Archiv der Kategorie: Allgemein

Härten des TCP/IP

DOS-Angriffe (DoS) sind Netzwerkangriffe, die Erstellen eines Computers oder eines bestimmten Dienstes auf einem Computer nicht verfügbar für Netzwerkbenutzer abzielt. DoS-Angriffe sind nicht immer leicht abzuwehren. Mit einer der beiden folgenden Methoden können Sie DoS-Angriffe erschweren oder verhindern:

  • Halten Sie den Computer mit aktuellen Sicherheitsupdates auf dem neuesten Stand. Sicherheitsupdates finden Sie auf der folgenden Microsoft-Website:

  • Absichern des TCP/IP-Protokollstapels auf Ihren Windows Server 2003-Computern. Die Standardkonfiguration für die TCP/IP-Stack ist optimiert, um standard Intranetdatenverkehr verarbeiten. Wenn Sie einen Computer direkt mit dem Internet verbinden, empfiehlt es sich, den TCP/IP-Stapel gegen DoS-Attacken sichern.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\Interfaces\interface

Wertname:SynAttackProtect
Schlüssel:Tcpip\Parameters
Werttyp:REG_DWORD
Gültiger Bereich: 0,1
Standard: 0

Die folgenden Parameter können mit diesem Registrierungswert verwendet werden:

  • 0(Standardwert): Nein SYN-Angriffsschutzes
  • 1: Festlegen vonSynAttackProtectUm1für einen besseren Schutz vor SYN-Angriffen. Dieser Parameter veranlasst TCP, die Neuübertragung von SYN-ACKs anzupassen. Wenn Sie festlegenSynAttackProtectUm1, Verbindung Antworten Timeout weitere schnell, wenn das System erkennt, dass ein SYN-Angriff ausgeführt wird. Windows verwendet die folgenden Werte, um festzustellen, ob ein Angriff durchgeführt wird:
    • TcpMaxPortsExhausted
    • TCPMaxHalfOpen
    • TCPMaxHalfOpenRetried

Hinweis:In Windows Server 2003 Service Pack 1 und höher ist der Standardwert für den Registrierungseintrag <a0>SynAttackProtect 1.

  • Hinweis:Der Registrierungsschlüssel TcpMaxPortsExhausted ist veraltet, in Windows XP SP2 und späteren Versionen von Windows-Betriebssystemen.
  • Wertname:EnableDeadGWDetect(Nur für Windows 2003 anwendbar)
    Schlüssel:Tcpip\Parameters
    Werttyp:REG_DWORD
    Gültiger Bereich: 0, 1 (False, True)
    Standard: 1 (True)

    Die folgende Liste erläutert die Parameter, die Sie mit diesem Registrierungswert verwenden können:

    • 1: Beim FestlegenEnableDeadGWDetectUm1TCP Dead Gateway Detection durchführen darf. Wenn die Identifizierung deaktivierter Gateways aktiviert ist und bei einer Reihe von Verbindungen Schwierigkeiten auftreten, kann TCP den IP-Wechsel (Internet Protokoll) zu einem Reservegateway veranlassen. Reservegateways werden im erweiterten Abschnitt definiert dieTCP/IP-Konfigurationim Dialogfeld „Netzwerk“ in der Systemsteuerung.
    • 0: Microsoft empfiehlt, setzen dieEnableDeadGWDetectWert0. Wenn Sie diesen Wert nicht auf 0 festlegen, kann ein Angriff erzwingen, den-Server, Gateways zu wechseln und diese dadurch zu einem unbeabsichtigten Gateway zu wechseln.
  • Wertname:EnablePMTUDiscovery
    Schlüssel:Tcpip\Parameters
    Werttyp:REG_DWORD
    Gültiger Bereich: 0, 1 (False, True)
    Standard: 1 (True)

    Die folgende Liste erläutert die Parameter, die Sie mit diesem Registrierungswert verwenden können:

    • 1: Beim FestlegenEnablePMTUDiscoveryUm1TCP versucht, die entweder die maximale Übertragungseinheit (MTU) oder die größte Paketgröße über den Pfad zu einem Remotehost zu erkennen. TCP can remove fragmentation at routers along the path that connect networks with different MTUs by discovering the path MTU and limiting TCP segments to this size. Fragmentation adversely affects TCP throughput.
    • 0: Microsoft recommends that you setEnablePMTUDiscoveryto0. When you do so, an MTU of 576 bytes is used for all connections that are not hosts on the local subnet. If you do not set this value to0, an attacker may force the MTU value to a very small value and overwork the stack.

      WichtigSettingEnablePMTUDiscoveryto0negatively affects TCP/IP performance and throughput. Even though Microsoft recommends this setting, it should not be used unless you are fully aware of this performance loss.

  • Value name:KeepAliveTime
    Key:Tcpip\Parameters
    Value Type:REG_DWORD-Time in milliseconds
    Valid Range: 1-0xFFFFFFFF
    Default: 7,200,000 (two hours)

    This value controls how frequently TCP tries to verify that an idle connection is still intact by sending a keep-alive packet. If the remote computer is still reachable, it acknowledges the keep-alive packet. Keep-alive packets are not sent by default. You can use a program to configure this value on a connection. The recommended value setting is300,000(5 minutes).

  • Value name:NoNameReleaseOnDemand
    Key:Netbt\Parameters
    Value Type:REG_DWORD
    Valid Range: 0, 1 (False, True)
    Default: 0 (False)

    This value determines whether the computer releases its NetBIOS name when it receives a name-release request. This value was added to permit the administrator to protect the computer against malicious name-release attacks. Microsoft recommends that you set theNoNameReleaseOnDemandvalue to1.

Quelle: https://support.microsoft.com/kb/324270/de, 09.02.2015 um 11:24 Uhr