marfra
Goto Top

Windows Firewall Endpunkt 1 und Endpunkt 2

Hallo Kolleginnen und Kollegen,

ich habe heute mal eine, ich denke für euch, sehr schnell zu beantwortende Frage.

Ich hätte mir gern die Antwort selbst gesucht nur leider finde ich dazu nix im Netz. Vielleicht suche ich auch einfach nur falsch.

Naja. Ich habe einen WinServer angemietet und bekomme im Servermanager angezeigt dass versucht wird sich von "fremden" Zugang zu verschaffen.

Jetzt habe ich mir über Powershell das EventLog einmal auslesen lassen und festgestellt dass es sich hier immer um die selben Subnetze handelt.
Diese habe ich jetzt in der Windows Firewall geblockt. Jetzt sind aber Fragen die ich mir stelle.

Was bedeutet denn Endpunkt 1 und Endpunkt 2? Siehe Bild.

2022-06-09 14_43_55-window



Ist es möglich IPs die sich versuchen mit falschen Benutzern anzumelden auf soetwas wie ein Blacklist zu setzen sodass ich das nicht manuell in der Firewall machen muss?

Ist es möglich IPs die nicht aus Deutschland stammen grundsätzlich zu blocken? Im Bild angezeigt sind Bulgarien und Frankreich.


Vielen Dank euch schon einmal. face-smile


Grüße Marcel

Content-Key: 3030310121

Url: https://administrator.de/contentid/3030310121

Printed on: November 28, 2022 at 14:11 o'clock

Member: JasperBeardley
JasperBeardley Jun 09, 2022 at 13:11:00 (UTC)
Goto Top
Moin,

du hast den Windows Server so im Internet, ohne eine Firewall davor?

Gruß
Jasper
Member: MarFra
MarFra Jun 09, 2022 at 13:40:53 (UTC)
Goto Top
Zitat von @JasperBeardley:

Moin,

du hast den Windows Server so im Internet, ohne eine Firewall davor?

Gruß
Jasper

Moin Jasper,

das Ding ist bei Host Europe gehostet. Ich denke dass die von sich auch noch eine davor haben. Sicher bin ich mir da aber nicht. Habe den übernommen und bekomme die Zugangsdaten für HE erst noch.

Grüße
Mitglied: 148523
148523 Jun 09, 2022 updated at 14:00:35 (UTC)
Goto Top
Da haben es wohl bulgarische Hacker auf deine Windows Möhre abgesehen:
https://www.whois.com/whois/91.191.209.0
https://www.whois.com/whois/78.128.113.0
Die üblichen Angriffe im Subsekundentakt...
Ziemlich dumm wenn nicht fahrlässig ein Windows OS mit nacktem Ar...ins Internet zu exponieren ohne Firewall davor. Sowas machen nichtmal mehr Laien heutzutage.
Ich denke dass die von sich auch noch eine davor haben.
Traumtänzer...wach mal auf. Seit wann ist es Aufgabe von Providern für die Sicherheit seiner Kundensystem zu sorgen. Siehe @Njord90 unten.
Bist du wirklich sicher das du der Richtige zur Administrierung dieses Systems bist? Mit dieser haarstäubenden und naiven Sicherheitseinstellung von dir möchte man wahrlich niemals User auf diesem Server sein. face-sad
Member: Njord90
Njord90 Jun 09, 2022 at 13:59:57 (UTC)
Goto Top
Moin,

so wie du das schilderst ist es also ein vServer und bei denen ist man, soweit mir bekannt ist, selbst für die Absicherung verantwortlich.

Demnach, ohne genauere Informationen zum konfigurierten Umfeld zu haben, hört sich dass so an als wenn der WinServer aktuell mit blankem Ar*** im Internet hängt.

Wenn das kein produktiv genutzter Server ist erstmal runter fahren, vServer absichern und dann kannste die Kiste wieder hochfahren und damit dann weiter arbeiten.
Member: Vision2015
Vision2015 Jun 09, 2022 at 14:00:18 (UTC)
Goto Top
Moin...
Zitat von @MarFra:

Hallo Kolleginnen und Kollegen,

ich habe heute mal eine, ich denke für euch, sehr schnell zu beantwortende Frage.
jo..

Ich hätte mir gern die Antwort selbst gesucht nur leider finde ich dazu nix im Netz. Vielleicht suche ich auch einfach nur falsch.
oha..

Naja. Ich habe einen WinServer angemietet und bekomme im Servermanager angezeigt dass versucht wird sich von "fremden" Zugang zu verschaffen.
was und wie verstehst du unter "fremden" Zugang " ?
RDP... SMB.... was für ports sind den überhaubt offen, und wie ist die Kiste den gesichert?
RDP sollte nur über VPN genutzt werden... und NEIN nur den port zu ändern, bringt keine sicherheit!

Jetzt habe ich mir über Powershell das EventLog einmal auslesen lassen und festgestellt dass es sich hier immer um die selben Subnetze handelt.
Diese habe ich jetzt in der Windows Firewall geblockt. Jetzt sind aber Fragen die ich mir stelle.
du hast auslesen lassen?!?!?!?
ok, die frage, was für erfahrung mit dem Sicheren Umgang eines Root Server ist auch beantwortet!

Was bedeutet denn Endpunkt 1 und Endpunkt 2? Siehe Bild.

2022-06-09 14_43_55-window



Ist es möglich IPs die sich versuchen mit falschen Benutzern anzumelden auf soetwas wie ein Blacklist zu setzen sodass ich das nicht manuell in der Firewall machen muss?
ja... mit einer Firewall vor deinem Root Server... und am besten keine offenen ports... zugang nur über VPN!

Ist es möglich IPs die nicht aus Deutschland stammen grundsätzlich zu blocken? Im Bild angezeigt sind Bulgarien und Frankreich.
ja...


das Ding ist bei Host Europe gehostet. Ich denke dass die von sich auch noch eine davor haben. Sicher bin ich mir da aber nicht.
da nix vor... deine windows büx ist voll im Internet!
Habe den übernommen und bekomme die Zugangsdaten für HE erst noch.
bist du sicher, das du der richtige bist, für solche aufgaben?

Vielen Dank euch schon einmal. face-smile


Grüße Marcel
Frank
Member: MarFra
MarFra Jun 09, 2022 at 17:13:02 (UTC)
Goto Top
Zitat von @148523:

Da haben es wohl bulgarische Hacker auf deine Windows Möhre abgesehen:
https://www.whois.com/whois/91.191.209.0
https://www.whois.com/whois/78.128.113.0
Die üblichen Angriffe im Subsekundentakt...
Ziemlich dumm wenn nicht fahrlässig ein Windows OS mit nacktem Ar...ins Internet zu exponieren ohne Firewall davor. Sowas machen nichtmal mehr Laien heutzutage.
Ich denke dass die von sich auch noch eine davor haben.
Traumtänzer...wach mal auf. Seit wann ist es Aufgabe von Providern für die Sicherheit seiner Kundensystem zu sorgen. Siehe @Njord90 unten.
Bist du wirklich sicher das du der Richtige zur Administrierung dieses Systems bist? Mit dieser haarstäubenden und naiven Sicherheitseinstellung von dir möchte man wahrlich niemals User auf diesem Server sein. face-sad

Chill doch mal. Die VM wurde von einem Kollegen aufgesetzt der sich Hauptberuflich mit Ethical Haking und Datenschutz beschäftigt. Ich habe doch geschrieben dass ich die VM übernommen habe. Ich vertraue ihm da absolut dass er sich darum schon gekümmert hat, näheres werde ich noch mit ihm Besprechen. Das System steht seit über 2 Jahren ohne Probleme im Netz. Habe ich IRGENDWO geschrieben dass das ein Kundensystem ist?

Traumtänzer...wach mal auf. Seit wann ist es Aufgabe von Providern für die Sicherheit seiner Kundensystem zu sorgen. Siehe @Njord90 unten.

Ich frag mich echt was du dich hier gleich so reinsteigerst! face-big-smile

Danke für diesen, mir absolut nichts bringenden, Beitrag zu meiner Frage?!
Member: MarFra
MarFra Jun 09, 2022 at 17:23:27 (UTC)
Goto Top
Zitat von @Vision2015:
Naja. Ich habe einen WinServer angemietet und bekomme im Servermanager angezeigt dass versucht wird sich von "fremden" Zugang zu verschaffen.
was und wie verstehst du unter "fremden" Zugang " ?
RDP... SMB.... was für ports sind den überhaubt offen, und wie ist die Kiste den gesichert?
RDP sollte nur über VPN genutzt werden... und NEIN nur den port zu ändern, bringt keine sicherheit!

Über RDP und danke, hilfreich. Schaue ich mir an.



Jetzt habe ich mir über Powershell das EventLog einmal auslesen lassen und festgestellt dass es sich hier immer um die selben Subnetze handelt.
Diese habe ich jetzt in der Windows Firewall geblockt. Jetzt sind aber Fragen die ich mir stelle.
du hast auslesen lassen?!?!?!?
ok, die frage, was für erfahrung mit dem Sicheren Umgang eines Root Server ist auch beantwortet!

Ich habe Powershell genutzt um mir die Informationen anzeigen zu lassen die ich benötige. Was daran denn falsch?


Was bedeutet denn Endpunkt 1 und Endpunkt 2? Siehe Bild.

2022-06-09 14_43_55-window




Kannst du mir dazu was mitteilen. Also zu der eigentlich Frage was Endpunkt 1 und Endpunkt 2 ist?

Ist es möglich IPs die sich versuchen mit falschen Benutzern anzumelden auf soetwas wie ein Blacklist zu setzen sodass ich das nicht manuell in der Firewall machen muss?
ja... mit einer Firewall vor deinem Root Server... und am besten keine offenen ports... zugang nur über VPN!

Sobald ich die HE Zugangsdaten habe werde ich die Firewall prüfen.


Ist es möglich IPs die nicht aus Deutschland stammen grundsätzlich zu blocken? Im Bild angezeigt sind Bulgarien und Frankreich.
ja...

Wie? Ich nehme an dann direkt in der Firewall vor dem Server?

Habe den übernommen und bekomme die Zugangsdaten für HE erst noch.
bist du sicher, das du der richtige bist, für solche aufgaben?

Kein Produktivsystem!


Danke für die Antwort.
Member: Vision2015
Vision2015 Jun 09, 2022 updated at 19:18:19 (UTC)
Goto Top
Moin...
Zitat von @MarFra:

Zitat von @148523:

Da haben es wohl bulgarische Hacker auf deine Windows Möhre abgesehen:
https://www.whois.com/whois/91.191.209.0
https://www.whois.com/whois/78.128.113.0
Die üblichen Angriffe im Subsekundentakt...
Ziemlich dumm wenn nicht fahrlässig ein Windows OS mit nacktem Ar...ins Internet zu exponieren ohne Firewall davor. Sowas machen nichtmal mehr Laien heutzutage.
Ich denke dass die von sich auch noch eine davor haben.
Traumtänzer...wach mal auf. Seit wann ist es Aufgabe von Providern für die Sicherheit seiner Kundensystem zu sorgen. Siehe @Njord90 unten.
Bist du wirklich sicher das du der Richtige zur Administrierung dieses Systems bist? Mit dieser haarstäubenden und naiven Sicherheitseinstellung von dir möchte man wahrlich niemals User auf diesem Server sein. face-sad

Chill doch mal. Die VM wurde von einem Kollegen aufgesetzt der sich Hauptberuflich mit Ethical Haking und Datenschutz beschäftigt.
was natürlich ein Garant für Sicherheit ist face-smile
wenn dein Kollege, der sich Hauptberuflich mit Ethical Haking und Datenschutz beschäftigt, mehr wissen hat, als seinen Titel, hätte er dir die kiste mit VPN übergeben.....
sorry, aber das ist lächerlich!
Ich habe doch geschrieben dass ich die VM übernommen habe.
jo... (leider) ohne wissen, was du da tust!
Ich vertraue ihm da absolut dass er sich darum schon gekümmert hat, näheres werde ich noch mit ihm Besprechen.
vertrauen ist gut, kontrolle ist besser.....
Das System steht seit über 2 Jahren ohne Probleme im Netz. Habe ich IRGENDWO geschrieben dass das ein Kundensystem ist?
oha...

Traumtänzer...wach mal auf. Seit wann ist es Aufgabe von Providern für die Sicherheit seiner Kundensystem zu sorgen. Siehe @Njord90 unten.

Ich frag mich echt was du dich hier gleich so reinsteigerst! face-big-smile
recht hat er aber!

Danke für diesen, mir absolut nichts bringenden, Beitrag zu meiner Frage?!
immer gerne...
lerne doch erst mal etwas über sicherheit, dann darfst du gerne über andere urteilen!

Frank
Mitglied: 148523
148523 Jun 09, 2022 at 20:17:03 (UTC)
Goto Top
Die Antwort des TO spricht ja auch für sich. Muss man sicher auch nicht weiter kommentieren soviel Blauäugigkeit. Aber chillen wir mal...
Member: Dani
Solution Dani Jun 11, 2022 at 11:52:51 (UTC)
Goto Top
Moin,
Ist es möglich IPs die nicht aus Deutschland stammen grundsätzlich zu blocken? Im Bild angezeigt sind Bulgarien und Frankreich.
Ja, nennt sich GeoIP Blocking. ISt aus einer Kombi von Windows Defender + PowerShell + WHOIS möglich. Hier ein einfaches Beispiel:
https://www.privalnetworx.de/windows-server-country-geoblocking-windows- ...

Ist es möglich IPs die sich versuchen mit falschen Benutzern anzumelden auf soetwas wie ein Blacklist zu setzen sodass ich das nicht manuell in der Firewall machen muss?
Fail2Ban fü Windows: https://github.com/devnulli/EvlWatcher

Je nachdem was der Server für Aufgaben hat, reicht es evtl. den Zugriff für RDP über Whitelist zugänglich zu machen. Wichtig ist auch als Firewall Profil nicht Privat sondern Public nutzt.


Gruß,
Dani
Member: MarFra
MarFra Jun 11, 2022 at 21:09:47 (UTC)
Goto Top
Ich danke dir. Das hilft mir sehr.

Grüße
Member: LordGurke
Solution LordGurke Jun 12, 2022 updated at 12:41:53 (UTC)
Goto Top
Eine weitere Methode, das Grundrauschen gut abzustellen ist, IPsec für bestimmte Dienste zu enforcen, die man nur selbst nutzt.
Das geht bei Windows auf beiden Seiten mit Bordmitteln mit der Windows-Firewall:

  • Firewall aufrufen -> Verbindungssicherheitsregeln
  • Neue Regel anlegen, Typ "Benutzerdefiniert" -> Weiter
  • Endpunkt 1: Beliebige IP-Adresse, Endpunkt 2: Die IPv4 und IPv6-Adresse(n) deines Servers -> Weiter
  • "Authentifizierung für eingehende und ausgehende Verbindungen anfordern" -> Weiter
  • Authenfizierungsmethode: "Erweitert" -> Anpassen
  • Erste Authentifizierungsmethode: Vorinstallierter Schlüssel -> Hier ein halbwegs komplexes "Kennwort" hinterlegen
  • Im nächsten Schritt: Protokolltyp: Alle, Port für Endpunkt 1: Alle, Port für Endpunkt 2: Alle
  • Regel anwenden: Da kannst du alles auswählen, theoretisch reicht es, "Öffentlich" zu wählen

Auf dem Client machst du im Prinzip das selbe, als Vorinstallierten Schlüssel benutzt du das, was du auf dem Server konfiguriert hast.
Als Protokolltyp gibst du an: TCP, Port für Endpunkt 1: Alle, Port für Endpunkt 2: 3389.

Die Firewall des Servers sollte dann so konfiguriert werden, dass Verbindungen auf Port 3389 nur noch erlaubt sind, wenn sie gesichert ist.
In der entsprechenden Regel: Allgemein -> Aktion -> Verbindung zulassen, wenn sie sicher ist -> Anpassen -> Verbindung zulassen, wenn sie authentifiziert und integritätsgeschützt ist.

Mit den Einstellungen, speziell auf dem Client, wird dann automatisch bei einer Verbindung auf deinen Server zum RDP-Port ein IPsec-Transport aufgebaut, der über den vergebenen Schlüssel authentifiziert ist.
Daran werden die Bots erstmal zerschellen - und das ganze kann natürlich auch auf andere Ports und Protokolle ausgeweitet werden.


(Disclaimer: Ich habe das so aus einer Anleitung entnommen, die ich mal unter Windows 7 erstellt habe - kann aber aktuell nicht testen, ob das unter Windows 10 noch so funktioniert)
Member: MarFra
MarFra Jun 12, 2022 at 12:34:18 (UTC)
Goto Top
Vielen Dank für deinen Input! face-smile