brianit 10 Geschrieben 25. Februar 2009 Melden Teilen Geschrieben 25. Februar 2009 hi, ein Kunde von uns möchte unbedingt einen FTP-Server auf seinem 2003 SBS installiert haben. Was ja auch nicht wirklich schwierig oder aufwendig ist. Aber, wie kann ich sicherstellen das der Server nicht gehackt wird. Wir haben testweise einen FTP-Server (von MS) aufgesetzt und ein Verzeichnis mit nur einem Benutzer freigegeben. Im Ereignisprotokoll kam man sehen das versucht wird mit verschiedenen Logins auf den FTP-Server zuzugreifen. Wir haben absichtlich den Adminaccount nicht für den FTP freigegeben. Aber es macht uns und auch den Kunden etwas nervös, das jede Nacht zwischen 500 und 2000 Zugriffe auf den FTP-Server versucht werden um sich einzuloggen. Wie kann man das am sichersten Einrichten? Danke.. mfg. Der Brian Zitieren Link zu diesem Kommentar
viper666 10 Geschrieben 26. Februar 2009 Melden Teilen Geschrieben 26. Februar 2009 Aber es macht uns und auch den Kunden etwas nervös, das jede Nacht zwischen 500 und 2000 Zugriffe auf den FTP-Server versucht werden um sich einzuloggen. Jo, das haben wir auch. Aber solche Hacking Atacken kannst Du nur verhindern, in dem Du entweder... a) den FTP Server abschaltest b) den Angreifer ausfindig machts und Ihn bittest das zu unterlassen ;) c) oder den FTP Dienst auf einen anderen Port verlegst d) oder per Firewall nur ausgewählten IP Adresse den Zugriff auf Port 21 gestattest. e) oder die wars***einlich sinnvollste Variante, ein IDS System einsetzt. Gruß viper666 Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 26. Februar 2009 Melden Teilen Geschrieben 26. Februar 2009 @Viper. c: Das verhindert keinen Angriff, es erschwert es nur ein klein wenig. d: nicht immer möglich e: Naja. Auf jeden Fall ist es wichtig, dass man die verbindung verschlüsselt und ggf. den unverschlüsselten Zugriff ganz verbietet. Zitieren Link zu diesem Kommentar
viper666 10 Geschrieben 26. Februar 2009 Melden Teilen Geschrieben 26. Februar 2009 @Viper.c: Das verhindert keinen Angriff, es erschwert es nur ein klein wenig. d: nicht immer möglich e: Naja. Auf jeden Fall ist es wichtig, dass man die verbindung verschlüsselt und ggf. den unverschlüsselten Zugriff ganz verbietet. Es waren ja auch nur vorschläge die je nach Budget umsetzbar oder auch nicht umsetzbar wären. Ein IDS kostet schonmal ne Stange Geld im gegensatz zur Firewall Lösung die ich alternativ auch mit den Widows Bordmitteln der Paketfilterung erreichen kann. Unbeachtet der Bewertung ob die Lösung eine sehr sichere oder wenigere sichere Umsetzung ist. Dennoch erkläre mir bitte, wie Du mit der angedeuteten Verschlüsselung einen Angriff verhindern möchtest. Du erreicht damit nur eine sichere Kommunikation. Aber ein Angriffsschutz ist das nicht. Ich würde mal sagen, dass fällt unter C: ->Das verhindert keinen Angriff, es erschwert es nur ein klein wenig. ;) Zitieren Link zu diesem Kommentar
brianit 10 Geschrieben 26. Februar 2009 Autor Melden Teilen Geschrieben 26. Februar 2009 Ja, danke, aber ich seh schon das ist wirklich nicht so einfach... eine wirklich sichere und brauchbare lösung wäre toll.. danke... bis später.. der Brian Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. Februar 2009 Melden Teilen Geschrieben 27. Februar 2009 Doch das ist zunächst mal relativ einfach. Sichere Kennwörter verwenden (Passphrases). Das ist der Hauptschwachpunkt. Denn sobald du irgendwas von außen zugänglich machst, erfolgen Zugriffe und Zugriffsversuche. Ob das ein Webserver ist, oder ein Mailserver oder ein TS-Gateway. Wen das erschreckt, der darf GAR NICHTS veröffentlichen. Besser noch: Eine Application Layer Filtering Firewall davor hängen, wie z.B. den ISA (mit entsprechender Ahnung natürlich). Einen Serverdienst würde ich nicht unbedingt direkt von außen zugänglich machen, wenn es nicht sein muss. Und wenn du es ganz sicher haben möchtest, dann ISA mit Tokenauthentifizierung. Da hast du die Kennwortgeschichte von der Backe ;) grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.