In article <40d1f896$0$316$edfadb0f@dread16.news.tele.dk>, Jacob Krabbe Søe wrote:
> Hvis jeg har nogle servere på mit netværk som skal kunne nås udefra (f.eks.
> webservere, terminal osv), hvor farligt er det så blot at åbne for f.eks.
> port 80 ind mod webserveren eller 3389 mod TS?
Jeg havde en konsulent i vores Windows afdeling der mente hans hjemmeserver
var sikret nok, hvis han kørte med MS ISA, og sørgede for at
bruge antivirus og opdatere sin software.
Han havde HTTP og TS åbent, efter 5 min havde jeg fået administrator adgang
til hans maskine, og placede en bagdør.
Hullet jeg udnyttede var et af .asp scriptene i webserveren,
der indeholdt en ODBC forbindelse definition som benyttede administrator kontoen.
Derefter var det en smal sag at logge ind som administrator via TS.
Sjovere var det da han skiftede passwordet og slettede asp scriptet.
Jeg havde jo stadigvæk adgang via bagdøren.
> Jeg hører fra mange at "det gør man bare ikke!" og at disse servere skal
> flyttes til en DMZ.
Enig. Webservere er en af de mest udsatte server applikationer, hvis du
kikker historisk på det. Dog kommer du langt med hardning, og evt. ved
at vælge en fornuftig implementation, hvor der ikke er lagt vægt på
for mange overflødige egenskaber, men hvor sikkerheden er i focus.
> Samtidig har jeg så også hørt at det er
> sikkerhedsmæssigt forsvarligt, sålænge Firewall´en blot kører statefull
> inspection og denial of service (som selv mindre fw som Zywall og Sonicwall
> vel gør!?)
Hvis der med forsvarligt, menes at ovennævnte teknologi eller producenter
kan beskytte en sårbar server, ville jeg ikke hører efter.
> Hvad er rigtigt? Er det "overkill" at opsætte en DMZ eller er det andet for
> usikkert?
Det kræver ikke meget at opstille en DMZ.
Du kan evt. stille din webserver på internet, og placere dine interne
brugere bag en NAT firewall og lade denne få adgang til Internet igennem
webserveren (du kan også skaffe 2 IP adresser, en til webserveren og en
til NAT firewall).
--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/