2
Windows Server 2012 - TestServer mit sehr vielen TCP-Verbindungen
Hallo!
Ich habe für Test und Developer-Zwecke einen Microsoft Exchange Server 2012 auf Windows Server 2012 installiert.
Eigentlich läuft der Server bestens hätte ich nicht ununterbrochen 500 (mir unerklärliche) TCP-Verbindungen!
Aufgefallen ist mir das Ganze erst nachdem ich eine "Abuse Warnung" von meinem Provider bekommen habe in der folgendes Stand:
"DNS reflection attack from your Hosts"
Die Windows Server 2012 Firewall ist natürlich aktiviert und alle Microsoft Security Packs sind installiert!
Kann mir jemand sagen was da läuft oder was ich unternehmen muss?
(Zur Info: Es handelt sich hierbei um eine virtuellen Root-Server. Daher habe ich keine Möglichkeit eine Hardware-Firewall / Router mit Firewall anzuschließen!)
Lg myGilli
Ich habe für Test und Developer-Zwecke einen Microsoft Exchange Server 2012 auf Windows Server 2012 installiert.
Eigentlich läuft der Server bestens hätte ich nicht ununterbrochen 500 (mir unerklärliche) TCP-Verbindungen!
Aufgefallen ist mir das Ganze erst nachdem ich eine "Abuse Warnung" von meinem Provider bekommen habe in der folgendes Stand:
"DNS reflection attack from your Hosts"
Die Windows Server 2012 Firewall ist natürlich aktiviert und alle Microsoft Security Packs sind installiert!
Kann mir jemand sagen was da läuft oder was ich unternehmen muss?
(Zur Info: Es handelt sich hierbei um eine virtuellen Root-Server. Daher habe ich keine Möglichkeit eine Hardware-Firewall / Router mit Firewall anzuschließen!)
Lg myGilli
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 218632
Url: https://administrator.de/contentid/218632
Ausgedruckt am: 26.11.2024 um 14:11 Uhr
2 Kommentare
Neuester Kommentar
Hallo,
DNS reflection Attack würde bedeuten das du einen offenen (für alle nutzbaren) recursiven resolver (DNS server im Windows sprech) betreibst. Das war zumindest früher mal die Grundeinstellung wenn du die DNS Server Dienste installierst und startest. Allerdings würde das nicht zu deiner Beobachtung mit den TCP Verbindungen passen, da DNS (bis auf Ausnamhmen) über UDP läuft. Generell solltest du bei allen im Internet erreichbaren Server folgendes tun:
- Die Firewall Regeln prüfen welche Ports geöffnet sind und warum. Im Zweifelsfall Port schließen
- Für alle geöffneten Ports die Konfiguration des dazu gehörigen Dienstes prüfen ob Mißbrauch möglich ist
- Nur die Serverdienste installieren die auch tatsächlich benötigt werden
- Die benötigten Services/Dienste soweit möglich auf bestimmte Quell-IP Bereiche einschränken
Gruß
Andi
DNS reflection Attack würde bedeuten das du einen offenen (für alle nutzbaren) recursiven resolver (DNS server im Windows sprech) betreibst. Das war zumindest früher mal die Grundeinstellung wenn du die DNS Server Dienste installierst und startest. Allerdings würde das nicht zu deiner Beobachtung mit den TCP Verbindungen passen, da DNS (bis auf Ausnamhmen) über UDP läuft. Generell solltest du bei allen im Internet erreichbaren Server folgendes tun:
- Die Firewall Regeln prüfen welche Ports geöffnet sind und warum. Im Zweifelsfall Port schließen
- Für alle geöffneten Ports die Konfiguration des dazu gehörigen Dienstes prüfen ob Mißbrauch möglich ist
- Nur die Serverdienste installieren die auch tatsächlich benötigt werden
- Die benötigten Services/Dienste soweit möglich auf bestimmte Quell-IP Bereiche einschränken
Gruß
Andi
Hallo!
Gleich nachdem ich die Abuse Mail bekommen habe, habe ich folgenden Einstellungen (wurde darin empfohlen) vorgenommen:
Aktiviert: "Rekursionsvorgang (und Weiterleitungen) deaktivieren"
) Mir ist aufgefallen dass ich immer noch ca. 450 TCP-Verbindungen habe aber von keiner IP-Adresse sondern von: "IPv4-Loopback" + "IPv6-Loopback" (Ist das normal?!)
) Laut der Hetzner-Webseite (meinem Server Provider) habe ich in den letzten 7 Tagen einen Netzwerktraffic Outgoing von 15GB! (Schon viel für meine versendeten 3 E-Mails ...)
) Habe jetzt meinen virtuellen Server auf einen Zustand zurückgesetzt an dem diese Probleme noch nicht bestanden und hatte sofort wieder 450 TCP-Verbindungen (Ist das normal?!)
) Zudem habe ich jetzt ausnahmslos alle Windows Server 2012 Firewall Regeln deaktiviert und neugestartet.
) Der Webmail zugriff klappt jetzt natürlich nicht mehr was schon mal bedeutet dass die Firewall noch arbeitet
) Auffallend: Die Datei- und Druckerfreigabe im "Gast oder Öffentlichen Profil"stellt sich immer wieder automatisch auf aktiviert! Was natürlich wieder viele Firewall Einstellungen aktiviert! (Ist das normal?!)
) Laut NMAP Port-Scanner scheint aber alles dicht zu sein (wobei meine Erfahrung mit Portscanner sich auf die letzten 15 Minuten beschränkt. Mein Webserver hat offene Ports und bei meinem Problem-Exchange-Server tauchen keine offenen Ports beim scannen auf)
) Trotz aller geschlossenen Ports habe ich dennoch 450 TCP-Verbindungen. Alle entweder von meiner eigenen Ip-Adresse oder "IPv4-Loopback" + "IPv6-Loopback"
Es ist schwierig für mich zu sehen was normal ist und was nicht da ich beim normal Betrieb nicht darauf geachtet habe wie viele TCP-Connections hatte.
lg myGilli
Gleich nachdem ich die Abuse Mail bekommen habe, habe ich folgenden Einstellungen (wurde darin empfohlen) vorgenommen:
Aktiviert: "Rekursionsvorgang (und Weiterleitungen) deaktivieren"
) Mir ist aufgefallen dass ich immer noch ca. 450 TCP-Verbindungen habe aber von keiner IP-Adresse sondern von: "IPv4-Loopback" + "IPv6-Loopback" (Ist das normal?!)
) Laut der Hetzner-Webseite (meinem Server Provider) habe ich in den letzten 7 Tagen einen Netzwerktraffic Outgoing von 15GB! (Schon viel für meine versendeten 3 E-Mails ...)
) Habe jetzt meinen virtuellen Server auf einen Zustand zurückgesetzt an dem diese Probleme noch nicht bestanden und hatte sofort wieder 450 TCP-Verbindungen (Ist das normal?!)
) Zudem habe ich jetzt ausnahmslos alle Windows Server 2012 Firewall Regeln deaktiviert und neugestartet.
) Der Webmail zugriff klappt jetzt natürlich nicht mehr was schon mal bedeutet dass die Firewall noch arbeitet
) Auffallend: Die Datei- und Druckerfreigabe im "Gast oder Öffentlichen Profil"stellt sich immer wieder automatisch auf aktiviert! Was natürlich wieder viele Firewall Einstellungen aktiviert! (Ist das normal?!)
) Laut NMAP Port-Scanner scheint aber alles dicht zu sein (wobei meine Erfahrung mit Portscanner sich auf die letzten 15 Minuten beschränkt. Mein Webserver hat offene Ports und bei meinem Problem-Exchange-Server tauchen keine offenen Ports beim scannen auf)
) Trotz aller geschlossenen Ports habe ich dennoch 450 TCP-Verbindungen. Alle entweder von meiner eigenen Ip-Adresse oder "IPv4-Loopback" + "IPv6-Loopback"
Es ist schwierig für mich zu sehen was normal ist und was nicht da ich beim normal Betrieb nicht darauf geachtet habe wie viele TCP-Connections hatte.
lg myGilli
