TCP stealth für Windows (Windows)

[thread]19328[/thread]

TCP stealth für Windows

Tags: windows TCP stealth Ähnliche Threads

Leser: 16

Articles: hide open all | hide show old branches

+12 replies
bianca

2014-10-09 19:46

User since
2009-09-13
7016 Artikel
BenutzerIn

In der aktuellen c't gibt es einen Bericht über TCP stealth. Am Ende kommt der Satz:
Quote
TCP Stealth für Linux - und hoffentlich bald seine Varianten für weitere Betriebssysteme - ist ein Schritt auf dem Weg.

Wirkte auf mich, als gäbe es das nur für Linux und wollte das überprüfen und googelte, ob es das für Windows gibt. Dann landete ich auf http://technet.microsoft.com/de-de/library/dd44855... wo ich diesen Satz fand:
Quote
Stealth mode is enabled by default on computers that are running Windows Vista®, Windows Server® 2008, Windows® 7, and Windows Server® 2008 R2.

Das wiederum erweckt für mich den Eindruck als wäre das für Windows ein ganz alter Hut und längst implementiert. Für mich ist das ein Widerspruch. Kennt sich jemand damit aus und kann mir ein bisschen was dazu schreiben? Es geht mir um den Fall, dass man einen Windows PC im Heimnetz ins Internet als Server freigeben würde und für diesen die maximale Sicherheit einstellen möchte.
10 print "Hallo"
20 goto 10
- +11 replies
- GwenDragon
  
  2014-10-09 20:28
  
  User since
  2005-01-17
  14748 Artikel
  Admin1
  
  Nein, Stealth ist bei Windows ein Werbewort. Es bezeichnete nur die Möglichkeit interne Geräte/Systeme mittels Firewall zu verstcken.
  
  Das TCP Stealth der TU München ist was ganz anderes.
  
  Wieviel Ahnung hast du von Windows, Servern und Sicherheit? Ehrer wenig, oder?
  
  2014-10-09T17:46:19 bianca
  Es geht mir um den Fall, dass man einen Windows PC im Heimnetz ins Internet als Server freigeben würde und für diesen die maximale Sicherheit einstellen möchte.
  nein, das tust du nicht! Kein WIndows-PC als Server!
  Wenn es ein Linux-Server wäre, dann eher, aber Windows ist ziemlich löchrig, da borhst du nur ein Loch in deine Infrastruktur.
  
  Was willst du genau erreichen/machen?
  Last edited: 2014-10-09 20:33:31 +0200 (CEST)
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +2 replies
  - Raubtier
    
    2014-10-09 22:33
    
    User since
    2012-05-04
    1075 Artikel
    BenutzerIn
    
    2014-10-09T18:28:44 GwenDragon
    Kein WIndows-PC als Server!
    Wenn es ein Linux-Server wäre, dann eher, aber Windows ist ziemlich löchrig, da borhst du nur ein Loch in deine Infrastruktur.
    
    Welche Lücken genau? Ich finde solche Pauschalbehauptungen immer schlecht [haha ;-) ].
    - GwenDragon
      
      2014-10-10 08:32
      
      User since
      2005-01-17
      14748 Artikel
      Admin1
      
      Wenn Windows so sicher ist, dann kannst du ihr ja zeigen wie man aus einem Windows 7 Desktop ein gesichertes Serverbetriebssystem macht.
      Nur mal eben den Apache installieren und ein paar Ports schließen reicht da nicht.
      
      Oder was meinst du?
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +8 replies
  - bianca
    
    2014-10-10 07:59
    
    User since
    2009-09-13
    7016 Artikel
    BenutzerIn
    
    Hab so einen kleinen PC mit Win 7 drauf der mir intern als Heimserver dient. Läuft mit Apache und Strawberry Perl. Die Homepage würde ich gern auch nach außen so 1, 2 Freunden zur Verfügung stellen, z.B. damit die einen elektr. Kalender und ein Fotoalbum haben. Linux ist so garnicht mein Ding und Serveradmin. generell auch nicht. Ich wurschtele lieber mit Perl rum. https ist schon drauf mit selbst erstelltem Zertifikat. Der Apache ist so eingestellt, dass alle Requests auf 443 umgeleitet werden, das heißt, unverschlüsselte Verbindungen sollte es jetzt bereits schon nicht geben.
    
    Wie könnte ich das denn mit Windows trotzdem so gestalten, dass a) niemand am Webserver und meiner Perl Webseite vorbei an Daten auf der Platte des Server kommt und b) mein Server nicht als Bot missbraucht wird? Ich dachte halt, man könnte mit diesem stealth schon mal das Portscanning blocken. Als Router käme eine Fritzbox ins Rennen, wo man die Ports ja auch nochmal einzeln einstellt.
    10 print "Hallo"
    20 goto 10
    - +4 replies
    - rosti
      
      2014-10-10 08:12
      
      User since
      2011-03-19
      3472 Artikel
      BenutzerIn
      
      Quote
      Als Router käme eine Fritzbox ins Rennen, wo man die Ports ja auch nochmal einzeln einstellt.
      
      Na das reicht doch: Forwarding nur für ausgewählte Ports.
      - +3 replies
      - bianca
        
        2014-12-10 12:10
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2014-10-10T06:12:40 rosti
        Na das reicht doch: Forwarding nur für ausgewählte Ports.
        
        Hierzu eine Frage: Wenn ich wirklich nur Port 80 und 443 offen habe und die beide auf meinen Heimserver route, kann das System dann auch nicht durch z.B. Fehler im TLS/SSL angegriffen werden im Sinne von Auslesen von nicht über den Webserver freigegebenen Verzeichnissen?
        Können sich Fehler im Protokoll TLS oder Bugs im Apache auch nicht über Port 443 ausnutzen lassen?
        10 print "Hallo"
        20 goto 10
        
        +2 replies
        
        Muffi
        
        2014-12-11 09:00
        
        User since
        2012-07-18
        1465 Artikel
        BenutzerIn
        
        Quote
        Können sich Fehler im Protokoll TLS oder Bugs im Apache auch nicht über Port 443 ausnutzen lassen?
        
        Doch. Zumindest mit den Rechten, die z.B. der Apache hat.
        1 + 1 = 10
        
        bianca
        
        2014-12-11 09:11
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        2014-12-11T08:00:18 Muffi
        Doch. Zumindest mit den Rechten, die z.B. der Apache hat.
        
        Hab ich mir gedacht. Man müsste also ein AD einrichten und dem Apache nur die gewünschten Verzeichnisse freigeben. Dann kommt aber das nächste Problem, dass ja ein Script auch Dateien schreiben können soll. Auf Linux kommt dann suEXEC ins Spiel, richtig?
        10 print "Hallo"
        20 goto 10
    - +2 replies
    - GwenDragon
      
      2014-10-10 08:27
      
      User since
      2005-01-17
      14748 Artikel
      Admin1
      
      2014-10-10T05:59:55 bianca
      (...) man könnte mit diesem stealth schon mal das Portscanning blocken. Als Router käme eine Fritzbox ins Rennen, wo man die Ports ja auch nochmal einzeln einstellt.
      Offene Ports wie z. B. 80 und 443 des Servers kannst du nach außen nicht verstecken. Alles anderen eingehenden Ports versteckt doch schon die Routerfirewall.
      
      Ansonsten musst du dein System erst mal sicherer machen, härten. Dienste deaktivieren, EMET installieren, System überprüfen.
      http://www.scip.ch/?labs.20110407
      http://www.andreadrian.de/Windows_harden/
      http://technet.microsoft.com/en-us/library/cc67700...
      Last edited: 2014-10-10 08:44:29 +0200 (CEST)
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - bianca
        
        2014-10-10 09:11
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        Hab ich ja was zu tun. Danke dir!
        10 print "Hallo"
        20 goto 10
    - jan
      
      2014-10-11 02:53
      
      User since
      2003-08-04
      2536 Artikel
      ModeratorIn
      
      2014-10-10T05:59:55 bianca
      Als Router käme eine Fritzbox ins Rennen, wo man die Ports ja auch nochmal einzeln einstellt.
      
      Nutz doch einfach die VPN-Funktionen der FritzBox. Deine Freunde stellen die Verbindung her und können auf deinen Server zugreifen, ohne, dass er vom "normalen" Internet aus erreichbar wäre.

View all threads created 2014-10-09 19:46.