Sicherheitsproblem WAWI (Liste mit kompromittierten Servern durch BSI)

[McFunny]

Hallo Zusammen,

habe heute eine Mail von unserem Hoster bekommen auf dem unsere WAWI läuft.

Sehr geehrte Damen und Herren,

das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat uns eine Liste mit kompromittierten Servern (IP-Adressen) unserer Kunden bereitgestellt. In diesem Zusammenhang ist uns mindestens eine Ihrer IP-Adressen genannt genannt worden.

Uns wurden folgende Daten genannt, die in Verbindung mit Ihrem Produkt oder Ihren Produkten stehen. Diese stellen wir in der folgenden Form dar:

IP-Adresse:Servername:betroffener Dienst

Sollten mehrere Ihrer Produkte betroffen sein, werden Ihnen diese direkt hintereinander aufgeführt.

"HIER UNSERE IP ADRESSE":"SERVERNAME":JTLWAWI <==".." habe ich globalisiert, unsere Daten rausgenommen.

Diese Daten wurden nach Auskunft des BSI von 'Shadowserver 'Open MS-SQL Server Resolution Service Scanning Projects'' erbeutet, der Zeitpunkt ist leider sowenig bekannt wie der Ursprung der Daten. Wir gehen nicht davon aus, dass in diesem Zusammenhang Sicherheitslücken bei Host Europe verantwortlich sind.

Das sind die https://mssqlscan.shadowserver.org/

Kann mir einer von den Cracks hier sagen was gemacht werden muss?
Es läuft der 2008R2


Danke!

Sven

 

[reneromann]

AW: Sicherheitsproblem WAWI (Liste mit kompromittierten Servern durch BSI)

Ganz einfach: Macht (direktes) ODBC dicht und greift NUR per VPN auf den Server zu!
Eine direkte ODBC-Verbindung über das Internet dürfte das größte Problem sein, insbesondere dann, wenn ihr das Kennwort des sa-Nutzers nicht verändert habt (weil dann die DB für jedermann öffentlich zugänglich ist).

Kleiner Nachtrag:
Das hat übrigens NICHTS mit der Wawi zu tun, sondern damit, dass dort Dienste vom Server "frei" ins Internet gestellt werden (hier ODBC-DB-Verbindung), welche dort (eigentlich) nichts zu suchen haben.
Dementsprechend ist es eher ein Problem der Serveradministration als der Software, die auf den Server zugreift.

 

[McFunny]

AW: Sicherheitsproblem WAWI (Liste mit kompromittierten Servern durch BSI)

Ganz einfach: Macht (direktes) ODBC dicht und greift NUR per VPN auf den Server zu!
Eine direkte ODBC-Verbindung über das Internet dürfte das größte Problem sein, insbesondere dann, wenn ihr das Kennwort des sa-Nutzers nicht verändert habt (weil dann die DB für jedermann öffentlich zugänglich ist).

Kleiner Nachtrag:
Das hat übrigens NICHTS mit der Wawi zu tun, sondern damit, dass dort Dienste vom Server "frei" ins Internet gestellt werden (hier ODBC-DB-Verbindung), welche dort (eigentlich) nichts zu suchen haben.
Dementsprechend ist es eher ein Problem der Serveradministration als der Software, die auf den Server zugreift.

Das Kennwort ist natürlich geändert.

Gibt es eine Anleitung irgendwo wie VPNeinzuspielen,-stellen ist für WAWI?

Danke!

 

[SebastianB]

AW: Sicherheitsproblem WAWI (Liste mit kompromittierten Servern durch BSI)

Hi,

in dem Text geht es um den SQL Server Browser-Dienst. Der sollte nicht über das Internet erreichbar sein. Der Dienst müsste beendet werden können, dann sollte dieses Problem aus der Welt sein.

Grundsätzlich solltet ihr Euch erfahrene Hilfe zum sicheren Setup des Servers ins Boot holen.

Gruß,
Sebastian

 

[reneromann]

AW: Sicherheitsproblem WAWI (Liste mit kompromittierten Servern durch BSI)

In der Grundaussage muss ich Sebastian beipflichten: Wer einen Server ins Netz stellt, sollte die passende Erfahrung zum sicheren Setup und sicheren Betrieb des Servers mitbringen -oder- sie extern "einkaufen".
Die Absicherung eines Servers gegen unbefugten Zugriff ist nämlich bei weitem nicht so einfach wie man denkt - insbesondere ist es nicht mit einer Standard-08/15-Windows (oder auch Linux)-Installation getan.

Sofern ihr kein Wawi- Hosting benötigt, wäre es eventuell sinnvoll auf einen lokalen Server zu setzen -oder- einen Dienstleister für Wawi-Hosting zu beauftragen, anstatt einen [Windows-]Server online selbst zu verwalten.
Insbesondere habt ihr bei einem lokalen Server den Vorteil, dass die Geschwindigkeit bei Änderungen, insbesondere beim Verwalten von Bildern, nicht von der Geschwindigkeit eurer Onlineverbindung abhängig ist.
Insbesondere kann dann auch bei Ausfall der Internetleitung "offline" weitergearbeitet werden...

Was VPN betrifft:
Hier kann z.B. OpenVPN eingesetzt werden - zur Konfiguration solltet ihr euch dann aber auch jemanden mit ins Boot holen, der damit ein wenig Erfahrung hat.

 

[McFunny]

AW: Sicherheitsproblem WAWI (Liste mit kompromittierten Servern durch BSI)

Hi,

in dem Text geht es um den SQL Server Browser-Dienst. Der sollte nicht über das Internet erreichbar sein. Der Dienst müsste beendet werden können, dann sollte dieses Problem aus der Welt sein.

Grundsätzlich solltet ihr Euch erfahrene Hilfe zum sicheren Setup des Servers ins Boot holen.

Gruß,
Sebastian

Hallo Sebastian,

mit dem Profi ins Boot holen hast Du sicherlich Recht!

@Profis (Firmen): Wer kann ds bei uns umsetzen? Bitte PD.

Zum Dienst:
Leider ist das nicht so einfach, denn diser Dienst wird benötigt, damit der Client die Befehle vom SQL Server als Statement erhält.
Abschalten = keine Verbindimg Client zum Server.


Gruß
Sven

 

[reneromann]

AW: Sicherheitsproblem WAWI (Liste mit kompromittierten Servern durch BSI)

Also erst einmal:
Der SQL-Server Browser-Dienst ist NICHT notwendig, damit die Verbindung klappt!
Nur muss dann in den ODBC-Einstellungen auch mit festen Werten gearbeitet werden (sprich Rechnername/IP PLUS Port), da die dynamische Portbestimmung über den Browser-Dienst läuft (der wiederum auf dem festen Port 1433 arbeitet).

Und zu den Profis: Ich glaube, dass du da was missverstanden hast. Der sichere Betrieb eines Servers ist NICHT mit einer Einmalkonfiguration getan - hier muss viel mehr ständig aufgepasst und angepasst werden.
Heißt also: Entweder einen Servicevertrag über die Wartung des Servers abschließen -oder- auf einen Managed Server wechseln, bei dem sich der Hoster um genau diese Sicherheitsprobleme kümmert.
Heißt aber auf jeden Fall, dass eure monatlichen Ausgaben dauerhaft steigen werden...

 

[McFunny]

AW: Sicherheitsproblem WAWI (Liste mit kompromittierten Servern durch BSI)

Also erst einmal:
Der SQL-Server Browser-Dienst ist NICHT notwendig, damit die Verbindung klappt!
Nur muss dann in den ODBC-Einstellungen auch mit festen Werten gearbeitet werden (sprich Rechnername/IP PLUS Port), da die dynamische Portbestimmung über den Browser-Dienst läuft (der wiederum auf dem festen Port 1433 arbeitet).

Welchen Port stelle ich da ein? Gibt es einen vorgegebenen, oder definiere ich diesen?
Oder bleibt der "fest" bei 1433, nur nicht mehr dynamisch? Aber dann bringt die Abschaltung des Dienstes nichts...?!

Danke!

 

[reneromann]

AW: Sicherheitsproblem WAWI (Liste mit kompromittierten Servern durch BSI)

Der Port für die DB-Verbindung kann frei gewählt werden, muss jedoch über die Serverfirewall freigegeben sein (sofern nicht nur über VPN oder Remotedesktop gearbeitet wird).
Da es mir aber scheint, dass dir die Grundlagen für die Serveradministration fehlen, würde eine detaillierte Beschreibung zur Portvergabe kaum weiterhelfen, zumal diese schon schon im Wiki steht...

Vielleicht solltest du daher doch eher über ein DB- Hosting (auf einem gemanagtem Server)nachdenken, statt "krampfhaft" an einem (mehr schlecht als recht konfiguriertem) Server festzuhalten.