2K8 - 2008SBS - Sicher mitten ins Internet?

[actinet]

Hallo,

ich bereite gerade für meinen Schwager einen Windows 2008SBS vor, dass er Emails (Exchange; OWA & Outlook), Sharepoint und WebDAV kann. Alles kein großes Problem.

Nur soll der Server, wenn es fertig ist, in ein Housingcenter und damit Mitten ins Internet. Das bereitet mir gerade arge Kopfschmerzen, da laut nmap die Kiste mit knapp 10 offenen RPC Ports (1) ins Netz lauscht und ich die nicht zubekomme, ohne Outlook mit auszusperren.

Mein Vorschlag, die Kiste hinter eine Hardware Firewall und VPN zu stellen wurde nicht allzu wohlwollend aufgenommen.

Vielleicht könnt ihr mir kurz helfen, welche von den Ports da unten "gefährlich" sind, oder mit mit einen "so mach ich es" auf die Sprünge helfen, das Ding so einzurichten, dass es auch längerfristig nur einen Admin hat. ;-)

schöne Grüße

Nico

Anhang 1

Code:

hardtrack:~# nmap -sV 10.0.100.4

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-04-07 18:11 UTC
Interesting ports on 10.0.100.4:
Not shown: 1655 filtered ports
PORT     STATE SERVICE       VERSION
25/tcp   open  smtp
53/tcp   open  domain?
80/tcp   open  http          Microsoft IIS webserver 7.0
88/tcp   open  kerberos-sec  Microsoft Windows kerberos-sec
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn
389/tcp  open  ldap          Microsoft LDAP server
443/tcp  open  ssl/http      Microsoft IIS webserver 7.0
445/tcp  open  microsoft-ds  Microsoft Windows 2003 microsoft-ds
464/tcp  open  kpasswd5?
593/tcp  open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp  open  ssl/ldap      Microsoft LDAP server
987/tcp  open  ssl/http      Microsoft IIS webserver 7.0
1026/tcp open  msrpc         Microsoft Windows RPC
1027/tcp open  msrpc         Microsoft Windows RPC
1029/tcp open  msrpc         Microsoft Windows RPC
1030/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
1031/tcp open  msrpc         Microsoft Windows RPC
1043/tcp open  msrpc         Microsoft Windows RPC
3268/tcp open  ldap          Microsoft LDAP server
3269/tcp open  ssl/ldap      Microsoft LDAP server
3389/tcp open  microsoft-rdp Microsoft Terminal Service
6001/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
6002/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
6004/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
2 services unrecognized despite returning data. If you know the service/version, please submit the following fingerprints at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port25-TCP:V=4.11%I=7%D=4/7%Time=49DB9778%P=i686-pc-linux-gnu%r(NULL,69
SF:,"220\x20ARCHTEXXCSERVER\.archtexx\.local\x20Microsoft\x20ESMTP\x20MAIL
SF:\x20Service\x20ready\x20at\x20Tue,\x207\x20Apr\x202009\x2011:12:01\x20-
SF:0700\r\n")%r(Help,DB,"220\x20ARCHTEXXCSERVER\.archtexx\.local\x20Micros
SF:oft\x20ESMTP\x20MAIL\x20Service\x20ready\x20at\x20Tue,\x207\x20Apr\x202
SF:009\x2011:12:01\x20-0700\r\n214-This\x20server\x20supports\x20the\x20fo
SF:llowing\x20commands:\r\n214\x20HELO\x20EHLO\x20STARTTLS\x20RCPT\x20DATA
SF:\x20RSET\x20MAIL\x20QUIT\x20HELP\x20AUTH\x20BDAT\r\n");
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port53-TCP:V=4.11%I=7%D=4/7%Time=49DB977D%P=i686-pc-linux-gnu%r(DNSVers
SF:ionBindReq,4E,"\0L\0\x06\x05\0\0\x01\0\x01\0\0\0\0\x07version\x04bind\0
SF:\0\x10\0\x03\xc0\x0c\0\x10\0\x01X\x02\0\0\0\"!Microsoft\x20DNS\x206\.0\
SF:.6001\x20\(17714650\)");
MAC Address: 00:1E:4F:35:58:36 (Unknown)
Service Info: OS: Windows

Nmap finished: 1 IP address (1 host up) scanned in 171.116 seconds
hardtrack:~#

[Dr.Melzer]

Zitat von actinet Mein Vorschlag, die Kiste hinter eine Hardware Firewall und VPN zu stellen wurde nicht allzu wohlwollend aufgenommen.

Wer hat die Idee nicht wohlwollend aufgenommen?

Zitat von actinet Vielleicht könnt ihr mir kurz helfen, welche von den Ports da unten "gefährlich" sind, oder mit mit einen "so mach ich es" auf die Sprünge helfen, das Ding so einzurichten, dass es auch längerfristig nur einen Admin hat. ;-)

Da macht es nur Sinn den Server hinter eine ordentlich konfigurierte Firewall zu stellen.

[actinet]

Wer hat die Idee nicht wohlwollend aufgenommen?

Der liebe Schwager, dem das zu umständlich ist. "In meiner alten Firma ging das auch ohne...", wurde mir gesagt.

Ich muß wohl weiter Überzeugungsarbeit leisten oder mich von jeder Verantwortung frei sprechen und hoffen, dass nicht allzugroßer Schaden angerichtet wird

grüße

Nico

[LukasB]

Zitat von actinet Der liebe Schwager, dem das zu umständlich ist. "In meiner alten Firma ging das auch ohne...", wurde mir gesagt.

Mein Linux-Datengrab zuhause hat auch seit 4 Jahren keine Updates mehr erhalten, und läuft trotzdem noch prima. Das heisst nicht dass das "gut" oder "sicher" ist.

Gerade im Small-Business Umfeld sieht man häufig Installationen die so nie hätten gemacht werden dürfen, wenn die Leute wenigstens einen Funken anstand gehabt hätten.

Ein SBS ist explizit Design um im LAN, hinter einer Firewall zu stellen. Für 1000 CHF / 750 EUR kriegst du was passendes.

[Dr.Melzer]

Zitat von actinet Der liebe Schwager, dem das zu umständlich ist. "In meiner alten Firma ging das auch ohne...", wurde mir gesagt. Ich muß wohl weiter Überzeugungsarbeit leisten oder mich von jeder Verantwortung frei sprechen und hoffen, dass nicht allzugroßer Schaden angerichtet wird

In solchen Fällen sage ich demjenigen dass er den Server auch gleich selbst installieren und in Betrieb nehmen kann, wenn er es besser weiss, als ich.
Entweder es wird so gemacht wie ich es als fachlich richtig empfinde, oder derjenige soll sich selbst drum kümmern.
Alles andere macht nur Ärger, denn wenn etwas schief geht wirst du derjenige sein der schuld ist...

[actinet]

Hallo,

eine letzte Frage, bevor ich mich an die Überzeugungsarbeit mache.

Gibt es ein Szenario, in dem ich ohne VPN auskomme? Wegen mir auch mit einem anderen Betriebssystem. Ich bin nicht auf den SBS festgelegt.


grüße

Nico

[LukasB]

Zitat von actinet Gibt es ein Szenario, in dem ich ohne VPN auskomme? Wegen mir auch mit einem anderen Betriebssystem. Ich bin nicht auf den SBS festgelegt.

VPN brauchst du für SMB Shares. Exchange kannst du auch ohne nutzen (OWA, Outlook Anywhere). Sharepoint und WebDAV kannst mit HTTPS direkt übers Internet fahren.

[actinet]

Oh Super!

Dann kann ich jetzt also in der Windows Firewall alle anderen Ports dicht machen oder noch besser, dem Schwager ne Firewall aus den Rippen leihern ;-) ?
Das Outlook Anywhere kannte ich bisher noch nicht. Kann das nur Outlook 2007?

grüße

Nico

[Dukel]

Zitat von actinet Der liebe Schwager, dem das zu umständlich ist. "In meiner alten Firma ging das auch ohne...", wurde mir gesagt. Ich muß wohl weiter Überzeugungsarbeit leisten oder mich von jeder Verantwortung frei sprechen und hoffen, dass nicht allzugroßer Schaden angerichtet wird grüße Nico

Ist nur doof, wenn Illegale Inhalte auf dem Server zwischengespeichert werden, nachdem der Server gehackt wurde oder als Spambot missbraucht wird.

[NorbertFe]

Zitat von actinet Das Outlook Anywhere kannte ich bisher noch nicht. Kann das nur Outlook 2007?

Nein, das konnte auch schon Outlook 2003. Da hieß es allerdings noch RPC over https.

Bye
Norbert