Kandu.dk - Sikkerhed ved at åbne for port 80


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Sikkerhed ved at åbne for port 80
Fra : Jacob Krabbe Søe

Dato : 17-06-04 21:01

Hejsa

Nu vil jeg lige høre nogle eksperter om en emne jeg er noget usikker på.

Hvis jeg har nogle servere på mit netværk som skal kunne nås udefra (f.eks.
webservere, terminal osv), hvor farligt er det så blot at åbne for f.eks.
port 80 ind mod webserveren eller 3389 mod TS?

Jeg hører fra mange at "det gør man bare ikke!" og at disse servere skal
flyttes til en DMZ. Samtidig har jeg så også hørt at det er
sikkerhedsmæssigt forsvarligt, sålænge Firewall´en blot kører statefull
inspection og denial of service (som selv mindre fw som Zywall og Sonicwall
vel gør!?)

Hvad er rigtigt? Er det "overkill" at opsætte en DMZ eller er det andet for
usikkert?

mvh.
Jacob

Lars Hansen (17-06-2004)

Kommentar
Fra : Lars Hansen

Dato : 17-06-04 21:52

"Jacob Krabbe Søe" <jacob@krabbe-soe.dk> skrev i en meddelelse
news:40d1f896$0$316$edfadb0f@dread16.news.tele.dk...
> Hejsa
>
> Nu vil jeg lige høre nogle eksperter om en emne jeg er noget usikker på.

Jeg er ikke ekspert, men jeg prøver alligevel.

> Hvis jeg har nogle servere på mit netværk som skal kunne nås udefra
(f.eks.
> webservere, terminal osv), hvor farligt er det så blot at åbne for f.eks.
> port 80 ind mod webserveren eller 3389 mod TS?

Ualmindeligt svært at sige. Men det afhænger fuldstændigt af hvad det er for
nogle produkter der anvendes, hvor sikkert de er konfigureret, om der er
implementeret procedurer for opdatering/patchning, om administratorer omgåes
systemet fornuftigt. Derudover kan der også være sikkerhedsbrister i
hjemmeudviklede eller købte applikationer der kører på eks. en webserver.

I den forbindelse er det ret chokerende at se hvor meget af den sample ASP
kode der ligger til fri tilgængelig ude på nettet, der egentlig er
fuldstændigt blottet for beskyttelse mod SQL injections. Men det er jo
egentlig en hel anden diskussion.

> Jeg hører fra mange at "det gør man bare ikke!" og at disse servere skal
> flyttes til en DMZ.

> Samtidig har jeg så også hørt at det er
> sikkerhedsmæssigt forsvarligt, sålænge Firewall´en blot kører statefull
> inspection og denial of service (som selv mindre fw som Zywall og
Sonicwall
> vel gør!?)

Du skal være klar over, at de nævnte teknikker ikke beskytter dig mod angreb
på applikationer (såsom en webserver og de applikationer der måtte køre på
denne). En firewall er et fantastisk værktøj til håndhæve trafikregler ind
og ud af lokalnettet. Altså som et element til at overholde
sikkerhedspolitikken. Men den kan ikke gætte om en bruger nu er i gang med
et ondsindet angreb på en server.

> Hvad er rigtigt? Er det "overkill" at opsætte en DMZ eller er det andet
for
> usikkert?

Med en DMZ (korrekt konfigureret) kan du sørge for, at dine hackede servere
ikke kan bruges som springbræt til andre maskiner på det private netværk.
Men igen, det beskytter på ingen måde de maskiner der udbyder services via
internettet.

Jeg synes ikke blot problemstillingen er om der skal opsættes en DMZ.
Istedet synes jeg at der burde laves en grundigere analyse af risici. Der er
så mange andre faktorer at tage stilling til.

Lars

Uffe S. Callesen (18-06-2004)

Kommentar
Fra : Uffe S. Callesen

Dato : 18-06-04 08:50

Hvis løsningen skal laves på det hardware du har idag (dvs. ingen DMZ
mulighed antager jeg) så skal du blot sørge for at begrændse trafikken
der når hhv. din web og TS server mest muligt.

Trafiken til TS serveren vil du typisk have mulighed for at begrændse
til kun at tillade trafik fra de ønskede brugeres IP adresser.

Web serveren er lidt mere besværlig da du typisk vil have den offentligt
tilgængeligt - en grunding hardening af den er nok en rigtig god idé.

Iøvrigt har du vist misfortået begrebet Denial of Service (DOS)- det er
ikke noget du (din firewall) udsætter angribere for men istedet noget de
forsøger at udsætte dig for.. De fleste nyere firewalls har 'mekanismer'
der kan forhindre mange typisk DOS angreb - dog vil din firewall ikke
beskytte mod et DOS angreb rettet mod én af de åbne porte !

mvh.

Uffe

Jacob Krabbe Søe wrote:
> Hejsa
>
> Nu vil jeg lige høre nogle eksperter om en emne jeg er noget usikker på.
>
> Hvis jeg har nogle servere på mit netværk som skal kunne nås udefra (f.eks.
> webservere, terminal osv), hvor farligt er det så blot at åbne for f.eks.
> port 80 ind mod webserveren eller 3389 mod TS?
>
> Jeg hører fra mange at "det gør man bare ikke!" og at disse servere skal
> flyttes til en DMZ. Samtidig har jeg så også hørt at det er
> sikkerhedsmæssigt forsvarligt, sålænge Firewall´en blot kører statefull
> inspection og denial of service (som selv mindre fw som Zywall og Sonicwall
> vel gør!?)
>
> Hvad er rigtigt? Er det "overkill" at opsætte en DMZ eller er det andet for
> usikkert?
>
> mvh.
> Jacob
>
>

Christian E. Lysel (18-06-2004)

Kommentar
Fra : Christian E. Lysel

Dato : 18-06-04 22:48

In article <40d1f896$0$316$edfadb0f@dread16.news.tele.dk>, Jacob Krabbe Søe wrote:
> Hvis jeg har nogle servere på mit netværk som skal kunne nås udefra (f.eks.
> webservere, terminal osv), hvor farligt er det så blot at åbne for f.eks.
> port 80 ind mod webserveren eller 3389 mod TS?

Jeg havde en konsulent i vores Windows afdeling der mente hans hjemmeserver
var sikret nok, hvis han kørte med MS ISA, og sørgede for at
bruge antivirus og opdatere sin software.

Han havde HTTP og TS åbent, efter 5 min havde jeg fået administrator adgang
til hans maskine, og placede en bagdør.

Hullet jeg udnyttede var et af .asp scriptene i webserveren,
der indeholdt en ODBC forbindelse definition som benyttede administrator kontoen.
Derefter var det en smal sag at logge ind som administrator via TS.

Sjovere var det da han skiftede passwordet og slettede asp scriptet.
Jeg havde jo stadigvæk adgang via bagdøren.

> Jeg hører fra mange at "det gør man bare ikke!" og at disse servere skal
> flyttes til en DMZ.

Enig. Webservere er en af de mest udsatte server applikationer, hvis du
kikker historisk på det. Dog kommer du langt med hardning, og evt. ved
at vælge en fornuftig implementation, hvor der ikke er lagt vægt på
for mange overflødige egenskaber, men hvor sikkerheden er i focus.

> Samtidig har jeg så også hørt at det er
> sikkerhedsmæssigt forsvarligt, sålænge Firewall´en blot kører statefull
> inspection og denial of service (som selv mindre fw som Zywall og Sonicwall
> vel gør!?)

Hvis der med forsvarligt, menes at ovennævnte teknologi eller producenter
kan beskytte en sårbar server, ville jeg ikke hører efter.

> Hvad er rigtigt? Er det "overkill" at opsætte en DMZ eller er det andet for
> usikkert?

Det kræver ikke meget at opstille en DMZ.

Du kan evt. stille din webserver på internet, og placere dine interne
brugere bag en NAT firewall og lade denne få adgang til Internet igennem
webserveren (du kan også skaffe 2 IP adresser, en til webserveren og en
til NAT firewall).

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Søg

Reklame

Statistik

Spørgsmål :	177558
Tips :	31968
Nyheder :	719565
Indlæg :	6408925
Brugere :	218888

Månedens bedste

Årets bedste

Sidste års bedste