Avatar billede freeman Nybegynder
28. marts 2002 - 01:53 Der er 54 kommentarer og
4 løsninger

Sikkerhedsanalyse af min Lan: Internet-Server-Workstation

Jeg er begyndt at interessere mig mere for sikkerhed vedr. server & netværk. Jeg har kørt med Windows2000 Server på arbejde, og har nu også fået en til min egen server. Det har ca. kørt i 6mdr og uden de store problemer. Jeg har dog haft besøg af NIMDA et par gange, men fik den væk igen..

Serveren bruges til følgende:

WWW-Server, hvor der ligger 10 sites på
MAIL-Server, lettere pop3..
FTP-Server, Serv-U
Gateway, for de øvrige workstations

De 3 workstations jeg har er så bare sat op til nettet via Gateway'en.. Dvs. ingen router eller lign.. !


På serveren er følgende relevant software installeret:
IIS
PHP
MySQL
Serv-U
Stat-analyser
Remote Anywhere
Norton Antivirus
ZoneAlarm Pro

.. og på mine workstations er der vedr. sikkerhed, kun installre et virusprogram.


Nu er det så jeg spørger, hvad kan jeg gøre for at sikre / forbedre min sikkerhed på serveren, såvel på netværket ?.. Jeg har brugt en log-analyser til Zonealarm, som kan fortælle om en del desiderede angreb på serveren i det halve år..


Min største bekymring er at hvis de først kommer igennem serveren, så har de fri afbenyttelse af hele netværket, da jeg køre med delte drev. Grunden til at jeg gør det er at jeg har genveje til de mange netværksdrev på mit skrivebord, som gør at jeg nemt at opdatere sites på serveren m.m.
Men er det ikke farligt?

Hvordan med åbne porte?.. Pt. står zonealaram bare på Medium til Internet & Medium til Lokalnet.. Jeg aner ikke hvilke porte jeg bruger og hvilke jeg ikke gør.. Jo altså 80 & 21, men ellers ikke...
Er det en recisi ved det?

Jeg skal snart til at have opgraderet min server så det bliver et 733Mhz, 512ram, og 6 fysiske harddisk.. Derfor er det vigtigt at man ikke kan komme ind på dem, da de indeholder alt som vi har skrevet, både af afleveringer, personlige ting, firmabreve (vi har et lille firma) osv..

Derudover, er der nogle sider, gerne på DK, som hjælper en med at lave en sikkerhedsanalyse eller med info/råd om sikkerhed ?..
Avatar billede krilhelten Nybegynder
28. marts 2002 - 01:56 #1
du kan downloade programmet superscan og portscanne dig selv... så kan du se hvilke porte der er åbne....
Avatar billede Slettet bruger
28. marts 2002 - 02:00 #2
Sørg for at have en ordenlig virusscanner på, samt en god firewall, så kommer du langt. Norton antivirus eller mcafee netshell - Firewall ville jeg vælge Tiny firewall eller  hvis hvis man har tolmodigheden nortons privat firewall.
Avatar billede sn0wflake Nybegynder
28. marts 2002 - 02:00 #3
Check http://grc.com/default.htm og søg efter "ShieldsUP"
Avatar billede sn0wflake Nybegynder
28. marts 2002 - 02:02 #4
Undersøg faktisk hele http://www.grc.com :)
Avatar billede krilhelten Nybegynder
28. marts 2002 - 02:02 #5
skriv din ip så kan jeg protscanne dig og fortælle dig hvilke porte der er åbne..
Avatar billede ahave Nybegynder
28. marts 2002 - 02:07 #6
Prøv Languard network scanner: http://www.gfi.com/nsnetscan.shtml
Den kan bruges til både gode og dårlige ting. Men den skanner alle porte på dit hjemmenetværk og fortæller dig om sikkerhedshuller!! Den er utrolig effektiv, når det kommer til sikkerhed!!
Avatar billede freeman Nybegynder
28. marts 2002 - 02:10 #7
IP 80.62.46.236

Ikke noget med at buste ind ;-)
Avatar billede krilhelten Nybegynder
28. marts 2002 - 02:12 #8
det kan godt være at din zonealarm brokker sig over at jeg scannner dig men jeg laver ikke noget jeg ikke må
Avatar billede krilhelten Nybegynder
28. marts 2002 - 02:15 #9
Hey er så dine åbne porte... der kan være flere og det er ikke sikkert at de programmer jeg har skrevet bruger portene er dem som bruger dem i virkeligheden

* + 80.62.46.236
    |___    21  ftp
    |___    80  http
    |___  135  epmap
    |___  139  netbios-ssn
    |___  389  ldap
    |___  443  https
    |___  445  microsoft-ds
    |___  1025  blackjack
    |___  1027  ICQ
    |___  1720  h323hostcall
Avatar billede ahave Nybegynder
28. marts 2002 - 02:20 #10
Anonymous logins accepted ?
No
80 - HEAD / HTTP/1.0
Server : Microsoft-IIS/5.0
Operating System : Windows 2000
389 - LDAP => Light Directory Access Protocol
SMB probing ...
Connecting ...(1/6)
Name "0X503E2EEC" encoded as "DAFIDFDADDEFDCEFEFEDCACACACACACA"
Session refused : File sharing and printing is not activated !?

Alerts probing ..
Checking FTP Alerts ...
Checking DNS Alerts ...
Checking Mail Alerts ...
Checking Service Alerts ...
Checking RPC Alerts ...
Checking Miscellaneus ...
Checking Information ...
CGI probing started...
Please wait ...
- .ida/.idq trick
///lanscan.ida
- .ida/.idq trick (2)
///lanscan.idq
CGI probing finished.
Ready

Det ser ud som om jeg kan lukke din computer!! Skal jeg prøve??
Avatar billede freeman Nybegynder
28. marts 2002 - 02:23 #11
helst ikke... heller sige mig hvordan jeg modvirker det ;-)
Avatar billede ahave Nybegynder
28. marts 2002 - 02:25 #12
Jeg aner det ikke, jeg er ikke hacker, men bruger programmet til at se mine egne sikkerhedsproblemer. Men jeg kan faktisk lukke min egen server(2000 AS), på trods af en heftig firewall!!
Avatar billede sn0wflake Nybegynder
28. marts 2002 - 02:26 #13
ahave: hvordan kan du se at du kan lukke freeman's site?
Avatar billede freeman Nybegynder
28. marts 2002 - 02:27 #14
men det åbne porte jeg har, det er vel fair nok ???
Jeg ved bare ikke liiige hvad 1025 Blackjack er.. ??
Avatar billede ahave Nybegynder
28. marts 2002 - 02:30 #15
Jeg kan ikke lukke hans site, men hans computer. Det er bare en option i programmet. Jeg har prøvet med både 98, 2000 og xp på min egen server. Hvor serveren havde ADSL og min workstation brugte en modem forbindelse, så den havde samme rettigheder som alle andre, der kom ude fra!
Avatar billede krilhelten Nybegynder
28. marts 2002 - 02:30 #16
det er nok en trojan.. det er bare det som superscan regner med at det er.... det er fordi at 1025 blackjack er et af de programmer der er mest normalt at møde på en port 1025 men det er sikkert et andet program der bruger porten
Avatar billede krilhelten Nybegynder
28. marts 2002 - 02:33 #17
de åbne porte gør ikke noget så længe der ikke er huller i dem... det er lidt svært at forklare... men hvis der ikke var nogle åbne porte ville computeren ikke kunne kommunikere og fungere som server
Avatar billede sn0wflake Nybegynder
28. marts 2002 - 02:33 #18
freeman: Fik du checket http://gtc.com ?
Avatar billede sn0wflake Nybegynder
28. marts 2002 - 02:34 #19
sorry grc.com
Avatar billede freeman Nybegynder
28. marts 2002 - 02:37 #20
Ja, jeg har været inde på den, men jeg synes at den rigtig kan bruges.. Nu ved jeg selvfølgelig ikke om der er noget mere derinde, blot at designet ikke ligefrem tydeliggøre det :-)

Altså jeg har fundet den port-scanner, men det er vel også det... oder ?
Avatar billede sn0wflake Nybegynder
28. marts 2002 - 02:39 #21
Der er også et værktøj der hedder Leak Test
Avatar billede sn0wflake Nybegynder
28. marts 2002 - 02:42 #22
Fyren har kodet siden 1971 og er en wizard til programmering. Når jeg bliver stor vil jeg være lissom ham :)
Avatar billede freeman Nybegynder
28. marts 2002 - 02:43 #23
den har jeg også lige kørt :-)

Jeg har lige søgt lidt rundt, og fandt lidt skrift omk emnet...
https://www.cert.dk/vejled/

  - det er rart med noget teori :-)  der står desværre bare ikke meget
Avatar billede sn0wflake Nybegynder
28. marts 2002 - 02:47 #24
Avatar billede sn0wflake Nybegynder
28. marts 2002 - 02:48 #25
Fik du en besked før? Prøvede at:

net send 80.62.46.236 "sn0wflake was here :)"
Avatar billede freeman Nybegynder
28. marts 2002 - 03:08 #27
Hehe... Nej, jeg fik ikke noget Snowflake ind på min... ;-)
Avatar billede sn0wflake Nybegynder
28. marts 2002 - 03:09 #28
Sidder at scanner dit system nu. Port 1025 er din "listen" port (whatever :)
Avatar billede krilhelten Nybegynder
28. marts 2002 - 03:14 #29
sn0wflake hvordan kan du vide det?
Avatar billede krilhelten Nybegynder
28. marts 2002 - 03:15 #30
der er ingens respons fra porten
Avatar billede sn0wflake Nybegynder
28. marts 2002 - 03:16 #31
Jeg har nogle programmer :)
Avatar billede sn0wflake Nybegynder
28. marts 2002 - 03:16 #32
Har indtil videre fundet ca. 10 svagheder :)
Avatar billede freeman Nybegynder
28. marts 2002 - 03:18 #33
bare nævn dem ;o)
Avatar billede sn0wflake Nybegynder
28. marts 2002 - 03:19 #34
Så er den oppe på 36 hvoraf en er MEGET kritisk >:)
Avatar billede krilhelten Nybegynder
28. marts 2002 - 03:23 #35
jeg sidder og scanner dig med noget der hedder cgiscan og du har mange cgi huller jeg skal nok skrive dem her når den er færdig
Avatar billede krilhelten Nybegynder
28. marts 2002 - 03:24 #36
dog skal man ikke regne med at alle sammen er brugbare
Avatar billede sn0wflake Nybegynder
28. marts 2002 - 03:29 #37
NetBIOS share    Low
adminexists    Low
pwlen    Medium
traceroute    Low
adminnopw    High
guestnopw    Medium
NetBIOS shares - null session    Medium
Users - null session    Medium
multihomed    Low
Max Pwd Age    Low
Min Pwd Age    Low
Password History    Low
Password Never Expires    Low
Password Cannot Change    Low
Null Session User Modals    Low
No User Profile    Low
No Logon    Low
Local User    Low
Guest Exists    Low
Disabled Account    Low
Disabled Account Blank Pwd    Medium
IisFrontpageInfo    Medium
Avatar billede sn0wflake Nybegynder
28. marts 2002 - 03:42 #38
Hej igen freeman - eller skal vi kalde dig Anders :)
Avatar billede krilhelten Nybegynder
28. marts 2002 - 03:52 #39
ja snowflake dit program skriver at det er en listen port men det kan du aldrig vide det er bare din portscanner der siger det ikke?
Avatar billede krilhelten Nybegynder
28. marts 2002 - 03:54 #40
hvad er det for et program du har brugt til at finde bl.a.
adminnopw    High
????
Avatar billede sn0wflake Nybegynder
28. marts 2002 - 04:17 #41
Avatar billede sn0wflake Nybegynder
28. marts 2002 - 04:54 #42
freeman: dit netkort er et 3Com EtherLink 10/100 PCI TX NIC (3C905B-TX)
Avatar billede freeman Nybegynder
28. marts 2002 - 08:54 #43
Snowflake...
Hvorfor skriver du anders ?? Det er ikke lige mit navn ;-)

Og ja, mit ene af netkortene er en 3com.. Det andet er hvis Surecom
Avatar billede sn0wflake Nybegynder
28. marts 2002 - 19:09 #44
Jeg prøvede lidt af hver :)

Remote adminitration viste et brugernavn med Anders :)
Avatar billede sn0wflake Nybegynder
28. marts 2002 - 19:13 #45
Prøvede til kl. 5 at åbne din server. Skidtet virker sikkert :)))
Avatar billede freeman Nybegynder
29. marts 2002 - 12:30 #46
hehe, dejligt ;o)
Avatar billede bufferzone Praktikant
29. marts 2002 - 15:43 #47
Alle ovenstående råd er sikkert både gode, fornuftige og velmenende, men der er en grund til at sikkerhedskonsulenter tjener mange penge på at gøre de ting de(vi) gør.
Dit net indeholder et par meget gode udgangspunkter for huller ind, bl.a. FTP, MAIL, WEB og Remote Anywhere, hvilket gør det vandskeligt at sikre bare nogenlynde, Isar da du bruger zonealarm som "firewall". HEr er lidt at starte med.

1. Først skal dine styresystemer gennemses (Win95 til 2000 eller linux). Gennenfør alle sikkreheds patche og updates. Læs derefter på www.cert.org og www.nsa.gov hvad der skal gøres yderligere. Dette er absolut minimum, og der er flere gode ting du kan gørenår du er færdig med dette

2. Alle dine applikationer skal patches. Gennerlæs dokumantation for alt software du har installeret (Ja jeg mener ALT) kik på www.bugtraq.com for kendte huller og patche til de forskellige systemer, spørg specefikt på deres mailingsliste.

3. Nåt du bruger FTP, MAIL og WEB, skal du etablere firewall med DMZ, (zonealarm er ikke en firewall, kan højest betragtes som en våd avis). Du skal have fat i en ordentlig firewall med mindsty statefull inspection og mulighed for DMZ. Du kan vælge en linux løsning hvis det ikke må koste. Det kunne der være god sikkerhed i hvis du bruger windows på dit netværk, læs på www.sslug.dk/linuxbog om hvordan du gør.

4. Etabler dit net med de usikre tjenester på dit DMZ ben, med Intrution detection, log filanalyse og hele skidtet, og følg så med i diverse sikkerheds mailingslister for nye udviklinger.

Her er lidt til det næste par måneder, spørg hvis der er mere du vil vide

Hilsen
Kim fra http://www.bufferzone.dk
Avatar billede freeman Nybegynder
29. marts 2002 - 15:50 #48
hmm.... det du siger med Linux har jeg overvejet lidt... Jeg får lavet lidt om i strukturen, så har jeg en 233Mhz m. 32/64 ram som jeg ikke bruger... Vil det være smart at ligge den ind mellem Internettet & Serveren.. ?... Så kan den vil være sikkerhedsgenten for det hele ??
Avatar billede bufferzone Praktikant
29. marts 2002 - 16:28 #49
Ikke sikkerhedsagent, men firewall. Du installere tre netkort i maskinen. Et kort til Internettet, et kort til dit eget net, og et kort til DMZ (her placeres 'FTP, Mail, web, m.m.. Du kan downloade bogen  "linux - Friheden til sikkerhed på Internettet " fra sslug, ligesom du kan få hjælp til at sætte tingene op rent praktisk, e.v.t. på et install party, Det vil jeg anbefale, da sluggerne er meget dygtige til den slags
Avatar billede freeman Nybegynder
29. marts 2002 - 18:12 #50
Hvad er det lige du mener med DMZ :-)

Pt. har jeg desværre ingen router, så min win2k server køre også som gateway.. Vil det stadig være muligt med Linux som firewall ?
Avatar billede freeman Nybegynder
29. marts 2002 - 18:13 #51
Så i min win2k er der altså 2 netkort, en til internet & en til Lokalnet
Avatar billede bufferzone Praktikant
29. marts 2002 - 18:22 #52
Ja det vil det, så kommer kinuxboksen til at køre som gateway/firewall/router.

En DMZ er en Demilitarized Zone (sikkert ikke stavet rigtigt). Tricket er at ved at placere de usikre tjenester i en DMZ (på det tredie netkort) og så lade firewallen håndtere al kommunikation med statefull inspection, har du sikret at et indbrud i din mail, web eller ftp server ikke berøre dit interne netværk og dermed kompromittere følsom data (der jo ikke placeres på DMZ. Der er her tale om militær tankegang i sikkerhed, sikkerhed er ikke opstilling i en linie, men opstilling i dybten. Du opdeler fjenden og nedkæmper ham enkeltvis.

Jeg har nogle store pdf dokumenter, der beskriver firewals, dmz m.m. drop en mailadresse, hvis du vil have dem, så kan jeg sende fra arbejde på tirsdag
Avatar billede freeman Nybegynder
29. marts 2002 - 18:31 #53
mail@karstensommer.dk :o)

Hmm.. som jeg har forstået det, så er DMZ altså en salgs viruel server ??.. De 3 netkort skal være DMZ?.. dvs. at jeg skal anskaffe mig endnu en server/computer eller ??

:-)
Avatar billede bufferzone Praktikant
29. marts 2002 - 18:42 #54
Nej slet ikke virituel. En DMZ er et tredie separat net, hvorpå du placere alle de tjenester, der ikke er sikre. Disse usikre tjenester kan godt være placeret på en fysisk server, men denne fysiske server kan/må ikke samtidig være placeret på dit indterne net. I sin minimums bestykning, vil du have en maskine som firewall, en maskine som server på DMZ og en maskine som server på dit eget net. Hele ideen med DMZ går ud på at placere det usikre på et andet fysisk net end dit eget og så lade firewallen håndtere kommunikation mellem disse net. Har du placeret det hele på samme net kan en hacker bruge et hul i din ftp server til at få fat i dine dokumenter, emails og data,
Avatar billede freeman Nybegynder
29. marts 2002 - 18:51 #55
ahh.. ok.. Nu er jeg med..

Men nu er vores firma ikke så stort endnu, så det vil vel være ok at placere en server m. firewall og andet sikkerhedsudstyr som første led. Efterfølgende vil den egenlig server være, som håndterer www, email, ftp & øvrige dokumenter.. ?

Selve gateway funktionen skulle så gerne ligge i Linux/Firewall serveren.

Er det helt vild usikkert eller kan det bruges :-)
Avatar billede bufferzone Praktikant
29. marts 2002 - 20:55 #56
Der er hvad jeg vil betegne som ret usikkert, jeg ville ikke placere nogen væsentlige dokumenter, f.eks. lønsedler, koder eller andre for jeres firma væsentlige dokumenter på denne server. Jeg har selv været med til at gennemføre en såkaldt penetrationstest hos et firma der havde denne bestykning, og det var forbavsende let at komme ind. (det var i øvrigt også utroligt så lidt direktøren faktisk tjente, til gengæld var deres koder til deres tyverialarmanlæg svær at huske, hvilket nok var grunden til at de havde skrævet den ned).
Problemet er at firewallen kan være nok så sikker, hvis de applikationer, der køre bagved ikke er det, så er hele systemet pivåbent og vi taler her om meget små ting, hvis f.eks. en maskine har outlook express installeret og ikke outlook, kan det udnyttes. Hvis en af jeres outlook klienter ikke er opdateret med sidste sikkerhedspatch, kan det udnyttes osv osv.

En løsning kunne være at isolere jeres væsentlige dokumenter på standalonemaskiner, sø der intet følsomt findes på de maskiner, der er på net, en lidt besværlig løsning, der kræver diciplin, hvis den skal virke, men billig og meget sikker.

Det økonomiske regnestykke i skal sætte op er følgende:

Hvad kan det komme til at koste os, hvis de forkerte får fat i disse dokumenter
Hvad kan det komme til at koste os, hvis vores services bliver standset i x timer
Hvad kan det komme til at koste os, hvis en hacker benytter vores mailserver til at angribe andre med, osv osv.

Når jeres analyse viser at i kan spare penge ved at beskytte jer bedre, skal I i byen og købe.
Problemet er at de fleste firmaer gør dette for sent, d.v.s efter at det har kostet dem flere penge ikke at være beskyttet
Avatar billede freeman Nybegynder
30. marts 2002 - 08:09 #57
Det lyder da som om du du er kommet på hjemmebane her :o)
  - og det er jo dejligt...

Jeg tror jeg mere eller mindre vil gøre som du siger.. Jeg opsætter,

-  en Linux/firewall, som første led. Den skal fungere som firewall,virusscanner, gateway og muligvis www....

-  en Windows 2000 Server m. primært www, ftp, mail, statistik..

-  en lille dokumentserver, nok kun en P166'er. Den skal så være lokal uden Internet.

- øvrige workstations kobles på Linux-Gateway, til internet..

Tak for jeres hjælp, specielt Bufferzone ;o)
Avatar billede bufferzone Praktikant
30. marts 2002 - 18:29 #58
Velbekommen. Du kunne e.v.t. kryptografere jeres følsomme dokumenter med PGP, der kan downloades gratis fra www.pgpi.org. Det betyder at selv ikke hvis jeres administrator konto bliver kompromitteret, vil jeres følsomme data kunne læses umiddelbart
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester