Zum Inhalt springen

Projektdokumentation

JasminScholz

Von JasminScholz
in Abschlussprojekte

 Teilen

Empfohlene Beiträge

lapso

lapso

Geschrieben
Geschrieben
Original geschrieben von JasminScholz

Hallo!

Habe das problem, dass ich begründen muss, dass der IIS von Microsoft nicht sicher ist bezüglich der Abschottung mit einer Firewall gegen externe. Thema: Angriffe auf Microsoft IIS and so. Kann mir jemand sagen, wie ich da an Fakten komme, die ich in meiner Arbeit verwenden kann?

Microsoft Security Bulletin abonnieren ;)

Im ernst hab ich keine infos, sorry. Aber so extrem unsicher wie viele meinen zu wissen ist er auch nicht unbedingt.

Gruss

Matze

Link zu diesem Kommentar
Auf anderen Seiten teilen
lapso

lapso

Geschrieben
Geschrieben
Original geschrieben von k2-fly

Hallo such einfach mal nach >code red virus< Der hat doch irgendwie alle möglichen Scherheitslücken im IIS ausgenutzt

Code Red war nie eine Gefahr für den IIS, so man ihn denn korrekt administriert hat

Ich finde es überhaupt unglaublich, dass man etwas begründen soll, was nicht Fakt ist. Was für ein Ziel verfolgt eine solche Aufgabenstellung?

Grüße

Matze

Link zu diesem Kommentar
Auf anderen Seiten teilen
k2-fly

k2-fly

Geschrieben
Geschrieben

Naja, ich weis nicht ob deine Behauptung so rihtig ist, schliesslich wurden ja wirklich einige IIS befallen.

Selbst wenn alle diese Administratoren "zu blöd" waren, hätte M$, meiner Meinung nach, diese ganzen Türen nicht offen stehen lassen sollen.

Beim IIS ist es ja so, dass dort erstmal alle Türen aufstehen und der Admin sie von Hand zumachen muss, super schlechtes System!!!

Die meisten(sogar Freeware) arbeiten andersherum, es ist alles geschlossen und ich muss öffnen was ich brauche, ist doch wirklich sinnvoller, oder?

PS: EIn Kollege hat gerade gemeint dass es sehr wohl Sicherheitslücken im IIS gab/gibt die nicht mit der Einstellung zu haben, sondern nur durch einen M$ Patch behoben werden können.

Link zu diesem Kommentar
Auf anderen Seiten teilen
lapso

lapso

Geschrieben
Geschrieben
Original geschrieben von k2-fly

Naja, ich weis nicht ob deine Behauptung so rihtig ist, schliesslich wurden ja wirklich einige IIS befallen.

Nun ist es aber so, dass die betroffenen IIS falsch oder gar nicht (was naheliegt) administriert wurden. Das kann also mit jeder Software passieren, so denn ein Sicherheitsloch in ihr entdeckt wird.

Selbst wenn alle diese Administratoren "zu blöd" waren, hätte M$, meiner Meinung nach, diese ganzen Türen nicht offen stehen lassen sollen.

Das Code Red-Loch war keine offene Tür, sondern ein Bug. Die Administratoren waren nicht einfach "zu blöd" sondern haben ihren Job sträflich vernachlässigt - oder es gab sie schlichtweg gar nicht.

Beim IIS ist es ja so, dass dort erstmal alle Türen aufstehen und der Admin sie von Hand zumachen muss, super schlechtes System!!!

Du kennst ganz offensichtlich den IIS nicht aus eigener Erfahrung. Welche Türen meinst Du denn?

Die meisten(sogar Freeware) arbeiten andersherum, es ist alles geschlossen und ich muss öffnen was ich brauche, ist doch wirklich sinnvoller, oder?

??? Wenn ich Apache installiere, so serviert der mir sofort nach dem Start eine Website, d.h. eine "Tür" ist bereits offen, ohne dass ich sie explizit geöffnet hätte. Genauso ist es im IIS auch.

PS: EIn Kollege hat gerade gemeint dass es sehr wohl Sicherheitslücken im IIS gab/gibt die nicht mit der Einstellung zu haben, sondern nur durch einen M$ Patch behoben werden können.

Natürlich. Das ist bei vielen Anwendungen so. Bugs sind doch nichts ungewöhnliches, sondern normal. Wenn man einen IIS fährt, muss man diesen natürlich auch administrieren, das heißt: Service Packs und Security Fixes einspielen. Das Heißt auch: Microsoft Security Bulletin abonnieren und lesen. Vernachlässigt man das fahrlässigerweise, so hat man ein Problem - das gilt uneingeschränkt für jeden Server. See Bugtraq.

Grüße

Matze

Link zu diesem Kommentar
Auf anderen Seiten teilen
lapso

lapso

Geschrieben
Geschrieben
Original geschrieben von k2-fly

Fakt ist aber 1. Wollte der Initiator des Threads wissen welche Bugs der IIS hat

Und dazu hab ich gesagt, dass mir keine bekannt sind, da alles gepatcht ist. Es ging ja auch um IIS hinter Firewall - kling so wie: Meine Firewall ist mies, deswegen schiebe ich alle ihre Angriffpunkte dem IIS in die Schuhe. So klang die Frage des "Initiators" IMHO. Eben das typische, undifferenzierte und unqualifizierte Rumgehacke auf Microsoft.

2. Ich hab nur gesagt was ich so gelesen habe

"Microsoft ist schlecht" ;)

Ok, :) ich geb mich ja geschlagen, ich kenne den IIS wirklich nicht, ich habe nur den Tomcat und den Apache bei mir laufen.

Ich leider alle drei. Wobei ich sagen muss, dass die Administration des IIS wesentlich komfortabler und vor allem übersichtlicher ist als die von Apache/Tomcat. Und mir ist durchaus bewußt, dass es bei kommandozeilenbasierten Admin-Tools wahrscheinlicher ist, Fehler zu machen, die sicherheitskritisch sind. Und last but not least: 100%-ige Sicherheit gibt es nicht, auch und erst recht nicht bei "LAMP".

Gruss

Matze

Link zu diesem Kommentar
Auf anderen Seiten teilen
timmi-bonn

timmi-bonn

Geschrieben
Geschrieben
Original geschrieben von lapso

Code Red war nie eine Gefahr für den IIS, so man ihn denn korrekt administriert hat

Ich finde es überhaupt unglaublich, dass man etwas begründen soll, was nicht Fakt ist. Was für ein Ziel verfolgt eine solche Aufgabenstellung?

Hallo lapso,

zunächst einmal sollte es Dir zu denken geben, daß große Konzerne (z.B. Deutsche Bank) den Einsatz von IIS aus Sicherheitsbedenken heraus konzernweit (d.h. weltweit) verboten haben und unter enormem finanziellen Aufwand Alternativen gesucht und installiert haben.

"So man ihn denn korrekt administriert hat" ... ;-))

Was heißt denn "korrekt", wenn der zuständige Administrator laufend neue Patches einspielen muß(te), um die Sicherheit zu gewährleisten? Die Patches resultier(t)en fast alle aus erfolgreichen Einbrüchen in IIS basierte Systeme. D.h, das System war vor jedem Einspielen des aktuellen Patches unsicher. Wer will das verantworten?!?

Glaube mir, bei Summen, die 7-stellig (und höher) sind, wird bei jeder Firma 3-mal überlegt, ob sich dieser finanzielle Aufwand nicht vielleicht doch irgendwie vermeiden läßt.

gruß, timmi

Link zu diesem Kommentar
Auf anderen Seiten teilen
lapso

lapso

Geschrieben
Geschrieben
Original geschrieben von timmi-bonn

zunächst einmal sollte es Dir zu denken geben, daß große Konzerne (z.B. Deutsche Bank) den Einsatz von IIS aus Sicherheitsbedenken heraus konzernweit (d.h. weltweit) verboten haben und unter enormem finanziellen Aufwand Alternativen gesucht und installiert haben.

Das ist Unternehmenspolitik-ob die sich nur am Kriterium "Sicherheit" aufhängt, lassen wir mal dahin gestellt. Es gibt auch andere sehr große Unternehmen, die durchweg MS-Produkte einsetzen, weltweit.

Was heißt denn "korrekt", wenn der zuständige Administrator laufend neue Patches einspielen muß(te), um die Sicherheit zu gewährleisten?

Es sind zwar mehr Patches als bei anderen Produkten, aber auch dort existiert genau dieselbe Problematik. Jedes System muss im Lauf der Zeit angepaßt werden. Oder glaubst Du etwa, dass ein zwei jahre altes Linux mit dem Apache und sendmail, möglichst noch in Standardkonfiguration und vielen Veränderungen, von damals heute noch als sicher gelten würde? Ich hoffe inständigst nicht.

Die Patches resultier(t)en fast alle aus erfolgreichen Einbrüchen in IIS basierte Systeme. D.h, das System war vor jedem Einspielen des aktuellen Patches unsicher. Wer will das verantworten?!?

Jedes System ist latent unsicher. Die Sicherheitslücken werden bei jeder closed-source-Software größenteils auf dese Art bekannt. Wenn wir nur auf Webserver abstellen, dann schau doch mal auf defaced.alldas.de, was täglich so alles passiert. Windows-Systeme sind zwar in der Überzahl, aber auch Solaris, Linux, BSD und AIX sind keineswegs vor Angriffen gefeit.

Glaube mir, bei Summen, die 7-stellig (und höher) sind, wird bei jeder Firma 3-mal überlegt, ob sich dieser finanzielle Aufwand nicht vielleicht doch irgendwie vermeiden läßt.

Welche Summe meinst du nun, ist mir nicht ganz klar. Eine IIS-Farm administrieren kostet Millionen?

Mir ist klar, dass der IIS nicht immer die zu bevorzugende Lösung ist, vor allem in sensiblen Bereichen (Finanz, Medizin, Recht...). Was mir aber nicht klar ist, da muss ich nochmal auf den Thread-Initiator zurückkommen, ist die Aufgabenstellung "erkläre warum der IIS zwingend unsicher ist". Das ist doch nicht normal; normal wäre:"Vergleichen Sie Webserver, vor allem die Sicherheit betreffend". Das ist es, was mich störte.

Grüße

Matze

Link zu diesem Kommentar
Auf anderen Seiten teilen
timmi-bonn

timmi-bonn

Geschrieben
Geschrieben
Original geschrieben von lapso

Welche Summe meinst du nun, ist mir nicht ganz klar. Eine IIS-Farm administrieren kostet Millionen?

Hallo Matze,

die konzern-, d.h. welt-weite Umstellung einer solchen zentralen Komponente wie IIS ist nicht vergleichbar mit dem Wechsel eines Programmes im LAN oder auf einem Einzeloplatzrechner. Hier muß zeitlich koordiniert geplant werden; Standards müssen neu definiert und dokumentiert werden, Schnittstellen und Interferenzen müssen untersucht werden; (z.B. eCommerce, ASP / JSP) usw...usw...

Alleine der administrative Aufwand hierfür liegt deutlich im 2-stelligen Millionenbereich. Und das macht niemand, auch (oder gerade!) die Deutsche Bank nicht ohne zwingenden Grund. Glaub's mir ruhig!

gruß, timmi

Link zu diesem Kommentar
Auf anderen Seiten teilen
lapso

lapso

Geschrieben
Geschrieben
Original geschrieben von timmi-bonn

Alleine der administrative Aufwand hierfür liegt deutlich im 2-stelligen Millionenbereich. Und das macht niemand, auch (oder gerade!) die Deutsche Bank nicht ohne zwingenden Grund. Glaub's mir ruhig!

Ach das meintest du.

Glaub ich auch. Allerdings sind 2mioDM nicht einmal peenuts für die Deutsche Bank, das ist höchstens ein Fliegenschiss.

Wär ich nu böse, würde ich argumentieren: "Wenn die Bank das macht, dann hat sie sicherlich eine Menge Gründe dafür, aber dies ist noch kein hinreichender Beleg dafür, dass der IIS ein schlechtes Produkt ist". hehehe. belassen wir´s doch einfach dabei. Ich mag weder Microsoft noch die "MitLinuxWärDasNichtPassiert"-Pickelgesichter.

Gruß

Matze

Link zu diesem Kommentar
Auf anderen Seiten teilen
lapso

lapso

Geschrieben
Geschrieben
Original geschrieben von timmi-bonn

Hallo Matze,

"2mioDM" sind noch nicht 'mal ein 2-stelliger Millionenbetrag. ;-)

gruß, timmi (amüsiert)

hehe. das gönne ich dir. Liegt vielleicht daran, dass ich letzte woche über 60 stunden gearbeitet und bis vor zwei stunden noch richtig zeitdruck hatte... 20Mio sind auch nicht übel(auf meinem Konto) aber der Bank nicht besonders wichtig. Ich geh besser mal schlafen nu.

Gruss

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...