Harden The Tcp/ip Stack 4 Dos Attacks REG Schlüssel sollen sichern...
#1
geschrieben 31. August 2004 - 18:19
ein paar TCPIP parameter sollen gegen Denial of Service Attacks sichern (minim. performance verluste)...
EnableDeadGWDetect = "0" (default = 1)
Disables dead-gateway detection as an attack could force the server to switch gateways.
EnableICMPRedirect = "0" (default = 1)
Stops Windows from altering its route table in response to ICMP redirect messages. Some documentation has this listed as "EnableICMPRedirects" but according to Microsoft it should be "EnableICMPRedirect" no "s".
EnablePMTUDiscovery = "0" (default = 1)
Disables maximum transmission unit (MTU) discovery as an attacker could force the MTU value to a very small value and overwork the stack.
KeepAliveTime = "300,000" (default = 7,200,000)
Reduces how often TCP attempts to verify that an idle connection is still intact by sending a keep-alive packet.
NoNameReleaseOnDemand = "1" (default = 0)
Protects the computer against malicious NetBIOS name-release attacks.
PerformRouterDiscovery = "0" (default = 1)
Disables ICMP Router Discovery Protocol (IRDP) where an an attacker may remotely add default route entries on a remote system.
SynAttackProtect = "2" (default = 0)
Automatically adds additional delays to connection indications, and TCP connection requests quickly timeout when a SYN attack is in progress.
ne frage an die experten von uns. stimmt das so?
Anzeige
#2
geschrieben 31. August 2004 - 19:06
Dieser Beitrag wurde von hans_maulwurf bearbeitet: 31. August 2004 - 19:10
#3
geschrieben 31. August 2004 - 20:08
Zitat
Disables maximum transmission unit (MTU) discovery as an attacker could force the MTU value to a very small value and overwork the stack.
Sorry, aber das ist Unsinn. Für sowas braucht man schon einen Man-in-the-middle oder einen Gegenüber, dem man vertraut und der einen trotzdem nicht so recht mag. Überarbeiten kann man den Stack auch nicht, selbst auf 'nem 1,4 GHz-Rechner schafft man damit maximal 40% CPU-Auslastung.
Die geringe Gefahr, die von diesem Angriff ausgeht, steht in keiner vernünftigen Relation zu dem enormen Effizienzgewinn von PMTUD. Sprich: Lass es gefälligst an.
Zitat
Reduces how often TCP attempts to verify that an idle connection is still intact by sending a keep-alive packet.
Auch quatsch - es erhöht die Häufigkeit der Abfragen. Und ich habe es sogar auf 0x0002bf20 = 180000 = alle 3 Minuten heruntergesetzt. Mit Hardening hat das übrigens nix zu tun, sondern dient eher der Stabilität von Intranet-Verbindungen.
Zitat
Protects the computer against malicious NetBIOS name-release attacks.
Nett, aber unsinnig. NetBIOS ist sowieso anfällig, egal was man macht.
Zitat
Disables ICMP Router Discovery Protocol (IRDP) where an an attacker may remotely add default route entries on a remote system.
Falsch, ist per Default auf 0 und muss daher nicht hinzugefügt werden.
Zitat
Automatically adds additional delays to connection indications, and TCP connection requests quickly timeout when a SYN attack is in progress.
Ist bei WinXP standardmäßig auf 1. Und mit den Standardparametern ist es auch nicht das Wahre.
@hans_maulwurf:
Bei Linux ist das etwas komplizierter, da sowas teilweise in Kernel-Patches ausgegliedert wurde. IdR reicht es wenn du die SYN-Cookies einkompilierst und die ARP-Tabelle einfrierst.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#4 _moep_
geschrieben 31. August 2004 - 22:38
wäre aber auch mit ein bisschen text sprich einem link zu einer seite zufrieden
Dieser Beitrag wurde von moep bearbeitet: 31. August 2004 - 22:39
#5
geschrieben 01. September 2004 - 12:18
Zitat (moep: 31.08.2004, 22:38)
selbstverständlich darfst du fragen! (danke noch mal für den ProzessExplorer )
start>ausführen>regedit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
dort die parameter einfügen/ändern
leichter gehts mit der angehängten regdatei (ändert EnableDeadGWDetect auf 0 und EnableICMPRedirect auf 0)
Angehängte Datei(en)
-
regdateiDoS.reg (380bytes)
Anzahl der Downloads: 8
#6 _moep_
geschrieben 01. September 2004 - 13:25
#7
geschrieben 05. September 2004 - 00:59
hardening_netbt.reg:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP] "ForceEnryptedPassword"=dword:00000002;nur authentifizierte PPP Clients zulassen "SecureVPN"=dword:00000001;nur noch MS CHAP v2.0 für VPN Verbindungen zulassen ;Administrative Shares deaktivieren [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "RestrictAnonymous"=dword:00000001;Anonyme IPC-Verbindungen verbieten [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MrxSmb\Parameters] "RefuseReset"=dword:00000001;NetBIOS sollte keine ResetBrowser-Frames akzeptieren [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netbt\Parameters] "NoNameReleaseOnDemand"=dword:00000001
tcpip_tuning.reg:
Windows Registry Editor Version 5.00 ;keine negativen DNS-Antworten cachen [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters] "NegativeCacheTime"=dword:00000000 "NegativeSOACacheTime"=dword:00000000 "NetFailureCacheTime"=dword:00000000 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters] "ArpAlwaysSourceRoute"=-;Standard "ArpRetryCount"=dword:00000001;nur ein ARP-Request pro Try bei Gratuitous ARP "ArpUseEtherSNAP"=dword:00000000;Standard "DisableDHCPMediaSense"=dword:00000000 ;Standard "DisableReverseAddressRegistrations"=dword:00000001;Reverse DNS Auflösungen müssen nicht gecachet werden "DisableTaskOffload"=dword:00000000;Standard "EnableFastRouteLookup"=dword:00000001;schnelleres Route Lookup auf Kosten von Speicher "EnablePMTUBHDetect"=dword:00000001;Blackhole-Router erkennen "EnablePMTUDiscovery"=dword:00000001;Standard "FFPControlFlags"=dword:00000001;Standard "KeepAliveInterval"=dword:00001388;warte 5000 ms bis zur KeepAlive-Antwort "KeepAliveTime"=dword:0002bf20;schicke alle drei Minuten ein KeepAlive, wenn das die Anwendung verlangt "MaxFreeTWTcbs"=dword:00000004;schnelleres Recyclen von TCP Control Blocks "MaxUserPort"=dword:0000fffe;schalte alle TCP-Ports bis 65534 frei "PPTPTcpMaxDataRetransmissions"=dword:00000005;Standard "SackOpts"=dword:00000001;Standard "StrictTimeWaitSeqCheck"=dword:00000001;beachte den Wert von TcpTimedWaitDelay "Tcp1323Opts"=dword:00000003;Erweiterungen für High Performance TCP (RFC1323) "TcpMaxDupAcks"=dword:00000001; bessere Retransmission von Segmenten bei ACKs mit unerwartet kleinerer Sequence ID -> testen "TcpNumConnections"=dword:00fffffe;maximale Anzahl von gleichzeitigen Verbindungen "TcpTimedWaitDelay"=dword:0000001e;Verbindungen im State TIME_WAIT sind bereits nach 30 Sekunden geschlossen :-) "TcpUseRFC1122UrgentPointer"=dword:00000000;Standard
tcpip_hardening.reg:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters] ;gegen DoS von Winsock-Applikationen "DynamicBacklogGrowthDelta"=dword:00000010 "EnableDynamicBacklog"=dword:00000001 "MaximumDynamicBacklog"=dword:00020000 "MinimumDynamicBacklog"=dword:00000020 "DisableAddressSharing"=dword:00000001;Schutz gegen prozessübergreifende Sockets [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC] "NoDefaultExempt"=dword:00000003;filtere auch RSVP, Kerberos, Multicast, Broadcast [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPFilterDriver\Parameters] "DefaultForwardFragments"=dword:00000000;Weiterleiten von fragmentierten IP-Paketen verbieten "EnableFragmentChecking"=dword:00000001;Fragmentierte IP-Pakete verbieten [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces$Interface] "RawIPAllowedProtocols"=hex(7):31,00,00,00,36,00,00,00,31,00,37,00,00,00,35,0 0,\ 30,00,00,00,35,00,31,00,00,00,00,00;erlaube nur ganz bestimmte Protokolle "TypeOfInterface"=dword:00000002;kein Multicast, aber Unicast schon - sonst funktioniert PPPoE nicht mehr [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces$Interface\QoS] "EnablePriorityBoost"=dword:00000000 "EnableRSVP"=dword:00000000;keine QoS-Steuerung und kein RSVP [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters] "AllowUnqualifiedQuery"=dword:00000000;Standard "UseDomainNameDevolution"=dword:00000000;nö, wir wollen nur die originale DNS-Anfrage senden "AllowUserRawAccess"=dword:00000000;Standard "DefaultTTL"=dword:00000040; TTL von 64 für erschwertes Fingerprinting "DisableDynamicUpdate"=dword:00000000;DNS Dynamic Updates sollten nicht deaktiviert sein "DisableIPSourceRouting"=dword:00000002;kein Source-Routing "DisableReplaceAddressesInConflicts"=dword:00000001;sonst gibt's 'n DoS-Angriff per DNS "EnableAddrMaskReply"=dword:00000000;Standard "EnableBcastArpReply"=dword:00000001;reagiere bei ARP nur auf Unicast-Adressen "EnableDeadGWDetect"=dword:00000000;suche nicht nach toten Gateways, könnte ein DoS werden "EnableICMPRedirect"=dword:00000000;ICMP-Redirect deaktivieren "EnableICMPRedirects"=dword:00000000;ICMP-Redirect deaktivieren (alter Bug) "EnableMulticastForwarding"=dword:00000000;Standard "EnableSecurityFilters"=dword:00000001;erlaube TCP/IP-Filterung "ForwardBroadcasts"=dword:00000000;keine Broadcasts weiterleiten "IGMPLevel"=dword:00000000;keine Multicasts "IPEnableRouter"=dword:00000000;Standard "QueryIpMatching"=dword:00000001;wir nehmen nur die Antwort von dem DNS-Server den wir kontaktierten "SynAttackProtect"=dword:00000002;SYN-Flood-Trigger aktivieren -> ? MS sagt 1 "TcpMaxConnectResponseRetransmissions"=dword:00000002;Standard "TcpMaxConnectRetransmissions"=dword:00000002;Standard "TcpMaxDataRetransmissions"=dword:00000003;Anzahl der Neuversuche bis Verbindung verworfen wird "TcpMaxHalfOpen"=dword:00000064;Standard "TcpMaxHalfOpenRetried"=dword:00000050;Standard "TcpMaxPortsExhausted"=dword:00000000;sofort SYN-triggern wenn alle Ports aufgebraucht sind "TcpMaxSendFree"=dword:00002000;bessere Reaktionszeiten unter SYN-Flood "UpdateSecurityLevel"=dword:00000010;Secure DNS Updates braucht kein Mensch
wobei für $Interface jeweils die GUID des Interfaces eingesetzt werden muss.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#8
geschrieben 01. Dezember 2004 - 22:59
Zitat (Rika: 05.09.2004, 00:59)
#9 _BAstiL_
geschrieben 01. Dezember 2004 - 23:23
Zitat (-=TheSuicider=-: 01.12.2004, 22:59)
<{POST_SNAPBACK}>
regedit
Schlüssel suchen:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
{z.B. 545446bnbnb545454bvbv454} der Internetverbindung ersetzt alleB]$Interface[B-Einträge im Script
Mh, hab ich mich verständlixh gemacht?
Dieser Beitrag wurde von BAstiL bearbeitet: 01. Dezember 2004 - 23:24
#10
geschrieben 01. Dezember 2004 - 23:32
Also ich habe bei mir schonmal nachgesehen, aber da sind irgendwie drei GUID's angegeben obwohl nur eine Netzwerkkarte drin ist.
Ich habe auch schon iregendwo gelesen, dass man einfach die MAC-Adresse nehmen soll und die restlichen Stellen bis zur Zwanzigsten vor der MAC-Adresse mit Nullen auffüllen soll. Aber das haut auch irgendwie nicht hin.
Dieser Beitrag wurde von -=TheSuicider=- bearbeitet: 01. Dezember 2004 - 23:37
#11
geschrieben 01. Dezember 2004 - 23:37
Die jeweilige GUID zu einem Interface kannst du einfach nachschauen:
Bei HKLM\SYSTEM\CCS\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\ sind die GUID's aufgelistet, bei einer GUID dann den Schlüssel "Connection" öffnen, dort gibt es dann einen Wert "Name".
Dieser Beitrag wurde von puppet bearbeitet: 01. Dezember 2004 - 23:37
#12
geschrieben 01. Dezember 2004 - 23:39
Könnte man das eventuell auch automatisieren? Also irgendwie per Script auslesen?
Standardmäßig hat die Verbindung ja den Namen "LAN-Verbindung". Mit Hilfe dieses Namens und den Befehlen "reg query" und "reg extract" müsste das doch irgendwie zu realisieren sein
Dieser Beitrag wurde von -=TheSuicider=- bearbeitet: 01. Dezember 2004 - 23:56
#13
geschrieben 01. Dezember 2004 - 23:55
Das mit den 20 Nullen war bei RIS-GUID's. Und zwar nur wenn du von einer nicht PXE-Fähigen Netzwerkkarte bootest. Dann wird die GUID anhand deiner MAC Adresse + 20 Nullen erstellt.
#14
geschrieben 02. Dezember 2004 - 00:31
Zitat
Standardmäßig benennt man sie einfach um.
Und im Registry-Editor kann man die GUIDs den Namen dadurch zuordnen, daß man die IP-Konfiguration kennt.
Ein entsprechendes VBS-Script für die Enumeration und Zuweisung ist in Arbyte und wird u.U. auch in das ntsvcfg-Script eingepflegt.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#15
geschrieben 02. Dezember 2004 - 00:40
P.S. Hat Rika einen Bruder namens Rob?
http://www.chip.de/f...threadid=744427
Dieser Beitrag wurde von Major König bearbeitet: 02. Dezember 2004 - 00:40