Avatar billede tkoc Nybegynder
02. oktober 2003 - 23:47 Der er 15 kommentarer

Firewall IP til ip

Hej jeg er på mit arbejde komme i problemer med vores it ansvarlige ikomunen men nu vil jeg høre om i kan hjælp mig.

problemet er at vi køre et program i ungdomsskolen til elev administration dette program kan sende sms til vores elever. der firma der har lave programmet har en sms server vi skal bare have åbnet for en port (7915)i komunens firewall.

vi er på det komunale net via cable moden og har ingen muglighed for at gå uden om dette.

nu kommer problemet han mener at det er en sikkeheds risiko at åbne den.

men jeg siger så at han jo bare kunne lave det så firewall
kun tillader komunikation mellem vores ip og ip på smsserver port 7915 så skulle risikoen være meget lille for indbrud
men der komme han så med at man jo bare kan stjæle ipadresse på smsserver og så komme ind gemmen det.men det  mener jeg der ikke er lige til eller kan lade sig gøre.

håber det er nogle der kan give mig nogle fakta på hvad jeg kan gøre med evt links til information jeg kan sende efter it administrator i komunen
Avatar billede simonvalter Praktikant
03. oktober 2003 - 00:11 #1
øhh .. det kan jeg ikke se noget problem i.
du skal jo bare have åbnet for udgående traffik fra jeres ip til serverens ip/port

så kan da jo ikke hackes ind lige meget om nogen udgav sig for at være serverens ip .. de ville bare kunne modtage det i sender til den ip.
Avatar billede simonvalter Praktikant
03. oktober 2003 - 00:15 #2
eller har i også brug for indadgående traffik på samme port?
Avatar billede tkoc Nybegynder
03. oktober 2003 - 00:20 #3
ja for den giver svar tilbage fra server om det lykkes
men jeg kan ikke se problemet vores pc til deres server så viser viikke hele netværket
Avatar billede simonvalter Praktikant
03. oktober 2003 - 00:28 #4
nej kan heller ikke se problemet, men det er jo et kommunalt netværk .. så sikkerheden skal selvfølgelig være i top.

men man burde ikke kunne hacke videre i netværket aligevel hvis man først er kommet ind til jer.

for at nogen skulle kunne misbruge det skulle de først vide hvilken ip der kan komme ind til jer (smsserveren).
så skal de hacke smsserveren for at få dens ip og hacke videre til jer
så skal der køre en service på den port som de kan finde en fejl i og komme igennem.
og så skal de så videre i netværket.

bare i har adgang til port 80 så i kan browse så er der allerede en større risiko der for at blive hacket.
Avatar billede squashguy Nybegynder
03. oktober 2003 - 00:34 #5
hvis systemet er lavet bare lidt fornuftigt, kan serveren godt give besked tilbage, selv om der ikke er åbnet for indgående trafik. f.eks.

klient etablerer forbindelse til serveren på port 7915
(nu er porten åben, og serveren kan sende trafik tilbage)
sms sendes
server giver svar tilbage
klient/server lukker forbindelsen
Avatar billede simonvalter Praktikant
03. oktober 2003 - 00:39 #6
er det det man kalder keep-state i ipfw ?

så skulle de bare lave noget ala

ipfw add pass tcp from ip1 to ip2 7915 keep-state
Avatar billede simonvalter Praktikant
03. oktober 2003 - 00:44 #7
keep-state
            Upon a match, the firewall will create a dynamic rule, whose
            default behaviour is to match bidirectional traffic between
            source and destination IP/port using the same protocol.  The rule
            has a limited lifetime (controlled by a set of sysctl(8) vari-
            ables), and the lifetime is refreshed every time a matching
            packet is found.


noget ligende burde findes i deres firewall.
Avatar billede simonvalter Praktikant
03. oktober 2003 - 00:51 #8
og hvis sys adminen mener ip spoofing når han snakker om at stjæle en ipadresse så burde hans router og firewall beskytte mod dette... jeg er godt ikke klar over om det kan gøres 100%.
Avatar billede tkoc Nybegynder
03. oktober 2003 - 11:12 #9
ja men er det ikke sådan at vi kan sige at vis det kun køre mellem vores pc og smsserver er det sikker nok til at han skulle kunne lade os komme til at snakke med den. eller hvad???
Avatar billede simonvalter Praktikant
03. oktober 2003 - 14:41 #10
jo medmindre at man har fuld adgang til resten af kommunens netværk når man først er inde hos jer... og det er da et langt større problem hvis det er tilfældet.
i burde vel ligget i en dmz

det er nok sysadminens setup den er galt med siden han ikke kan, eller så har han fået det at vide fra oven at han ikke må, eller så ved han intet om det,
eller så er han doven.

men vi kender selvfølgelig ikke deres setup, jeg mener bare stadig ikke det burde være et problem.
Avatar billede tkoc Nybegynder
03. oktober 2003 - 16:43 #11
nej men jeg ved han ikke har fået det af vide oven fra.
men jeg tror ikke han ved nok om det til han vil åbne den.
det er det der er mit problem,

jeg er selv uddannet datamatiker og er i dag IT administrator på skolernes elev system i komunen, det administrative system er lavet sådan at det køre via adsl logger på systemet inden i komunen altså via noget vpn tror jeg nok og får så vores redigheder der fra.

håber at jeg får ham over bevist.

men som man siger systemet er ikke mere sikker ham der har lave det gør det til.
Avatar billede simonvalter Praktikant
03. oktober 2003 - 18:14 #12
ja .. jeg kender problemet, på min skole kan vi ikke få lov til at ssh ud eller bruge pop3 eller imap på vores email udefra, efter de havde problemer med at deres system var "hacket" .. problemet var at de havde sat en ftp server op med anonym adgang med fuld adgang til at skrive og læse.
tilgengæld er smtp fuldstændig åben for alle ... flot siger jeg bare, måske nogen af eleverne skulle overtage administrationen ;)
Avatar billede tkoc Nybegynder
04. oktober 2003 - 13:44 #13
ja det virker faktisk der jeg læse til datamatiker havde vi selv ansvar for vores computer og netværk det virke bedre og mere sikker end vores skole netværk på den anden side at gangen.
så det er ikke altid dårligt at have elever der laver dette :D
Avatar billede sur69 Nybegynder
07. oktober 2003 - 17:56 #14
Kan I få lov til at lave en VPN-tunnel mod SMS-serveren, eller endnu bedre brug socks (hvis der er mulighed for det i kommunens netværk).
Avatar billede tkoc Nybegynder
07. oktober 2003 - 18:07 #15
det kan vi ikke der det under stytter system ikke siger de
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester