Mogelijk om firewall protocol te maken op Windows server! - Serversoftware en clouddiensten

Vraag

zondag 8 januari 2017 22:59

Acties:

Verwijderd

Topicstarter

Goedenavond forum leden van Tweakers!

Ik had een vraag en ik vind het erg ingewikkeld om uit te leggen dus ik zal proberen het zo kort mogelijk te houden om eventuele verwarring te voorkomen.

Stel ik heb een Windows dedicated server en daar heb ik dan een soort van Firewall protocol op waar ik alleen toegang kan verlenen naar mijn server maar stel dat iemand anders toegang probeert te krijgen naar mijn server ongeacht of het lukt of niet dat de server eerst een mail stuurt naar de server eigenaar en dan vervolgens de server afsluit en pas weer aan gaat zodra de server eigenaar de server handmatig aangezet heeft.

Ook hoort hier bij dat als het kan dat de persoon die toegang probeerde te krijgen geblokkeerd word van de server.

Dan is een tweede optie dat bijvoorbeeld stel dat een persoon toegang probeert te krijgen tot de server ongeacht of het lukt of niet dat de server een mail stuurt naar de server eigenaar met een nieuw wachtwoord en daarna pas de server afsluit en de server beheerder dan vervolgens de server weer aan kan zetten om toegang te verlenen.

Ben echt heel erg benieuwd naar jullie antword!

[ Voor 74% gewijzigd door Verwijderd op 08-01-2017 23:09 ]

Alle reacties

zondag 8 januari 2017 23:00

Acties:

DennusB

Eerst afsluiten en dan nog een mail sturen is vrij lastig, andersom zou misschien wel kunnen

Owner of DBIT Consultancy | DJ BassBrewer

zondag 8 januari 2017 23:03

Acties:

Verwijderd

Topicstarter

@DennusB

Ja, dat bedoelde ik ik was onlangs bezig met het wijzigen van mijn thread maar weet jij toevallig een antwoord hierop!

zondag 8 januari 2017 23:10

Acties:

Verwijderd

Topicstarter

DennusB schreef op zondag 8 januari 2017 @ 23:00:
Eerst afsluiten en dan nog een mail sturen is vrij lastig, andersom zou misschien wel kunnen

Ja ik bedoelde eigenlijk ook andersom maar omdat ik het zo ingewikkeld vind om het uit te leggen maak ik soms fouten.

Weet jij toevallig het antwoord....

zondag 8 januari 2017 23:21

Acties:

.Maarten

Misschien is het makkelijker als je uitlegt wat je wilt bereiken. Waarom moet die server af worden gesloten? Er worden dagelijks portscans ed gedaan. Je hebt dus kans dat die server elke dag dan uit wordt gezet. Daar schiet je niet echt veel mee op en zorgt alleen voor irritatie.

Lees je 2de optie ook eens door. Je zegt daar dat als iemand toegang probeert te krijgen dat er een mail moet worden gestuurd en de server uit moet worden gezet ongeacht of het lukt of niet. Dat betekend dus dat die server altijd uit wordt gezet. Dan kun je hem gewoon uit laten staan want dan kan er toch niemand op werken.

zondag 8 januari 2017 23:25

Acties:

Verwijderd

Topicstarter

.Maarten schreef op zondag 8 januari 2017 @ 23:21:
Misschien is het makkelijker als je uitlegt wat je wilt bereiken. Waarom moet die server af worden gesloten? Er worden dagelijks portscans ed gedaan. Je hebt dus kans dat die server elke dag dan uit wordt gezet. Daar schiet je niet echt veel mee op en zorgt alleen voor irritatie.

Lees je 2de optie ook eens door. Je zegt daar dat als iemand toegang probeert te krijgen dat er een mail moet worden gestuurd en de server uit moet worden gezet ongeacht of het lukt of niet. Dat betekend dus dat die server altijd uit wordt gezet. Dan kun je hem gewoon uit laten staan want dan kan er toch niemand op werken.

Goed punt maar ik ben het er niet mee eens.

Ik denk niet dat je het begrijpt en dat ligt aan mijn post omdat ik niet duidelijk ben en dat begrijp ik. De bedoeling is dat juist als iemand toegang krijgt dat de server zich afsluit het is niet de bedoeling dat als iemand een verkeerd wachtwoord intoetst dat de server zich dan afsluit want dat zou inderdaad absurd zijn voor de mensen die op dat moment aan de server werken.

Het is juist de bedoeling dat als iemand toegang weet te krijgen tot de server dat de server een mail stuurt naar de eigenaar en dan vervolgens de server af sluit de eigenaar op de server kan via VNC bijvoorbeeld en via daar dan vervolgens de wachtwoord kan veranderen.

Het zal niet vaak gebeuren dat iemand zo snel toegang krijgt maar ik denk dat het voor de zekerheid wel erg handig van toepassing is en daarom zou ik dit heel graag willen doorvoeren en ik denk persoonlijk dat er genoeg mensen zijn op deze forum die hier ruim verstand van hebben en mij hiermee ondersteuning kunnen geven.

Als je het antwoord weet laat mij dan weten ik weet in ieder geval dat het te maken heeft met de firewall protocol en met niets anders en daarom zou ik graag willen weten hoe en wat!

[ Voor 41% gewijzigd door Verwijderd op 08-01-2017 23:30 ]

zondag 8 januari 2017 23:28

Acties:

DennusB

Verwijderd schreef op zondag 8 januari 2017 @ 23:25:
[...]

Goed punt maar ik ben het er niet mee eens.

Ik vind het juist handig om deze protocol door te voeren. En ik weet dat het niet vaak zal voorkomen omdat ik mezelf daar ook op voorbereid hebt maar ik denk dat het alsnog wel handig is om deze protocol door te voeren en ik zou graag willen weten wie mij daarmee kan helpen.

Want ongeacht dat het toch niet vaak zal gebeuren of iemand een port scan doet of wat dan ook. Alleen ik werk in dit geval op de server maar er zal ooit wel iemand zijn die toegang wilt en dat wil ik voorkomen doormidden van deze protocol.

Weet jij de oplossing laat dan een reactie!

Je kan beter gewoon goede security opzetten dan dit soort rare fratsen op te gaan zetten. En ja, portscans gebeuren elke dag, op elk IP, dus ook op die van jou.

Owner of DBIT Consultancy | DJ BassBrewer

zondag 8 januari 2017 23:31

Acties:

Verwijderd

Topicstarter

DennusB schreef op zondag 8 januari 2017 @ 23:28:
[...]

Je kan beter gewoon goede security opzetten dan dit soort rare fratsen op te gaan zetten. En ja, portscans gebeuren elke dag, op elk IP, dus ook op die van jou.

Kan je me uitleggen hoe ik dat doe en kan je wellicht nog even mijn aangepaste reactie op de persoon hiervoor bekijken wellicht dat dat duidelijker is want het is niet de bedoeling dat op het moment dat iemand het wachtwoord verkeerd invult dat de server zich dan afsluit maar pas op het moment dat de persoon toegang krijgt.

Niets meer niets minder toch bedankt. $_/-\o_$

zondag 8 januari 2017 23:33

Acties:

DennusB

Verwijderd schreef op zondag 8 januari 2017 @ 23:31:
[...]

Kan je me uitleggen hoe ik dat doe en kan je wellicht nog even mijn aangepaste reactie op de persoon hiervoor bekijken wellicht dat dat duidelijker is want het is niet de bedoeling dat op het moment dat iemand het wachtwoord verkeerd invult dat de server zich dan afsluit maar pas op het moment dat de persoon toegang krijgt.

Niets meer niets minder toch bedankt. $_/-\o_$

Dat zeg ik : Stel dan een moeilijk wachtwoord met iets als 2FA in, dan kan die persoon uberhaupt geen toegang krijgen.

Owner of DBIT Consultancy | DJ BassBrewer

zondag 8 januari 2017 23:34

Acties:

Verwijderd

Topicstarter

DennusB schreef op zondag 8 januari 2017 @ 23:33:
[...]

Dat zeg ik : Stel dan een moeilijk wachtwoord met iets als 2FA in, dan kan die persoon uberhaupt geen toegang krijgen.

Oké maar kan je me dan helpen met de Windows server goed te beveiligen want ik heb bijna geen idee dat naast een sterk wachtwoord hoe ik de server nog beter beveiligd ga krijgen misschien dat je me wat tips dan kan geven.

zondag 8 januari 2017 23:34

Acties:

.Maarten

Je kunt een script maken en deze koppelen aan events in het eventlog. Hoe precies zul je even voor moeten googlen.

En je maakt het niet echt duidelijker. Je zegt nu dat als iemand het wachtwoord verkeerd invult dat de server dan pas af moet sluiten zodra de persoon toegang krijgen. Dat betekend dus dat als er een bruteforce aanval bezig is geweest en jij logt daarna in dat de server uit wordt gezet.

Wat is er mis met gewoon goede beveiligingsmaatregelen nemen zoals een firewall en bijvoorbeeld iets als RDPguard als je RDP gebruikt. En bijvoorbeeld 2factor authentication. Je maakt het voor jezelf veel te moeilijk. Aan je antwoorden te zien heb je er niet echt veel kennis van.

zondag 8 januari 2017 23:36

Acties:

Verwijderd

Topicstarter

.Maarten schreef op zondag 8 januari 2017 @ 23:34:
Je kunt een script maken en deze koppelen aan events in het eventlog. Hoe precies zul je even voor moeten googlen.

En je maakt het niet echt duidelijker. Je zegt nu dat als iemand het wachtwoord verkeerd invult dat de server dan pas af moet sluiten zodra de persoon toegang krijgen. Dat betekend dus dat als er een bruteforce aanval bezig is geweest en jij logt daarna in dat de server uit wordt gezet.

Wat is er mis met gewoon goede beveiligingsmaatregelen nemen zoals een firewall en bijvoorbeeld iets als RDPguard als je RDP gebruikt. En bijvoorbeeld 2factor authentication. Je maakt het voor jezelf veel te moeilijk. Aan je antwoorden te zien heb je er niet echt veel kennis van.

Nogmaals nee. Het is pas de bedoeling dat als iemand toegang heeft tot het account dat de server zich afsluit niet als iemand het wachtwoord verkeerd invoert daar lees je het toch verkeerd.

Als je me net zoals DennyB even kan helpen met een paar goede stappen te nemen om me server goed te beveiligen dan zou ik heel erg blij zijn want ik heb echt geen idee hoe ik mijn server goed kan beveilige behalve door firewall aan te zetten.

zondag 8 januari 2017 23:42

Acties:

nineball

Dus: als jij inlogt op het account dan mag het. Maar als iemand ander aanlogt op het account wordt de server afgesloten.
En hoe ziet de server het verschil?

zondag 8 januari 2017 23:42

Acties:

.Maarten

Begin eerst eens met de standaard zaken:
-Antivirus
-Firewall
-Administrator account disablen.
-Sterke wachtwoorden gebruiken.
-Onnodige services uitzetten.
-Zo min mogelijk rollen installeren.
-In je router niet alles naar die server forwarden maar alleen de poorten die je echt nodig bent. En mocht je bijvoorbeeld RDP gebruiken forward dan een andere poort aan de buitenkant naar je RDP poort aan de binnenkant. bijvoorbeeld van buitenaf 51234 naar 3389 binnen. Dan kun je de server via RDP benaderen via ip:51234
-Rechten op groepen en niet iedereen zomaar rechten op alles geven.

Dat zijn een beetje de basisstappen. Daarna kun je verder kijken naar bijvoorbeeld auditing en logging.

zondag 8 januari 2017 23:42

Acties:

Verwijderd

Topicstarter

nineball schreef op zondag 8 januari 2017 @ 23:42:
Dus: als jij inlogt op het account dan mag het. Maar als iemand ander aanlogt op het account wordt de server afgesloten.
En hoe ziet de server het verschil?

Denk gebaseerd op IP dan dat die dan je IP herkent maar als die een onderkend IP opmerkt dat die dat dan doet.

zondag 8 januari 2017 23:43

Acties:

nineball

Dan laat je toch gewoon alleen het vertrouwde ip toe en de rest niet?

zondag 8 januari 2017 23:44

Acties:

Verwijderd

Topicstarter

.Maarten schreef op zondag 8 januari 2017 @ 23:42:
Begin eerst eens met de standaard zaken:
-Antivirus
-Firewall
-Administrator account disablen.
-Sterke wachtwoorden gebruiken.
-Onnodige services uitzetten.
-Zo min mogelijk rollen installeren.
-In je router niet alles naar die server forwarden maar alleen de poorten die je echt nodig bent. En mocht je bijvoorbeeld RDP gebruiken forward dan een andere poort aan de buitenkant naar je RDP poort aan de binnenkant. bijvoorbeeld van buitenaf 51234 naar 3389 binnen. Dan kun je de server via RDP benaderen via ip:51234
-Rechten op groepen en niet iedereen zomaar rechten op alles geven.

Dat zijn een beetje de basisstappen. Daarna kun je verder kijken naar bijvoorbeeld auditing en logging.

1. Welke services vind jij dat uit moeten.
2. Welke rollen die nu waarschijnlijk aan kunnen staan kan ik uitzetten.
3. Kan je me helpen wat betreft de router ding
4. Kan je me helpen wat betreft RDP gebruiken.

Ben namelijk wel geïnteresseerd heb trouwens ook RDPguard er bij gepakt..

zondag 8 januari 2017 23:45

Acties:

Verwijderd

Topicstarter

nineball schreef op zondag 8 januari 2017 @ 23:43:
Dan laat je toch gewoon alleen het vertrouwde ip toe en de rest niet?

Goed punt. Ik denk dat ik voor Den's oplossing ga de 5 - 10 dingen die hij opnoemde zouden heel goed helpen :-)

zondag 8 januari 2017 23:46

Acties:

nineball

Dat denk ik ook.

zondag 8 januari 2017 23:50

Acties:

.Maarten

Verwijderd schreef op zondag 8 januari 2017 @ 23:44:
[...]

1. Welke services vind jij dat uit moeten.
2. Welke rollen die nu waarschijnlijk aan kunnen staan kan ik uitzetten.
3. Kan je me helpen wat betreft de router ding
4. Kan je me helpen wat betreft RDP gebruiken.

Ben namelijk wel geïnteresseerd heb trouwens ook RDPguard er bij gepakt..

1. Alles wat je niet gebruikt.
2. Geen idee. Je zegt nergens welke rollen je hebt geïnstalleerd.
3. Iemand kan je daar vast bij helpen. Maar dan nog is het misschien wel handig om te vertellen welke router je hebt.
4. Ook daar kan iemand je vast mee helpen.

Dit topic is niet te doen zo. Je geeft geen informatie. Je kunt zelf niet goed uitleggen wat je wilt. En je zin opbouw in in sommige gevallen nogal onduidelijk.

Btw als een server uit staat kun je deze ook niet benaderen via VNC.

zondag 8 januari 2017 23:51

Acties:

powerboat

Als dit voor zakelijk gebruik is, dan lijkt het me verstandig dat TS een professional over de vloer laat komen.

zondag 8 januari 2017 23:54

Acties:

McKaamos

Master of the Edit-button

Ik heb zo het vermoeden dat beveiliging hier van de verkeerde kant wordt aangevlogen.
Er vanuit gaande dat de standaard zaken, die Maarten beschrijft, zijn voldaan, is de kans dat iemand toegang krijgt via reguliere paden vrij klein tot nagenoeg nihil.

Toegang verschaffen doe je door misbruik te maken van methoden die niet beschreven zijn, niet horen te bestaan en hopelijk ook niet bekend voor het merendeel van de serverbeheerders zijn.
Bijvoorbeeld een lek in een script op een webpagina die door de server wordt geserveerd.
Daar door gaat de webserver-software iets doen, maar zie je geen actie door een gebruiker via een RDP sessie, bijvoorbeeld. Het kwaad geschied in naam van IIS (of welke andere webserversoftware je ook maar draait) en daarmee dus als een non-user. Dus waar is je 'detectie' van ongeoorloofde toegang dan nog?
Technisch gezien is er niet eens sprake van toegang, slechts van een webserver die een reactie geeft op een normaal lijkende vraag die gesteld wordt aan een webpagina.

En zo zijn er nog legio methoden te bedenken om een server iets te laten doen zonder dat je uberhaupt daadwerkelijke toegang als gebruiker hebt.
Ik ben geen groot kenner van het Windows platform in de zin van servers, en heb derhalve ook voornamelijk voorbeelden van dingen die in de Linux wereld zijn gebeurd, maar het princiepe is hetzelfde.
Kijk daarom eens naar de pseudo-technische uitleg Shellshock (Link) en Heartbleed (Link), etc etc

En als je dan toch via de reguliere paden binnen wil komen als kwaadwillende persoon, dan richt je je op de legitieme gebruikers. Je zorgt dat je gegevens jat (je wil niet weten hoe simpel social engineering kan zijn, ooit gehoord van die telefoontjes die mensen krijgen van zogenaamd Microsoft?) en liefst zelfs nog de PC van de betreffende gebruiker inzet als proxy, zodat de machine die je daadwerkelijk wil hebben denkt dat je legitieme user bent die inlogt vanaf een IP adres van je eigen bedrijfspand.

powerboat schreef op zondag 8 januari 2017 @ 23:51:
Als dit voor zakelijk gebruik is, dan lijkt het me verstandig dat TS een professional over de vloer laat komen.

Dat lijkt me inderdaad ook verstandig.
Een professional voor de inrichting en een Pentester voor het controleren.

[ Voor 51% gewijzigd door McKaamos op 09-01-2017 00:16 ]

Iemand een Tina2 in de aanbieding?

maandag 9 januari 2017 13:50

Acties:

Equator

Crew Council

#whisky #barista

Dit heeft niet zo heel veel met Internetproviders en Hosting te maken. Move naar Serversoftware en Windows Servers

Pagina: 1

Reageer