Hallo....

wie gut sollte man sein LAN auch intern absichern?

Also es ist so, ich hab eine Moonwall und im LAN 3 Rechner.
Eine Workstation, einen Fileserver und einen Rechner als "Download/Web/FTP Server usw...".

Nun habe ich den 3ten Rechner bewußt nicht in einer DMZ, da dann SMB oder NFS nichtmehr funktioniert, und ich mir z.B. die Downloads immer per FTP holen müsste. Die Freigaben der sonstigen Rechner sind aber per Passwort geschützt.

Die Frage nun: Wie wahrscheinlich ist es, das ein Hacker der den "Web" Rechner knackt, auf dem ja recht viele anfällige Dienste laufen, sich im LAN weiterhackt? Ist das überhaupt so einfach möglich? Und wie anfällig sind SMB/NFS Dienste?

Die Frage nun: Wie wahrscheinlich ist es, das ein Hacker der den "Web" Rechner knackt, auf dem ja recht viele anfällige Dienste laufen, sich im LAN weiterhackt? Ist das überhaupt so einfach möglich? Und wie anfällig sind SMB/NFS Dienste?

Ist das selbe als wenn der Cracker vom Netz aus versucht dein System zu kompromitieren. Allerdings hat er jetzt keine störende Router Firewall.

Wie anfällig ein Dienst oder ein laufendes Programm ist muss man selber mal nachschauen auf den Seiten. Immer schön aktuell halten, dann sollte der Cracker nichtmal bis in den Webrechner reingelangen.

In einem privaten LAN ist es meistens so, dass die Kisten von Laien administriert werden.
Sind alle Updates aufgespielt, die Rechner nicht verseucht, dann gibt es aktuell keinen Weg, Windowskisten remote zu ownen, wie man neudeutsch sagt.
Bei einem LAN, in der man eine Domain hochgezogen hat, ist natürlich der Domain Controller (DC) das Objekt der Begierde.

Es gibt hierzu in dem Buch "Securing your Windows Nework from perimeter to data" ein schönes Kapitel, das sich "Anatomy of a hack" nennt, welches ziemlich detailliert den Einbruch in ein Netzwerk darstellt.

Gruß,
QFT

Sind alle Updates aufgespielt, die Rechner nicht verseucht, dann gibt es aktuell keinen Weg, Windowskisten remote zu ownen, wie man neudeutsch sagt.Kein Weg ist vielleicht etwas übertrieben:
http://www.pcwelt.de/know-how/tipps_tricks/betriebssysteme/windows/allgemein/76863/index.html

Kein Weg ist vielleicht etwas übertrieben:
http://www.pcwelt.de/know-how/tipps_tricks/betriebssysteme/windows/allgemein/76863/index.html

Starten Sie Regedit, und klicken Sie auf „Datei, Mit Netzwerkregistrierung verbinden“.

Ist geblockt bei mir ;)

Sind alle Updates aufgespielt, die Rechner nicht verseucht, dann gibt es aktuell keinen Weg, Windowskisten remote zu ownen, wie man neudeutsch sagt.


Aber bei Linux gibt es Möglichkeiten?

Ist geblockt bei mir ;)Auch für den Administrator? Und der kann auch die Rechte nicht mehr ändern? Wie hast du das denn gemacht?

Auch für den Administrator? Und der kann auch die Rechte nicht mehr ändern? Wie hast du das denn gemacht?

Den Dienst "Remote-Registrierung" systemweit beendet.

Kein Weg ist vielleicht etwas übertrieben:
http://www.pcwelt.de/know-how/tipps_tricks/betriebssysteme/windows/allgemein/76863/index.htmlErstmal ein Konto mit den benötigten Benutzerrechten haben vor lauter Lachen. Außerdem müsste man bei ihm erstmal durch die Firewall kommen und ich denke, dass er nur die nötigsten Ports geöffnet hat ;). Also imo ist es ohne Exploits oder Unachtsamkeit seinerseits sogut wie unmöglich einzudringen, zumal er auch sicherlich uninteressant für Hacker ist. Die meisten Attacken aus dem Netz geschehen automatisiert und greifen meistens schlecht geschützte WinXP-Systeme an.

Wobei da natürlich immernoch die Gefahr der Baugruppe 7 bleibt... Baugruppe 7 sitzt bekanntlich zwischen den Ohren und macht die meisten Fehler... Vorallem denk ich, das so Sachen wie Trojaner und Rootkits dein Netzwerk kompromitieren könnten. Von aussen eindringen ist schwer, aber von innen rauskommen und daten rausschaufeln, das ist was für die Kindergarten-Script-Kiddo´s ausm Vorschuljahr... Grundsätzlich würd ich mir vielleicht ein bischen Performance und Komfort schenken und so Dinge wie Windows-Freigaben bzw. Datei und Druckfreigabe/SMB usw abschalten. FTP ist schneller und man kann resumen... Wenn Du ein wenig Ahnung hast würd ich von allen Diensten die nach aussen gehn noch schön die Ports verbiegen, so das nix mehr in den Well Known Ports ( 0 - 1023 ) rumasselt und möglichst astronomische Port Nummern vergeben... Mein FTP z.B. läuft auf 6666, mein Apache auf 1337 mein VNC auf 2345 usw usw usw... Dann mal für deine Windowskisten auf www.ntsvcfg.de vorbeischauen, da findest sicherlich den ein oder anderen Dienst der noch weg kann...

Ich hab die (derzeit ) grösste Fritzbox, dahinter hängen 4 Rechner die mitnander kommunizieren, aber alle Ports auf der Fritzbox sind dicht bis auf die, die ich brauch und die sind eben nur auf die Kiste geforwarded die den entsprechenden Dienst auch anbietet. Auf der Slackware und auf der Kubuntu box läuft zusätztlich noch ne Firewall auf der Windoof Vista und der Windoof XP Box ist jeweils ZoneAlarm, Antivir, Spybot S&D, Rootkit Revealer, Lavasoft Adaware und Reghance und alle dienste die CRAP sind, hab ich aus, also praktusch alle... Einmal im Monat und zwar am Patch Day kurz automatische updates, intelligenter hintergrund übertragungsdienst und kryptographiedienst an und gleich nachm Update neustart und dienst wieder aus... ActiveX und so scheisse komplett deaktiviert im Internet Exploder, zum Surfen nur Firefox / Opera und das ganze meistens in Kombination mit TOR, Emails mit Thunderbird, alles schön verschlüsselt und und und :-) Gibt ne menge was man machen kann wenn man Paranoia hat, allerdings kann ich Dir aus eigener Erfahrung sagen - Die Paranoia wird nicht weniger :-)

Erstmal ein Konto mit den benötigten Benutzerrechten haben vor lauter Lachen.Das ist ja wohl das geringste Problem. Jedes Windows hat ein Administratorkonto. Musst nur noch das Passwort hacken. Fang mal mit "admin" und "test" an. Oder lass einfach ein Wörterbuch drüberlaufen. In weniger als einer Minute hast du 75% aller Windowsrechner offen. Und hast du dich erst einmal als Administrator eingeloggt, dann kann dich eigentlich nichts mehr aufhalten.Den Dienst "Remote-Registrierung" systemweit beendet.Und? Schalte ich als Administrator einfach wieder ein.

Natürlich ist das nichts für Laien. Deshalb steht da ja auch: Anforderung: Profi. Mit ein wenig Übung und Wissen kann man da aber sehr schnell Leute verblüffen, die sich bisher für Fachmänner gehalten haben.

Hier ein paar frei zugängliche Tools für alle, die gerne mal was ausprobieren möchten:
http://www.oxid.it/cain.html
http://www.wireshark.org/about.html
http://masterbootrecord.de/deutsch/advancedremoteinfo.php#Beschreibung

Und das sind alles nur Tools für jedermann und auch von engagierten Laien bedienbar. Echte Profis benutzen noch ganz andere Werkzeuge.Wenn Du ein wenig Ahnung hast würd ich von allen Diensten die nach aussen gehn noch schön die Ports verbiegen, so das nix mehr in den Well Known Ports ( 0 - 1023 ) rumasselt und möglichst astronomische Port Nummern vergeben... Mein FTP z.B. läuft auf 6666, mein Apache auf 1337 mein VNC auf 2345 usw usw usw... Dann mal für deine Windowskisten auf www.ntsvcfg.de vorbeischauen, da findest sicherlich den ein oder anderen Dienst der noch weg kann...Naja, einen Portscan kann mittlerweile jeder Laie durchführen. Aber dem Threadstarter geht es ja nicht um den Angriff von außen, sondern was passieren kann, wenn der "Web-Rechner" bereits kompromitiert ist.

Das ist ja wohl das geringste Problem. Jedes Windows hat ein Administratorkonto. Musst nur noch das Passwort hacken. Fang mal mit "admin" und "test" an. Oder lass einfach ein Wörterbuch drüberlaufen. In weniger als einer Minute hast du 75% aller Windowsrechner offen. Und hast du dich erst einmal als Administrator eingeloggt, dann kann dich eigentlich nichts mehr aufhalten.Und? Schalte ich als Administrator einfach wieder ein.

Natürlich ist das nichts für Laien. Deshalb steht da ja auch: Anforderung: Profi. Mit ein wenig Übung und Wissen kann man da aber sehr schnell Leute verblüffen, die sich bisher für Fachmänner gehalten haben.

Hier ein paar frei zugängliche Tools für alle, die gerne mal was ausprobieren möchten:
http://www.oxid.it/cain.html
http://www.wireshark.org/about.html
http://masterbootrecord.de/deutsch/advancedremoteinfo.php#Beschreibung

Und das sind alles nur Tools für jedermann und auch von engagierten Laien bedienbar. Echte Profis benutzen noch ganz andere Werkzeuge.Naja, einen Portscan kann mittlerweile jeder Laie durchführen. Aber dem Threadstarter geht es ja nicht um den Angriff von außen, sondern was passieren kann, wenn der "Web-Rechner" bereits kompromitiert ist.

nun komm,falsche passwörter gehören eher in den bereich doofheit und nicht hier her...es geht mir um hacking und nicht um rätselraten

und mit den noob tools da..was willste da machen? da geht bei mir garnix mit

nun komm,falsche passwörter gehören eher in den bereich doofheit und nicht hier her...es geht mir um hacking und nicht um rätselratenDu weisst, was Brute Force oder Dictionary ist? Dass das mit Rätselraten und Doofheit nichts zu tun hat? Dass Profis so etwas einsetzen?und mit den noob tools da..was willste da machen? da geht bei mir garnix mitCain ein Noobtool?
It allows easy recovery of various kind of passwords by sniffing the network, cracking encrypted passwords using Dictionary, Brute-Force and Cryptanalysis attacks, recording VoIP conversations, decoding scrambled passwords, recovering wireless network keys, revealing password boxes, uncovering cached passwords and analyzing routing protocols.
Ich glaube eher, du hast die Beschreibung gar nicht verstanden.

Falls du aber der Threadstarter sein solltest und keine weitere Informationen haben willst, mir soll es recht sein.

Windows Rechner mach ich euch nach einen Neustart auf, mal ernsthaft, das is kein Problem, es ist nur ne Frage des Physikalischen Zugangs :-)

--> http://home.eunet.no/pnordahl/ntpasswd/

also mal ganz ehrlich.. dort wo es sich lohnt zu hacken kann man es vergessen und bei den anderen.. vergiß es..
und wo es dannn doch wo es lohnt funktioniert selbst schuld..
gruss andy

ja wegen ein paar daten wird keiner eine große aktion starten

Wie anfällig ein Dienst oder ein laufendes Programm ist muss man selber mal nachschauen auf den Seiten. Immer schön aktuell halten, dann sollte der Cracker nichtmal bis in den Webrechner reingelangen.


Vorausgesetzt der Hacker findet den Exploit in einer Anwendung nicht selber heraus.

Auf den Security Seiten steht nur das, was bekannt ist, nicht das, was unbekannt ist und im Code mit einem Eploit ausnutzbar wäre.

Wenn Du ein wenig Ahnung hast würd ich von allen Diensten die nach aussen gehn noch schön die Ports verbiegen, so das nix mehr in den Well Known Ports ( 0 - 1023 ) rumasselt und möglichst astronomische Port Nummern vergeben... Mein FTP z.B. läuft auf 6666, mein Apache auf 1337 mein VNC auf 2345 usw usw usw... Dann mal für deine Windowskisten auf www.ntsvcfg.de vorbeischauen, da findest sicherlich den ein oder anderen Dienst der noch weg kann...


Was ist denn das für eine Schnappsidee?
Jeder Portscanner würde deinen FTP und HTTP Server auch auf den anderen Ports finden.

Außerdem willst du ja auf deine eigenen Server noch zugreifen können.
Manche Firewalls sind aber genau so eingerichtet, daß sie nur Verbindungen zu den Standardportnummern zulassen, jede weitere Verbindung zu einer anderen Port Nummer muß extra freigeschaltet werden.

Das ist z.b. bei meiner Statusbezogenen iptables Firewall der Fall.
Auf Gameserver eines bestimmten Spieles, für welches nicht der Standardport des Spieles verwendet wird, kannst du bei mir nicht zocken.

Du weisst, was Brute Force oder Dictionary ist? Dass das mit Rätselraten und Doofheit nichts zu tun hat? Dass Profis so etwas einsetzen?Cain ein Noobtool?


Brute Force braucht dummerweise Jahrzehnte wen nicht gar Jahrhunderte um so etwas wie:
f6Jsh)3ed-f+24knJSd?2
als Passwort herauszufinden.

Was ist denn das für eine Schnappsidee?
Jeder Portscanner würde deinen FTP und HTTP Server auch auf den anderen Ports finden.

Außerdem willst du ja auf deine eigenen Server noch zugreifen können.
Manche Firewalls sind aber genau so eingerichtet, daß sie nur Verbindungen zu den Standardportnummern zulassen, jede weitere Verbindung zu einer anderen Port Nummer muß extra freigeschaltet werden.

Das ist z.b. bei meiner Statusbezogenen iptables Firewall der Fall.
Auf Gameserver eines bestimmten Spieles, für welches nicht der Standardport des Spieles verwendet wird, kannst du bei mir nicht zocken.

außerdem unzumutbar für hosting anbieter. die zusätzlichen supportanfragen werden sich häufen wie ein termitenhaufen, wie so ziemlich alles was nicht dem "standard" entspricht, ich kann ein ganzes musikalbum davon singen.

mfg

Brute Force braucht dummerweise Jahrzehnte wen nicht gar Jahrhunderte um so etwas wie:
f6Jsh)3ed-f+24knJSd?2
als Passwort herauszufinden.
Dummerweise sind die meisten Passwörter aber in jedem Wörterbuch zu finden.