01. april 2008 - 14:50Der er
12 kommentarer og 2 løsninger
Port 137
Jeg er i gang med at sætte Business Contact Manager for Outlook 2007 op på nogle klienter. Vi bruger en shared BCM database på en remote computer (kører på SQL 2005 Express instance) til at koordinere kommunikationen.
Microsoft skriver i sin dokumentation at port 137 skal være åben, for at klienterne kan bruge Windows authentication til at opnå adgang til databasen. Men den server hvor databasen skal køre på, hoster foruden BCM også andre applikationer indeholdende sensitive data. Kan det virkeligt passe at MS, med ro i sindet, opfordrer til at blotte port 137 på Internettet? Jeg kan ikke finde andre der kører BCM, med samme spørgsmål. Søger jeg google på port 137 får jeg udelukkende advarsler og opfordringer til at lukke denne port.
Hvordan skal jeg forholde mig til det her? Det er meeeeget dumt at åbne port 137 ikke sandt?
Som jeg har forstået det, er problemet at netbios 'reklamerer' for ens workgroup/domain og interne adresser, for at kunne skabe netværk-adgang. Informationer man vil undgå at lække, da de kan bruges i et et angreb.
Slutter meg til jape44. TCP port 137 er vel i seg selv ikke noe rissiko i seg selv. Ville tro at det for eksempel tro at det skulle gå fint å kjøre såvell webserver som ssh servet på TCP port 137.
Det blir sånnsett robustheten og "hackbarheten" til den server som kjører på tcp port 137 som avgjør om dette er en sikkerhetsrisiko eller ikke.
En annen sak er jo at mange hackermetoder går ut på å scanne større ranger av ip adresser for utsatte porter/tjenester, og så konsentrerer man de videre angrep mot de anerkjente rissikoporter/risikotjenester som man finner fram til ved automatiserte søk.
Hvis man for eksempel setter opp en ssh server til å kjøre port 22 så er det ikke lenge før halve Kina er mobilisert til et angrep, og man kan fortløpende lese alle angrepene i loggen. Kjører man ssh server på en ustandard port, for eksempel 2222 så ser man knapt nok et eneste angrep.
En eksponert tcp 137 vil nok uansett virke som en en "hackermagnet".
Synes det er litt merkelig om det er Microsoft anbefaling å eksponere tcp 137 externt til internett. Det virker liksom ikke helt rimelig, selv om tjenesten skulle være robust nok.
Kjenner ellers ikke noe større til den aktuelle Microsoft programvare.
Man kan selvfølgelig ikke eksponere de tjenesten som vanligvis kjører tcp 137 ut mot Internett.
Synes godt om
Slettet bruger
02. april 2008 - 08:12#4
i de fleste it-virksomheder bruger man principet "slagte fåret" d.v.s at web serveren står forest ud mod internetet og køre kun webserveren mens resten af lokal netværket er skjult bag diverse firewalls, på den måde kan en hacker kun få adgang til webserveren og slagte den. Det er jo rimeligt hurtigt at få en webserver op og køre igen.
Vi kører ikke nogle services på port 137. Min bekymring beror I at have den port åben på internettet. Som langbein beskriver, så vil det vel opfordre til angreb at blotte denne port.
Men det lyder ikke til I ellers ser den som en kritisk port at åbne? Jeg har altid tænkt at det ville være forkert men måske jeg ikke burde bekymre mig?
En port kan ikke være "åpen" (gi respons på request) uten at det kjører en service bak. En port der det ikke finnes noen service er vel sånn sett noenlunde lik med en lukket port.
Dette høres vel ikke helt betryggende ut:
"Microsoft skriver i sin dokumentation at port 137 skal være åben, for at klienterne kan bruge Windows authentication til at opnå adgang til databasen."
TCP 137 og TCP 139 er vle begge typisk porter for lan relaterte tjenester. Disse skal så vidt vites aldri være eksponert ut mot internett. (..men det er jo også slik at enhver sannehet har en tendens til å forandre seg med tiden, så det som engang var en sannhet ..) Blir interessant å se om det kommer noen svar på de øvrige forum. Mon det dreier seg om en tjeneste som kun er ment å kjøre over lan eller via vpn ?
Har liten eller ingen kunnskap om de aktuelle MS servere, men ville rent umiddelbart gjette på at det dreier seg om en situasjon der både Server og klient må kjøre på et net segment beskyttet av en firewall.
Bare for analogien og forklaringens skyld: Man kan godt kjøre Apache web server og MySQL databaseserver på hver sin server. Begge servernes tjenester kan være tilgjengelig ut på internett, men tilgangen til MySql skjer kun indirekte via Apache serveren. Man kan ikke logge på MySql serveren fra internet, selv om MySql serveren kan levere data ut til internet, via Apache serveren. Her må Apache serveren og MySql serveren stå i et firewqall beskyttet område, slik at uthentingen av data fra databasen kun kan skje via indirekte oppslag. (Via Apache serveren som er en klient i forhold til MySql serveren.)
Ja, du har nok ret i at programmet var tiltænkt et privat netværk, da selve BCM som standard, installerer en SQL database og giver mulighed for at dele denne.
Det er dog tåbeligt at de ikke har sat mere fokus på offentlig deling, men det er måske et forsøg på at få folk til at skifte til den dyrere CRM løsning.
Jeg vil forsøge at kigge lidt nærmere på VPN - det kan være det er løsningen på problemet. Tak for din hjælp, vil du lægge et svar så jeg kan give points? Meget gerne dig også jape44.
jeg husker tydeligt at de porte var vidt åbne i win95 og alle drev blev shared som default og der var ingen der havde firewalls da vi kørte på 14.4 modem he he. rent kaos!
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.