ComputerBase Menü
Aktuelles

Home-Server absichern

wannabe_nerd

wannabe_nerd

Lieutenant
Registriert
Mai 2009
Beiträge
732
Hi Leute,

folgendes: Ich habe mir auf Basis von Win 7 64bit Prof. und Serv-U einen kleinen eigenen Fileserver aufgebaut. Der Läuft soweit ganz gut(Dyndns u ports geforwardet usw usw) Da das ganze per FTP /SFTP läuft hab ich da mal ein paar Fragen bzgl der Sicherheit.
Ich bin noch Neuling was diesen Ganzen Serverkram angeht und werde bestimmt sehr oft nachfragen müssen. Also seid bitte gnädig mit mir ^^

Ich hab heute früh in den Logs von Serv-U gesehn, wie jemand 15min lang versucht hat sich mit verschiedenen PWs u Benutzernamen anzumelden. Dabei habe ich die Adresse meines Server bisher nur ca. 3-4 Menschen überhaupt mitgeteilt. Es war also eine zufällige "Attacke" oder?
Da habe ich das erste mal darüber nachgedacht, wie ich solche "Angriffe" abwehren kann.

Also Kurz und bündig wie der Titel schon sagt: Wie sichere ich jetzt diesen Heimserver ab?
 
Hi,

schwierig. Ich meine du könntest ihn deaktivieren, wenn du ihn nicht benutzt. Das wäre sehr sicher. Aber alles andere ist schwer umzusetzen: Wo du reinkannst kann im Prinzip jeder andere auch rein.

Festplattenverschlüsselung, lange, komplexe, oft wechselnde Kennwörter wären schon einmal gut.

Evtl. kannst du bei deinem Router auch festlegen, dass nur Anfragen von gewissen IP's zugelassen werden. Hilft aber natürlich auch nur, wenn du mit einer bestimmten Adresse zugreifen willst :)

Was für Sicherheitsmaßnahmen hast du denn bisher schon ergriffen? Lies sich aus den Logs feststellen, woher der pot. Angreifer kam?

VG,
Mad
 
naja bisher habe ich als Sicherheit nur, dass ich relativ sichere PWs an die Benutzerkonten vergeben habe (Zahlen und Buchstaben) und ich habe einen Virenscanner installiert (MS Security Essentials) ich weiß der Scanner ist jetzt vllt nicht der geeigneste für diesen Job, aber ich bin da sehr gerne für Vorschläge offen u dankbar ;) Aus den Logs hatte ich nur die IP-adresse des "Angreifers" die hab ich dann auch gleich auf die Blacklist gesetzt, was aber nicht viel nützen wird denke ich oder? Angreifer können doch über Proxys ihre IP ändern/ verschleiern oder?
 
Aus Erfahrung kann ich dir sagen, dass ein Server ohne sicheres Passwort innerhalb von 15-30 Minuten gehacked ist ;) Die Angriffe finden permanent statt und kannst nichts dagegen machen. Wichtig ist, dass du sichere Passwörter hast und dein System permanent auf dem aktuellsten Software stand ist.

Edit: Ich würde übrigends keine Datei- und Druckerfreigabe nach außen aktivieren. Falls du externen Zugriff brauchst, machs mit VPN!
 
Hi,

ja können Sie. Aber suche doch trotzdem mal bei Whois ob du zur IP etwas findest. Egal was, wäre ja schon interessant.

Naja, viel kannst du nicht machen bei so etwas. Ich würde - wenn es nur ein FTP ist - überlegen ob ein externer Hoster nicht lohnt. Und keine wichtigen privaten Daten drauf ;)

VG,
Mad
 
@Madman1209

Also laut Whois kam mein Angreife aus Santiago de Chile u heißt JOSE A. O__o

wtf?

Also was mir noch eingefallen ist, dass man ja auch die Ports für FTP usw verändern kann aber ich weiß ehrlich gesagt nich wie das geht u wo man das einstellt ...

Zertifikate hab ich auch schon überlegt, aber auch hier: wie macht man das? xD Außerdem versteh ich das System mit diesen Zertifikaten noch nicht so ganz...
 
FTP nicht auf Port 21 laufen lassen, sondern auf 4021 oder ähnlich. Die Loginversuche finden nur auf Port 21 statt.
 
Ist bei mir ähnlich. Ich hab CrushFTP laufen, ist billiger...:D
Dazu ausschliesslich SFTP und die Benutzernamen etwas länger als üblich und die Kennwörter mit Zahlen Buchstaben und Sonderzeichen.
Angriffe sind da sehr sehr viele, aber mir ist noch kein erfolgreicher aufgefallen und das läuft schon seit über einem Jahr.

Grüße
 
Also zum Thema FTP:

Wenn du wichtige Daten damit sharen willst, kommst du um sFTP nicht wirklich drum rum.

Du kannst doch einstellen, dass nach XZY versuchn die IP des Angreife geblockt wird. Versuch es doch mal damit, bringt nun keine Welten, aber wenigstens block es ein paar Hoschis ab.
 
Mal als kurze Liste zusammengefasst:

- Sichere Passwörter verwenden um Bruteforce und Wörterbüchter ins leere laufen zu lassen
- IPs nach X falschen Passwörtern bannen sofern der FTP das anbietet
- Port von 21 weglegen um automatischen Angriffen wie den beschriebenen zu entgehen

Wichtig wäre noch:

Den FTP Dienst nicht mit einem Administrativen Account ausführen, sondern mit einem Benutzer der eingeschränkte Rechte hat. Dieser Benutzer sollte nur auf das Verzeichniss Zugreifen dürfen in dem der FTP selbst installiert ist und in die per FTP freigegebenen Verzeichnisse. Dadurch verhinderst du das durch eine Sicherheitslücke im FTP Dienst dein kompletter Server übernommen wird (zumindest wird es dann sehr viel schwerer)
 
Auf meinem Fileserver läuft seit etwa 4 Monaten auch ein FTP mit FileZilla. Es ist ein XP mit SP3.

Auf dem PC läuft nur avast und die Windowsfirewall. Der Server ist aber auch nur direkt via FTP und IP erreichbar , kein www - fixe IP. Bisher konnte ich kein einzigen Angriff oder Login versuch registrieren.

Das einzige was ich gemacht habe, sind andere Ports für den FTP festgelegt.


EDIT: Ich muss noch erwähnen das mein Provider bereits ein Anpingen meiner IP verhindert.
 
Zuletzt bearbeitet:
wannabe_nerd schrieb:
Ich hab heute früh in den Logs von Serv-U gesehn, wie jemand 15min lang versucht hat sich mit verschiedenen PWs u Benutzernamen anzumelden. Dabei habe ich die Adresse meines Server bisher nur ca. 3-4 Menschen überhaupt mitgeteilt. Es war also eine zufällige "Attacke" oder?
Da habe ich das erste mal darüber nachgedacht, wie ich solche "Angriffe" abwehren kann.

Also Kurz und bündig wie der Titel schon sagt: Wie sichere ich jetzt diesen Heimserver ab?
Zum Vergrößern anklicken....

Stell mal Anti-Hammering ein.

jumas schrieb:
Ist bei mir ähnlich. Ich hab CrushFTP laufen, ist billiger...:D
Dazu ausschliesslich SFTP und die Benutzernamen etwas länger als üblich und die Kennwörter mit Zahlen Buchstaben und Sonderzeichen.
Angriffe sind da sehr sehr viele, aber mir ist noch kein erfolgreicher aufgefallen und das läuft schon seit über einem Jahr.

Grüße
Zum Vergrößern anklicken....

Windows 7 hat nen integrierten ftp dienst, der ist noch billiger. :p
 
Masamune2 schrieb:
Mal als kurze Liste zusammengefasst:

- Sichere Passwörter verwenden um Bruteforce und Wörterbüchter ins leere laufen zu lassen
- IPs nach X falschen Passwörtern bannen sofern der FTP das anbietet
- Port von 21 weglegen um automatischen Angriffen wie den beschriebenen zu entgehen

Wichtig wäre noch:

Den FTP Dienst nicht mit einem Administrativen Account ausführen, sondern mit einem Benutzer der eingeschränkte Rechte hat. Dieser Benutzer sollte nur auf das Verzeichniss Zugreifen dürfen in dem der FTP selbst installiert ist und in die per FTP freigegebenen Verzeichnisse. Dadurch verhinderst du das durch eine Sicherheitslücke im FTP Dienst dein kompletter Server übernommen wird (zumindest wird es dann sehr viel schwerer)
Zum Vergrößern anklicken....

Dann schau noch in deinem Router nach, ob du den Ping auf deine IP deaktivieren kannst.
Weil bevor Bruteforce Attacken gestartet werden, sind erstmal die Scanner an der Reihe und wenn sie dich nicht anpingen können, wirste automatisch übersprungen :)
 
ok also ports weiter nach hinten verschieben is jetzt auf der to-do-liste xD aber wo muss ich über all die Ports ändern? Einmal im Router wo sie ja geforwarded werden müssen, einmal in der Windows-Firewall und einmal bei Serv-U (mein FTP-Programm). Hab ich da jetzt was vergessen?
 
Zuletzt bearbeitet:
Hast nichts vergessen.
Stell das mal an, ich denke das erklärt sich von selbst.
 

Anhänge

  • 2011-02-21_142108.png
    2011-02-21_142108.png
    44,8 KB · Aufrufe: 184
Dann schau noch in deinem Router nach, ob du den Ping auf deine IP deaktivieren kannst.
Zum Vergrößern anklicken....

Das will ich aber gar nicht, denn dann kann ich selbst auch nicht mehr durch nen einfachen Ping rausbekommen ob meine Kiste noch da ist. Mal davon abgesehen das ich den FTP auf nem Root Server laufen habe und da kein garstiger NAT Router vorne dran hängt ^^

Ich muss den FTP leider auf Port 21 laufen lassen und habe auch immer wieder Login Versuche, das ist ganz normal. Anti-Hammering anschalten und die Passwörter nicht zu simpel halten, dann passiert auch nichts.
 
hmm habe jetzt die ports auf stellen jenseits von 9000 gesetzt....jetzt geht nichts mehr xD
also ich kann nicht mehr über inet auf den server zugreifen
Dabei habe ich im router, in der windows firewall und in Serv-U für die gleichen Protokolle (SSH, HTTP FTP usw) überalle jeweils den gleichen Port frei gemacht.

Was hab ich falsch gemacht?

Edit:

ich hab jetzt einfach wieder die Ports zurück gesetzt, aber die eigentlich Lösung ist das ja jetzt nicht xD

Also habt ihr ne idee woran es gelegen haben könnte?
 
Zuletzt bearbeitet:
Also bei manchen Routern kann man einen externen auf einen internen Port weiterleiten lassen.
Soll heißen du kannst aus dem Internet auf deinen ftp auf Port 9000 zugreifen, und der Router leitet dann die anfrage an Port 21 weiter, der Vorteil ist du musst die Software nicht umstellen und kannst den Port schnell umstellen.
 
Zuletzt bearbeitet:
ahhh cool ich glaube mein Belkin kann das sogar!

Aber sicher bin ich mir nicht.....aber da steht was von wegen: "interne schnittstelle" und "private schnittstelle"

Könnte das, das sein was du meinst wupi?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

R
Linux Server absichern ohne großartiges Netzwerke-Studium
Antworten
13
Aufrufe
2.372
madmax2010
madmax2010
D
Server absichern
Antworten
12
Aufrufe
2.590
Daaron
D
M
Eigenen Server absichern
Antworten
4
Aufrufe
1.398
masterofeye
M
E
Home Server absichern
Antworten
6
Aufrufe
2.173
enteon
E
E
Wie Windows 2003 Server absichern?
Antworten
7
Aufrufe
1.168
Essigeimer
E
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz