Jump to content

IIS härten [war: hardening the tcp/ip stack]


mullfreak
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hi Leute,

 

ich versuche gerade einen "sicheren" IIS zu bauen. Das mit der Skript-Installation (kann ich nur empfehlen) ist klar.

 

Nun bin ich auf einen Tech-Net Artikel ( Microsoft Knowledge Base Article - 315669) gestossen, in dem beschrieben wird wie man den TCP/IP Stack verhärtet.

 

Dies dient zum abwehren von DoS Attacken.

 

Dabei beschreibt Microsoft man sollte folgende Einträge in der Registratur vornehmen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

 

NOTE: All values are in hexadecimal unless otherwise noted.

Value name: SynAttackProtect

Key: Tcpip\Parameters

Value Type: REG_DWORD

Valid Range: 0,1,2

Default: 0

 

Leider kann ich den Eintrag "SynATTACKProtect" nirgends finden.

Bitte um Hilfe. Muss ich den Wert erst noch setzen. Ausserdem: Sollte ich regedit oder regedt32 verwenden?

 

Bitte um Hilfe.

 

Grüsse

mullfreak

Link to comment

werde auf alle fälle wert 2 verwenden.

 

Auszug:

0 (default value): Set SynAttackProtect to 0 for typical protection against SYN attacks.

1: Set SynAttackProtect to 1 for better protection against SYN attacks. This parameter causes TCP to adjust the retransmission of SYN-ACKS. When you set SynAttackProtect to 1, connection responses time out more quickly if it appears that there is a SYN attack in progress. Windows uses the following values to determine if an attack is in progress:

TcpMaxPortsExhausted

TCPMaxHalfOpen

TCPMaxHalfOpenRetried

 

 

2: Set SynAttackProtect to 2 for the best protection against SYN attacks. This value adds additional delays to connection indications, and TCP connection requests quickly timeout when a SYN attack is in progress. This parameter is the recommended setting.

 

NOTE: The following socket options no longer work on any socket when you set the SynAttackProtect value to 2:

Scalable windows

TCP parameters that are configured on each adapter (including Initial RTT and window size)

Link to comment

Das Lockdown-Tool gehört natürlich auch dazu.

 

Forgehensweise:

1. Hardening the TCPIP Stack

2. Install. IIS per Script

 

Mit dem Programm sysocmgr.exe können in Verbindung mit einem einfachen Textfile Windows Systemkomponenten hinzugefügt oder entfernt werden. Wir wollen dieses Feature am Beispiel des Internet Information Servers (IIS) durchexerzieren:

 

Zunächst öffnen wir die Datei %systemroot%\inf\sysoc.inf und suchen uns unter [Components] die entsprechende inf-Datei für den IIS. Sie enthält die zu verwendenden Schalter und Kommandos zur Verwendung mit sysocmgr.

iis=iis.dll,OcEntry,iis.inf,,7 -> die Datei heißt iis.inf und ist ebenfalls im inf Ordner zu finden

also %systemroot%\inf\iis.inf öffnen.

 

Hier finden wir im Abschnitt [optional components] endlich die erforderliche Info, um uns ein Textfile zu basteln.

 

[Components]

 

iis_common = on

 

iis_www = on

iis_ftp = off

iis_smtp = off

 

iis_inetmgr = on

iis_htmla = off

 

iis_doc = off

iis_smtp_docs = off

 

iisdbg = off

fp = off

indexsrv_system = off

 

[internetServer]

 

PathWWWRoot = d:\WWWroot

PathMailRoot = d:\Mailroot

PathFTPRoot = d:\FTProot

 

Diese Datei speichern wir z.B. unter c:\iis_install.txt ab und rufen beginnen dann die Installation mit dem Kommando:

 

sysocmgr /i:"%windir%\inf\sysoc.inf" /u:"c:\iis_install.txt". Damit wird ein schlanker IIS etabliert, der nur den WWW-Dienst anbietet („iis_www = on“), das SnapIn zur Verwaltung („iis_inetmgr = on“) und nicht den Standard-Ordner c:\inetpub verwendet, sondern die unter [internet Server] angegebenen Pfade. Entsprechend kann man auch Komponenten entfernen, indem man einfach die entsprechenden Schalter auf „off“ setzt.

 

3. Einsatz des Microsoft Baseline Security Analyzer (MBSA)

4. Lockdown Tool (Caution: Kann nicht mehr zurückgesetzt werden.

 

Alles klar !!!!

Grüsse

Mullfreak

Link to comment

Es gibt von mir ein ausführliches Skript über die genauen Zusammensetzungen des IIS. Ich beschäftige mich nun schon seit ca. 1 Jahr mit der Installation eines sicheren Webservers.

 

Dieser läuft auch einwandfrei unter

 

http://www.mullfreak.kicks-ass.net

 

 

Ich weiss das manche Apache oder ähnliches bevorzugen. Ich jedoch bestreite gerade den MCSE und bin ja fast gezwungen Microsoft Produkte zu supporten.

 

Durch Standardinstallationen von IIS wird der Webserver sehr anfällig. Dies beweist auch die Eingabe des Stammverzeichnisses

des IIS-Webservers in eine Suchmaschine.

 

Somit hat man an einem Novemberabend über 48.000 !!! ungeschützte Websiten, sprich IIS-Server als Angriffsziel von DoS.

 

Wer das Skript benötigt bitte um Mailmitteilung an:

 

kontakt@saitech.de

 

Grüsse

Mullfreak

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...