JohnnyFu 10 Geschrieben 14. Juli 2008 Melden Teilen Geschrieben 14. Juli 2008 Hi, Ich glaube ich hab hier ein problem, habe aber keine Ahnung wie ich es angehen soll. Google hat mir leider nicht Helfen können. Ich habe hier 2x Server 2003 in zwei unterschiedlichen Netzen, 192.168.1.0 und 192.168.0.0 Beide Netz sind über einen OpenBSD Router untereinander erreichbar und können raus ins Internet. Ich hab keinen der Server aufgebaut und leider nicht wirklich viel Ahnung vom Windows DNS Service. Tatsache ist, auf beiden 2003 Servern sehe ich in TCPView tausende Verbindungen. Siehe: Hier oder Attached Screenshot. DNS.EXE:PORT <-- (dieser port ändert sich wenn ich den DNS Service restarte) LocalAddress:PORT <--- geht irgendwo bei Port 46.000 los und geht bis ende der Port-Range. Da ich alles andere als ein Netzwerk oder DNS Experte bin bräuchte dringend ich eure Ratschläge oder ein paar Denkansätze. gruß Johnny p.s. falls ich weitere Infos posten soll sagt mir einfach welche Zitieren Link zu diesem Kommentar
Squire 262 Geschrieben 14. Juli 2008 Melden Teilen Geschrieben 14. Juli 2008 Hi, was laufen denn für Dienste? Evtl. Mailserver? Bild seh ich leider nicht, da noch nicht freigeschaltet. Wie schaut es mit Virenschutz aus? Sind die Kisten durchgepatched? Zitieren Link zu diesem Kommentar
JohnnyFu 10 Geschrieben 14. Juli 2008 Autor Melden Teilen Geschrieben 14. Juli 2008 Mailserver - nein Dienste - allerllei default natürlich. Soll ich alle auflisten ? :) Virenschutz - Panda Security (Server-Client Suite). Auf einem Server alte Version auf anderem neuste. Signaturen auf beiden up to date. Patched - Clients nur sporadisch, Server nur der eine. Sicherheit wird nicht groß geschrieben. Ich bin NICHT der Verantwortliche und Rede in der Firma auch gegen eine Wand wenn es um Grundregeln der Sicherheit geht. Edit: Puh.. gerade gesehen das der eine DC noch SP1 hat... *kopfschüttel*. Was evtl. auch noch wichtig ist, es befinden sich keine 30 Clients in beiden Netzen, aktiv sind so ca. 5-10 am Tag. Bild im initial post als Link hinzugefügt. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 14. Juli 2008 Melden Teilen Geschrieben 14. Juli 2008 Hi, Ich glaube ich hab hier ein problem, habe aber keine Ahnung wie ich es angehen soll. Hallo Johnny, Ich glaub nicht, dass du ein Problem hast. TCPView zeigt dir keine bestehenden Verbindungen an, die es beim UDP-Protokoll eh nicht gibt, sondern nur noch gecachte Informationen zu DNS-Anfragen, die deine Rechner irgendwann mal bekommen haben. Die Spalten "remote Address" und "State" sind wahrscheinlich leer. Problematisch wäre es z.B. , wenn bei State der Eintrag "syn_received" stehen würde. Das wären dann halboffene Verbindungen. Wenn du es genau wissen willst, wer deine Rechner anfunkt, dann installier dir einen Netzwerkmonitor z.B. Wireshark: Go deep. und leg auf dein Interface unter Capture -> Interfaces ->Options den Capturefilter "udp port 53" cu blub Zitieren Link zu diesem Kommentar
JohnnyFu 10 Geschrieben 14. Juli 2008 Autor Melden Teilen Geschrieben 14. Juli 2008 Die Spalten "remote Address" und "State" sind wahrscheinlich leer. Hi, Korrekt, diese Spalten sind leer bzw. remote address ist mit *.* gezeichnet. Allerdings macht mich das trotzdem stutzig, den ich sehe das zum ersten mal. Auf Servern (andere Standorte) sind lediglich 1-10 mal DNS.EXE zu sehen, huh? Und dann auf den zweien hier meherere tausend ? Könnte das problem durch falsch konfigurierte DNS Services / Vertrauenstellungen zwischen den beiden Domänen ausgelöst werden ? Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 14. Juli 2008 Melden Teilen Geschrieben 14. Juli 2008 mach mal einen Netzwerktrace über 2-3 Stunden, dann sehen wir es. Alles andere ist Spekulation cu blub Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 14. Juli 2008 Melden Teilen Geschrieben 14. Juli 2008 Patched - Clients nur sporadisch, Server nur der eine. Sicherheit wird nicht groß geschrieben. Ich bin NICHT der Verantwortliche und Rede in der Firma auch gegen eine Wand wenn es um Grundregeln der Sicherheit geht. Dafür gibts ja den WSUS, der hilft dabei ganz gewaltig. Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 22. Juli 2008 Melden Teilen Geschrieben 22. Juli 2008 Nachdem der DNS-Server nach dem letzten Patch auch meinem IAS-Server die Ports gemopst hat, habe ich mir mithilfe dieser beiden Artikeln beholfen: MS08-037: Vulnerabilities in DNS could allow spoofing How to reserve a range of ephemeral ports on a computer that is running Windows Server 2003 or Windows 2000 Server Zitieren Link zu diesem Kommentar
JohnnyFu 10 Geschrieben 22. Juli 2008 Autor Melden Teilen Geschrieben 22. Juli 2008 Hallo, Danke für die Links. Wie ich das sehe nutzt der DNS Service seit dem Security Patch random ports von 49152 bis 65535. Verstehe ich das also richtig das jeder der diesen Patch aufspielt das gleiche in TCPView bzw. netstat sehen wird wie ich oben auf dem Screenshot gezeigt habe ? Nämlich 2500 von DNS.EXE belegte Ports in der genannten range ? Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 22. Juli 2008 Melden Teilen Geschrieben 22. Juli 2008 Die Range war bei mir eine Andere, aber 2500 könnte hinkommen. :suspect: Zitieren Link zu diesem Kommentar
JohnnyFu 10 Geschrieben 22. Juli 2008 Autor Melden Teilen Geschrieben 22. Juli 2008 Ok, warum das jetzt so radikal viele Ports belegt verstehe ich zwar nicht aber es scheint ja soweit alles in Ordnung zu sein mit meinem Server. Vielen Dank Leute. Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 22. Juli 2008 Melden Teilen Geschrieben 22. Juli 2008 Einige Infos zum Thema: Details zum DNS-Sicherheitsproblem veroeffentlicht - heise Security Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.