|
Security Hier kommen alle Fragen und Lösungen zur Sicherheit und zu Fixes am Serversystem rein |
|
Themen-Optionen | Ansicht |
30.04.2008, 10:27 | |||||||||||||||
|
|||||||||||||||
Hits: 81408
|
Folgende 15 Benutzer sagen Danke zu psychodo für den nützlichen Beitrag: | $iMpLy (13.09.2008), .:.Uranus.:. (04.08.2008), BiGPoWeR (25.07.2008), Cerberus (30.04.2008), Cola (20.03.2010), desaster (30.04.2008), djfreakmen (28.05.2009), gotthummer (30.04.2008), metathron (20.03.2010), mobby (27.01.2011), One12 (29.12.2008), orion (02.08.2010), RedFighter (11.04.2009), SP4C3 (01.04.2009), Thunder™ (20.03.2010) |
31.10.2011, 20:06 | #31 | |||||||||||
Böser Mod / NvT Terrorist
Registriert seit: 16.09.2009
Ort: Cyberspace
Beitr?ge: 2.470
Abgegebene Danke: 188
Erhielt 562 Danke für 126 Beiträge
Downloads: 11
Uploads: 0 Nachrichten: 10609 Renommee-Modifikator:
4016 |
Geht sogar noch "sicherer" aber natürlich auch etwas kostspieliger.
Server 1. Sämtliche Ports dicht, login nur via ssh2 key, ports dicht, usw Server 2. Webserver etc Nun richtet man es so ein, das Server 2, den SSH login NUR von der IP von Server 1 aktzeptiert, und Server 1 quasi zum loginserver wird. Damit wäre das Login mit Dynamsichen IP´s behoben, und die IP von Server 1 kennt keiner, da die Page auf Server 2 liegt. Lg Lex |
|||||||||||
31.10.2011, 20:42 | #32 |
Ausbilder Schmidt
Registriert seit: 30.10.2008
Ort: Essen (Ruhr) Ruhrpott4Ever :D
Alter: 36
Beitr?ge: 2.665
Abgegebene Danke: 107
Erhielt 1.644 Danke für 154 Beiträge
Downloads: 43
Uploads: 1 Nachrichten: 3942 Renommee-Modifikator:
10 |
löl naja server 2 kann ja nen kleiner vserver für 6€ sein
__________________
|
31.10.2011, 20:47 | #33 | |||||||||||
Böser Mod / NvT Terrorist
Registriert seit: 16.09.2009
Ort: Cyberspace
Beitr?ge: 2.470
Abgegebene Danke: 188
Erhielt 562 Danke für 126 Beiträge
Downloads: 11
Uploads: 0 Nachrichten: 10609 Renommee-Modifikator:
4016 |
Das müssen beides keine Hardware Server sein
Lg Lex |
|||||||||||
31.10.2011, 21:09 | #34 |
Ausbilder Schmidt
Registriert seit: 30.10.2008
Ort: Essen (Ruhr) Ruhrpott4Ever :D
Alter: 36
Beitr?ge: 2.665
Abgegebene Danke: 107
Erhielt 1.644 Danke für 154 Beiträge
Downloads: 43
Uploads: 1 Nachrichten: 3942 Renommee-Modifikator:
10 |
ich weiß.. aber der 2. server dient ja quasi nur als "proxy" und muss deshalb nicht viel unter der haube haben..
__________________
|
31.10.2011, 22:08 | #35 | |||||||||||
Böser Mod / NvT Terrorist
Registriert seit: 16.09.2009
Ort: Cyberspace
Beitr?ge: 2.470
Abgegebene Danke: 188
Erhielt 562 Danke für 126 Beiträge
Downloads: 11
Uploads: 0 Nachrichten: 10609 Renommee-Modifikator:
4016 |
Der 1. in meinem Beispiel ^^
Lg Lex |
|||||||||||
31.10.2011, 23:32 | #36 |
Ausbilder Schmidt
Registriert seit: 30.10.2008
Ort: Essen (Ruhr) Ruhrpott4Ever :D
Alter: 36
Beitr?ge: 2.665
Abgegebene Danke: 107
Erhielt 1.644 Danke für 154 Beiträge
Downloads: 43
Uploads: 1 Nachrichten: 3942 Renommee-Modifikator:
10 |
jacke wie hose
__________________
|
01.11.2011, 16:11 | #37 | |
Gesperrt
Registriert seit: 12.10.2008
Beitr?ge: 27
Abgegebene Danke: 3
Erhielt 0 Danke für 0 Beiträge
Downloads: 43
Uploads: 0 Nachrichten: 84 Renommee-Modifikator:
0 |
Zitat:
Quelle: Wikipedia Auszug: LaBrea Eine bekannte Implementierung davon ist „LaBrea“, welches ein ganzes Netzwerk mit einem einzigen Teergruben-Dienst schützen kann. Der Teergruben-Computer lauscht auf unbeantwortete ARP-Requests (normalerweise eine unbenutzte Adresse) und beantwortet Anfragen an diese, d. h. er täuscht vor, die gesuchte IP-Adresse zu besitzen. Wenn er daraufhin das initialisierende SYN-Paket des Angreifers (häufig ein Portscanner) erhält, sendet er nur noch eine SYN/ACK-Antwort, danach nichts mehr. Für diese Verbindung wird kein Socket geöffnet und keine „echte“ Verbindung eingerichtet. Die Teergrube speichert keine Daten der Verbindung nach dem gesendeten SYN/ACK. Somit braucht die Teergrube keinerlei eigene Ressourcen wie Rechenzeit, Sockets, Speicher oder Netzwerkbandbreite. Der Computer der Remote-Seite (der „Angreifer“) sendet daraufhin sein ACK-Paket, um den für den Verbindungsaufbau nötigen 3-way-handshake abzuschließen. Schon dieses Paket wird von der Teergrube ignoriert, da aus Sicht des „Angreifers“ bereits eine etablierte Verbindung vorliegt. Er beginnt seine Daten zu senden, die jedoch niemanden erreichen. Da im TCP eine Bestätigung für jedes Paket vorgesehen ist, wird die Verbindung in der Regel nach einer Zeit durch ein Timeout unterbrochen. Bis dahin verharrt die sendende Maschine jedoch in einem Zustand, der darauf ausgelegt ist, die Verbindung zu einem potentiellen tatsächlichen Kommunikationspartner nach aller Möglichkeit aufrechtzuerhalten. Diese Kommunikation kostet Zeit und Rechenleistung, je nach Art des Netzwerkstacks (Anzahl der Wiederholungen, back-off, retransmit usw.) oft sogar sehr viel. Neuere Versionen von LaBrea sind um die Fähigkeit erweitert, später noch auf solche eingehende Pakete mit unsinnigen Antworten zu reagieren. Dafür werden Rohdaten (RAW IP packets) verwendet, damit keine Sockets oder andere Ressourcen des Teergrubenservers verwendet werden. Diese Pakete bringen den sendenden Server dazu, die Verbindung aufrechtzuerhalten und so wiederum noch mehr Zeit und Rechenleistung sinnlos zu verschwenden. Neben LaBrea gibt es zahlreiche weitere TCP-Teergruben, wie zum Beispiel TCP-Damping. Gruss Nehoz Ge?ndert von Nehoz (01.11.2011 um 16:30 Uhr) |
|
01.11.2011, 16:50 | #38 | |||||||||||
König
Registriert seit: 06.09.2008
Ort: /dev/null
Beitr?ge: 1.988
Abgegebene Danke: 643
Erhielt 261 Danke für 28 Beiträge
Downloads: 68
Uploads: 0 Nachrichten: 11697 Renommee-Modifikator:
3552 |
schäme dich das du jetzt erst auf die idee kommst einen post zu zitieren der schon ewig her ist^^
__________________
Es ist kein Zeichen von Gesundheit, an eine von Grund auf kranke Gesellschaft gut angepasst zu sein. |
|||||||||||
01.11.2011, 17:16 | #39 |
Gesperrt
Registriert seit: 12.10.2008
Beitr?ge: 27
Abgegebene Danke: 3
Erhielt 0 Danke für 0 Beiträge
Downloads: 43
Uploads: 0 Nachrichten: 84 Renommee-Modifikator:
0 |
Woa verdammt , da habe ich beim durchstöbern des Portals nicht auf das Postdatum geachtet. Asche auf mein Haupt ;-).
Ge?ndert von Nehoz (01.11.2011 um 21:32 Uhr) |
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1) | |
|
|
?hnliche Themen | ||||
Thema | Autor | Forum | Antworten | Letzter Beitrag |
noch einer... | macgeal | Fun und Witze | 1 | 24.07.2008 19:35 |
bin da wer noch :-P | Ash | Vorstellung | 4 | 27.03.2008 11:39 |
Hauptsache Handy haben ^^ | TrackerPolizei | Fun und Witze | 4 | 16.03.2008 04:10 |