Port 1352

http://www.iss.net/security_center/advice/Exploits/Ports/1352/default.htm

http://www.auditmypc.com/port/udp-port-1352.asp
Vulnerable to much of same attacks poss. on tcp 25, including data disclosure, modification, and forgery, plus DOS flooding.

Kan du uddybe lidt? De links kan jeg også selv finde via google...

Ved enhver åpning av porter i en firewall så løper man jo i hvertfall en teoretisk risiko. (Går ut i fra at "udaftil" betyr fra utsiden og inn.)

Det som bestemmer risikoen det vil jo først og fremst være egenskapene til den server funksjon som befinner seg på innsiden. Når man har åpnet en port/protokoll for trafikk til en server funksjon, da er jo firewall i frinsipp ikke eksisterende for denne trafikken.

En annen problemstilling er jo den at det for enkelte firewalls for eksemel Linux Netfilter er mulig å sette opp beskyttelse for slike ting som dos angrep og spoofede ip pakker. Går trafikken opp til et unormalt nivå ifb med dos angrep, så lukker firewall midlertidig til angrepet er over, og så åpner den igjen.

En annen måte å spørre dette spørsmålet på det er: Finnes det noen sikkerhetsmessige problemstillinger rundt det å gi tilgang til denne aktuelle server funsjonen fra internett ?

Det er jo elles også sånn at man behøver slettes ikke å gi tilgang for alle på internett for denne porten. Man kan godt sette opp firewall (for eksempel Linux) slik at den sjekker avsender IP på alle pakkene. For de aller fleste ip adresser i denne verden så vil porten være lukket. For den eller de godkjente avsender ip så vil den være åpen.

Ellers hvis server funksjonen behøver kun tcp eller kun udp for den aktuelle oppgave, da bør man ikke åpne for begge men en av dem. (Hvis firewall kan dette.)

Litt googling vedrørende problemstillingen dos attach:

http://secunia.com/advisories/18328/

I klartekst så mener jeg at det som står under denne linken at under visse forhold (teoretis sett) så kan det være mulig å overbelaste inngangen på denne serveren slik at minneområder overskrives (buffer overflow) og uvedkommende via dette kan få tilgang til serveren.

Detter jo en problemstilling som har eksistert eller som fortsatt eksisterer for nesten de fleste server funksjoner. Tviler på at Notes er mer utsatt en andre.

Med et dos filter på firtewall så vil man kunne forebygge slike angrep på samtlige serverfunksjoner samtidig vha et enkelt dos filter. (Filtert måler packet rate, og når den går over en ønsket verdi så stenger det.)

Her ville vel en firewall kunne tatt raten men ikke det øvrige:
http://www.symantec.com/avcenter/venc/data/lotus.domino.denial.of.service.malformed.html.email.html

Her snakkes det om buffer overrun. Går ut i fra at det med dette må menes lengden av datastrengen i pakken. Man kan også sette opp en packet firewall (Linux) rtil å sjekke for dette.

Og så snakkes det også "HTTP-header injection". Dette ville vel en alminnelig packet firewall vanlig vis ikke kunne klare, slik at det behøves en "Aplication level firewall".

http://www.eweek.com/article2/0,1895,1787036,00.asp

Konklusjon:

Uansett så vil det alltid være en teoretisk eller praktisk risiko forbundet med det å åpen fra internett og inn til en kjørende server funksjon.

Hvor stor og reel denne rissikoen er det er det vel egentlig leverandøren av denne server funksjonen som er den rette til å svare på (I dette tilfelelt IBM ?)

Hvis man skal gjøre noe effektivt for å minske denne risikoen vesentlig så åpner man firewall ikke for alle avsender ip, men kun for en eller de få som behøver tilgang for denne serverfunksjonen.

Andre som vet mer, eller noe annet, eller som har mer konkret erfaring i forhold til Lotus Notes ?

Mange tak for info - jeg siger tak - og fordeler point imellem jer - dog flest til Langbein