Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Services op thuis PC (adsl) - security?

Pagina: 1
Acties:
  • 220 views sinds 30-01-2008
  • Reageer

woensdag 30 maart 2005 11:12

Acties:
  • Shaidar
  • Registratie: September 2001
  • Laatst online: 24-11 07:59

Shaidar

Topicstarter
Op m'n Windows Server 2003 bak thuis heb ik :

- een Gene6 FTP Server draaien op poort 21 (geen anonymous access)
- Remote Desktop Connection enabled (met het administrator account, en een sterk pasw (20 karakters+speciale tekens)
- een Remotely Anywhere server draaien op poort 433 (https)

De Windows Server 2003 is up to date (auto-windowsupdate enabled).
De Windows Firewall is ook ge-enabled met enkel exceptions voor deze 3 services.
ICMP staat af (geen reply op pings enzo)

Deze bak is geconnecteerd via een Thomson Speedtouch 410 ADSL modem/router.
De Firewall op deze router is ook actief, en enkel port forwards voor deze 3 services (21>21, 3389>3389 en 433>433)

Mijn vraag is nu: is dit veilig genoeg? Dit draait nu al voor een klein jaartje, en ik heb nog nooit problemen gehad, maar ik zou wel eens willen weten wat andere tweakers hierover denken...

Zijn er nog dingen die ik absoluut moet doen om het nóg veiliger te krijgen?
Is een up-to-date Windows Server 2003 veilig genoeg?
Fysiek toegang tot de machine is uitgesloten (hij staat op zolder, en daar durft niemand binnengaan!
Hoe beveiligen andere tweakers hier hun 'thuismachine' ?

[ Voor 4% gewijzigd door Shaidar op 30-03-2005 11:14 ]

 iPhone 12 Pro 128GB  MacBook Pro (13-inch, 2020, i7, 16GB, 1TB)

woensdag 30 maart 2005 11:26

Acties:

Verwijderd

misschien een software firewall (sygate, symantec or whatever) op je windows 2003 is nog een extra optie of gewoon een hardware matige firewall (een extra comp er tussen dus..) :)

Sygate raad ik je in ieder geval aan...

[ Voor 11% gewijzigd door Verwijderd op 30-03-2005 11:27 ]

woensdag 30 maart 2005 11:29

Acties:
  • Shaidar
  • Registratie: September 2001
  • Laatst online: 24-11 07:59

Shaidar

Topicstarter
Verwijderd schreef op woensdag 30 maart 2005 @ 11:26:
misschien een software firewall (sygate, symantec or whatever) op je windows 2003 is nog een extra optie of gewoon een hardware matige firewall (een extra comp er tussen dus..) :)

Sygate raad ik je in ieder geval aan...
Zoals ik al zei: De Firewall op deze router is ook actief, en enkel port forwards voor deze 3 services (21>21, 3389>3389 en 433>433)

En dat is dus een hardware firewall ...

[ Voor 6% gewijzigd door Shaidar op 30-03-2005 11:29 ]

 iPhone 12 Pro 128GB  MacBook Pro (13-inch, 2020, i7, 16GB, 1TB)

woensdag 30 maart 2005 11:32

Acties:

Verwijderd

Wat je ook kan doen is een oude bak optrommelen en daar ipCOP op gaan draaien

Router + Firewall in 1 en niet doorheen te komen. als je ipCOP beetje configureerd! TOP-pakket
en nog gratis ook :D

woensdag 30 maart 2005 11:32

Acties:
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Firewall lijkt me zo wel goed zitten - al worden uitgaande zaken zo niet gestopt natuurlijk. Ga zo'n machine zonder virusscanner ook niet gebruiken om naar vage sites te browsen of om te mailen etc ;)

Verder: het is natuurlijk wel zaak om patches voor Windows, Remotely Anywhere en Gene6 bij te houden en de settings van o.a. de FTP server zijn natuurlijk ook van belang maar dit lijkt me zo met de huidige info wel veilig genoeg als server :)

offtopic:
Webservices zijn iets heel anders dan wat jij hebt -> titeleditje.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 30 maart 2005 11:32

Acties:

Verwijderd

shaidar schreef op woensdag 30 maart 2005 @ 11:29:
[...]

Zoals ik al zei: De Firewall op deze router is ook actief, en enkel port forwards voor deze 3 services (21>21, 3389>3389 en 433>433)

En dat is dus een hardware firewall ...
tja ik heb zelf een speedtouch 570 draadloos met ingebouwde firewall en geen poorten geforward en het helpt misschien een klein beetje maar mijn sygate firewall die blokkeerd nog steeds aanvallen...

dus ja je moet het zelf weten, ik geef ook maar een suggestie...

woensdag 30 maart 2005 11:51

Acties:

Verwijderd

veilig genoeg lijkt me.
wat kan je met remote desktop dat je niet met remotely anywhere kan? 1 vd twee lijkt me overbodig.
de ftp server kan je met een beperkt locaal account draaien, met alleen write access tot de mappen die nodig zijn.

woensdag 30 maart 2005 11:54

Acties:
  • Gé Brander
  • Registratie: September 2001
  • Laatst online: 26-11 17:32

Gé Brander

MS SQL Server

Hernoemen van de Administrator account! Op deze wijze kan iemand niet zomaar het wachtwoord voor Administrator brute force attacken. Hij/zij moet dan ook nog eens de inlognaam raden.

[ Voor 65% gewijzigd door Gé Brander op 30-03-2005 11:56 ]

Vroeger was alles beter... Geniet dan maar van vandaag, morgen is alles nog slechter!

woensdag 30 maart 2005 11:55

Acties:
  • vliegjong
  • Registratie: Januari 2003
  • Laatst online: 08-08-2017

vliegjong

Bump!

Ik zou zowieso aan je untrust kant met andere poortnummers werken dan je nu heb.
Standaard poorten liggen voor de hand. Verder zou ik voor die services een gebruiker aanmaken die geen rechten heeft op je mappen en dergelijk, meer dan strikt noodzakelijk.

Ik ben een Nerd, jij ook? Dan zijn er namelijk 10 toffe mensen :)

woensdag 30 maart 2005 12:22

Acties:
  • Shaidar
  • Registratie: September 2001
  • Laatst online: 24-11 07:59

Shaidar

Topicstarter
Bedankt voor de tips allemaal!

- hernoemen van administrator account : mijn persoonlijke mening is dat een 20 karakter paswoord met speciale tekens (@ en # en dat soort meuk, na een tijdje zit dat 100% in je vingers) al wel goed genoeg, dus die moeite ga ik niet doen... Had ook ergens gelezen dat dat niet veel uitmaakt, iets in verband met de SID die dan toch niet veranderd (ik zoek er eens naar, als ik iets vind, post ik het wel)

- andere poorten : Hier kan ik eens naar kijken, maar ik vond het net leuk dat het allemaal zo'n beetje standaard was ... maar dat is misschien niet zo veilig nee :)

- FTP account met beperkte rechten laten werken op machine : dit is ook een goede tip, hier kijk ik zeker eens naar!

- RDC vs remotely anywhere : die RDC werkt gemakkelijker van op m'n andere machines hier (intern) thuis, remotely anywhere is ook remote (met nog meer mogelijkheden) maar dan via een JAVA applet of ActiveX in een Browser (IE/FF). Remotely anywhere gebruik ik van op m'n werk, want hier zijn alle poorten gesloten behalve die HTTP en HTTPS... Misschien is het wel beter van die RDC niet via het internet beschikbaar te maken, bij nader inzien gebruik ik die toch bijna nooit...

Als ik het zo lees, dan beveiligen jullie jullie PC thuis waar dat wat services op draaien op een vergelijkbare manier?

En dan nog een laatste vraag: kent er iemand al exploits voor Remotely Anywhere of Gene6 FTP Server? Ik heb zelf al wat gezocht, maar vind op het eerste gezicht niet zo veel... Let wel, ik vraag geen links naar sites waar dat het allemaal in het breed uitgelegd wordt, maar wel ofdat er al iemand weet dat deze 2 servers speciaal onveilig zijn...

 iPhone 12 Pro 128GB  MacBook Pro (13-inch, 2020, i7, 16GB, 1TB)

woensdag 30 maart 2005 13:28

Acties:
  • Underground75
  • Registratie: Augustus 2002
  • Laatst online: 07:08

Underground75

Ik zit dus een beetje met dezelfde vraag. Ik ben er nog niet over uit wat nu het beste is:
Optie 1:
Mijn server (web/mail/FTP/DNS/Download/proxy) direct aan mijn adsl modem hangen en gelijk laten fungeren als firewall/router met een Intrusion Detector (Snort).

Optie 2:
Een Via Epia PD10000 met een derde NIC en Smoothwall of IPCop, de bovengenoemde server in een DMZ zone en de rest van mijn LAN apart.

Optie 1 heeft als voordeel dat er maar 1 PC 24/7 aanstaat maar is misschien makkelijker te hacken?
Mijn ADSL moden is een SpeedTouch Home zonder firewall of rouer functie, flashen van de modem wil ik niet.

woensdag 30 maart 2005 13:37

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 25-11 15:05

lordgandalf

ga naar http://www.securityfocus.com/bid/vendor/

selecteer daar als vendor RemotelyAnywhere en wat ziet men 2 exploits ervoor.
selecteer daar als vendor Gene6 en als Title G6 FTP Server en tada 4 exploits

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

woensdag 30 maart 2005 13:37

Acties:

Verwijderd

shaidar schreef op woensdag 30 maart 2005 @ 12:22:En dan nog een laatste vraag: kent er iemand al exploits voor Remotely Anywhere of Gene6 FTP Server? Ik heb zelf al wat gezocht, maar vind op het eerste gezicht niet zo veel... Let wel, ik vraag geen links naar sites waar dat het allemaal in het breed uitgelegd wordt, maar wel ofdat er al iemand weet dat deze 2 servers speciaal onveilig zijn...
voor mogelijke applicatie-exploits volg ik mailings op http://secunia.com/ & http://www.securityfocus.com/

woensdag 30 maart 2005 14:03

Acties:
  • victorv
  • Registratie: Januari 2002
  • Laatst online: 17-02-2024

victorv

Locallost

Installeer een SSH daemon op je W2003 bak. SSH (Secure Shell) draait gewoonlijk via poort 22 en laat je toe dataverkeer voor andere services te tunnelen over de SSH verbinding. Voorbeeld: ik kan via een SSH verbinding elke PC in mijn thuisnetwerk overnemen via RDP en files copieren via Secure Copy (SCP).. De enige open poort die ik op het werk nodig heb is 22. Bijkomende voordeel is dat de verbinding absoluut secure is; bij FTP gaat je account en wachtwoord in-plain-text over de lijn...

Ik heb op dit moment goede ervaringen met BitVise WinSSHd (WindowsSSH = OpenSSHd port of FreeSSHd bleken te instabiel). SSH clients zijn PuTTY en WinSCP2 (beiden gratis). Ik moet wel zeggen dat er dagelijks geklopt wordt op poort 22 (geautomatiseerde 'aanvallen').

[ Voor 13% gewijzigd door victorv op 30-03-2005 15:38 ]

"Accomplishing the impossible means only that the boss will add it to your regular duties."

woensdag 30 maart 2005 14:06

Acties:
  • Gé Brander
  • Registratie: September 2001
  • Laatst online: 26-11 17:32

Gé Brander

MS SQL Server

shaidar schreef op woensdag 30 maart 2005 @ 12:22:
Bedankt voor de tips allemaal!

- hernoemen van administrator account : mijn persoonlijke mening is dat een 20 karakter paswoord met speciale tekens (@ en # en dat soort meuk, na een tijdje zit dat 100% in je vingers) al wel goed genoeg, dus die moeite ga ik niet doen... Had ook ergens gelezen dat dat niet veel uitmaakt, iets in verband met de SID die dan toch niet veranderd (ik zoek er eens naar, als ik iets vind, post ik het wel)
Ok, als je dat dan doet, doe dat dan goed, en maak een nieuw account aan met administrator rechten (dus geen kopie van de administrator, maar echt een nieuw account) en je hebt volgens mij dat probleem niet.
Ik dacht dat je de administrator account dan kon hernoemen/uitschakelen. Dan ben je er wel beter mee weg.

Vroeger was alles beter... Geniet dan maar van vandaag, morgen is alles nog slechter!

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq