Sikkerhed på server!

Køb en rigtig hardware firewall, sæt dig ind i hvordan den virker, konfigurer den korrekt (luk alle porte du ikke skal bruge), og hold øje med den (logfiler). Dette er den bedste/eneste måde at sikre sin server på.

En server med både FTP og Web er næsten umulig at beskytte, hvorfor du bør gøre følgende:

Hvis du kun har denne server stående i dit net, må der intet være på den der ikke må falde i forkerte hænder. Ingen fortrolige oplysninger overhoved: Sådan er det bare, lær det uden ad.

Hvis du har andre maskiner, SKAL denne server placeres i DMZ. Skaf en firewall der kan køre DMZ, f.eks. en smoothwall løsning på en separat maskine med 3 netkort, og så skal denne firewall sættes op, så der ikke tillades trafik fra DMZ ind på det indterne ben.

SAmtidig skal du sørge for følgende.

1. FULD opdatering af alle dine systemer på den server, både styre system og web og FTP server software samt alt andet software installeret.

2. Gennemgribende sanering af serveren, alle applikationer der ikke er helt nødvendige skal fjernes, alle services der ikke skal køre, disables eller fjernes helt hvis de kan.

3. omhyggelig logging af alt aktivitet og ofte (mere end en gang om dagen)gennemsyn af denne logfil.

4. Følg med på securityfocus og http://www.cve.mitre.org for kendte vulnarabilities for det software du har, alle løsningsforslag implementeret og alle exploit signature kendte.

5. Gå i kirke hver søndag og til alters hver gang chancen er der

1) Hvor kan jeg købe en firewall til en nogenlunde pris som kan de ting I nævner der?

2) Det er mit lokale netværk med 3 maskiner, så kan det betale sig at køb en firewall til det?

Du har som jeg ser det to løsningsmuligheder:

Du kan selv opsætte en linux baseret firewall, f.eks. en smoothwall løsning, hvis du har en ældre maskine, der kan bruges. Du kan finde dokumentation på htp://www.smoothwall.org og i bogen "linux - friheden til at vælge sikkerhed på nettet" der kan downloades på http://www.linuxbog.dk. På http://www.sslug.dk har de en mailingsliste for sikkerhed som kan hjælpe dig og du kan fo praktisk hjælp med installation og opsætning på et af deres installparties, ligesom du kan få en linux vejleder der følger dig og hjælper dig gratis. Sslugerne er fantastiske mennesker og mindst lige så hjælpsomme som her på eksperten.

En anden løsning er at købe en firewall og her er flere muligheder. Du kan f.eks. kikke på firewalls af fabrikaterne, Cisco Pix, Symantec Velociraptor, Firewall !, Sonicwall osv. Det er vigtigt at du finder en ordentlig leverandør, der kan give dig noget support og vejledning. Opsætning og vedligeholdelse af sådan en er ikke altid bare lige.

1. Jeg vil anbefale at du kikker dig lidt om på nettet og finder nogle forhandlere du kan rådspørge, det kommer ofte også lidt an på hvad de er vand til at arbejde med, og det er lige ved at jeg vil sige at forhandleren og den support du kan få er vigtigere end selve produktet

2. Ja, hvis du har noget at beskytte, data, omdømme, værdier osv osv

Jeg gik ud fra at når opgavestilleren skriver "Jeg har en server som jeg kører..." så er den naturligvis opdateret med alle service packs og hotfixes, og den har min. 1 antivirusprogram af hæderlig kvalitet kørende...og det opdateres automatisk, og opdateringerne kontrolleres dagligt som en del af de rutinemæssige driftsopgaver der er forbundet med at drive en server...

Konkrete priser på firewall's er et spørgsmål om evnen til at shoppe rigtigt....tit kan man finde den samme stump til 82765 forskellige priser...tag en beslutning, og kig dig omkring. Selv kan jeg godt lide Cisco PIX, de er troværdige/pålidelige, men opsætningen kan være en udfordring. Vent ikke for længe. Der er masser af mennesker (?) der udnytter snøl i forbindelse med implementering af sikkerhed på en server. Tag dig i agt for disse.

Om det kan betale sig at købe og installere en firewall? Jeg vil vende spørgsmålet om - kan det betale sig at bruge tid på at sætte en server op, hvis man ikke gør noget for at den også kører efter planen i morgen? Det kan tage mange timer at sætte en server op. Måske er der mennesker/firmaer der i en eller anden udstrækning er afhængige af denne/disse server(e). Hvad vil de sige til at alt deres data pludselig er væk, og serverne pludselig indgår i et harem af server, der laver DoS-angreb på Microsoft...?

Jeg ville vælge den sikre løsning (så siker som den nu kan blive med de begrænsninger der altid er), hvis jeg havde ofret timer på at sætte 3 servere op.

skulle faktisk mene det kan betale sig at installere i firewall hvis netværket bare omfattede EN maskine...

skywalker1>det har du ret i, der er bare mere at beskytte, hvis resten af netværket også hænger på, Hvorfor det ikke bare er en god ide, men faktisk helt nødvendigt

hvis alle er enige skal vi så ikke lukke spørgsmålet, johnnydrud?

Mange tak for hjælpen. Det var lærerigt :)