und naiven Sicherheitseinstellung von dir möchte man wahrlich niemals User auf diesem Server sein.
Da haben es wohl bulgarische Hacker auf deine Windows Möhre abgesehen:
https://www.whois.com/whois/91.191.209.0
https://www.whois.com/whois/78.128.113.0
Die üblichen Angriffe im Subsekundentakt...
Ziemlich dumm wenn nicht fahrlässig ein Windows OS mit nacktem Ar...ins Internet zu exponieren ohne Firewall davor. Sowas machen nichtmal mehr Laien heutzutage.
Ich denke dass die von sich auch noch eine davor haben.
Traumtänzer...wach mal auf. Seit wann ist es Aufgabe von Providern für die Sicherheit seiner Kundensystem zu sorgen. Siehe @Njord90 unten.Bist du wirklich sicher das du der Richtige zur Administrierung dieses Systems bist? Mit dieser haarstäubenden und naiven Sicherheitseinstellung von dir möchte man wahrlich niemals User auf diesem Server sein.
Chill doch mal. Die VM wurde von einem Kollegen aufgesetzt der sich Hauptberuflich mit Ethical Haking und Datenschutz beschäftigt. Ich habe doch geschrieben dass ich die VM übernommen habe. Ich vertraue ihm da absolut dass er sich darum schon gekümmert hat, näheres werde ich noch mit ihm Besprechen. Das System steht seit über 2 Jahren ohne Probleme im Netz. Habe ich IRGENDWO geschrieben dass das ein Kundensystem ist?
Traumtänzer...wach mal auf. Seit wann ist es Aufgabe von Providern für die Sicherheit seiner Kundensystem zu sorgen. Siehe @Njord90 unten.
Ich frag mich echt was du dich hier gleich so reinsteigerst!
Danke für diesen, mir absolut nichts bringenden, Beitrag zu meiner Frage?!
Zitat von @Vision2015:
RDP... SMB.... was für ports sind den überhaubt offen, und wie ist die Kiste den gesichert?
RDP sollte nur über VPN genutzt werden... und NEIN nur den port zu ändern, bringt keine sicherheit!
Naja. Ich habe einen WinServer angemietet und bekomme im Servermanager angezeigt dass versucht wird sich von "fremden" Zugang zu verschaffen.
was und wie verstehst du unter "fremden" Zugang " ?RDP... SMB.... was für ports sind den überhaubt offen, und wie ist die Kiste den gesichert?
RDP sollte nur über VPN genutzt werden... und NEIN nur den port zu ändern, bringt keine sicherheit!
Über RDP und danke, hilfreich. Schaue ich mir an.
Jetzt habe ich mir über Powershell das EventLog einmal auslesen lassen und festgestellt dass es sich hier immer um die selben Subnetze handelt.
Diese habe ich jetzt in der Windows Firewall geblockt. Jetzt sind aber Fragen die ich mir stelle.
ok, die frage, was für erfahrung mit dem Sicheren Umgang eines Root Server ist auch beantwortet!
Ich habe Powershell genutzt um mir die Informationen anzeigen zu lassen die ich benötige. Was daran denn falsch?
Was bedeutet denn Endpunkt 1 und Endpunkt 2? Siehe Bild.
Kannst du mir dazu was mitteilen. Also zu der eigentlich Frage was Endpunkt 1 und Endpunkt 2 ist?
Ist es möglich IPs die sich versuchen mit falschen Benutzern anzumelden auf soetwas wie ein Blacklist zu setzen sodass ich das nicht manuell in der Firewall machen muss?
ja... mit einer Firewall vor deinem Root Server... und am besten keine offenen ports... zugang nur über VPN!Sobald ich die HE Zugangsdaten habe werde ich die Firewall prüfen.
Ist es möglich IPs die nicht aus Deutschland stammen grundsätzlich zu blocken? Im Bild angezeigt sind Bulgarien und Frankreich.
Wie? Ich nehme an dann direkt in der Firewall vor dem Server?
Habe den übernommen und bekomme die Zugangsdaten für HE erst noch.
bist du sicher, das du der richtige bist, für solche aufgaben?Kein Produktivsystem!
Danke für die Antwort.
Moin...
wenn dein Kollege, der sich Hauptberuflich mit Ethical Haking und Datenschutz beschäftigt, mehr wissen hat, als seinen Titel, hätte er dir die kiste mit VPN übergeben.....
sorry, aber das ist lächerlich!
Ich frag mich echt was du dich hier gleich so reinsteigerst!
recht hat er aber!
Danke für diesen, mir absolut nichts bringenden, Beitrag zu meiner Frage?!
immer gerne...
lerne doch erst mal etwas über sicherheit, dann darfst du gerne über andere urteilen!
Frank
Zitat von @MarFra:
Chill doch mal. Die VM wurde von einem Kollegen aufgesetzt der sich Hauptberuflich mit Ethical Haking und Datenschutz beschäftigt.
was natürlich ein Garant für Sicherheit ist Zitat von @148523:
Da haben es wohl bulgarische Hacker auf deine Windows Möhre abgesehen:
https://www.whois.com/whois/91.191.209.0
https://www.whois.com/whois/78.128.113.0
Die üblichen Angriffe im Subsekundentakt...
Ziemlich dumm wenn nicht fahrlässig ein Windows OS mit nacktem Ar...ins Internet zu exponieren ohne Firewall davor. Sowas machen nichtmal mehr Laien heutzutage.
Bist du wirklich sicher das du der Richtige zur Administrierung dieses Systems bist? Mit dieser haarstäubenden und naiven Sicherheitseinstellung von dir möchte man wahrlich niemals User auf diesem Server sein.
Da haben es wohl bulgarische Hacker auf deine Windows Möhre abgesehen:
https://www.whois.com/whois/91.191.209.0
https://www.whois.com/whois/78.128.113.0
Die üblichen Angriffe im Subsekundentakt...
Ziemlich dumm wenn nicht fahrlässig ein Windows OS mit nacktem Ar...ins Internet zu exponieren ohne Firewall davor. Sowas machen nichtmal mehr Laien heutzutage.
Ich denke dass die von sich auch noch eine davor haben.
Traumtänzer...wach mal auf. Seit wann ist es Aufgabe von Providern für die Sicherheit seiner Kundensystem zu sorgen. Siehe @Njord90 unten.Bist du wirklich sicher das du der Richtige zur Administrierung dieses Systems bist? Mit dieser haarstäubenden und naiven Sicherheitseinstellung von dir möchte man wahrlich niemals User auf diesem Server sein.
Chill doch mal. Die VM wurde von einem Kollegen aufgesetzt der sich Hauptberuflich mit Ethical Haking und Datenschutz beschäftigt.
wenn dein Kollege, der sich Hauptberuflich mit Ethical Haking und Datenschutz beschäftigt, mehr wissen hat, als seinen Titel, hätte er dir die kiste mit VPN übergeben.....
sorry, aber das ist lächerlich!
Ich habe doch geschrieben dass ich die VM übernommen habe.
jo... (leider) ohne wissen, was du da tust!Ich vertraue ihm da absolut dass er sich darum schon gekümmert hat, näheres werde ich noch mit ihm Besprechen.
vertrauen ist gut, kontrolle ist besser.....Das System steht seit über 2 Jahren ohne Probleme im Netz. Habe ich IRGENDWO geschrieben dass das ein Kundensystem ist?
oha...Traumtänzer...wach mal auf. Seit wann ist es Aufgabe von Providern für die Sicherheit seiner Kundensystem zu sorgen. Siehe @Njord90 unten.
Ich frag mich echt was du dich hier gleich so reinsteigerst!
Danke für diesen, mir absolut nichts bringenden, Beitrag zu meiner Frage?!
lerne doch erst mal etwas über sicherheit, dann darfst du gerne über andere urteilen!
Frank
1
Die Antwort des TO spricht ja auch für sich. Muss man sicher auch nicht weiter kommentieren soviel Blauäugigkeit. Aber chillen wir mal...
Moin,
https://www.privalnetworx.de/windows-server-country-geoblocking-windows- ...
Je nachdem was der Server für Aufgaben hat, reicht es evtl. den Zugriff für RDP über Whitelist zugänglich zu machen. Wichtig ist auch als Firewall Profil nicht Privat sondern Public nutzt.
Gruß,
Dani
Ist es möglich IPs die nicht aus Deutschland stammen grundsätzlich zu blocken? Im Bild angezeigt sind Bulgarien und Frankreich.
Ja, nennt sich GeoIP Blocking. ISt aus einer Kombi von Windows Defender + PowerShell + WHOIS möglich. Hier ein einfaches Beispiel:https://www.privalnetworx.de/windows-server-country-geoblocking-windows- ...
Ist es möglich IPs die sich versuchen mit falschen Benutzern anzumelden auf soetwas wie ein Blacklist zu setzen sodass ich das nicht manuell in der Firewall machen muss?
Fail2Ban fü Windows: https://github.com/devnulli/EvlWatcherJe nachdem was der Server für Aufgaben hat, reicht es evtl. den Zugriff für RDP über Whitelist zugänglich zu machen. Wichtig ist auch als Firewall Profil nicht Privat sondern Public nutzt.
Gruß,
Dani
1
Ich danke dir. Das hilft mir sehr.
Grüße
Grüße
Eine weitere Methode, das Grundrauschen gut abzustellen ist, IPsec für bestimmte Dienste zu enforcen, die man nur selbst nutzt.
Das geht bei Windows auf beiden Seiten mit Bordmitteln mit der Windows-Firewall:
Auf dem Client machst du im Prinzip das selbe, als Vorinstallierten Schlüssel benutzt du das, was du auf dem Server konfiguriert hast.
Als Protokolltyp gibst du an: TCP, Port für Endpunkt 1: Alle, Port für Endpunkt 2: 3389.
Die Firewall des Servers sollte dann so konfiguriert werden, dass Verbindungen auf Port 3389 nur noch erlaubt sind, wenn sie gesichert ist.
In der entsprechenden Regel: Allgemein -> Aktion -> Verbindung zulassen, wenn sie sicher ist -> Anpassen -> Verbindung zulassen, wenn sie authentifiziert und integritätsgeschützt ist.
Mit den Einstellungen, speziell auf dem Client, wird dann automatisch bei einer Verbindung auf deinen Server zum RDP-Port ein IPsec-Transport aufgebaut, der über den vergebenen Schlüssel authentifiziert ist.
Daran werden die Bots erstmal zerschellen - und das ganze kann natürlich auch auf andere Ports und Protokolle ausgeweitet werden.
(Disclaimer: Ich habe das so aus einer Anleitung entnommen, die ich mal unter Windows 7 erstellt habe - kann aber aktuell nicht testen, ob das unter Windows 10 noch so funktioniert)
Das geht bei Windows auf beiden Seiten mit Bordmitteln mit der Windows-Firewall:
- Firewall aufrufen -> Verbindungssicherheitsregeln
- Neue Regel anlegen, Typ "Benutzerdefiniert" -> Weiter
- Endpunkt 1: Beliebige IP-Adresse, Endpunkt 2: Die IPv4 und IPv6-Adresse(n) deines Servers -> Weiter
- "Authentifizierung für eingehende und ausgehende Verbindungen anfordern" -> Weiter
- Authenfizierungsmethode: "Erweitert" -> Anpassen
- Erste Authentifizierungsmethode: Vorinstallierter Schlüssel -> Hier ein halbwegs komplexes "Kennwort" hinterlegen
- Im nächsten Schritt: Protokolltyp: Alle, Port für Endpunkt 1: Alle, Port für Endpunkt 2: Alle
- Regel anwenden: Da kannst du alles auswählen, theoretisch reicht es, "Öffentlich" zu wählen
Auf dem Client machst du im Prinzip das selbe, als Vorinstallierten Schlüssel benutzt du das, was du auf dem Server konfiguriert hast.
Als Protokolltyp gibst du an: TCP, Port für Endpunkt 1: Alle, Port für Endpunkt 2: 3389.
Die Firewall des Servers sollte dann so konfiguriert werden, dass Verbindungen auf Port 3389 nur noch erlaubt sind, wenn sie gesichert ist.
In der entsprechenden Regel: Allgemein -> Aktion -> Verbindung zulassen, wenn sie sicher ist -> Anpassen -> Verbindung zulassen, wenn sie authentifiziert und integritätsgeschützt ist.
Mit den Einstellungen, speziell auf dem Client, wird dann automatisch bei einer Verbindung auf deinen Server zum RDP-Port ein IPsec-Transport aufgebaut, der über den vergebenen Schlüssel authentifiziert ist.
Daran werden die Bots erstmal zerschellen - und das ganze kann natürlich auch auf andere Ports und Protokolle ausgeweitet werden.
(Disclaimer: Ich habe das so aus einer Anleitung entnommen, die ich mal unter Windows 7 erstellt habe - kann aber aktuell nicht testen, ob das unter Windows 10 noch so funktioniert)
3
Vielen Dank für deinen Input!
