Wat mag via internet zichtbaar zijn?

Je zou hier (https://www.grc.com/x/ne.dll?bh0bkyd2) is kunnen kijken naar welke poorten er open staan.

Voor de rest ligt het er aan welke services er van buiten af beschikbaar moeten zijn.

Voor dit soort analyses zou ik nmap gebruiken (http://insecure.org/nmap/). L2TP en PPTP worden beide gebruikt voor VPNs dus afhankelijk van of daar gebruik van wordt gemaakt kun je die blokkeren of niet. De andere poorten die je vindt met nmap of een andere scanner moet je maar even onderzoeken.

Distael schreef op woensdag 03 oktober 2007 @ 14:40:
Volgens de ICT beheerder is het logisch dat die schermen te vinden zijn via internet omdat er vanaf een andere locatie ingelogd moest kunnen worden maar dat vanuit die locatie geen VPN naar buiten werd toegelaten.

Dan is het zaak om of te zorgen dat VPN wel mogelijk wordt vanaf die locatie of, als het niet anders kan, dat de firewall toegang tot die poorten geeft vanaf alleen dat ene IP-adres. Maar dan nog is er geen encrpytie (als HTTP ipv. HTTPS).

Distael schreef op woensdag 03 oktober 2007 @ 14:40:
Volgens de ICT beheerder gaat het om de volgende poorten:
HTTP
HTTPS
PPTP
L2TP
Remote Web Workplace
SMTP
RDP (deze kan nu gesloten worden omdat er vanaf de externe locatie niet meer wordt ingelogd).
Wellicht dat er meer poorten open staan maar dat ik dit niet te horen krijg.

RWW betekent per definitie dat je een SBS server hebt staan.

SMTP = mail 25, hoeft niet opengezet te worden als de mail via een popbox wordt opgehaald (catchall mailbox bijvoorbeeld), of als je toch via MX je mail afgeleverd wil krijgen: zet er dan gewoon een IP ACL op zodat alleen de mailserver van de domainhost waar je fallback MX staat de mail kan afleveren.

HTTPS (443 TCP)
RWW (4125 TCP)
RDP (3389 TCP)

Worden gebruikt door SBS server.

HTTPS (443 TCP) voor RWW login en Exchange Outlook Web Access.

De 3389 TCP RDP poort heb je volgens mij alleen nodig als je ook echt remote de desktop van de Server wil.
Ook hier geldt weer: ACL erop voorkomt dat jan en alleman erbij kan.
Die port 4125 heb je nodig omdat de RDP sessie van clients wort geredirect naar deze poort als je die wil laten overnemen voor de Remote Workspace.


HTTP > hoezo wordt er een open Universal Firewall Bypass Port gebruikt? Door wat? Waarvoor?

als je toch via MX je mail afgeleverd wil krijgen: zet er dan gewoon een IP ACL op zodat alleen de mailserver van de domainhost waar je fallback MX staat de mail kan afleveren.

Wat is hier dan het voordeel van ? Bedoel je dit in het kader van spam bestrijding ?

@TS: Mijn voorkeur zou (afhankelijk van de noodzakelijke services) alles behalve HTTP, HTTPS en SMTP over de VPN te laten lopen.

lier schreef op vrijdag 05 oktober 2007 @ 13:30:
[...]
Wat is hier dan het voordeel van ? Bedoel je dit in het kader van spam bestrijding ?

Het is zeg maar dezelfde techniek die Planet/KPN gebruikt, je poort 25 is niet benaderbaar voor externe mailers, alleen voor de fallback MX server van $hoster.