Diskriminerende port 80 - kan jeg det i ZA Pro ?

Slik som dns fungerer så skulle vel dette bli til noe i retning av en umulighet. For at dns og web server skal fungere til sammen så må port 80 i prinsipp stå mere eller mindre helt åpen.

For noen Web servere, for eksempel Apache så kan man vel stenge ute for eksempel visse avsender ip og/eller visse avsender domener, eller motsatt man kan gjøre web server tilgjengelig for visse avsendere. (Men man kan ikke benytte domenenavn eller ip for dns serveren, for eksempel dyndns.dk for å bestemme hvem som skal slippe inn.)

Nej - jeg tænkte det nok var blevet beskrevet hér hvis det var muligt. Men jeg ville gerne være helt sikker.
Jeg havde i tankerne, at når henvendelsen kom fra ét bestemt sted, så skulle man kunne tillade den og udelukke alle andre. Men det må vi jo leve med.

Tak for svaret!

Takk for poeng !! (Håper svaret var bra nok.)

Man kan jo i prinsipp stenge ute for enkelte avsender ip eller avsender adresser, men dns serveren vil ikke være avsender ip eller avsenter adresse.

Når en person ute i verden vil inn på din webserver så skjer dt sånn omtrnet slik:

1. Personenen teater eksempel.dyndns.dk på sin web browser.
2. Denne PC'ens dns resolver gør en forespørsel til dyndns.dk og spør: På hvilken ip finner jeg "eksempel.dyndns.dk"
3. dyndns.dk dvarer så: Denne finner du på ip 1.2.3.4
4. Oppslaget skjer så fra denne Peronenes pc/ip og til din ip på basis av de opplysningene som er hentet ut fra dyndns.dk.

(I virkeligheten så er det vel et par step til men på grunn av at de ikke har noe å si for hoved prinsippene så kuttet jeg dem fra forklaringen.)

Man kan vel si det så enkelt at en dns server som for eksempel dyndns.dk fungerer omtrent som en telefonkatalog. Det skjer et automatisk oppslag på domenenavnet. Så gis et svar hvilken ip (telefonnummer) som dette navnet har. Oppslaget rettes så automatisk mot dette ip nummret.

Man kan vel si det så enkelt at man vanligvis ikke vil oppleve at man blir oppringt av telefonkatalogen slik at avsender blir telefonkatalogens telefonnummer. Man kan der i mot godt bli oppringt av en person som har funnet ditt nummer i telefonkatalogen (dyndns.dk). Avsender telefonnummer vil imidlertid være denne personens telefonnummer og ikke telefonkatalogens telefonnummer.

(Brukete faktisk en del tid på finne ut av dette selv.)

Litt mange staveleif:

Når en person ute i verden vil inn på din webserver så skjer dt sånn omtrent slik:

1. Personenen tester for eksempel eksempel.dyndns.dk på sin web browser.
2. Denne PC'ens dns resolver gør en forespørsel til dyndns.dk og spør: På hvilken ip finner jeg "eksempel.dyndns.dk"
3. dyndns.dk dvarer så: Denne finner du på ip no 1.2.3.4
4. Oppslaget skjer så fra denne Peronenes pc/ip og til din ip på basis av de opplysningene som er hentet ut fra dyndns.dk.

Og det ble ikke mye bedre :)

Jeg synes det er en god beskrivelse af hvad der rent faktisk foregår. Jeg vidste det ikke.

Jeg venter at personer som VIL ind og rode også kommer det. Hvis de finder det er interessant nok.

Jeg tror, det jeg egentlig ønsker at gardere mig mod, er de såkaldte automatiske skanninger efter åbne porte og hvad de kan finde på. Med de mængder af informationer de samler er der vel ikke tale om at en person sidder og roder på siden. Det er vel et eller andet automatisk der sættes igang.
Der er så mange informationer om faren på nettet at jeg nærmest drukner i dem uden at kunne se hvad der er væsentligt at holde øje med, desværre.

Det er alltid en viss rissiko ved å være kontinuerlig tilkoplet internett. Hvis man benytter firewall slik at man bare har åpnet for web server og port 80 så er kanskje denne faren i praksis ikke så vesentlig stor.

Det kan ellers være en fordel å kjøre web serveren på en egen PC og så benytte personal firewall eller liknende på workstations. Zone alarm for eksempel er jo veldig bra for workstations fordi den kan stilles inn til å si i fra hvis det er noen som forsøker på noe.

Har ellers vært tilkoplet internett med server ca 5-6 år nå, tror jeg. Den første tiden benyttet jeg IIS web server på NT 4.0. Senere så gikk jeg over til Apache på Linux. (Siste 3-4 år ?)

Jeg har i løpet av denne tiden hatt 0 havarier og 0 driftsforstyrrelser på grunn av hacking. Siden jeg gikk over til Linux så har også driftstabiliteten vært 100 % med 0 driftsstanser over denne perioden på 3-4 år. Problemet med hackere finnes nok, men det er kanskje ikke så stort som man kanskje skulle tro.

Har ellers lest divese scanninger og automatiserte angrep mot serveren i firewall loggen mange ganger, men det har så langt ikke skjedd noe mere.

Den aller største risiko det er vel viss mankjører en mail server som man ikke har konfigurert rett (port 25). Hvis man ved en feil har satt den åpen for "mail relaying" så kan man risikere at noen finner den og bruker den til å sende ut tusenvis av spam (med din ip som avsender).

Man kan ellers ikke gardere seg mot scanning av de portene som man ønsker skal være åpne men man bør tenke nøye gjennom hvilke porter man behøver å ha åpne.

Interessant! Jeg har selv tidligere tænkt på at bruge Linux/Apache eller Win/Apache. Dengang kunne man ikke bruge Apache til ASP eller .NET sider. Er det blevet ændret nu? Jeg mener at have set nogle specielle ændringer man kunne foretage for at det skulle fungere, men har ikke beskæftiget mig væsentligt med det.

Det du skriver om at benytte ex. ZA på server/workstations! Jeg har jo ZA på den maskine der kører IIS. Kunne det gøres bedre/anderledes (også mht .NET)?

Måske er det en idé at prøve at bruge den 180 dages version af Win Server2003 jeg har liggende. Den er måske mere sikker.

asp for Apache finnes vel teoretisk sett som gratis utgave men ikke i praksis. Det finnes en kommerisiell asp støtte ved navn chilli. I den praktiske og reele virkelighet så må man gå over til php hvis man skal kjøre Linux/Apache hjemme.

Hvis du har en adsl forbindelse er det ikke noen hardware firewall i den ??
Hvis du kjører adsl hardware firewall pluss zonealarm så bør vel det være bra nok.

Zone alarm kjører vel bra nok når den er satt opp riktig og når alle ting fungerer. Fordelen og ulempen med den det er vel at den er så lett å rekonfigurere, eller man gjør kanskje en liten feil slik at den fungerer på en annen måte enn det man hadde tenkt.

Ville kanskje være skeptisk til å ha Zone Alarm som den eneste firewall.

Tviler på at det er npe mere å hente sikkerhetsmessig ved å installere win 2003 (men har aldri prøvd den.)

Hvis man vil lage en enkel hardware firewall ved hjelp av Linux og en gammel PC så kan man benytte smoothwall http://www.smoothwall.org

Det er alletiders, langbein.

Rent faktisk har jeg netop installeret .NET på en gammel isoleret maskine for at lege med det. Desværre er den også langsom.

Derfor vil jeg nu bruge den som firewall med smoothwall som du henviser til og bruge min arbejds-pc. En hardware firewall vil jo gavne hele vejen igennem.

Jeg bruger TDC adsl med fast ip og mig bekendt er der ikke tilknyttet en firewall. Jeg er ihvertfald ikke stødt på noget om emnet.

Det blir også rart at rode lidt med linux. Jeg har et lidt ambivalent forhold til linux. På den ene side trækker det rigtig meget og jeg kan lide ideen med OS osv. På den anden side tager jeg hensyn til hvor meget jeg kender til MS og kompatible produkter og spørgsmålet om hvor mange resources jeg vil afsætte til at sætte mig ind i ex. PHP o.l. Taget i betragtning, at jeg stort set kun gør det for sjov.

Så tak for hjælpen, langbein. Du lukkede en del åbne spørgsmål for mig.