mullfreak 10 Posted November 21, 2002 Report Share Posted November 21, 2002 Hi Leute, ich versuche gerade einen "sicheren" IIS zu bauen. Das mit der Skript-Installation (kann ich nur empfehlen) ist klar. Nun bin ich auf einen Tech-Net Artikel ( Microsoft Knowledge Base Article - 315669) gestossen, in dem beschrieben wird wie man den TCP/IP Stack verhärtet. Dies dient zum abwehren von DoS Attacken. Dabei beschreibt Microsoft man sollte folgende Einträge in der Registratur vornehmen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services NOTE: All values are in hexadecimal unless otherwise noted. Value name: SynAttackProtect Key: Tcpip\Parameters Value Type: REG_DWORD Valid Range: 0,1,2 Default: 0 Leider kann ich den Eintrag "SynATTACKProtect" nirgends finden. Bitte um Hilfe. Muss ich den Wert erst noch setzen. Ausserdem: Sollte ich regedit oder regedt32 verwenden? Bitte um Hilfe. Grüsse mullfreak Quote Link to comment
zuschauer 10 Posted November 21, 2002 Report Share Posted November 21, 2002 Hi, wenn er nicht da ist, mußt Du ihn anlegen. Regedt32 benutzen, eventuell mußt Du Dir in den Optionen erstmal das Recht einstellen, Keys ändern zu dürfen. Achte auf Groß-/Kleinschreibung der Schlüssel. Welchen Wert willst Du denn nehmen, Default ist 0. Wenn also nichts in der Registry drin ist, wird 0 genommen. zuschauer Quote Link to comment
mullfreak 10 Posted November 21, 2002 Author Report Share Posted November 21, 2002 werde auf alle fälle wert 2 verwenden. Auszug: 0 (default value): Set SynAttackProtect to 0 for typical protection against SYN attacks. 1: Set SynAttackProtect to 1 for better protection against SYN attacks. This parameter causes TCP to adjust the retransmission of SYN-ACKS. When you set SynAttackProtect to 1, connection responses time out more quickly if it appears that there is a SYN attack in progress. Windows uses the following values to determine if an attack is in progress: TcpMaxPortsExhausted TCPMaxHalfOpen TCPMaxHalfOpenRetried 2: Set SynAttackProtect to 2 for the best protection against SYN attacks. This value adds additional delays to connection indications, and TCP connection requests quickly timeout when a SYN attack is in progress. This parameter is the recommended setting. NOTE: The following socket options no longer work on any socket when you set the SynAttackProtect value to 2: Scalable windows TCP parameters that are configured on each adapter (including Initial RTT and window size) Quote Link to comment
Lian 2,412 Posted November 21, 2002 Report Share Posted November 21, 2002 Gute Idee (Link: http://support.microsoft.com/default.aspx?scid=kb;en-us;315669) Mit Script Installation meinst Du das Lockdown Toll, oder...? Ist auf jeden Fall sinnvoll und wird laufend aktualisiert (aktuell 14.11): http://www.microsoft.com/windows2000/downloads/recommended/iislockdown/default.asp Quote Link to comment
mullfreak 10 Posted November 23, 2002 Author Report Share Posted November 23, 2002 Das Lockdown-Tool gehört natürlich auch dazu. Forgehensweise: 1. Hardening the TCPIP Stack 2. Install. IIS per Script Mit dem Programm sysocmgr.exe können in Verbindung mit einem einfachen Textfile Windows Systemkomponenten hinzugefügt oder entfernt werden. Wir wollen dieses Feature am Beispiel des Internet Information Servers (IIS) durchexerzieren: Zunächst öffnen wir die Datei %systemroot%\inf\sysoc.inf und suchen uns unter [Components] die entsprechende inf-Datei für den IIS. Sie enthält die zu verwendenden Schalter und Kommandos zur Verwendung mit sysocmgr. iis=iis.dll,OcEntry,iis.inf,,7 -> die Datei heißt iis.inf und ist ebenfalls im inf Ordner zu finden also %systemroot%\inf\iis.inf öffnen. Hier finden wir im Abschnitt [optional components] endlich die erforderliche Info, um uns ein Textfile zu basteln. [Components] iis_common = on iis_www = on iis_ftp = off iis_smtp = off iis_inetmgr = on iis_htmla = off iis_doc = off iis_smtp_docs = off iisdbg = off fp = off indexsrv_system = off [internetServer] PathWWWRoot = d:\WWWroot PathMailRoot = d:\Mailroot PathFTPRoot = d:\FTProot Diese Datei speichern wir z.B. unter c:\iis_install.txt ab und rufen beginnen dann die Installation mit dem Kommando: sysocmgr /i:"%windir%\inf\sysoc.inf" /u:"c:\iis_install.txt". Damit wird ein schlanker IIS etabliert, der nur den WWW-Dienst anbietet („iis_www = on“), das SnapIn zur Verwaltung („iis_inetmgr = on“) und nicht den Standard-Ordner c:\inetpub verwendet, sondern die unter [internet Server] angegebenen Pfade. Entsprechend kann man auch Komponenten entfernen, indem man einfach die entsprechenden Schalter auf „off“ setzt. 3. Einsatz des Microsoft Baseline Security Analyzer (MBSA) 4. Lockdown Tool (Caution: Kann nicht mehr zurückgesetzt werden. Alles klar !!!! Grüsse Mullfreak Quote Link to comment
zuschauer 10 Posted November 23, 2002 Report Share Posted November 23, 2002 An die Mod´s: Ich denk mal, die Ausführungen von mullfreak sollten in Tipps und Links verschoben werden - ausführlich und konkret. Wär schade, wenn das in LAN und WAN mal so weit hinten steht, daß es keiner mehr entdeckt. zuschauer Quote Link to comment
mullfreak 10 Posted November 23, 2002 Author Report Share Posted November 23, 2002 Es gibt von mir ein ausführliches Skript über die genauen Zusammensetzungen des IIS. Ich beschäftige mich nun schon seit ca. 1 Jahr mit der Installation eines sicheren Webservers. Dieser läuft auch einwandfrei unter http://www.mullfreak.kicks-ass.net Ich weiss das manche Apache oder ähnliches bevorzugen. Ich jedoch bestreite gerade den MCSE und bin ja fast gezwungen Microsoft Produkte zu supporten. Durch Standardinstallationen von IIS wird der Webserver sehr anfällig. Dies beweist auch die Eingabe des Stammverzeichnisses des IIS-Webservers in eine Suchmaschine. Somit hat man an einem Novemberabend über 48.000 !!! ungeschützte Websiten, sprich IIS-Server als Angriffsziel von DoS. Wer das Skript benötigt bitte um Mailmitteilung an: kontakt@saitech.de Grüsse Mullfreak Quote Link to comment
mullfreak 10 Posted November 23, 2002 Author Report Share Posted November 23, 2002 Wer weiss wie man die ftp-log file aus dem standardverzeichnis winnt\system32\logfiles rausbekommt. sollte man sowieso immer machen (auslagerung der log-dateien) da jeder eindringling versuchen würde seine spuren im schnee zu verwischen. Antworten die sich auf drittanbietertools beziehen werden nicht angenommen. lol mullfreak Quote Link to comment
Lian 2,412 Posted November 24, 2002 Report Share Posted November 24, 2002 Original geschrieben von zuschauer An die Mod´s: Ich denk mal, die Ausführungen von mullfreak sollten in Tipps und Links verschoben werden - ausführlich und konkret. Ist geschehen :) Quote Link to comment
mullfreak 10 Posted November 25, 2002 Author Report Share Posted November 25, 2002 Danke für eure Meinungen. Leider gibt es viel zu wenige die solche facts freigeben. Grüsse Mullfreak P. S. Wann geht jetzt endlich das Junior Member weg??? Ausserdem wie verlagere ich das ftp-logfile an einen anderen Speicherort. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.