Hej jeg er på mit arbejde komme i problemer med vores it ansvarlige ikomunen men nu vil jeg høre om i kan hjælp mig.
problemet er at vi køre et program i ungdomsskolen til elev administration dette program kan sende sms til vores elever. der firma der har lave programmet har en sms server vi skal bare have åbnet for en port (7915)i komunens firewall.
vi er på det komunale net via cable moden og har ingen muglighed for at gå uden om dette.
nu kommer problemet han mener at det er en sikkeheds risiko at åbne den.
men jeg siger så at han jo bare kunne lave det så firewall kun tillader komunikation mellem vores ip og ip på smsserver port 7915 så skulle risikoen være meget lille for indbrud men der komme han så med at man jo bare kan stjæle ipadresse på smsserver og så komme ind gemmen det.men det mener jeg der ikke er lige til eller kan lade sig gøre.
håber det er nogle der kan give mig nogle fakta på hvad jeg kan gøre med evt links til information jeg kan sende efter it administrator i komunen
nej kan heller ikke se problemet, men det er jo et kommunalt netværk .. så sikkerheden skal selvfølgelig være i top.
men man burde ikke kunne hacke videre i netværket aligevel hvis man først er kommet ind til jer.
for at nogen skulle kunne misbruge det skulle de først vide hvilken ip der kan komme ind til jer (smsserveren). så skal de hacke smsserveren for at få dens ip og hacke videre til jer så skal der køre en service på den port som de kan finde en fejl i og komme igennem. og så skal de så videre i netværket.
bare i har adgang til port 80 så i kan browse så er der allerede en større risiko der for at blive hacket.
hvis systemet er lavet bare lidt fornuftigt, kan serveren godt give besked tilbage, selv om der ikke er åbnet for indgående trafik. f.eks.
klient etablerer forbindelse til serveren på port 7915 (nu er porten åben, og serveren kan sende trafik tilbage) sms sendes server giver svar tilbage klient/server lukker forbindelsen
keep-state Upon a match, the firewall will create a dynamic rule, whose default behaviour is to match bidirectional traffic between source and destination IP/port using the same protocol. The rule has a limited lifetime (controlled by a set of sysctl(8) vari- ables), and the lifetime is refreshed every time a matching packet is found.
og hvis sys adminen mener ip spoofing når han snakker om at stjæle en ipadresse så burde hans router og firewall beskytte mod dette... jeg er godt ikke klar over om det kan gøres 100%.
ja men er det ikke sådan at vi kan sige at vis det kun køre mellem vores pc og smsserver er det sikker nok til at han skulle kunne lade os komme til at snakke med den. eller hvad???
jo medmindre at man har fuld adgang til resten af kommunens netværk når man først er inde hos jer... og det er da et langt større problem hvis det er tilfældet. i burde vel ligget i en dmz
det er nok sysadminens setup den er galt med siden han ikke kan, eller så har han fået det at vide fra oven at han ikke må, eller så ved han intet om det, eller så er han doven.
men vi kender selvfølgelig ikke deres setup, jeg mener bare stadig ikke det burde være et problem.
nej men jeg ved han ikke har fået det af vide oven fra. men jeg tror ikke han ved nok om det til han vil åbne den. det er det der er mit problem,
jeg er selv uddannet datamatiker og er i dag IT administrator på skolernes elev system i komunen, det administrative system er lavet sådan at det køre via adsl logger på systemet inden i komunen altså via noget vpn tror jeg nok og får så vores redigheder der fra.
håber at jeg får ham over bevist.
men som man siger systemet er ikke mere sikker ham der har lave det gør det til.
ja .. jeg kender problemet, på min skole kan vi ikke få lov til at ssh ud eller bruge pop3 eller imap på vores email udefra, efter de havde problemer med at deres system var "hacket" .. problemet var at de havde sat en ftp server op med anonym adgang med fuld adgang til at skrive og læse. tilgengæld er smtp fuldstændig åben for alle ... flot siger jeg bare, måske nogen af eleverne skulle overtage administrationen ;)
ja det virker faktisk der jeg læse til datamatiker havde vi selv ansvar for vores computer og netværk det virke bedre og mere sikker end vores skole netværk på den anden side at gangen. så det er ikke altid dårligt at have elever der laver dette :D
det kan vi ikke der det under stytter system ikke siger de
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
