mcdaniels

Hoi Varnik! Der eine Spammer is jetzt mal abgedreht.. war ein verseuchter PC... das gleiche Spiel geht jetzt aber wieder von vorne los... (Addi blockier ich schon...) Hey ich blocke einfach den ganzen Adressraum, dann hab ich Ruhe :D -- gute Idee :p

Rehi! Naja Virenscan macht ja die FW auch, Logging erfolgt per Syslog Dämon, Dienste sind auch per FW beschränkt... Einzig die direkte Verbindung zum Inet ist halt so ne Sache... hm... Macht halt doch nur NAT ....

Hey Dippas! Proxy haben wir keinen. (Wollt ich mir eigentlich ersparen, da ja die FW Datenstromkontrolle macht), allerdings nicht bei zb https (http und https ist für die Clients freigegeben)... Virenkiller ist soweit vom Hersteller schnell reagiert wird eigentlich immer zumindest auf aktuellem Definitionsstand... Mit den Sicherheitsupdates ist es ein wenig ander.. da muss ich mir noch was überlegen.... Um nochmals auf den Proxy zurückzukommen: Du meinst also zusätzlich ein Proxy wäre noch besser?

Hey Dippas! Hallo Rossi! Ist ne Fortinet Firewall (die is schon ganz gut...zumindest meiner Meinung nach -- was besseres gibts natürlich immer) Hat ein eigenes Service für Spams (was auch gut funktioniert). Für mich sieht das eher wie ne DoS Attacke aus.... Hab mittels nslookup jetzt den Namen des Rechners eruiert und ans abuse-team des Providers gemeldet. Jetzt wird dem ganzen nachgegangen... (Ist angeblich ein Kunde .. wahrscheinlich ein virenverseuchter PC...) Weil wir grad bei Firewall-Storys sind : Die Clients rattern über die Firewall ins Internet (NAT) dabei macht die Firewall nen Virenscan (Downloads von exe com bat pif und Konsorten sind gesperrt, fragwürdige Sites auch -- da gibts von Fortinet so ein eigenes Service, welches abgefragt wird, wenn ne Site von nem Client geöffnet wird und wenn die Site da oben steht gehts ned auf..) Weiters hat diese FW ein Intrusion Prevention System. Ich hab aber , wie jeden Tag, heute auch die logs studiert und mitbekommen, dass wenn ein Client surft , auf einigen Sites immerwieder intrusions versucht wreden (Buffer Overflows etc). D.h. jetzt Obwohl ich die FW hab, die scannt und ein IPS hat, die Mails sowohl von der FW als auch vom MTA gescannt werden und ich auf den Clients einen Virenscanner hab, bin ich eigentlich "nicht?" sicher, solang ich nicht auf allen Clients sicherheitsupdatemässig auf aktuellem Stand bin? (Http kann ich ja für die User ned sperren und das is ja halt mal ne "sagen wir mal" wechselseitige Verbindung) - will sagen, es kommen da ja Daten auf den Client....." Nehmen wir mal nen Buffer Overflow beim Surfen, der dem Angreifer ermöglicht Code am Client auszuführen, dann würd das so gehen: Angriff auf Client Codeausführung Kontrollübernahme am Client und somit könnt er dann mein Netz "aushängen" ? Daten abhören über http? Erhoffe Feedback der Profis ;)

hi naja das mit der Blockierung hab ich schon gemacht, es "beschäftigt" den Mailserver aber trotzdem (zb beim Loggen). Ich behaupt einfach mal "Wenn das jetzt zb ein paar Rechner gleichzeitig veranstalten, dann isses ein DoS oder sogar n DDoS Angriff", denn schließlich geh ich davon aus , dass der Mailserver irgendwann mal auf Port 25 nicht mehr antworten kann, wenn er zugemüllt wird.... Irgendwie isses nämlich auch fad, alle 5 min ne andre IP Addi auf der FW zu blockieren...

hi leute.. hoff ich bin im richtigen Forum gelandet mit dem Thema... Folgende Situation: Ich erhalte auf meinem Mailserver alle Sekunden 5 Mails von helptool@ahead.de (Natürlich is das ne gefakte Addi). Blocke ich auf der Firewall diese IP (SMTP Protokoll), dann begnnt ein paar Minuten später das gleiche Spiel mit einer andren IP... Was macht man in so nem Fall? Ich hab jetzt am Mailserver die Addi blockiert, jedoch hätt ichs gern per Firewall gemacht... Ist das überhaupt möglich? Ich kann ja nur per IP blocken... Oder ist das gar normal, dass man so zugeschüttet wird?? Kann man da rechtlich vorgehen -> IP Rückverfolgung usw?

Hi Leute! Dieser Post geht an die Fortinetkenner... Es ist wahrscheinlich ne doofe Frage, aber: Ich hab ne Fortinet 60 laufen: Im Lan 20 Rechner 1 Mailsrv in der DMZ der FW 1 Websrv in der DMZ der FW Man kann bei der Fortinet ja wie bei jeder FW Rules definieren, die ungefähr so aussehen: lan -> Wan (Services http, https) lan -> DMZ -> Mailsrv (Services pop, smtp) dmz (Mailsrv) -> Wan (smtp) WAN (alle) -> DMZ (Mailsrv smtp) WAN (alle) -> DMZ (Webserver http) 1. Sehe ich das richtig dass in der Konfig NIEMAND von WAN NACH LAN kommt? 2. Gibts in dem Zusammenhang trotzdem noch ne Möglichkeit, dass ein User/Hacker über Internet auf mein internes NETZ (LAN) kommt? 3. Wenn ein Client mit nem Browser über die Firewall (Gateway) ins Internet geht, sieht man im Internet ja nur die IP des WAN Ports der Firewall, kann der Client im LAN beim Surfen dann trotzdem gehackt werden, sodass ein Angreifer dann direkt Zugriff auf den PC im Lan und somit das gesamte LAN hat? (Obwohl ja nur die Richtung LAN -> WAN an der Firewall freigegeben worden ist?) Hoff ihr könnt mich ein wenig beruhigen ;)

Hi Leute! Bin grad bei Mailserverumstellung. Jetzt ist mir aufgefallen, dass der neue MTA beim Reply auf eine Mail immer einen Referrer dranhängt der so aussieht: References: <034555555$32321$0078@meine.domäne.at> Mein Mailserver hängt in der DMZ meiner Firewall und wird von den Clients per IP angesprochen (Mein interner DNS Server wird hier also eigentlich nicht gefragt - habe auf dem Server eine DNS-Weiterleitung auf die Firewall(Router)) Bei meiner Mailsoftware hab ich auch nirgends meine.domäne.at eingetragen... Meine Fragen: Woher nimmt der MTA diese Info? Welche Reference ist das? Vielleicht kann mir jemand weiterhelfen... Zusatz: Hab jetzt einige andre Mails die ich von Extern bekam durchgeschaut, dort gibts nirgends im Quelltext ein References... Anscheinend schreibt das meine neue Software nur bei meinen Replys dazu...?!?!

@Christoph35 Da hast du allerdings recht... Danke für die Antworten!

Hi Leute! Wir haben hier 2 2K SRV laufen einer fährt ne Primäre DNS Domäne der 2te die Sekundäre (als Backup). Beide Zonen sind NICHT AD integriert. Hintergrund: Ich will nur sichere dynamische aktualisierungen zulassen, also muss die Zone ja AD integriert sein. Meine Frage: Kann man die Zone "einfach so" auf ne AD integrierte Zone umstellen? Weiter ausgeholt will ich das deshalb machen: Integrierung eines Firewallgateway (Router) Deshalb muss ich auf dem DNS Server ja eine Weiterleitung auf die IP des Routers machen, dass DNS Anfragen, die mein Server nicht kennt (bsp http://www.mcseboard.de) entsprechend an den Router und dann den DNS Server meines Providers weitergeleitet werden. Ist es eigentlich überhaupt nötig, dns am Server abzusichern, wenn von WAN nach LAN sowieso nix durchkommt und nur von LAN nach WAN Http und DNS zugelassen wird? (glaub nämlich nicht, will mich aber absichern *g*) Hoffe die Infos sind nachvollziehbar...

Hi! Dann läuft meiner Meinung nach PHP nicht korrekt... bzw. ist nicht richtig in Apache eingebunden. Deine Datei hat die Endung .php ? funkioniert ne Datei mit namen test.php und folgendem Inhalt: <?PHP phpinfo(); ?> Welche Umgebung verwendest du (Betriebssystem?) Ein XAMPP Paket (alles vorkonfiguriert) gibts u.a. hier: http://www.apachefriends.org/de/

Hi! Also wie meine Vorredner grizzly und phoenix schon gesagt haben, hilft hier wahrscheinlich nur eine Neuinstallation, was wahrscheinlich vom Aufwand her geringer ist als stundenlang zu versuchen , den Virus zu entfernen... Ein fader Beigeschmack bleibt hier immer... Hast du vielleicht die Möglichkeit die Festplatte in nen andren Rechner mit !!aktuellem!! Virenkiller zu stöpseln (als 2te Platte) Dann mal von dem Rechner aus scannen. Ich würd soweit wie möglich meine Daten sichern und dann neu installieren.

@calvin Soll das ne Herausforderung sein? :D

Hi Leute! Hab ein Problem mit dem NET Framework in Verbindung mit ACAD 2006, welches ja in irgendeiner Form auf das NET Framwerk zurückgreift. Beim Starten von ACAD erhalte ich folgende Meldung: NET FRAMEWORK: Die Anwendung versuchte einen Vorgang auszuführen, der von der Sicherheitsrichtlinie nicht zugelassen ist. Der Vorgang erfordert SecurityExcepion. Wenden Sie sich an den Systemadministrator, um der Anwendung die erforderliche Berechtigung zu gewähren, oder verwenden Sie das Microsoft NET Verwaltungsprogramm für Sicherheitsrichtlinien. Mit dem NET Verwaltungsproggi hab ich auch schon ein wenig experimentiert, allerdings bin ich hier auf keine grünen Zweig gekommen. Es ist völlig egal, ob ich das auf einer Stand Alone Workstation, in der Domäne oder auf einem XP Home versuche, immer die gleiche Meldung... Vielleicht kann mir jemand nen Tip geben. Danke!

Aaaah meine Finger Bestzeit bislang: 5.078 :D

Nabend! Hab mal ein wenig rumexperimentiert mit Wiederherstellung eines 2k Servers http://www.mcseboard.de/showthread.php?t=73114 Auf eigene Gefahr zu verwenden ;)

Hi Schroeder! Danke für die Antwort. Abgeschalten hätt ich den Server sowieso nicht einfach so ;) Ja srvmgr gibts auch unter 2KSRV Danke!!

Hi Dippas! Bin zwar etwas verzögert unterwegs ;) aber du meinst dass ich diesen Server (Computerkonto) mittels des srvmgr (servermanager) am NT4Server aus der Domäne nehmen soll --> löschen? Nachdem bei mir ja AD läuft dürft der NT4 SRV ja nix mehr zu sagen haben ;) Replikation wird vom 2KSRV auf den NT4 SRV allerdings durchgeführt (Abgleich Userkonten usw)...

Hi Zuschauer! Ja die Verbindung ist so aufgebaut. (Punkt zu Punktverbindung). Kann ein solches Problem von einem Switch kommen??

Hi Leute! Nachdem ich nun leider wegen einer Altlast tätig werden muss (2 Standorte mittels SDSL Modems verbunden) 1.5Mbit - Alle PCs im gleichen Netz. Konfig sieht so aus: 40 PCs + Server -> switch -> SDSLModem -> 2 Draht Leitung -> SDSL Modem -> Switch -> 4 PCs Sind auf der einen Seite (auf der jetzt 4 PCs aktiv sind) nur diese 4 eingeschaltet, funktioniert alles bestens, schaltet man einen 5ten PC ein kommt der nicht mehr in das Netz (Es stehen keine Anmeldeserver zur Verfügung), PC erscheint in der Netzwerkumgebung ist aber nicht anpingbar. Schaltet man einen der 4 PCs aus und will sofort nach dem Abschalten des 4ten PC den bislang nicht eingeschalteten PC hochfahren und sich im Netz anmelden erscheint diese Meldung auch... Wartet man ca. 30 Minuten bis man den PC der bislang nicht im Netz war in Betrieb nimmt funktioniert wieder alles... Was kann so ein Verhalten auslösen??? Mir ist das momentan ein Rätsel. Kabel hab ich schon getauscht... Netzwerkkarten auch...

Hi Leute! Vielen Dank für die Rückmeldung. Hab noch ne Weile den Fehler gesucht und dann nochmal alles von vorne konfiguriert... Siehe da jetzt gehts ;) Wahrscheinlich war irgendwo ein Fehler in der Konfig... :rolleyes:

Hi Leute! Hoff es gibt jemanden, der sich mit Fortinet Produkten gut auskennt. Situation: Netzwerk sieht so aus: INTERNES NETZ -> Internes Interface Fortinet -> externes Interface Fortinet -> default Gateway -> internet Ich habe jetzt einen Versuchsaufbau gemacht indem ich einen Rechner mit dem Lan Port der Fortigate verbunden habe (IP Rechner: 192.168.1.2) und dem Wan Port eine offizielle IP Addi aus unsrem Pool gegeben haben. Der externe Port der Fortigate hängt dann am Switch der ins Internet geht (zum default gw). Hab weiters in der Konfig der Fortigate per Routing den default gw eingetragen, somit kann ich jetzt mit meinem Rechner normal im Internet surfen.(über die Fortinet) Nun wollte ich testen, ob ich meinen Webserver (der auf dem lokalen Rechner testweise läuft) erreichen kann. -> ging natürlich nicht - ist ja standardmässig alles dicht bei der Fortigate. Also bin ich in die Firewall Policies Management console der Fortgate eingestiegen und habe eine Policy erstellt: Anfrage von irgendeiner IP - Port 80 auf dem externen Port der Fortigate weiterleiten an das Interne Netzwerk -> IP meines Rechners Port 80 Nur geht da nix. D.h. keine Antwort vom Webserver? Müsste weiters nicht ein Portscan auf der Firewall einen offenen Port 80 finden? Is nämlich auch alles dicht... Muss ich hier nochwas konfigurieren dass er mir diese externe Anfrage weiterleitet auf meinen internen PC bzw. den Port 80 öffnet extern?

So Leute! Habs jetzt geschafft. Der DC rennt jetzt mit dem Client ! :D Mit dem Tool "Recreatedefpol" welches AUSSCHLIESSLICH für 2K Server gedacht ist NICHT 2K3!! hab ich die Standard Policies zurückgesetzt... Und siehe da, der Client meckert nicht mehr. Meine Policies übernimmt er jetzt auch wieder.... Scheint also soweit alles gut gelaufen zu sein... Hoffe, es kann jemand was mit dem "Gesamtbeitrag" anfangen ;) PS: Irgendwie antwort ich meistens selbst auf meine Beiträge *lol* ;)

Hi Leute! Hab nun mein Disaster Recovery fast soweit dass es auf komplett andrer Hardware rennt. Es wurde ein Szenario nachgestellt in dem zwar ne Sicherung des Sysstate und der Daten vorhanden ist, jedoch die Serverhardware des neuen Server komplett anders ist (und zwar alles bis auf die CPU!!!) Eckdaten bzw. Recoveryvorgang (falls das wen interessiert): 1.W2KSRV auf neue Hardware installiert 2.SP4 installiert 3.Der NIC die exakt gleiche IP vergeben (DNS SERVER = IP DES NEUEN DC!) DCPROMO (mit exakt den gleichen Daten wie der alte Domaincontroller) Darauf achten dass der DNS Server läuft -> NSLOOKUP (Den DNS meckert er ja an, wenn er vor dcpromo noch nicht konfiguriert ist und konfiguriert ihn im Zuge von DCPROMO 4. PC rebooten im AD Wiederherstellungsmodus 5. Restore mittels ntbackup -> SYSSTATE + SYSVOL 6. Neustart -> System hängt aber -> Inaccessible Boot Device 7. Reparaturinstallation von 2K CD starten -> und zwar die Reparatur die nach dem Lizenzvertrag kommt! 8. Nach Reparaturinstall fährt der PC Hoch -> SP 4 nochmals drüberinstallieren 9. PC neustarten -> im AD Wiederherstellungsmod. hochfahren 10. NTDSUTIL in ner Dosbox starten und ein authoritative restore machen (hängt aber davon ab, was man machen will ob zb ein 2ter DC da ist - dann geht das restore ja bei weitem einfacher... ;)oder nicht etc....) 11. Sollte sich Sysvol nicht freigeben, dann das "Burflag" in der Registry auf Wert d4 setzen So jetzt läuft zumindest bei mir der DC wieder.... (Kann mich anmelden ummelden etc.) Das Problem das noch besteht Die Gruppenrichtlinien werden nicht am Client umgesetzt: Die Fehlermeldung am client lautet kurz gesagt... Er findet die Datei GPT.INI nicht unter Policies {NUMMER}/GPT.INI am Server nicht. Wobei ich grade gesehen hab dass die Policies am restaurierten Server unter einer anderen {NUMMER} abgelegt sind als am alten Server, deshalb findets der Client nicht... Event ID am XP Client ist 1058 und 1030 (allerdings die 1058 nicht mit access denied sondern pfad nicht gefunden - was mir klar ist...) Nur wie krieg ichs hin dass der Client wieder den korrekten Pfad zu den Policies checkt?

Hatten wir auch 3 Jahre lang .. ist jetzt aber ausgelaufen...