[Elric]

hi leutz.

ein paar TCPIP parameter sollen gegen Denial of Service Attacks sichern (minim. performance verluste)...


EnableDeadGWDetect = "0" (default = 1)
Disables dead-gateway detection as an attack could force the server to switch gateways.

EnableICMPRedirect = "0" (default = 1)
Stops Windows from altering its route table in response to ICMP redirect messages. Some documentation has this listed as "EnableICMPRedirects" but according to Microsoft it should be "EnableICMPRedirect" no "s".

EnablePMTUDiscovery = "0" (default = 1)
Disables maximum transmission unit (MTU) discovery as an attacker could force the MTU value to a very small value and overwork the stack.

KeepAliveTime = "300,000" (default = 7,200,000)
Reduces how often TCP attempts to verify that an idle connection is still intact by sending a keep-alive packet.

NoNameReleaseOnDemand = "1" (default = 0)
Protects the computer against malicious NetBIOS name-release attacks.

PerformRouterDiscovery = "0" (default = 1)
Disables ICMP Router Discovery Protocol (IRDP) where an an attacker may remotely add default route entries on a remote system.

SynAttackProtect = "2" (default = 0)
Automatically adds additional delays to connection indications, and TCP connection requests quickly timeout when a SYN attack is in progress.


ne frage an die experten von uns. stimmt das so?

[hans_maulwurf]

Würd mich auch mal interresieren und wie sieht das bei Linux aus? DoS ist ja überall ein Thema, oder? Ich hab das hier gefunden, ist das noch aktuell? Es ist ja die Rede von Kernel 2.2

Dieser Beitrag wurde von hans_maulwurf bearbeitet: 31. August 2004 - 19:10

[Rika]

Zitat

EnablePMTUDiscovery = "0" (default = 1)
Disables maximum transmission unit (MTU) discovery as an attacker could force the MTU value to a very small value and overwork the stack.

Sorry, aber das ist Unsinn. Für sowas braucht man schon einen Man-in-the-middle oder einen Gegenüber, dem man vertraut und der einen trotzdem nicht so recht mag. Überarbeiten kann man den Stack auch nicht, selbst auf 'nem 1,4 GHz-Rechner schafft man damit maximal 40% CPU-Auslastung.

Die geringe Gefahr, die von diesem Angriff ausgeht, steht in keiner vernünftigen Relation zu dem enormen Effizienzgewinn von PMTUD. Sprich: Lass es gefälligst an.

Zitat

KeepAliveTime = "300,000" (default = 7,200,000)
Reduces how often TCP attempts to verify that an idle connection is still intact by sending a keep-alive packet.

Auch quatsch - es erhöht die Häufigkeit der Abfragen. Und ich habe es sogar auf 0x0002bf20 = 180000 = alle 3 Minuten heruntergesetzt. Mit Hardening hat das übrigens nix zu tun, sondern dient eher der Stabilität von Intranet-Verbindungen.

Zitat

NoNameReleaseOnDemand = "1" (default = 0)
Protects the computer against malicious NetBIOS name-release attacks.

Nett, aber unsinnig. NetBIOS ist sowieso anfällig, egal was man macht.

Zitat

PerformRouterDiscovery = "0" (default = 1)
Disables ICMP Router Discovery Protocol (IRDP) where an an attacker may remotely add default route entries on a remote system.

Falsch, ist per Default auf 0 und muss daher nicht hinzugefügt werden.

Zitat

SynAttackProtect = "2" (default = 0)
Automatically adds additional delays to connection indications, and TCP connection requests quickly timeout when a SYN attack is in progress.

Ist bei WinXP standardmäßig auf 1. Und mit den Standardparametern ist es auch nicht das Wahre.

@hans_maulwurf:
Bei Linux ist das etwas komplizierter, da sowas teilweise in Kernel-Patches ausgegliedert wurde. IdR reicht es wenn du die SYN-Cookies einkompilierst und die ARP-Tabelle einfrierst.

[Elric]

Zitat (moep: 31.08.2004, 22:38)

Dürfte man fragen wo man das einstellt schließlich scheinen ja die ersten zwei Einträge ok zu sein oder ist das ein programm in dem man das einstellt

selbstverständlich darfst du fragen! (danke noch mal für den ProzessExplorer )

start>ausführen>regedit

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

dort die parameter einfügen/ändern


leichter gehts mit der angehängten regdatei (ändert EnableDeadGWDetect auf 0 und EnableICMPRedirect auf 0)

Angehängte Datei(en)

•  regdateiDoS.reg (380bytes)
  Anzahl der Downloads: 8

[Rika]

OK, dann hier mal meine Vorschläge:

hardening_netbt.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP]
"ForceEnryptedPassword"=dword:00000002;nur authentifizierte PPP Clients zulassen
"SecureVPN"=dword:00000001;nur noch MS CHAP v2.0 für VPN Verbindungen zulassen

;Administrative Shares deaktivieren
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA]
"RestrictAnonymous"=dword:00000001;Anonyme IPC-Verbindungen verbieten

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MrxSmb\Parameters]
"RefuseReset"=dword:00000001;NetBIOS sollte keine ResetBrowser-Frames akzeptieren

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netbt\Parameters]
"NoNameReleaseOnDemand"=dword:00000001

tcpip_tuning.reg:

Windows Registry Editor Version 5.00

;keine negativen DNS-Antworten cachen
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters]
"NegativeCacheTime"=dword:00000000
"NegativeSOACacheTime"=dword:00000000
"NetFailureCacheTime"=dword:00000000

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]
"ArpAlwaysSourceRoute"=-;Standard
"ArpRetryCount"=dword:00000001;nur ein ARP-Request pro Try bei Gratuitous ARP
"ArpUseEtherSNAP"=dword:00000000;Standard
"DisableDHCPMediaSense"=dword:00000000 ;Standard
"DisableReverseAddressRegistrations"=dword:00000001;Reverse DNS Auflösungen müssen nicht gecachet werden
"DisableTaskOffload"=dword:00000000;Standard
"EnableFastRouteLookup"=dword:00000001;schnelleres Route Lookup auf Kosten von Speicher
"EnablePMTUBHDetect"=dword:00000001;Blackhole-Router erkennen
"EnablePMTUDiscovery"=dword:00000001;Standard
"FFPControlFlags"=dword:00000001;Standard
"KeepAliveInterval"=dword:00001388;warte 5000 ms bis zur KeepAlive-Antwort
"KeepAliveTime"=dword:0002bf20;schicke alle drei Minuten ein KeepAlive, wenn das die Anwendung verlangt
"MaxFreeTWTcbs"=dword:00000004;schnelleres Recyclen von TCP Control Blocks
"MaxUserPort"=dword:0000fffe;schalte alle TCP-Ports bis 65534 frei
"PPTPTcpMaxDataRetransmissions"=dword:00000005;Standard
"SackOpts"=dword:00000001;Standard
"StrictTimeWaitSeqCheck"=dword:00000001;beachte den Wert von TcpTimedWaitDelay
"Tcp1323Opts"=dword:00000003;Erweiterungen für High Performance TCP (RFC1323)
"TcpMaxDupAcks"=dword:00000001; bessere Retransmission von Segmenten bei ACKs mit unerwartet kleinerer Sequence ID -> testen
"TcpNumConnections"=dword:00fffffe;maximale Anzahl von gleichzeitigen Verbindungen
"TcpTimedWaitDelay"=dword:0000001e;Verbindungen im State TIME_WAIT sind bereits nach 30 Sekunden geschlossen :-)
"TcpUseRFC1122UrgentPointer"=dword:00000000;Standard

tcpip_hardening.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]
;gegen DoS von Winsock-Applikationen
"DynamicBacklogGrowthDelta"=dword:00000010
"EnableDynamicBacklog"=dword:00000001
"MaximumDynamicBacklog"=dword:00020000
"MinimumDynamicBacklog"=dword:00000020
"DisableAddressSharing"=dword:00000001;Schutz gegen prozessübergreifende Sockets

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC]
"NoDefaultExempt"=dword:00000003;filtere auch RSVP, Kerberos, Multicast, Broadcast

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPFilterDriver\Parameters]
"DefaultForwardFragments"=dword:00000000;Weiterleiten von fragmentierten IP-Paketen verbieten
"EnableFragmentChecking"=dword:00000001;Fragmentierte IP-Pakete verbieten

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces$Interface]
"RawIPAllowedProtocols"=hex(7):31,00,00,00,36,00,00,00,31,00,37,00,00,00,35,0
0,\
  30,00,00,00,35,00,31,00,00,00,00,00;erlaube nur ganz bestimmte Protokolle
"TypeOfInterface"=dword:00000002;kein Multicast, aber Unicast schon - sonst funktioniert PPPoE nicht mehr

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces$Interface\QoS]
"EnablePriorityBoost"=dword:00000000
"EnableRSVP"=dword:00000000;keine QoS-Steuerung und kein RSVP

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]
"AllowUnqualifiedQuery"=dword:00000000;Standard
"UseDomainNameDevolution"=dword:00000000;nö, wir wollen nur die originale DNS-Anfrage senden
"AllowUserRawAccess"=dword:00000000;Standard
"DefaultTTL"=dword:00000040; TTL von 64 für erschwertes Fingerprinting
"DisableDynamicUpdate"=dword:00000000;DNS Dynamic Updates sollten nicht deaktiviert sein
"DisableIPSourceRouting"=dword:00000002;kein Source-Routing
"DisableReplaceAddressesInConflicts"=dword:00000001;sonst gibt's 'n DoS-Angriff per DNS
"EnableAddrMaskReply"=dword:00000000;Standard
"EnableBcastArpReply"=dword:00000001;reagiere bei ARP nur auf Unicast-Adressen
"EnableDeadGWDetect"=dword:00000000;suche nicht nach toten Gateways, könnte ein DoS werden
"EnableICMPRedirect"=dword:00000000;ICMP-Redirect deaktivieren
"EnableICMPRedirects"=dword:00000000;ICMP-Redirect deaktivieren (alter Bug)
"EnableMulticastForwarding"=dword:00000000;Standard
"EnableSecurityFilters"=dword:00000001;erlaube TCP/IP-Filterung
"ForwardBroadcasts"=dword:00000000;keine Broadcasts weiterleiten
"IGMPLevel"=dword:00000000;keine Multicasts
"IPEnableRouter"=dword:00000000;Standard
"QueryIpMatching"=dword:00000001;wir nehmen nur die Antwort von dem DNS-Server den wir kontaktierten
"SynAttackProtect"=dword:00000002;SYN-Flood-Trigger aktivieren -> ? MS sagt 1
"TcpMaxConnectResponseRetransmissions"=dword:00000002;Standard
"TcpMaxConnectRetransmissions"=dword:00000002;Standard
"TcpMaxDataRetransmissions"=dword:00000003;Anzahl der Neuversuche bis Verbindung verworfen wird
"TcpMaxHalfOpen"=dword:00000064;Standard
"TcpMaxHalfOpenRetried"=dword:00000050;Standard
"TcpMaxPortsExhausted"=dword:00000000;sofort SYN-triggern wenn alle Ports aufgebraucht sind
"TcpMaxSendFree"=dword:00002000;bessere Reaktionszeiten unter SYN-Flood
"UpdateSecurityLevel"=dword:00000010;Secure DNS Updates braucht kein Mensch

wobei für $Interface jeweils die GUID des Interfaces eingesetzt werden muss.

[sкavєи]

Zitat (Rika: 05.09.2004, 00:59)

[...] wobei für $Interface jeweils die GUID des Interfaces eingesetzt werden muss. <{POST_SNAPBACK}>

Und wie bekomme ich die raus?

[sкavєи]

Öhm, nö, irgendwie hast du dich nicht verständlich gemacht!
Also ich habe bei mir schonmal nachgesehen, aber da sind irgendwie drei GUID's angegeben obwohl nur eine Netzwerkkarte drin ist.
Ich habe auch schon iregendwo gelesen, dass man einfach die MAC-Adresse nehmen soll und die restlichen Stellen bis zur Zwanzigsten vor der MAC-Adresse mit Nullen auffüllen soll. Aber das haut auch irgendwie nicht hin.

Dieser Beitrag wurde von -=TheSuicider=- bearbeitet: 01. Dezember 2004 - 23:37

[puppet]

Wenn ich mich nicht irre ist die GUID bei jeder Installation und bei jedem Netzwerkadapter anders.
Die jeweilige GUID zu einem Interface kannst du einfach nachschauen:
Bei HKLM\SYSTEM\CCS\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\ sind die GUID's aufgelistet, bei einer GUID dann den Schlüssel "Connection" öffnen, dort gibt es dann einen Wert "Name".

Dieser Beitrag wurde von puppet bearbeitet: 01. Dezember 2004 - 23:37

[sкavєи]

Hm, das klingt schon besser.
Könnte man das eventuell auch automatisieren? Also irgendwie per Script auslesen?

Standardmäßig hat die Verbindung ja den Namen "LAN-Verbindung". Mit Hilfe dieses Namens und den Befehlen "reg query" und "reg extract" müsste das doch irgendwie zu realisieren sein

Dieser Beitrag wurde von -=TheSuicider=- bearbeitet: 01. Dezember 2004 - 23:56

[puppet]

Klick mich weg

Das mit den 20 Nullen war bei RIS-GUID's. Und zwar nur wenn du von einer nicht PXE-Fähigen Netzwerkkarte bootest. Dann wird die GUID anhand deiner MAC Adresse + 20 Nullen erstellt.

[Rika]

Zitat

Standardmäßig hat die Verbindung ja den Namen "LAN-Verbindung". Mit Hilfe dieses Namens und den Befehlen "reg query" und "reg extract" müsste das doch irgendwie zu realisieren sein

Standardmäßig benennt man sie einfach um.
Und im Registry-Editor kann man die GUIDs den Namen dadurch zuordnen, daß man die IP-Konfiguration kennt.

Ein entsprechendes VBS-Script für die Enumeration und Zuweisung ist in Arbyte und wird u.U. auch in das ntsvcfg-Script eingepflegt.

[Major König]

Öhm, würde ja auch gerne was machen aber blicke bei den Posts von Rika net durch soll ich den Code von ihm als Reg ausführen oder wie?




P.S. Hat Rika einen Bruder namens Rob?

http://www.chip.de/f...threadid=744427

Dieser Beitrag wurde von Major König bearbeitet: 02. Dezember 2004 - 00:40