/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Sikkerhed ved at åbne for port 80
Fra : Jacob Krabbe Søe


Dato : 17-06-04 21:01

Hejsa

Nu vil jeg lige høre nogle eksperter om en emne jeg er noget usikker på.

Hvis jeg har nogle servere på mit netværk som skal kunne nås udefra (f.eks.
webservere, terminal osv), hvor farligt er det så blot at åbne for f.eks.
port 80 ind mod webserveren eller 3389 mod TS?

Jeg hører fra mange at "det gør man bare ikke!" og at disse servere skal
flyttes til en DMZ. Samtidig har jeg så også hørt at det er
sikkerhedsmæssigt forsvarligt, sålænge Firewall´en blot kører statefull
inspection og denial of service (som selv mindre fw som Zywall og Sonicwall
vel gør!?)

Hvad er rigtigt? Er det "overkill" at opsætte en DMZ eller er det andet for
usikkert?

mvh.
Jacob



 
 
Lars Hansen (17-06-2004)
Kommentar
Fra : Lars Hansen


Dato : 17-06-04 21:52


"Jacob Krabbe Søe" <jacob@krabbe-soe.dk> skrev i en meddelelse
news:40d1f896$0$316$edfadb0f@dread16.news.tele.dk...
> Hejsa
>
> Nu vil jeg lige høre nogle eksperter om en emne jeg er noget usikker på.

Jeg er ikke ekspert, men jeg prøver alligevel.

> Hvis jeg har nogle servere på mit netværk som skal kunne nås udefra
(f.eks.
> webservere, terminal osv), hvor farligt er det så blot at åbne for f.eks.
> port 80 ind mod webserveren eller 3389 mod TS?

Ualmindeligt svært at sige. Men det afhænger fuldstændigt af hvad det er for
nogle produkter der anvendes, hvor sikkert de er konfigureret, om der er
implementeret procedurer for opdatering/patchning, om administratorer omgåes
systemet fornuftigt. Derudover kan der også være sikkerhedsbrister i
hjemmeudviklede eller købte applikationer der kører på eks. en webserver.

I den forbindelse er det ret chokerende at se hvor meget af den sample ASP
kode der ligger til fri tilgængelig ude på nettet, der egentlig er
fuldstændigt blottet for beskyttelse mod SQL injections. Men det er jo
egentlig en hel anden diskussion.

> Jeg hører fra mange at "det gør man bare ikke!" og at disse servere skal
> flyttes til en DMZ.

> Samtidig har jeg så også hørt at det er
> sikkerhedsmæssigt forsvarligt, sålænge Firewall´en blot kører statefull
> inspection og denial of service (som selv mindre fw som Zywall og
Sonicwall
> vel gør!?)

Du skal være klar over, at de nævnte teknikker ikke beskytter dig mod angreb
på applikationer (såsom en webserver og de applikationer der måtte køre på
denne). En firewall er et fantastisk værktøj til håndhæve trafikregler ind
og ud af lokalnettet. Altså som et element til at overholde
sikkerhedspolitikken. Men den kan ikke gætte om en bruger nu er i gang med
et ondsindet angreb på en server.

> Hvad er rigtigt? Er det "overkill" at opsætte en DMZ eller er det andet
for
> usikkert?

Med en DMZ (korrekt konfigureret) kan du sørge for, at dine hackede servere
ikke kan bruges som springbræt til andre maskiner på det private netværk.
Men igen, det beskytter på ingen måde de maskiner der udbyder services via
internettet.

Jeg synes ikke blot problemstillingen er om der skal opsættes en DMZ.
Istedet synes jeg at der burde laves en grundigere analyse af risici. Der er
så mange andre faktorer at tage stilling til.

Lars



Uffe S. Callesen (18-06-2004)
Kommentar
Fra : Uffe S. Callesen


Dato : 18-06-04 08:50

Hvis løsningen skal laves på det hardware du har idag (dvs. ingen DMZ
mulighed antager jeg) så skal du blot sørge for at begrændse trafikken
der når hhv. din web og TS server mest muligt.

Trafiken til TS serveren vil du typisk have mulighed for at begrændse
til kun at tillade trafik fra de ønskede brugeres IP adresser.

Web serveren er lidt mere besværlig da du typisk vil have den offentligt
tilgængeligt - en grunding hardening af den er nok en rigtig god idé.

Iøvrigt har du vist misfortået begrebet Denial of Service (DOS)- det er
ikke noget du (din firewall) udsætter angribere for men istedet noget de
forsøger at udsætte dig for.. De fleste nyere firewalls har 'mekanismer'
der kan forhindre mange typisk DOS angreb - dog vil din firewall ikke
beskytte mod et DOS angreb rettet mod én af de åbne porte !

mvh.

Uffe

Jacob Krabbe Søe wrote:
> Hejsa
>
> Nu vil jeg lige høre nogle eksperter om en emne jeg er noget usikker på.
>
> Hvis jeg har nogle servere på mit netværk som skal kunne nås udefra (f.eks.
> webservere, terminal osv), hvor farligt er det så blot at åbne for f.eks.
> port 80 ind mod webserveren eller 3389 mod TS?
>
> Jeg hører fra mange at "det gør man bare ikke!" og at disse servere skal
> flyttes til en DMZ. Samtidig har jeg så også hørt at det er
> sikkerhedsmæssigt forsvarligt, sålænge Firewall´en blot kører statefull
> inspection og denial of service (som selv mindre fw som Zywall og Sonicwall
> vel gør!?)
>
> Hvad er rigtigt? Er det "overkill" at opsætte en DMZ eller er det andet for
> usikkert?
>
> mvh.
> Jacob
>
>

Christian E. Lysel (18-06-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 18-06-04 22:48

In article <40d1f896$0$316$edfadb0f@dread16.news.tele.dk>, Jacob Krabbe Søe wrote:
> Hvis jeg har nogle servere på mit netværk som skal kunne nås udefra (f.eks.
> webservere, terminal osv), hvor farligt er det så blot at åbne for f.eks.
> port 80 ind mod webserveren eller 3389 mod TS?

Jeg havde en konsulent i vores Windows afdeling der mente hans hjemmeserver
var sikret nok, hvis han kørte med MS ISA, og sørgede for at
bruge antivirus og opdatere sin software.

Han havde HTTP og TS åbent, efter 5 min havde jeg fået administrator adgang
til hans maskine, og placede en bagdør.

Hullet jeg udnyttede var et af .asp scriptene i webserveren,
der indeholdt en ODBC forbindelse definition som benyttede administrator kontoen.
Derefter var det en smal sag at logge ind som administrator via TS.

Sjovere var det da han skiftede passwordet og slettede asp scriptet.
Jeg havde jo stadigvæk adgang via bagdøren.

> Jeg hører fra mange at "det gør man bare ikke!" og at disse servere skal
> flyttes til en DMZ.

Enig. Webservere er en af de mest udsatte server applikationer, hvis du
kikker historisk på det. Dog kommer du langt med hardning, og evt. ved
at vælge en fornuftig implementation, hvor der ikke er lagt vægt på
for mange overflødige egenskaber, men hvor sikkerheden er i focus.

> Samtidig har jeg så også hørt at det er
> sikkerhedsmæssigt forsvarligt, sålænge Firewall´en blot kører statefull
> inspection og denial of service (som selv mindre fw som Zywall og Sonicwall
> vel gør!?)

Hvis der med forsvarligt, menes at ovennævnte teknologi eller producenter
kan beskytte en sårbar server, ville jeg ikke hører efter.

> Hvad er rigtigt? Er det "overkill" at opsætte en DMZ eller er det andet for
> usikkert?

Det kræver ikke meget at opstille en DMZ.

Du kan evt. stille din webserver på internet, og placere dine interne
brugere bag en NAT firewall og lade denne få adgang til Internet igennem
webserveren (du kan også skaffe 2 IP adresser, en til webserveren og en
til NAT firewall).

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste