none
Security log - pomoc se zaznamem

    Dotaz

  • Zdravim,

    poslednich par dni ze mi nakej smejd pokousi pripojit na server, ruzny bruteforce utoky atd,
    a z ruznejch ip po celym svete i z cr (treba ta nize od master internet),
    nazev ty prac. stanice je porad stejnej. Muzete mi k tomu
    logu nekdo neco rict? je to SBS 2003 R2, vsechny updaty.
    tohle mam v logu, je jich hromada obcas se meni ip,
    napr. 77.92.132.136, 77.93.217.134, 77.93.217.135, 77.253.103.51, .....

    Přihlašovací chyba:
      Důvod: Neznámé uživatelské jméno nebo chybné heslo.
      Uživatelské jméno:
      Doména: WORKGROUP
      Typ přihlášení: 3
      Přihlašovací proces: NtLmSsp
      Ověřovací balíček: NTLM
      Název pracovní stanice: lQPxf2ISQgEV1bGK
      Uživatelské jméno volajícího: -
      Doména volajícího: -
    %ID přihlášení volajícího: -
      ID procesu volajícího: -
      Přenosové služby: -
      Adresa zdrojové sítě: 77.93.217.135
      Zdrojový port: 0


    2, pod smerovanim a routovanim mam nastaveni prijmout vse krome uvedenych, kam pisu ty
    ip co chci banovat. Nicmene sem zvyklej z linuxu spis na to ze co neni explicitne povoleny je
    zakazany. Asi to bude lepsi i u win? Problem je ze ten server je v housingu (funguje jenom
    jako mail server, takze zadny dhcp, dns atd) a bojim se abych si blbym kliknutim neodriz
    veskerej pristup k serveru. Je nekde nejakej peknej clanek o tom co pouziva ktery porty
    u win? Ale aby tam bylo vsechno, nerad bych jezdil 2x denne do housingu Smile
    bezi tam exchange (rpc pres https), OWA, vpn, ftp. Bezny porty znam, jde mi spis
    o ten exchange, nebo jestli ty win maj nejaky specialni, nemuzu to moc zkouset.
    3, mam tam povolenej pristup pres vzdalenou plochu jako administrator. Jak moc je to
    (ne)bezpecne? Bezi mi tam i vpn, takze se radsi pripojuju pres vpn a a pak lokalne na tu vzdalenou
    plochu, lze ji nejak rozumne zakazat z venku (tzn. povolit jenom pres vpn)? je to rozumny?


    diky vsem
    9. prosince 2008 13:12

Odpovědi

Všechny reakce

  • Jake porty a protokoly mas otevrene "zvenci"?

     

    MP

     

    9. prosince 2008 14:48
    Moderátor
  • no tak ted sem se osypal :-/ z linuxu sem zvyklej pocitat pocet otevrenejch portu na prstech
    jedny, max. obou rukou..

    zvenku je otevreny tohle: 21,25,42,53,80,88,110,119,143,389,443,444,445,464,593,636,691,993,
    995,1024,1027,1042,1045,1047,1232,1293,1723,1863,3145,3235,3268,3269,3389,5190,6001,
    6002,6004,8081 

    ted se tam nemuzu pripojit takze tohle je jenom scan zvenku, zitra na to jeste mrknu zevnitr
    kde vsude to nasloucha.. ale tohle je imho docela masakr..
    9. prosince 2008 16:52
  • 445 :-O ?

     

    MP

     

    9. prosince 2008 16:59
    Moderátor
  • no jo uz koukam co to je za nesmysl, uz sem ho zavrel Smile
    ale tohle neni reseni, nejak divne chapu ten win firewall. Kdyz si otevru prichozi filtry,
    mam tam bud "prijmout vsechny krome uvedenych", to tam mam ted a zakazuju problemovy ip.
    Chci to zmenit na "Zahodit vsechny krome uvedenych" a vyjmenovat tam vsechny porty co
    chci mit otevreny. Znamena to pak, ze nebudu moct zakazat zadnou ip?
    Pokud napriklad do allowed dam port 443, ale budu ho chtit zakazat z ip 1.2.3.4, da se to udelat?
    10. prosince 2008 9:03
  • O jakem firewallu vlastne mluvis? Nemyslis TCP/IP filtering :-O ? To je strasne stara zalezitost ktera je v novych verzich Win v podstate kvuli kompatibilite.

     

    MP

    10. prosince 2008 9:16
    Moderátor
  • "Smerovani a vzdaleny pristup" - bud v nastrojich pro spravu, nebo ve sprave serveru, pod sluzbama.
    Pokud to jde nejak jinak a lip, rad se necham poucit ;-)
    10. prosince 2008 12:38
  • a jak je RRAS presne nastaven?

     

    sel jsi pres pruvodce, vybral RAS, pripojeni pres VPN, vybral ktera sitovka je pripojena do Internetu a povolil packetovy filtr? nebo mas zapnuty NAT a muzes pouzit "basic firewall"?

     

    Tak jako tak se nedaji kombinovat allow a deny pravidla

     

    MP

    10. prosince 2008 12:49
    Moderátor
  • to nevim, po problemech sem ten server prevzal uz nastavenej.
    sitovka je tam jenom jedna aktivni (WAN), bezi na tom jenom exchange a ftp, mozna este naky drobnosti,
    ale neni tam zadna lokalni sit, jedinej lokalni rozsah je pro vpn co vim.

    v packetovym filtru v prichozich blokuju ty "spatny" ip, NAT je zapnuty, basic firewall pouzit nejde.

    10. prosince 2008 14:24
  •  xtas napsal:

    v packetovym filtru v prichozich blokuju ty "spatny" ip, NAT je zapnuty, basic firewall pouzit nejde.


    V tom pripade z "venkovni" sitovky "odvaz" vsechny zbytecne sluzby !!!

    MP
    10. prosince 2008 15:39
    Moderátor
  • jj a to jsme presne u toho - jaky sluzby vyzaduje system pro svuj beh?

    pouziva se akorat exchang a ftp, a potrebuju se tam pripojovat z dalky, idealne
    bych zakazal remote desktop a povolil ho jenom pres vpn..
     
    jak sem uz psal, ten server je v housingu a je to celkem komplikace tam
    jezdit, tak bych si nerad nejakym neuvazenym zasahem / zakazanim neceho
    odriznul pristup k nemu..
    10. prosince 2008 16:45
  • Nerikam ZAKAZAT ale "odvazat". Nech je na localhostu pokud muzes

    MP
    10. prosince 2008 19:33
    Moderátor
  • tak uz v tom trochu tapu:

    1, jak si zobrazim/zjistim co je na tom WANu navazany za sluzby?
    2, co prakticky znamena to odvazani, resp. jak to provedu?

    t.
    16. prosince 2008 15:31
    1. napr. nenstat -ano
    2. bud v nastaveni sluzby nebo u zakladnich sluzeb (CIFS server, klient a pod) ve vlastnostech sitoveho rozhrani odskrtnout

    MP

     

    16. prosince 2008 15:37
    Moderátor
  • super. jeste nez zacnu resit ty porty, co znamena kdyz je ve vypisu netstatu
    "Cizi adresa" *:* a neni tam stav? Mam jich tam hromadu,
    PID odpovida dns.exe a port je tam snad kazdej druhej az do 65000.
    takhle to vypada:

    Proto  MĄstnĄ adresa          CizĄ adresa            Stav            PID
    UDP 0.0.0.0:1086 *:* 1368
    UDP 0.0.0.0:1143 *:* 1368
    UDP 0.0.0.0:1188 *:* 1368
    UDP 0.0.0.0:1207 *:* 1368
    UDP 0.0.0.0:1215 *:* 1368
    UDP 0.0.0.0:1221 *:* 1368

    17. prosince 2008 11:32
  • netstat -a zobrazi i poslouchajici ale nepripojene konexe. Tzn (1. radek): na prot. UDP a portu 1086 VSECH interface ti posloucha program s PID 1368. Cizi adresa je *.* protoze port nasloucha a ceka na pripojeni, zatim tam zadne neni.

     

    Toto jsou ale ZAKLADY sitariny.

     

    MP

     

    17. prosince 2008 11:45
    Moderátor
  • aha, ja ty win chapu nejak pomalu, prvni mi to psalo naslouchani a ted koukam ze tam je neco jinyho u UDP a TCP. ok. Je u Win nejaky duvod proc by melo DNS (PID-dns.exe) naslouchat na nekolika tisicich UDP portu >1024? to je standardni? ja bych predpokladal port 53 pro TCP i UDP, ale tolik?
    17. prosince 2008 14:57
  • To je njekaka blbost Smile

     

    Posli prosim relevantni vypis netstatu (staci par radku, ne par tisic)

     

    MP

     

    17. prosince 2008 15:37
    Moderátor
  • PID 1368 = dns.exe


    AktivnĄ pýipojenĄ

    Proto MĄstnĄ adresa CizĄ adresa Stav PID

    UDP 0.0.0.0:42 *:* 2100
    UDP 0.0.0.0:135 *:* 816
    UDP 0.0.0.0:445 *:* 4
    UDP 0.0.0.0:500 *:* 492
    UDP 0.0.0.0:1025 *:* 1368
    UDP 0.0.0.0:1043 *:* 2344
    UDP 0.0.0.0:1086 *:* 1368
    UDP 0.0.0.0:1143 *:* 1368
    UDP 0.0.0.0:1188 *:* 1368
    UDP 0.0.0.0:1207 *:* 1368
    UDP 0.0.0.0:1215 *:* 1368
    UDP 0.0.0.0:1221 *:* 1368
    UDP 0.0.0.0:1232 *:* 1368
    UDP 0.0.0.0:1245 *:* 1368
    UDP 0.0.0.0:1261 *:* 1368
    UDP 0.0.0.0:1271 *:* 1368
    UDP 0.0.0.0:1272 *:* 1368
    UDP 0.0.0.0:1294 *:* 3368
    UDP 0.0.0.0:1296 *:* 1368
    UDP 0.0.0.0:1339 *:* 1368
    UDP 0.0.0.0:1340 *:* 2344
    UDP 0.0.0.0:1360 *:* 1368
    UDP 0.0.0.0:1439 *:* 1368
    UDP 0.0.0.0:1484 *:* 1368
    UDP 0.0.0.0:1546 *:* 1368
    UDP 0.0.0.0:1560 *:* 1368
    UDP 0.0.0.0:1590 *:* 1368

    17. prosince 2008 21:21
  • Tak jsm prolezal net a zda se ze se takto DNS proste chova - alokuje si porty dopredu. Takze se tim netrap Smile

     

    MP

     

    • Označen jako odpověď xtas 6. listopadu 2009 8:28
    • Zrušeno označení jako odpověď xtas 6. listopadu 2009 8:29
    18. prosince 2008 9:24
    Moderátor
  • super, diky. Zda se ze hlavni pricina byl fakt ten port 445, ted uz je tech pokusu minumum a temer vsechno existujici uzivatele. Jeste proberu ty ostatni sluzby at nejsou otevreny zbytecne ale logy uz vypadaj o poznani lip.
    30. prosince 2008 8:33