# WIndows Server DOS Attacken



## ispy (25. Dezember 2003)

Hi,
ich weiß das WIndows Server gegenüber Linux servern unsicher sein solln aber gibt es vieleicht ein paar Tool damit man Windowsserver vor DOS Attacken oder anderen schützen kann da ich mich Linux nicht sehr gut auskenne.

DAnke für jede Hilfe


----------



## Sinac (25. Dezember 2003)

Was für ein Server?
Welches Windows?

Es gibt bestimmt möglichkeiten sich ein wenig zu schützen, aber bei DOS Attacken ists nicht ganz so einfach, und ich denke mal bei einem Windowssystem hast du andere Probleme als DOS Attacken, denn wozu DOS wenn es für das System hunderte von exploits gibt?

Greetz...
Sinac


----------



## ispy (25. Dezember 2003)

na ,Ich brauche einfach nur Schutz .Also es handelt sich einmal um Windowsserver 2000 und Windowsserver 2003. Achso das ist nen Rootserver.
Ich bräuchte einfach nur nen paar Tools ,die mich vor Angriffen von außen schützen.


----------



## Klon (25. Dezember 2003)

Such bitte mal bei Google nach "Windows DOS  Vulnerability", du bekommst über 95000 Treffer.

Ohne eine Hardware Lösung kommst du da nicht weiter.

Externe Firewall/IDS u.Ä.

Gib dir in Zukunft auch etwas mehr Mühe bei deiner Groß/Kleinschreibung, so wie das hier in unserem Forum Standard ist.


----------



## ispy (25. Dezember 2003)

Ich finde zwar viel unter diesem Begriff aber nichts für WindowsServer 2000 oder 2003.


----------



## Klon (26. Dezember 2003)

Du kannst dich gegen (D)DoS Attacken nur schützen durch eine Hardware Lösung, das war was ich damit sagen wollte.


----------



## ispy (26. Dezember 2003)

*k*

welche Hardware würdest du vorschlagen


----------



## Klon (26. Dezember 2003)

Wie ich bereits sagte, eine externe Firewall bsplw., kann hier auch noch mal das iSecure von Melior Inc nennen als alternative Lösung.


----------



## TheNBP (26. Dezember 2003)

Hmm, Ich verstehe nicht ganz wieso es zum Schutz vor DOS Attacken denn unbedingt eine Hardware Firewall sein muss? Letzlich ist das auch nichts weiter als ein kleiner Prozessor auf dem eine fest eingespeicherte Software läuft die die Pakete nach bestimmten Regeln überprüft.
Es ist richtig das bei einem guten Firewall Konzept die eigentliche Firewall auf einem von den zu schützenden Rechnern unabhängigen System läuft, aber hier geht es ja nur darum, einen Server abzusichern.
Ob man nun also eine Hardware oder Software Firewall einsetzt ist deshalb meiner Meinung nach egal.

So wie ich das sehe besteht ein DOS Angriff entweder daraus mittels Exploit (z.b. ausgenutze Sicherheitslücke im OS) den betreffenden Dienst zu killen, oder durch Überlastung (z.b dauerne aufwendige Suchanfragen an ein Forum und Flooding aller Art) den Server in die Knie zu zwingen. 
Eine Firewall kann unter Umständen helfen einen DOS Angriff abzuschwächen (Connection-Limits), ist bei Exploits aber wirkungslos.

Fazit: Gegen Exploits immer fleissig patchen, nur benötigte Dienste installieren, gut konfigurierte (sagt sich leicht *g*) Firewall installieren und dazu noch ein IDS System um DOS Attacken möglichst früh zu erkennen und zu verfolgen.


----------



## Sinac (27. Dezember 2003)

Öhm, ich glaube
Exploit != DOS Attack

MIt ner Software Firewall kann man schon ne Menge machen, aber die Hardwarelösung ist einfach wirkungsvoller, denn ich denke mal man kann unter umständen auch die Firewall in die Knie zwingen und außerdem kannst du ja kaum für alles ne Regel erstellen, z.B. Distributed DOS, da wirds dann sehr lustig =)

Greetz...
Sinac

P.S.: Gehört das nicht so langsam ins Security Forum?


----------



## TheNBP (27. Dezember 2003)

Ich berufe mich da auf folgenden Artikel:
http://www.dfn-cert.de/infoserv/dib/dib-2000-01.html
]_
Seit den Anf des Internets existieren sie, die sog. "Denial-of-Service" (DoS)Angriffe, deren Ziel es ist, die Verfügbarkeit bestimmter Rechner und/oder Dienste drastisch einzuschränken. Meist wird bei dieser Form von Angriffen über das Internet versucht, durch das Ausnutzen von Schwachstellen in Betriebssystemen, Programmen und Diensten bzw. das Ausnutzen grundsätzlicher Entwurfsschwächen der verwendeten Netzwerkprotokolle, die angegriffenen Systeme zum Absturz zu bringen, oder derartig zu überlasten, daß diese Systeme ihre eigentliche Funktionalität nicht mehr erbringen können. Reine DoS-Angriffe haben also nicht das Ziel, vertrauliche Daten zu stehlen oder Benutzer-Authentisierungs-Mechanismen zu umgehen, sondern Diensteanbieter lahm zu legen. 
_
Aber ist ja eigentlich nur ne Frage der Definition  


Man kann bestimmt ne Software Firewall in die Knie zwingen, aber dann auch jede Hardware Firewall. Sehe da technisch eigentlich keinen Unterschied. Ich behaupte auch einfach mal das ne Software Firewall mit nem Rechner darunter mehr Ressourcen hat als ne Hardware FW


----------



## Sinac (27. Dezember 2003)

Exploit: Prgramm oder Code der Schwachtelle ausnutzt
DOS Attack: Dienst durch zuviele Anfragen etc. unavailable machen

Aber ist ja auch egal, wir wissen was gemeint ist.

Aber der Einsatz einer Hardware Firewall hat ja auch noch andere Vorteile, DMZ und solche scherze...

Greetz...
Sinac


----------



## TheNBP (28. Dezember 2003)

Eine DMZ ist ja eigentlich der Bereich zwischen zwei Firewalls.... wieder Definitionssache  
Aber auch da behaupte ich, was mit einer Hardware Firewall zu realisieren ist, ist genauso einfach auch mit einer Software Firewall zu basteln.

Man erhält natürlich mit einer Hardware FW eine vorkonfigurierte "out-of-the-box" Lösung während man bei selbstgebauten Software Firewalls einige Zeit mit Installation verbringt.


----------



## Johannes Postler (28. Dezember 2003)

Ich tendiere eher zu einer Hardware FW. Kommt mir persönlich sicherer vor. Das lässt sich vielleicht so begründen (die Betonung liegt auf vielleicht):´
Ihr habt gesagt, man kann jede Firewall in die Knie zwingen. Na gut, wenn die Hardware-FW in die Knie gezwungen wurde geht halt die FW nicht mehr.
Wenn man aber eine Software FW in die Knie zwingt ist indirekt auch scho der Rechner dahinter in die Knie gezwungen.

tirolausserfern


----------



## Klon (28. Dezember 2003)

Eine Softwarefirewall auf dem selben System zu betreiben das auch den zu schützenden Inhalt trägt ist in meinen Augen absolut ineffektiv, besonders da wir hier von einem Windows Server reden.

Ich habe mich nicht richtig ausgedrückt, als Softwarefirewall habe ich hier an Desktopfirewalls gedacht, bei Hardware Lösungen habe ich auch externe Unix/Linux/BSD/etc. gemeint.

Gegen DDoS ist das ebenso inakzeptabel in Verbindung mit einem IDS das karakteristischen Traffic/Packete erkennt zumindest aber eine recht ordentliche Lösung, hier weise ich aber wieder auf das iSecure System hin.

Eine 24h Überwachung (mit physichem Zugriff) ist aber in jedemfall erforderlich, hier zu auch die kurze Darstellung von Reaktionsschemen die ich im Tutorials Bereich veröffentlicht habe ("Abwehr von DDoS Attacken").


----------



## Christian Fein (28. Dezember 2003)

> _Original geschrieben von tirolausserfern _
> *Ich tendiere eher zu einer Hardware FW. Kommt mir persönlich sicherer vor. Das lässt sich vielleicht so begründen (die Betonung liegt auf vielleicht):´
> Ihr habt gesagt, man kann jede Firewall in die Knie zwingen. Na gut, wenn die Hardware-FW in die Knie gezwungen wurde geht halt die FW nicht mehr.
> Wenn man aber eine Software FW in die Knie zwingt ist indirekt auch scho der Rechner dahinter in die Knie gezwungen.
> ...



Eine Firewall ist mehr oder weniger ein System. 
Das heisst eine Firewall kann ein einzelner Rechner sein, kann aber ein ganzes Teilnetzwerk sein, mit Bastion Host, Proxi Systemen und ähnlichem.

Die beste Firewall fängt mit einem gesunden Sicherheits / Dienste Konzept an.

a) Brauch ich wirklich einen Telnet Deamon? Wenn nein ausschalten. Sprich 
sich darüber informieren, welche Dienste laufen auf meinen Rechner, was bewirken Sie,
sind sie potentiell gefährlich, und vor allem Dingen, benötige ich diese Dienste überhaupt.

b) Auslagern von Diensten die Potientiell gefährlich sind. Sprich will ich umbedingt Anonymous FTP, bzw FTP überhaupt anbieten, sollte mann sich nicht fragen ob mann diese Dienste in ein Insecure Teilnetzwerk auslagert. Sprich noch vor die Firewall. Und diesen Rechner sehr stark abhärted und keine privilegien im Netzwerk zugesteht.


Wenn mann sich genügend Gedanken über ein Sicherheitskonzept macht, und auch konsequent die Absicherung durchführt, auch wenn es unbequem wird, dann ist auch ein Windows Server 
als Firewall geeignet. Die grösste Sicherheitslücke ist so oder so immer noch der Mensch.


----------



## Astardes (29. Dezember 2003)

> _Original geschrieben von ispy _
> *na ,Ich brauche einfach nur Schutz .Also es handelt sich einmal um Windowsserver 2000 und Windowsserver 2003. Achso das ist nen Rootserver.
> Ich bräuchte einfach nur nen paar Tools ,die mich vor Angriffen von außen schützen. *



Hast Du Dir einen Rootserver gemietet ? Wenn ja hättest Du Dich vorher schlau machen sollen wegen der Sicherheit. Eine DDOS-Attacke kann sehr teuer werden. Wenn der Rechner als Warez-Server mißbraucht wird, kann es aber noch sehr viel teuerer werden. Besser wäre es wenn Du den Server abbestellst und Dich zuhause erstmal fit machst. Ein gemieteter Rootserver hat meistens eine 100 MBit-Anbindung...das kann teuer werden, wenn es zu einem DDOS oder einem Server-Napping kommt.


----------



## Klon (29. Dezember 2003)

Das administrieren einer solchen "Waffe" wurde mehrfach bei uns angesprochen, dazu dann folgende Links:

http://www.tutorials.de/tutorials120744.html

http://www.tutorials.de/tutorials137373.html


----------



## TheNBP (29. Dezember 2003)

> _Original geschrieben von Philipp Kuhlemann _
> *Eine Softwarefirewall auf dem selben System zu betreiben das auch den zu schützenden Inhalt trägt ist in meinen Augen absolut ineffektiv, besonders da wir hier von einem Windows Server reden.
> *


Stimme ich Dir zu solange es um mehr als einen Rechner geht der mittels Firewall zu schützen ist.
Wenn beispielsweise ein Webserver gleichzeitig als Firewall benutzt werden würde, so würde wenn jemand es schafft die Kontrolle über den Webserver zu übernehmen dieser jemand auch gleichzeitig die Kontrolle über die Firewall erlangen. (und damit das komplette System gefähren). Das ist meiner Meinung nach der Hauptgrund warum eine Firewall getrennt von dem restlichen System laufen sollte.
Wenn nur ein Rechner geschützt werden muss ist dieser Grund aber hinfällig

Bei unbegrenzten finanziellen Mitteln ist es sicher die bessere Lösung eine extra Firewall zu installieren, aber für einen einzigen zu schützenden Rechner halte ich es halt einfach für "Overkill".


----------

