---

Jeg har ADSL og en router som så mange andre. Nu vil jeg gerne have en
webserver op at køre, men hvor skal den være af sikkerhedsmæssige grunde.
Det letteste er jo at smide den på routeren, også indstille den til det, men
bør webserveren være mellem ADSL modemet og routeren for at der ikke komme
trafik ind på mit LAN ??

---

---

Lyder enkelt, men hvordan lukker jeg de andre porte på webserveren ?? Er det
nok bare at indstallere ZoneAlarm ??

Er det på den måde du forslår så ikke muligt at komme til de andre computere
på netværket via webserveren ?? De ligger jo i samme segment, og jeg har
ikke mulighed for at lave flere.

Thomas S. Iversen <thomassi@dina.kvl.dk> skrev i en
nyhedsmeddelelse:Pine.LNX.4.21.0203281531160.28201-100000@dirac.dina.kvl.dk.
...
> Jeg har ADSL og en router som så mange andre. Nu vil jeg gerne have en
> webserver op at køre, men hvor skal den være af sikkerhedsmæssige grunde.

Jeg ville stoppe den ind efter routeren, og så konfigurere routeren til
alt hvad der kommer på port 80 går til et bestemt ip#. Yderligere vil jeg
lukke for adgang til alle andre porte på webserveren.

Thomas, Vanløse

---

---

Tak, nu er jeg med, det var sådan set også den måde jeg ville lave det på,
der var bare en som sagde at det var en dårlig løsning, da en hacker så
kunne så kunne komme ind via webserveren.

Min router er en Dlink DI-704 og den har firewall, så det er jo godt nok.


Thomas S. Iversen <thomassi@dina.kvl.dk> skrev i en
nyhedsmeddelelse:Pine.LNX.4.21.0203281546540.11029-100000@dirac.dina.kvl.dk.
...
> Lyder enkelt, men hvordan lukker jeg de andre porte på webserveren ?? Er
det
> nok bare at indstallere ZoneAlarm ??

Det skulle din router gerne kunne klare. Jeg ville bygge det op som


--- xdsl forbindelse ---> router (med firewall indbygget) --> switch --

eller

--- xdsl forbindelse --> firewall (openbsd) --> switch

> Er det på den måde du forslår så ikke muligt at komme til de andre
computere
> på netværket via webserveren ?? De ligger jo i samme segment, og jeg har
> ikke mulighed for at lave flere.

Jo, men er din webserver da usikker? Hvis din webserver er sikker, så
sender den kun data som den bliver bedt om via http.

Lad os antage du kommer webserveren ind før din router (som sikker har
indbygget firewall funktion). Så er den fuldstændigblottet for omverdenen,
hvilket gør den til en sikkerhedsrisiko.

Thomas, Vanløse

---

Thomas S. Iversen wrote:

> Jeg ville stoppe den ind efter routeren, og så konfigurere routeren til
> alt hvad der kommer på port 80 går til et bestemt ip#. Yderligere vil jeg
> lukke for adgang til alle andre porte på webserveren.

Dvs. nå angriberen lykkes med at få adgang til webserveren har han/hun
også adgang til lokal nettet.

Hmmm, det er ved ikke så nemt.

Jeg plejer at smide en linux eller en OpenBSD eller FreeBSD boks op med
3 interface:

1. ISP-if

2. WEB-if

3. LAN-if

Med følgende regelsæt i grove træk:

ISP -> WEB; port 80 og måske 443, og et subsæt af ICMP

ISP -> LAN; et subsæt af ICMP

LAN -> ISP; alt det der nu skal tillades.

LAN -> WEB; port 80 og måske 443, plus managment af webserveren.

WEB -> ISP; dns forspørgelser, og et subsæt af ICMP, ellers intet.

WEB -> LAN; intet.



Hvis man ikke har en router med 3 interfaces, ville jeg nok anbefalde at
smide webserveren på ydersiden hvis du har følsomme ting på din
inderside, ellers ville jeg smide det på indersiden, hvis du i routeren
du kan forhindre webserveren i at få adgang til Internet.

---

---

Thomas S. Iversen wrote:

>>Dvs. nå angriberen lykkes med at få adgang til webserveren har han/hun
>>også adgang til lokal nettet.
> Hvorfor skulle han/hun få adgang til webserveren. Du kører vel ikke andet
> end end httpd server på webserveren?


Fordi det er en service der øger riskoen.


> Det er et tradeoff. Jeg er mest tryg ved at have min webserver på


Dette tradeoff, kan fjernes ved at tænke sig om inden man implementere
løsningen. Specielt i betragtning af hvad netværkskort koster nu om dage.

> indersiden af vores openbsd box og så køre tripwire på den. Hvis jeg
> stiller den udenfor firewallen, hvordan skal jeg så opdatere data på den
> uden at risikere at blotte mig selv hvis den er blevet kompromiteret?

Denne problemstilling fjernes da ikke ved at stille den på indersiden.

Du kan læse problemstillingen ved at NAT til et andet adresserum, når du
tilgår webserveren, end det adresserum du bruger når du sender trafik
til Internet.

---

> Jeg plejer at smide en linux eller en OpenBSD eller FreeBSD boks op med
> 3 interface:

Jeg kender ikke noget til linux, de bokse du snakker om, er det noget
hardwaere man køber ?? (som f.eks en router ???)

---

Andre wrote:

>>Jeg plejer at smide en linux eller en OpenBSD eller FreeBSD boks op med
>>3 interface:

> Jeg kender ikke noget til linux, de bokse du snakker om, er det noget
> hardwaere man køber ?? (som f.eks en router ???)


Nix der en gammel 486 man har tilovers, fx har jeg 6 gamle 486 stående,
den ene står på loftet og har indtil videre været udsat for alt mellem
-10 grader til 30 grader, uden problemmer.

Hvis du gerne vil købe en boks, kan jeg da anbefalde gnatbox, se
<URL:http://www.gnatbox.com/Pages/RoBoX.html>, den har 3 interfaces

Du kan downloade en floppy demo, og se dens administrationsflade, som er
ret omfattende, der en windows GUI og en web GUI til netværks admin,
windows GUI kan endvidere bruges til at bygge en bootdisk med. Endvidere
er der på selve maskinen også en konsol GUI.

Du skal dog være opmærksom på en ting, og det er licenser, det link jeg
har vist er til 25 brugere.