Wie Windows Server richtig absichern von Censys.io oder Shodan.io

Meine Projektseite wird ständig angegriffen konnte durch Zufall rausfinden woran das lag, die hatten meine IP bei Shodan.io gefunden. Benutze aus mehreren Gründen leider Windows Server, was kann ich dagegen tuhen das meine IP nicht mehr geleakt wird?

Allgemein kann ich dir sagen, dass es verschiedene Ansätze gibt, um dieses zu verhindern!

  1. Bei einem Windows-Server würde ich mir Hyper-V installieren. Darauf zwei VMs einrichten -erste VM als Server für die Seite konfigurieren, zweite VM als Router einrichten und das Routing so einstellen, dass über die Schnittstelle des Hosts zwar die Internetverbindung läuft, der Server mit der Webseite aber seine virtuelle IP nutzt, um sie im Netz zu verwenden (Stichwort NAT)

  2. Ohne die Hyper-V Geschichte, einen Proxy / Reverse-Proxy davor schalten, mit eigener IP die für das Internet genutzt wird stellvertretend.

  3. Wenn du für die Projektseite eine TLD, TTLD, ccTLD o.ä. besitzt, kannst du diese Domain auch einfach hinter Cloudflare verstecken - somit wird es für die Crawler sehr schwierig, die echte IP zu entdecken!

  4. etc. pp.

Censys.io oder Shodan.io und noch div. andere Datenkraken „scannen“ grundsätzlich alle IPv4/IPv6 Subnetze „weltweit“ ab :sunglasses: So oder so, wir die IP deines Windows Server immer in deren Datenbank als „aktiv“ erfasst werden !!! Selbst wenn Du die IP deren Scanner blockierst/filterst, bekommst Du in deren Datenbank das Flag (könnte aktiv aber gefiltert sein^^) :sunglasses:

Man muss nur auf div. TCP / UDP Ports Anfragen starten / generieren um zu erkennen, ob da evtl. ein „aktiver“ Server/Service im Internet connected ist :rofl:

Noch Fragen offen geblieben ???

Das passiert aber grundsätzlich nur dann, wenn der Host auf die Anfrage sein Banner als Antwort zum Crawler schickt. Shodan / Censys wertet nur den Antwort-Banner aus, um entsprechende Dienste zu identifizieren. Die beiden Suchmaschinen machen in dem Sinne keinen aktiven Portscan bei jeder IP. Über das Banner werden dem Crawler auch sämtliche Web-APIs mitgeteilt. Diese Schnittstellen und deren Konfiguration werden genutzt, um einen Host als sicher / unsicher zu bewerten!

https://www.researchgate.net/publication/344557618_Exemplarische_API-Schwachstellen_bei_IoT-Geraten_auf_Grundlage_von_OWASP_API_Security_TOP_10

Ein Blockieren der Crawler über deren IP funktioniert zwar, ist aber nur solange von Erfolg gekrönt, bis diese ihre IP wieder ändern.
Ein gefaktes Banner bzw. gar keine Banner-Übermittlung würde zwar helfen im Bezug auf Shodan / Censys, würde aber parallel jede gewollte Anfrage an den Host erschweren bzw. unmöglich machen! Deshalb auch mein Vorschlag mit dem Proxy oder einer anderen stellvertretenden Maßnahme (VPN wäre auch eine Möglichkeit). Diese machen zwar das Crawling nicht unmöglich, erschweren aber dem Crawler die eigentliche Zuordnung…

Ach die IP Datenbanken kann man knicken, vor 6 Monaten bei Leaseweb nen Server geholt und nach 4 Monaten kamen plötzlich DCMA-Meldungen on mass, weil die IP 2018 mal irgendein OCH zugeordnet war…

Aber da merkste echt das die nichts prüfen bei den DCMA-Firmen, alle Files waren btw. down und die Doamis fs61.irgendnenkackhost.eu hat überhaupt nichtmehr auf meine IP gepointet. War aber bei urlscan.io oder so in der Datenbank.