28. marts 2002 - 01:53Der er
54 kommentarer og 4 løsninger
Sikkerhedsanalyse af min Lan: Internet-Server-Workstation
Jeg er begyndt at interessere mig mere for sikkerhed vedr. server & netværk. Jeg har kørt med Windows2000 Server på arbejde, og har nu også fået en til min egen server. Det har ca. kørt i 6mdr og uden de store problemer. Jeg har dog haft besøg af NIMDA et par gange, men fik den væk igen..
Serveren bruges til følgende:
WWW-Server, hvor der ligger 10 sites på MAIL-Server, lettere pop3.. FTP-Server, Serv-U Gateway, for de øvrige workstations
De 3 workstations jeg har er så bare sat op til nettet via Gateway'en.. Dvs. ingen router eller lign.. !
På serveren er følgende relevant software installeret: IIS PHP MySQL Serv-U Stat-analyser Remote Anywhere Norton Antivirus ZoneAlarm Pro
.. og på mine workstations er der vedr. sikkerhed, kun installre et virusprogram.
Nu er det så jeg spørger, hvad kan jeg gøre for at sikre / forbedre min sikkerhed på serveren, såvel på netværket ?.. Jeg har brugt en log-analyser til Zonealarm, som kan fortælle om en del desiderede angreb på serveren i det halve år..
Min største bekymring er at hvis de først kommer igennem serveren, så har de fri afbenyttelse af hele netværket, da jeg køre med delte drev. Grunden til at jeg gør det er at jeg har genveje til de mange netværksdrev på mit skrivebord, som gør at jeg nemt at opdatere sites på serveren m.m. Men er det ikke farligt?
Hvordan med åbne porte?.. Pt. står zonealaram bare på Medium til Internet & Medium til Lokalnet.. Jeg aner ikke hvilke porte jeg bruger og hvilke jeg ikke gør.. Jo altså 80 & 21, men ellers ikke... Er det en recisi ved det?
Jeg skal snart til at have opgraderet min server så det bliver et 733Mhz, 512ram, og 6 fysiske harddisk.. Derfor er det vigtigt at man ikke kan komme ind på dem, da de indeholder alt som vi har skrevet, både af afleveringer, personlige ting, firmabreve (vi har et lille firma) osv..
Derudover, er der nogle sider, gerne på DK, som hjælper en med at lave en sikkerhedsanalyse eller med info/råd om sikkerhed ?..
du kan downloade programmet superscan og portscanne dig selv... så kan du se hvilke porte der er åbne....
Synes godt om
Slettet bruger
28. marts 2002 - 02:00#2
Sørg for at have en ordenlig virusscanner på, samt en god firewall, så kommer du langt. Norton antivirus eller mcafee netshell - Firewall ville jeg vælge Tiny firewall eller hvis hvis man har tolmodigheden nortons privat firewall.
Prøv Languard network scanner: http://www.gfi.com/nsnetscan.shtml Den kan bruges til både gode og dårlige ting. Men den skanner alle porte på dit hjemmenetværk og fortæller dig om sikkerhedshuller!! Den er utrolig effektiv, når det kommer til sikkerhed!!
Hey er så dine åbne porte... der kan være flere og det er ikke sikkert at de programmer jeg har skrevet bruger portene er dem som bruger dem i virkeligheden
Anonymous logins accepted ? No 80 - HEAD / HTTP/1.0 Server : Microsoft-IIS/5.0 Operating System : Windows 2000 389 - LDAP => Light Directory Access Protocol SMB probing ... Connecting ...(1/6) Name "0X503E2EEC" encoded as "DAFIDFDADDEFDCEFEFEDCACACACACACA" Session refused : File sharing and printing is not activated !?
Jeg aner det ikke, jeg er ikke hacker, men bruger programmet til at se mine egne sikkerhedsproblemer. Men jeg kan faktisk lukke min egen server(2000 AS), på trods af en heftig firewall!!
Jeg kan ikke lukke hans site, men hans computer. Det er bare en option i programmet. Jeg har prøvet med både 98, 2000 og xp på min egen server. Hvor serveren havde ADSL og min workstation brugte en modem forbindelse, så den havde samme rettigheder som alle andre, der kom ude fra!
det er nok en trojan.. det er bare det som superscan regner med at det er.... det er fordi at 1025 blackjack er et af de programmer der er mest normalt at møde på en port 1025 men det er sikkert et andet program der bruger porten
de åbne porte gør ikke noget så længe der ikke er huller i dem... det er lidt svært at forklare... men hvis der ikke var nogle åbne porte ville computeren ikke kunne kommunikere og fungere som server
Ja, jeg har været inde på den, men jeg synes at den rigtig kan bruges.. Nu ved jeg selvfølgelig ikke om der er noget mere derinde, blot at designet ikke ligefrem tydeliggøre det :-)
Altså jeg har fundet den port-scanner, men det er vel også det... oder ?
NetBIOS share Low adminexists Low pwlen Medium traceroute Low adminnopw High guestnopw Medium NetBIOS shares - null session Medium Users - null session Medium multihomed Low Max Pwd Age Low Min Pwd Age Low Password History Low Password Never Expires Low Password Cannot Change Low Null Session User Modals Low No User Profile Low No Logon Low Local User Low Guest Exists Low Disabled Account Low Disabled Account Blank Pwd Medium IisFrontpageInfo Medium
Alle ovenstående råd er sikkert både gode, fornuftige og velmenende, men der er en grund til at sikkerhedskonsulenter tjener mange penge på at gøre de ting de(vi) gør. Dit net indeholder et par meget gode udgangspunkter for huller ind, bl.a. FTP, MAIL, WEB og Remote Anywhere, hvilket gør det vandskeligt at sikre bare nogenlynde, Isar da du bruger zonealarm som "firewall". HEr er lidt at starte med.
1. Først skal dine styresystemer gennemses (Win95 til 2000 eller linux). Gennenfør alle sikkreheds patche og updates. Læs derefter på www.cert.org og www.nsa.gov hvad der skal gøres yderligere. Dette er absolut minimum, og der er flere gode ting du kan gørenår du er færdig med dette
2. Alle dine applikationer skal patches. Gennerlæs dokumantation for alt software du har installeret (Ja jeg mener ALT) kik på www.bugtraq.com for kendte huller og patche til de forskellige systemer, spørg specefikt på deres mailingsliste.
3. Nåt du bruger FTP, MAIL og WEB, skal du etablere firewall med DMZ, (zonealarm er ikke en firewall, kan højest betragtes som en våd avis). Du skal have fat i en ordentlig firewall med mindsty statefull inspection og mulighed for DMZ. Du kan vælge en linux løsning hvis det ikke må koste. Det kunne der være god sikkerhed i hvis du bruger windows på dit netværk, læs på www.sslug.dk/linuxbog om hvordan du gør.
4. Etabler dit net med de usikre tjenester på dit DMZ ben, med Intrution detection, log filanalyse og hele skidtet, og følg så med i diverse sikkerheds mailingslister for nye udviklinger.
Her er lidt til det næste par måneder, spørg hvis der er mere du vil vide
hmm.... det du siger med Linux har jeg overvejet lidt... Jeg får lavet lidt om i strukturen, så har jeg en 233Mhz m. 32/64 ram som jeg ikke bruger... Vil det være smart at ligge den ind mellem Internettet & Serveren.. ?... Så kan den vil være sikkerhedsgenten for det hele ??
Ikke sikkerhedsagent, men firewall. Du installere tre netkort i maskinen. Et kort til Internettet, et kort til dit eget net, og et kort til DMZ (her placeres 'FTP, Mail, web, m.m.. Du kan downloade bogen "linux - Friheden til sikkerhed på Internettet " fra sslug, ligesom du kan få hjælp til at sætte tingene op rent praktisk, e.v.t. på et install party, Det vil jeg anbefale, da sluggerne er meget dygtige til den slags
Ja det vil det, så kommer kinuxboksen til at køre som gateway/firewall/router.
En DMZ er en Demilitarized Zone (sikkert ikke stavet rigtigt). Tricket er at ved at placere de usikre tjenester i en DMZ (på det tredie netkort) og så lade firewallen håndtere al kommunikation med statefull inspection, har du sikret at et indbrud i din mail, web eller ftp server ikke berøre dit interne netværk og dermed kompromittere følsom data (der jo ikke placeres på DMZ. Der er her tale om militær tankegang i sikkerhed, sikkerhed er ikke opstilling i en linie, men opstilling i dybten. Du opdeler fjenden og nedkæmper ham enkeltvis.
Jeg har nogle store pdf dokumenter, der beskriver firewals, dmz m.m. drop en mailadresse, hvis du vil have dem, så kan jeg sende fra arbejde på tirsdag
Hmm.. som jeg har forstået det, så er DMZ altså en salgs viruel server ??.. De 3 netkort skal være DMZ?.. dvs. at jeg skal anskaffe mig endnu en server/computer eller ??
Nej slet ikke virituel. En DMZ er et tredie separat net, hvorpå du placere alle de tjenester, der ikke er sikre. Disse usikre tjenester kan godt være placeret på en fysisk server, men denne fysiske server kan/må ikke samtidig være placeret på dit indterne net. I sin minimums bestykning, vil du have en maskine som firewall, en maskine som server på DMZ og en maskine som server på dit eget net. Hele ideen med DMZ går ud på at placere det usikre på et andet fysisk net end dit eget og så lade firewallen håndtere kommunikation mellem disse net. Har du placeret det hele på samme net kan en hacker bruge et hul i din ftp server til at få fat i dine dokumenter, emails og data,
Men nu er vores firma ikke så stort endnu, så det vil vel være ok at placere en server m. firewall og andet sikkerhedsudstyr som første led. Efterfølgende vil den egenlig server være, som håndterer www, email, ftp & øvrige dokumenter.. ?
Selve gateway funktionen skulle så gerne ligge i Linux/Firewall serveren.
Er det helt vild usikkert eller kan det bruges :-)
Der er hvad jeg vil betegne som ret usikkert, jeg ville ikke placere nogen væsentlige dokumenter, f.eks. lønsedler, koder eller andre for jeres firma væsentlige dokumenter på denne server. Jeg har selv været med til at gennemføre en såkaldt penetrationstest hos et firma der havde denne bestykning, og det var forbavsende let at komme ind. (det var i øvrigt også utroligt så lidt direktøren faktisk tjente, til gengæld var deres koder til deres tyverialarmanlæg svær at huske, hvilket nok var grunden til at de havde skrævet den ned). Problemet er at firewallen kan være nok så sikker, hvis de applikationer, der køre bagved ikke er det, så er hele systemet pivåbent og vi taler her om meget små ting, hvis f.eks. en maskine har outlook express installeret og ikke outlook, kan det udnyttes. Hvis en af jeres outlook klienter ikke er opdateret med sidste sikkerhedspatch, kan det udnyttes osv osv.
En løsning kunne være at isolere jeres væsentlige dokumenter på standalonemaskiner, sø der intet følsomt findes på de maskiner, der er på net, en lidt besværlig løsning, der kræver diciplin, hvis den skal virke, men billig og meget sikker.
Det økonomiske regnestykke i skal sætte op er følgende:
Hvad kan det komme til at koste os, hvis de forkerte får fat i disse dokumenter Hvad kan det komme til at koste os, hvis vores services bliver standset i x timer Hvad kan det komme til at koste os, hvis en hacker benytter vores mailserver til at angribe andre med, osv osv.
Når jeres analyse viser at i kan spare penge ved at beskytte jer bedre, skal I i byen og købe. Problemet er at de fleste firmaer gør dette for sent, d.v.s efter at det har kostet dem flere penge ikke at være beskyttet
Velbekommen. Du kunne e.v.t. kryptografere jeres følsomme dokumenter med PGP, der kan downloades gratis fra www.pgpi.org. Det betyder at selv ikke hvis jeres administrator konto bliver kompromitteret, vil jeres følsomme data kunne læses umiddelbart
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
