|
Kapitel höher
PortScan W2k Server
VPN Einführung
VPN PPTP ausgehend
VPN PPTP eingehend
VPN-Client Win2000/XP
VPN-Client Win98
VPN-Client PocketPC
Eindringversuchserkennung
| |
Portscan eines Windows 2000 Servers, der ungeschützt im
Internet steht
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
- Microsoft Windows 2000 Server
Mit diversen, frei verfügbaren PortScannern kann ein beliebiges Ziel auf
offene Ports zwecks Informationsbeschaffung untersucht werden.
Bitte beachten Sie, dass Sie diese Tools nur im eigenen Netzwerk zur Fehler-
und Sicherheitsanalyse einsetzen und denken Sie daran, dass alle
Angriffsversuche etc. ins öffentliche Internet protokolliert werden können.
Um Ihnen die gewinnbaren Informationen eines ungesichert aufgestellten
Windows 2000 Servers darzustellen, habe ich einen solchen Scan gegen den Ihnen
vielleicht durch das Kapitel
 Installation bekannten Server
vor und nach der ISA Installation gestartet.
Computer :
 192.168.0.2 (192.168.0.2)
| Computer |
Details |
Hostname |
Username |
Operating System |
|
192.168.0.2
|
|
TIGER
|
Administrator |
Windows 2000
|
|
192.168.0.2 [ TIGER ] ( Windows 2000 ) |
IP Address :
192.168.0.2
 HostName :
TIGER
LAN Manager : Windows 2000 LAN Manager
Domain : msisafaq
Resolved : TIGER
Operating System : Windows 2000
Computer usage : NT/2k Member Server
Time to live (TTL) : 127 (128) - 1 hop(s) away
Shares (3)
IPC$ - Remote-IPC
ADMIN$ - Remoteadmin
C$ - Standardfreigabe
Users (5)
Administrator ( )
FullName :
Privilege : Administrator (*)
Homedir :
Comment : Vordefiniertes Konto für die Verwaltung des Computers bzw. der Domäne
UserComment :
ScriptPath :
Workstations :
Last Logon : 7 Apr 2002, 3:55:43
Password age : 3 days, 21 hours, 39 minutes, 27 seconds
# Logons : 13
Bad Passwords Count : 0
 Gast ( )
FullName :
Privilege : Guest
Flags : ACCOUNT_DISABLED , PASSWORD_NOT_REQUIRED , PASSWORD_CANNOT_BE_CHANGED
Homedir :
Comment : Vordefiniertes Konto für Gastzugriff auf den Computer bzw. die Domäne
UserComment :
ScriptPath :
Workstations :
Last Logon : never
Password age : N/A
# Logons : 0
Bad Passwords Count : 0
IUSR_TIGER ( Internetgastkonto )
FullName : Internetgastkonto
Privilege : Guest
Flags : PASSWORD_NOT_REQUIRED , PASSWORD_CANNOT_BE_CHANGED
Homedir :
Comment : Vordefiniertes Konto für anonymen Zugang zu Internet-Informationsdienste
UserComment : Vordefiniertes Konto für anonymen Zugang zu Internet-Informationsdienste
ScriptPath :
Workstations :
Last Logon : 7 Apr 2002, 3:59:34
Password age : 3 days, 21 hours, 46 minutes, 6 seconds
# Logons : 0
Bad Passwords Count : 0
IWAM_TIGER ( IIS-Prozesskonto starten )
FullName : IIS-Prozesskonto starten
Privilege : Guest
Flags : PASSWORD_NOT_REQUIRED , PASSWORD_CANNOT_BE_CHANGED
Homedir :
Comment : Vordefiniertes Konto für Internet-Informationsdienste aus Prozessanwendungen heraus starten
UserComment : Vordefiniertes Konto für Internet-Informationsdienste aus Prozessanwendungen heraus starten
ScriptPath :
Workstations :
Last Logon : 7 Apr 2002, 3:57:40
Password age : 3 days, 21 hours, 46 minutes, 6 seconds
# Logons : 2
Bad Passwords Count : 0
TsInternetUser ( TsInternetUser )
FullName : TsInternetUser
Privilege : Guest
Flags : PASSWORD_NOT_REQUIRED , PASSWORD_CANNOT_BE_CHANGED
Homedir :
Comment : Dieses Benutzerkonto wird von den Terminaldiensten verwendet.
UserComment :
ScriptPath :
Workstations :
Last Logon : never
Password age : 22 hours, 19 minutes, 28 seconds
# Logons : 0
Bad Passwords Count : 0
Network devices (4)
\Device\NetBT_Tcpip_
\Device\NetBT_Tcpip_
\Device\NetbiosSmb (local)
\Device\NetbiosSmb (local)
Remote TOD (time of day)
Time of day : 7 Apr 2002 , 12:0.59 , GMT - 71582786
UpTime : 2 days, 22 hours, 18 minutes, 26 seconds
Password policy
Minimum password length : 0 chars
Maximum password age : 42 days
Minimum password age : no delay
Force logoff : never force
Password history : no history
Open Ports (8)
 25 [ Smtp => Simple Mail Transfer Protocol ]
 220 TIGER Microsoft ESMTP MAIL Service, Version: 5.0.2195.2966 ready at Sun, 7 Apr 2002 13:59:39 +0200
 80 [ Http => World Wide Web, HTTP ]
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Sun, 07 Apr 2002 11:59:39 GMT
Content-Type: text/html
Content-Length: 79
 135 [ epmap => DCE endpoint resolution ]
139 [ Netbios-ssn => NETBIOS Session Service ]
443 [ HttpS => Secure HTTP ]
445 [ Microsoft-Ds ]
3389 [ Terminal Services ]
119 [ News ]
200 NNTP-Dienst 5.00.0984 Version: 5.0.2195.4386 Posting Allowed
Alerts (7) (Legend :  - High 
- Medium  - Low  - Information)
CGI Abuses
.ida/.idq trick
Impact : posibility to guess physical paths
.ida/.idq trick (2)
Impact : posibility to guess physical paths
Service_Alerts (4)
Administrator account exists
Description : It is recommended to rename this account
User Gast ( ) never logged on
Description : It is recommended to remove this account if not used
User IUSR_TIGER ( Internetgastkonto ) never logged on
Description : It is recommended to remove this account if not used
User TsInternetUser ( TsInternetUser ) never logged on
Description : It is recommended to remove this account if not used
Info_Alerts (1)
Terminal Services
Description : Terminal Services are installed on this computer
|
Sonntag, 7 April 2002 - 02:04 PM
 Generated by LANguard Network Scanner v(2.0 beta)
Copyright © 2001 GFI Software Ltd.
www.languard.com
Portscan eines Windows 2000 Servers, der durch einen ISA
Server geschützt im Internet steht
Nachfolgend der selbe Scan-Vorgang auf den selben Rechner nach der ISA
Installation:
Der ISA blockt alle Anfragen ab und ist nicht erreichbar. Es sieht so aus, als
ob unter dieser IP-Adresse kein Gerät erreichbar ist.
Je nach Konfiguration des ISAs erscheint im Ereignisprotokoll lediglich ein
Eintrag:
Ereignistyp: Warnung
Ereignisquelle: Microsoft ISA Server-Steuerung
Ereigniskategorie: Keine
Ereigniskennung: 15102
Datum: 07.04.2002
Zeit: 14:27:02
Benutzer: Nicht zutreffend
Computer: TIGER
Beschreibung:
ISA Server hat einen IP-Half-Scan-Angriff von IP-Adresse 192.168.5.25
festgestellt. Weitere Informationen über dieses Ereignis finden Sie in der ISA
Server-Hilfe.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 0000001f
In diesem Beispiel hat der externe Rechner, auf dem der PortScanner ausgeführt
wurde die IP-Adresse 192.168.5.25
Natürlich gibt es auch Möglichkeiten, einen Windows 2000 Server mit anderen
Mitteln als dem ISA Server zu schützen. Windows 2000 bietet auf
Netzwerkkartenebene Filter an, mit denen nur zugelassene Ports von aussen
erreichbar sind. Durch die NAT-Fähigkeit des RRAS-Dienstes könnte auch eine
externe Anfrage an einen internen Host geroutet werden.
Dies ist jedoch keine ernstzunehmende Alternative zu einer FireWall.
Stand:
Friday, 28. August 2009/DR.
|
