Ich habe nicht nach Lücken gesucht, ich würde nicht ohne Erlaubnis auf deinen Server zugreifen und danach suchen, damit macht man sich wahrscheinlich strafbar.
Vermutlich nicht, solange keine kriminelle Absicht dahintersteckt, niemand zu Schaden kommt und die Untersuchung im Vordergrund steht. Vor einigen Jahren hat ein c't Redakteur mal eine CD mit Hackertools und Anleitungen dazu veröffentlicht und sich anschließend selbst angezeigt. Das Verfahren wurde eingestellt: Keine kriminelle Absicht.
Einen Gegenbeweis kann man nur liefern, wenn davor ein Beweis geliefert wurde. Und das haben Sie nicht.
Falsche Herangehensweise bei einer Risikoanalyse. Der Beweis, dass die Lücken da sind, ist vorhanden, das sind die offiziellen CVE Listen. Der Gegenbeweis muss erbracht werden, dass sie beseitigt oder deaktiviert wurden, und zwar für jede einzelne. Nicht nur für die wichtigsten, die oben verlinkt sind, sondern für alle gut 500. Solange der Beweis nicht erbracht ist, muss man davon ausgehen, dass sie aktiv sind und ausgenutzt werden können.
Aufgrund der Art und Weise wie die Lücken funktionieren würden, falls sie überhaupt existieren, ist nicht davon auszugehen, dass sie genutzt werden können.
Berühmte letzte Worte.
Die Sache mit NetBIOS hingegen kann nicht funktionieren, das hatte ich aber auch schon geschrieben und Sie haben es zitiert..
NetBIOS sind auch nur ne Handvoll Lücken von den 500.
Welcher Webserver wird benutzt? IIS? Und FTP Server? Filezilla? Sind noch mal 250 Lücken extra.
Sparen Sie sich bitte Ihre Beleidigungen. Ihr Kommentar, dass ich überhaupt keine Ahnung habe und wahnsinnig sei, können Sie sich nach Ihrer Aussage, dass alle Sicherheitslücken aus der Liste auf meinen Server zutreffen würden, nicht mehr leisten.
Die Lücken sind aktiv auf deinem Server, vor allem die erwähnten Client Lücken. Bin gespannt, wie du den Gegenbeweis anbringen willst.
Meines Wissens zählt aber nicht die Anzahl der Cores des VPS/RS, sondern die Anzahl der Cores des Host-Systems für Lizenz. Im Falle eines AMD 7702 bräuchte man also eine Lizenz, die für 64 Cores gültig ist, bei den neuen G11 Servern sogar 84 cores.
3. Eintrag: Aktualisierungsproblem im DNS-Zwischenspeicher. Der Server ist weitgehend passiv und macht nur in den seltensten Situationen überhaupt eine DNS-Abfrage.
4. Eintrag: Problem mit WINS-Server. NetBIOS ist bei mir deaktiviert.
5. Eintrag: Lücke in WinHTTP. Der Server surft allerdings nicht im Internet, sodass die Lücke genutzt werden könnte.
Zu meinem Leidwesen hast du durch diesen Beitrag noch mal dokumentiert, dass du leider von der Materie überhaupt keine Ahnung hast. Alles drei sind Lücken im Client System von Windows. Dafür musst du keinen Server ins Netz stellen, diese Schwachstellen kann man allein dadurch ausnutzen, dass der Server aufs Internet zugreift. Das sind genau die Lücken, von denen es oben hieß, dass nicht mal eine Linux Firewall vor dem Server gegen alle Schwachstellen schützen kann.
LASS ES! Es ist absoluter Wahnsinn, diesen Server direkt im Internet zu betreiben.
Vor allen möglichen Lücken schützt das natürlich auch nicht, aber sicherer als aktuell wäre es auf alle Fälle.
Es gibt auch genug Lücken im Client Code von Windows 2000, ..., HTTP Client, DNS, LDAP. Das System sollte gar nicht mehr ins Internet.
Du hast die verlinkten CVE Listen gesehen? Das sind alles Sicherheitsslücken auf deinem Server. JEDE EINZELNE. Und um deine Worte zu benutzen: sie werden sehr gut funktionieren, leider. Genug konkrete Hinweise?
"Funktioniert" finde ich niedlich in dem Zusammenhang.
Davon werden die meisten auf deinem Server "funktionieren". Und das sind nur die mit hoher Wertung. Es gibt noch 500 mehr.
Wenn ich Ahnung hätte würde ich nicht den ganzen Tag versuchen.
Dann ist ein vServer das falsche Versuchsobjekt. Denn wenn hier was schief geht und dein Server gehackt wird, dann leidest nicht nur du darunter, sondern auch alle anderen Netcup Kunden, weil die IPs auf Blacklisten landen. Schau dich im Forum um, es ist voll mit Beiträgen rund um verschiedene Listen. Ganz davon abgesehen kommen die Schadensersatzforderungen dann auf dich zu, und das ist schnell mal eine 5-stellige Summe.
Nur für deine Einordnung: Auf eine öffentliche IP prasselt in etwa eine Attacke pro Sekunde (!) ein: Portscans, Applikationsangriffe, usw. Dazu kommt: Allein das RDP Protokoll in Windows hat 300 (!) ungepatchte Sicherheitslücken, die eine sofortige Übernahme des Servers erlauben. Nach der Installation hast du allenfalls wenige Minuten, dann ist er erledigt, wenn du keine speziellen Gegenmaßnahmen ergreifst.
Deshalb schließe ich mit der Empfehlung von Exception an. Nimm dir eine VM und übe. Und generell auch für später: Ein Windows Client Betriebssystem ist denkbar ungeeignet als Server, und die Lizenzen von Microsoft geben es auch nicht her. Illegal ist es also auch noch, was du vorhast.
Du bist dir sicher, du weißt, was du da tust? Das ist ein Reg Key, kein Kommando. Hast du überhaupt die Regedit geöffnet?
Hast du eine Ahnung, wie schwierig es ist, einen Windows Server abzusichern? Wenn du nicht mal in der Lage bist, einen Registry Key zu ändern, dann würde ich dir dingend empfehlen, es sein zu lassen.
Du klickst dich durch alle netcup Webseiten und suchst Eier:
Auf die glorreiche Idee, sich einfach in der Mitte zu treffen, kam wieder keiner?
Hilft aber auch nur eingeschränkt.
Will man die Zeitumstellung abschaffen, dann muss man mehrere Zeitzonen in Europa einführen. Das will aber auch niemand.
Aber trotzdem sollten solche starken Einbrüche auf einstellige Mbit Werte nicht auftreten.
Das stimmt natürlich.
Ich warte jetzt mal bis nächste Woche ab. Der Support wollte sich das noch genauer anschauen.
Ja, wenn es auch im Rettungssystem auftritt, dann hast du selber vermutlich keine Möglichkeit mehr. Du könntest höchstens noch mal parallele Threads mit iperf testen, ob es einen Unterschied macht (-P 10 hinzufügen).
root@servXYZ:~# iperf3 -c speedtest.wtnet.de -p 5200 -4
Connecting to host speedtest.wtnet.de, port 5200
[ 5] local 46.38.X.Y port 59850 connected to 213.209.106.95 port 5200
[ ID] Interval Transfer Bitrate Retr Cwnd
[ 5] 0.00-1.00 sec 408 MBytes 3.43 Gbits/sec 6128 4.20 MBytes
[ 5] 1.00-2.00 sec 424 MBytes 3.55 Gbits/sec 0 4.38 MBytes
[ 5] 2.00-3.00 sec 314 MBytes 2.63 Gbits/sec 1125 2.26 MBytes
[ 5] 3.00-4.00 sec 228 MBytes 1.91 Gbits/sec 0 2.38 MBytes
[ 5] 4.00-5.00 sec 238 MBytes 1.99 Gbits/sec 0 2.47 MBytes
[ 5] 5.00-6.00 sec 246 MBytes 2.07 Gbits/sec 0 2.54 MBytes
[ 5] 6.00-7.00 sec 252 MBytes 2.12 Gbits/sec 0 2.59 MBytes
[ 5] 7.00-8.00 sec 255 MBytes 2.14 Gbits/sec 0 2.62 MBytes
[ 5] 8.00-9.00 sec 259 MBytes 2.17 Gbits/sec 0 2.65 MBytes
[ 5] 9.00-10.00 sec 264 MBytes 2.21 Gbits/sec 0 2.73 MBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-10.00 sec 2.82 GBytes 2.42 Gbits/sec 7253 sender
[ 5] 0.00-10.04 sec 2.80 GBytes 2.40 Gbits/sec receiver
iperf Done.
root@servXYZ:~# date
Sa 30. Mär 12:11:47 CET 2024
root@servXYZ:~#ganz frischer Test.
Evtl. gibt es Unterschiede in der Priorisierung der Bandbreite zwischen vServer und Root-Server?
Ja, davon gehe ich aus. Beim VPS hast du ja auch keine exklusiven Ressourcen und bist davon abhängig, was die anderen auf deinem Host machen.
Daher erst mal verschoben, mit Glasfaser habe ich nächstes Jahr ja die Chance
auf nur noch IPv6.
Dann der sanfte Hinweis, es vorher zu machen. Die Umstellung kostet auch so schon genug Arbeit.
Mein munin ist unauffällig. Da war nichts die letzten Wochen.
Nö.
root@servXYZ:~# iperf3 -c speedtest.wtnet.de -p 5200 -4
Connecting to host speedtest.wtnet.de, port 5200
[ 5] local 46.38.X.Y port 53024 connected to 213.209.106.95 port 5200
[ ID] Interval Transfer Bitrate Retr Cwnd
[ 5] 0.00-1.00 sec 582 MBytes 4.88 Gbits/sec 3441 6.47 MBytes
[ 5] 1.00-2.00 sec 246 MBytes 2.07 Gbits/sec 3732 2.35 MBytes
[ 5] 2.00-3.00 sec 235 MBytes 1.97 Gbits/sec 0 2.46 MBytes
[ 5] 3.00-4.00 sec 245 MBytes 2.06 Gbits/sec 0 2.54 MBytes
[ 5] 4.00-5.00 sec 249 MBytes 2.09 Gbits/sec 0 2.61 MBytes
[ 5] 5.00-6.00 sec 260 MBytes 2.18 Gbits/sec 0 2.65 MBytes
[ 5] 6.00-7.00 sec 261 MBytes 2.19 Gbits/sec 0 2.68 MBytes
[ 5] 7.00-8.00 sec 265 MBytes 2.22 Gbits/sec 0 2.72 MBytes
[ 5] 8.00-9.00 sec 270 MBytes 2.26 Gbits/sec 0 2.79 MBytes
[ 5] 9.00-10.00 sec 279 MBytes 2.34 Gbits/sec 0 2.87 MBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-10.00 sec 2.82 GBytes 2.43 Gbits/sec 7173 sender
[ 5] 0.00-10.04 sec 2.81 GBytes 2.40 Gbits/sec receiverUnd unsere Server sind im gleichen Subnetz, von daher gehe ich davon aus, dass sie über den gleichen Router gehen.
Das ist Symptome bekämpfen, und nicht Ursachen. Das Kernproblem bleibt.
Zur Zeit habe ich auf meinem Unraid, auf dem die Dienste alle als Docker Container laufen, kein IPV6 aktiviert, das müsste ich wahrscheinlich als Erstes tun, damit der Servers selbst ne IPv6 bekommt?
Das oder den Nameserver selber machen fürs LAN.
Die Docker Container laufen alle im Bridge-Modus, das heißt sie haben alle keine eigene IP(4) Adresse in meinem Netz, sondern nur eine Übersetzung von innen nach außen, also in der Regel sowas wie Port 80 im Container nach außen auf 8081 auf die IP(4) des physischen Unraid-Servers.
Aus deiner Beschreibung hätte ich geschlossen, dass es gerade nicht der Bridge Modus ist. Über eine Bridge haben alle Container Zugang zum Heimnetz. Über die IP des Hosts erfolgt der Zugriff, wenn NAT im Spiel ist (auch wenn lokal für die Container auch eine Bridge zum Einsatz kommen kann, aber ohne Integration des Host-Netzwerkes).
Muss ich daran was ändern?
Nein. Ggf. musst du es auch für IPv6 machen.
Dort kommt bisher die externe Anfrage auf die 443 per Portweiterleitung von der Fitzbox an und dort wird dann, je nachdem über welche Subdomain die Anfrage kam, leitet der Reverse Proxy dann die Anfrage an die interne auf die Server Ip mit dem richtigen Port weiter. Wie wird das mit IPv6 eingerichtet?
Genau so.
Für mich scheint die Lösung zu sein, dafür zu sorgen, dass der Reverse Proxy Container eine eigene IPv6 Adresse in meinem Netz bekommt, ohne Bridge, und diese IPv6 könnte ich dann ja fest in das DynDNS Update eintragen, die wird sich ja nicht mehr ändern. Ab da wird die Unterverteilung ja normal weiterlaufen, könnte ich auch auf IPv4 lassen, oder?
Könnte sein. Keine Ahnung, ob ein Proxy von IPv4 nach IPv6 übersetzen kann. Kann aber sein.
Ich möchte aber gerne diese IP auch für ausgehenden Traffic nutzen, sodass diese IP z.B. bei der Nutzung eines VPN genutzt wird.
Soll die IP dann alleinig ausgehend benutzt werden? Dann siehe den Thread oben. Willst du gezielt einzelne Dienste über die eine oder andere IP leiten, dann musst du mit policy-based Routing arbeiten.
