IIS und WinFTP im Netz

[trojan 10]

moinmoin

 

wir planen hier in der Firma einen w2003std + sp1 (alle updates) als IIS und (Win-)FTP laufen zu lassen. Der Server hängt hinter einer Cisco Pix. Reicht das? oder müssen noch Vorkehrungen getroffen werden damit das Teil sicher im Netz ist?

 

thx 4 help

 

cya

trojan

[Letze01 10]

Hay hay,

 

meinst Du nur für den internen Betrieb, quasi als Intranet? Oder willst Du öffentliche Zugriffe zulassen? Dann sollte die Pix eine DMZ haben, da das Öffnen von Ports ins LAN immer ein Sicherheitsrisiko darstellt.

[trojan 10]

wir wollen öffentliche zugriffe zulassen.

[Letze01 10]

Hay hay,

 

also wie gesagt - das Öffnen von Ports ins LAN stellt immer ein Sicherheitsrisiko dar. Besser wäre, den Server in die DMZ zu stellen. Dadurch können auch gewisse Ports geöffnet werden, die betreffen allerdings "nur" die Maschinen der DMZ und nicht das gesamte LAN.

[trojan 10]

ja das ist klaa ;) aber muss ich am system selbst noch was drehen? dienste deaktivieren oder sonst irgendwas? oder kann man den nach der install/config einfach so ans netz hängen?

[Letze01 10]

Hay hay,

 

Du könntest eventuell noch das IIS-Lockdown-Tool drüberlaufen lassen...

[trojan 10]

das prog will nicht :(

klappt leider nicht als anhang das pic > hier der link zur error-msg

 

http:/212.112.249.4/iislock.JPG

[humpi 11]

Hi,

vielleicht gehts besser mit Anleitung. > http://www.aspheute.com/artikel/20010926.htm

Würde dieses Tool aber auf jeden Fall einsetzen.

Und das hier auch > http://www.microsoft.com/technet/security/tools/urlscan.mspx

[Letze01 10]

Hay hay,

 

Sch..eibenkleister. Das Tool ist für IIS4 & 5 (so zumindest der Screenshot), im Server2003 ist jedoch der 6er drin.... Komisch

[trojan 10]

All of the default security-related configuration settings in IIS 6.0 meet or

exceed the security configuration settings made by the IIS Lockdown tool. ... ;)

 

 

werd mich mal durch die anleitungen von humpi wühlen ;)

 

THX 4 HELP! :)

 

edit : was macht das UrlScan ? habs installiert... aber kanns bis jez noch nirgends finden

 

edit2 : nette anleitung von hier > http://www.aspheute.com/artikel/20010927.htm ;)

[humpi 11]

Hi,

habe gerade noch den Artikel gefunden, nachdem der IIS 6 das Lockdown Tool nicht mehr benötigt.

Er ist jetzt von Hause her besser abgesichert und nicht mehr so offen wie der IIS 5. ;-)

> http://www.msexchangefaq.de/tools/iislockd.htm

[trojan 10]

;) das hab ich doch in meinem letzten beitrag auch stehen, nur auf englisch^^

 

All of the default security-related configuration settings in IIS 6.0 meet or

exceed the security configuration settings made by the IIS Lockdown tool. ...

[humpi 11]

@trojahn

Hab ich überlesen, sorry. :-(

[trojan 10]

*g* is doch net schlimm ;)

 

gibts sonst noch irgendwas um das teil ab zu sichern?

[trojan 10]

moinmoin

 

habe gerade mit IPsec Ports geschlossen.

 

 

wenn ich nun von extern den server scanne, sind die ports zu (bis auf 1080). wenn ich aber intern scanne (also vom server aus auf die server ip) sind die ports offen. wieso?

 

cya

trojan

 

 

 

######

 

edit : ich habe mich an diese anleitung gehalten > http://www.microsoft.com/technet/prodtechnol/exchange/guides/StopEmailVirus/7274badb-7c52-460a-9d5c-e711328dfba3.mspx

> How to Create an Inbound SMTP Filter List & How to Create an Outbound SMTP Filter List

 

Dort habe ich jeweils die ports aus dem pic eingetragen

 

 

reicht das, oder muss ich noch was beachten?