Totale Sicherheit - wie ??

#1 Hallo Leute,bin neu hier. Ich komme gleich zur Sache und beschreibe mal mein Problem,was mir gestern passiert ist.

Mein Rechner ( läuft als Server ): Windows XP Prof , Dateisystem FAT32

Ich habe 2 Netzwerkkarten:

Realtech als >>LAN-Verbindung<< [ bis auf QoS-Paketplaner sind alle Häkchen weggeklickt ]
---> diese Netzwerkkarte ist zuständig,damit ich mit DSL ins Internet komme


D-Link als >>LAN-Verbindung2<< [ hier hab ich überall das Häkchen stehen lassen ,also bei "Client für Microsoft Netzwerke" bzw. "Datei- und Druckerfreigabe für Microsoft-Netzwerke" bzw. "QoS-Paketplaner" und "Internetprotokoll (TCP/IP)" ]
---> diese Netzwerkkarte versorgt die Clients mit Daten


Mein Provider ist >>Fireline T-DSL<< ,und hier hab ich auch alle Häkchen stehen lassen ,also bei: "Internetprotokoll (TCP/IP)" bzw. "QoS-Paketplaner" bzw. "Datei- und Druckerfreigabe für Microsoft-Netzwerke" und "Client für Microsoft Netzwerke".

Dazu kommt noch,dass ich Fireline T-DSL via ICS freigebe,also Rechte Maustaste-->Eigenschaften-->Erweiter und dort: ""Anderen Benutzern im Netzwerk gestatten,die Internetverbindung dieses Computers zu verwenden""

Firewall hatte ich nicht aktiviert.

Habe 3 Ordner freigegeben ( einfache Dateifreigabe )

Gestern hat mir irgend jemand aus dem Internet (ein Hacker wahrscheinlich )einen komplett freigegebenen Ordner gelöscht,also den kompletten Inhalt ( waren paar GB ) !!! Dazu hat derjenige noch eine kleine Datei erstellt mit dem Hinweis: "... Hier kann jeder machen was er will !!! ..."

Daraufhin habe ich bei google.de ein bisschen rumgesucht und herausgefunden,dass ich noch bei >>Fireline-T-DSL<< folgende Häkchen wegmachen muss, nämlich bei "Client für Microsoft Netzwerke" und bei "Datei- und Druckerfreigabe für Microsoft-Netzwerke" .

Ausserdem wurde geraten,dass ich ein Benutzerkennwort einrichten sollte,also wenn der Rechner hochbootet,dann muss man ein Kennwort eingeben,damit Windows komplett gebootet wird.Also ohne Kennwort startet Windows dann nicht.
Ausserdem habe ich jetzt die WIN XP Prof eigene Firewall aktiviert und unter Internetoptionen bei Sicherheit bei "Lokales Intranet" Sicherheitsstufe komplett auf "Hoch" gestellt.


Jetzt meine Frage: reichen diese 4 Vorsichtsmassnahmen oder kann trotzdem noch irgend jemand auf meine freigegebene Ordner samt Inhalt zugreifen und diese evtl. löschen oder ändern?

Wie mache ich es,dass NUR meine Clients auf die freigegebene Ordner zugreifen und sichtbar sind ( mit Passwort oder so ).Also dass kein anderer ausserhalb mehr zugreifen kann?!

Kann mir jemand weiterhelfen, ich habe aufgrund des Vorfalls ein wenig Angst.

#2 Also das du deine Ordner nicht im Internet zur Verfügung stellen willst sollte eigentlich klar sein oder

Einstellen kannst du Berechtigungen über Rechtsklick auf den Ordner Eigenschaften/Freigabe/Berechtigungen. Da kannst du dann einzelne Clients/User hinzufügen und ihnen Schreib- und/oder Leseberechtigung geben.

Wenn das nicht funktioniert, du diesen Eintrag nicht hast aber auch sonst solltest du deine FAT32 Partition mal zu NTFS konvertieren. Einfach unter Start -> Ausführen den Befehl convert Volume /FS:NTFS ausführen. Für Volume trägst du den Laufwerksbuchstaben deiner Partition gefolgt von einem Doppelpunkt ein (z.B. c: ). Beim nächsten Neustart wird die Platte dann umgewandelt.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#3 Hallo,
danke für die schnelle Antwort. Das mit NTFS kann ich leider nicht machen da meine Clients jeweils WIN98 SE Rechner sind und mit FAT32 laufen.Sie würden dann nicht mehr auf den Server zugreifen können.

Wäre das http://www.firewallinfo.de/handbuecher/tiny_kerio_20/Anleitungtinyfirewall5a.html eine vernünftige Lösung?!

So ein Desaster möcht ich halt nie wiedererleben. :-(

P.S.
Den Ordner kann ich schon mit der Option "Berechtigungen" einschränken.Also hier ist "Jeder" eingetragen. Den löschen,ja oder? Aber wie füge ich meine Clients hinzu,mein erster Client hat 192.168.0.2 255.255.255.0 und als Name: Klaus in der Arbeitsgruppe: Lori

Hab aber irgendwo gelesen,dass dann trotzdem jeder HAcker auf den Ordner zugreifen könnte,weil eben alles FAT32 ?!

#4 Sollte doch auch funktionieren, wenn die Karte, die den Internetzugang besorgt, kein NetBios, kein Client für Microsoft-Netzwerke, keine Datei- und Druckerfreigabe unterstützt. Das sollte schon genügen, denke ich.
Man kann dann noch die Karten wie folgt aufteilen:
Wenn die Karte für den Internetzugang dann mit 192.168.0.31/31 und die für das LAN mit 192.168.0.x/24 sollte ICS noch funktionieren, oder schwafel ich gerade !?
Es wäre auch möglich, das mit einer Desktop-Firewall zu regeln.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 "" Sollte doch auch funktionieren, wenn die Karte, die den Internetzugang besorgt, kein NetBios, kein Client für Microsoft-Netzwerke, keine Datei- und Druckerfreigabe unterstützt. Das sollte schon genügen, denke ich. ""

Ja die Häkchen habe ich jetzt dort weggemacht.Aber wie kann ich jetzt überprüfen,wenn ich jetzt z.B. einen Ordner wieder freigebe,dass doch nicht auf diesen Ordner weiter zugegriffen werden kann?!

Wer z.B. meine IP Adresse hätte könnte vielleicht doch auf den Ordner weiter zugreifen?!
Kann man das irgendwie simulieren um Gewissheit zu erlangen?

Was ist wenn ich meine IP Adresse hier kurz reinstelle und jemand von euch könnte das mal probieren auf meinen Test-Ordner mit Test-Datei zuzugreifen?!

Habe jetzt noch zusätzlich diesen Schritt gemacht:

Wie kann ich unter Windows 2000/NT und XP die Standardfreigaben (C$, D$, IPC$, Admin$ usw.)
deaktivieren?

Unter Windows 2000/NT und XP wird Standardmäßig jede Festplatte freigegeben
(C$, D$, IPC$, Admin$ usw.). Diese Freigaben kann man zwar löschen, Windows stellt Sie
aber nach jedem Neustart wieder automatisch her.

Wollen Sie dies verhindern, ändern Sie folgendes in der Registry:

unter:

HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ LanmanServer\ Parameters

Für die Server-Version:

AutoShareServer als Datentyp REG_DWORD auf "0" setzen bzw. auf "1" um es wieder zu aktivieren

Für die Workstation-Version:

AutoShareWks als Datentyp REG_DWORD auf "0" setzen bzw. auf "1" um es wieder zu aktivieren

#6

Zitat

htbreaker postete

Wie kann ich unter Windows 2000/NT und XP die Standardfreigaben (C$, D$, IPC$, Admin$ usw.)
deaktivieren?

Ein Benutzerkonto mit eingeschränkten Rechten einrichten und die Kiste damit standardmäßig betreiben.

Außerdem, wie schon weiter ober erwähnt, sämtliche unnötigen Bindungen von der Netzkarte entfernen, die mit dem Internet verbindet.

Weitere Möglichkeit: Nicht das schrottige ICS verwenden, sondern einen Proxyserver aufsetzen, z.B. Janaserver - ist für Privatpersonen kostenlos:

http://www.janaserver.de

Ratz

#7 Die Dateifreigabe sollte sicherlich ausgeschaltet sein. Allerdings wuerde ich auch eine FW installieren. Es gibt nicht nur die ports 135/139 et al ;-)
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds

#8 für einen grundlegenden schutz reichen sicherlich die massnahmen, welche joschi genannt hat.
übrig bleiben dann noch die üblichen bugs in windows. um sich vor diesen zu schützen hilft zB das einspielen aktueller patches die es unter anderem bei windowsupdate gibt.
da diese aber nicht alle probleme lösen, sollte man einige dienste deaktivieren. der robert hat dazu eine sehr gute einführung und verschiedene konfigurationsvorschläge notiert: http://www.different-thinking.de/windows_2000_dienste.php
wenn dir das dann immer noch nicht sicher genug ist, wirst du nicht darum kommen dich mit dem thema firewall zu beschäftigen. ich kann persönlich die kerio 2.1.5 empfehlen. wenn man aber nicht weiss wie sie funktioniert oder zu funktionieren hat, wird sie dir nichts nützen. aber keine angst: auf dieser site findest du jede Information die du dazu brauchst. jedoch wirst du etwas zeit aufwenden müssen um dich in die firewall-thematik einzuarbeiten.

und noch ein tipp zum ntfs-dateisystem (weshalb haben die anderen das eigentlich verschwiegen? ):
du kannst alle partitionen deines xp servers ins ntfs konvertieren, denn die clients greifen nicht direkt auf das dateisystem zu sondern bekommen die daten über das smb-protokoll mitgeteilt. denen ist also ziemlich egal, mit was für dateisystemen der server arbeitet. ausserdem solltest du davon absehen den gastaccount zu verwenden.
hier ein paar links zur konfiguration deines eigenen netzwerkes:
http://www.windowspage.net/cgi-bin/board/YaBB.pl?board=faq;action=display;num=1079226404;start=0#1
http://www.windowspage.net/cgi-bin/board/YaBB.pl?board=faq;action=display;num=1079364241;start=0#4

frohes schaffen!!!

#9 Ich habe (zu Hasse) eine ähnliche konfiguration.

Mein Server ( 2 Netzwerkkarten ) Eine hängt mit Integrierter Firewall am Router ( ebenfalls mit Firewall ) bilden also gemeinsam eine DMZ.

Im inneren Netz hängen die Clients welche mit NAT nach drausen dürfen.

Spezielle Programme die direkt nach drausen müssen (Ich gleube Ihr wisst schon was , sind in der DMZ).

@ htbreaker
Konfigurier dein Netz auch so ... mit verschiedenen Rules für interne und externe Netzwerkkarte und deine Clients sind so sicher wie in Mamas Schoss.


Mein Problem ist nur das ich immer wieder beschwerden bekomme das die FTP-Clients, Messangers und weis was ich noch nicht raus kommen, troz Proxy einstellung.

Ich benutze als Proxy-Firewall kombination WinRoute-pro 4.1 und irgendwie haut FTP (naturgemäss) aber auch NAT auf anderen Ports als 80 nicht so wirklich hin. Hat da jemand einen Tipp für mich wie ich wie ich das konfigurieren soll ... bzw. ob ein Umstieg auf 6.x ratsam ist?
__________
There is a place at 127.0.0.1 - I've seen it!