Portforwarden veilig?

Ja dat kan op die machine. Heb dezelfde hier staan. Als het een website is met een laag bezoekers aantal of een hobby-project (clan/guild website) is deze machine zeer geschikt. Ventrilo server gaat ook makkelijk is namelijk alleen maar bandbreedte en amper load.

Het grote poortmappingsverhaal gelezen?

battler schreef op maandag 02 maart 2009 @ 19:13:
Het grote poortmappingsverhaal gelezen?

Lekker makkelijk enkel om naar die faq te verwijzen, heb je hem zelf wel gelezen? Ik zie daar zo snel namelijk niets over veiligheid in staan.

Als je een software firewall en virusscanner gebruikt op de andere pc's in je netwerk lijkt het mij aardig safe.

Dan begrijp je duidelijk niet wat PAT doet.
Het heeft niets te maken met veiligheid, vandaar dat je er ook niets over gaat vinden.
Ik had gehoopt dat de TS'er iets meer inzicht zou krijgen in de werking van PAT, en daaruit de conclusie zou trekken dat het niets te maken heeft met veiligheid. Uiteraard kan ik (of een andere tweaker) het uitkauwen en voorschotelen, maar bij de volgende vraag hebben we weer een mooi nieuw topic.

Ook jij beantwoord de vraag van de TS'er niet volledig (dit is zeker geen verwijd), het is juist de kracht dat meerdere mensen willen helpen zodat de TS'er uiteindelijk een oplossing vindt. Alleen verschillen onze methodes, en daar zal jij (net als ik) onze eigen redenen voor hebben.

[ Voor 22% gewijzigd door battler op 02-03-2009 19:40 ]

Met betrekking tot het beveiligen van je interne netwerk; gebruikers vanaf het internet zullen initieel alleen bij de host kunnen komen die jij instelt (je webserver). Mocht je echter een beveiligingslek hebben op die server (bijvoorbeeld in IIS of Apache), dan is het mogelijk dat men vanaf jouw webserver het interne netwerk kan benaderen.

[ Voor 35% gewijzigd door Leon T op 02-03-2009 21:45 ]

Je hebt in ieder geval geleerd dat portforwarding niets te maken heeft met beveiliging. Bekijk de post van Leon T ook nog even goed, en dan moet het beeld wel duidelijk zijn.

Wederom vind ik deze vraag die je stelt niet handig. En zou naar mijn idee ook wat meer eigen inzet mogen bevatten. Er is genoeg te vinden op het internet m.b.t het beveiligen van Ubuntu, ook heb ik het idee dat je nog vrij onbekend bent met het OS. Probeer je dan ook iets meer hier in te verdiepen (o.a dus door die tut. die je zelf hebt gevonden), maar er zijn er ook een paar gespecialiseerd in beveiliging.

En als laatste, Wat is veilig genoeg?
Veilig genoeg om alle bedrijfsgeheimen van CocalCola te hosten?
Veilig genoeg om geen virussen te krijgen op de andere pc's?
Veilig genoeg om de standaard scriptkiddies te weren?

battler schreef op maandag 02 maart 2009 @ 22:51:
Je hebt in ieder geval geleerd dat portforwarding niets te maken heeft met beveiliging.

Dan staat dat blijkbaar fout op wikipedia:

Traditional port forwarding allows the entire world access to the forwarded port, slightly reducing network security

Wikipedia: Port forwarding

kwiebus schreef op dinsdag 03 maart 2009 @ 00:32:
Dan staat dat blijkbaar fout op wikipedia:

Ergens is het natuurlijk ook wel een klein gat wat je zelf open zet waardoor eventueel kwaad willenden binnen komen. Of de server moet uit staan.

Een port forwarden is (in princiepe) veilig dat als de functies die de poort je bieden, geen systeemtoegang verlenen.

Denk aan het volgende:
[list]• Alle webapplicaties/scripts up2date houden, dit liever dagenlijks dan om het jaar.
• Meld je aan bij de security nieuwsbrieven of gebruik de security rss feeds. Zodat je weet wanneer je een risico loopt.
• Draai mod_defensible (dnsbl gebruiken binnen Apache), mod_security (posts, gets, etc dichttimmeren)en suphp (php executen met rechten van file owner). Er zijn ook modules voor ClamD binnen Apache, zodat je meteen virusscanning hebt op uploaded files.
• Richt een correct draaiende firewall in, dit voor inkomend, maar vooral op uitgaand verkeer.
• Draai SSL (https), om usernames/passwords te beschermen tegen sniffing (je maakt het mensen dan zeer moeilijk, met onoplettendheid van users alleen te doorbreken). Certificates van b.v. CACert.


En zo zijn er wel meer tips te geven mbt security van een webserver.

Het forwarden van een poort zegt niets over je security, de applicatie die er achter zit echter wel.

[ Voor 4% gewijzigd door Anoniem: 37691 op 03-03-2009 00:56 . Reden: uitleg mod_* ]

Ja, zoals KingOfDos al zegt, het is een hele hoop werk om alles up to date te houden en in de gaten te houden. Ik heb vroeger zelf ook servers beheerd en hoewel ik het toen wel leuk vond, moest ik er wel bovenop zitten en snel dingen patchen als er exploits uit kwamen. Dan moet je dat dus wel in de gaten houden (zeker als je software gebruikt die je zelf geinstalleerd/gecompileerd hebt en dus niet automatisch door een package manager kan worden geüpdate). Je moet ook behoorlijk paranoide zijn en streng zijn tegen andere mensen (dus geen paswoorden als 'test123' toestaan )

Tegenwoordig heb ik gewoon voor een paar euro per maand een hosting pakketje genomen en daar de hele boel neergepleurd. Scheelt een hoop kopzorgen en je kan je meer concentreren op de inhoud van je website omdat je niet zo over de beveiliging hoeft na te denken. Als je een PHP-forum of iets dergelijks gebruikt moet je die natuurlijk WEL up to date houden, maar de beveiliging van de webserver niet.

Vergeet zowiezo niet om regelmatig backups te maken zodat als er wat gehackt wordt, je de onaangetaste boel gewoon terug kan zetten.

Ventrilo servers kan je ook gewoon huren, kost wel wat meer dan web hosting (rond de 10 euro) maar dan zit je wel op een 100 mbit pijp in een datacenter, dus veel bandbreedte beschikbaar.

Port forwarding is per definitie niet veilig. Of eigenlijk moet ik zeggen: een internet verbinding is per definitie niet veilig. Want er hoeft maar 1 programma/.dll/.so achter te zitten die een leak heeft en inbraak is mogelijk. En na inbraak is ook inbraak op andere pc makkelijker.
Maar als je je software up to date houdt, is dit een acceptabel risico.

- open geen poorten die niet nodig zijn, kan je het uitbesteden? bijv bij een webhoster onderbrengen
- zijn geopende poorten worldwide nodig (is het een publieke service)? of kan je bijv een /24 subnet toestaan
- of kan je misschien portknocken? wat interessant is als je die server alleen opzet om bij je eigen bestanden te kunnen, dus niemand anders dan jij connect

Anoniem: 146814 schreef op dinsdag 03 maart 2009 @ 11:10:
- of kan je misschien portknocken? wat interessant is als je die server alleen opzet om bij je eigen bestanden te kunnen, dus niemand anders dan jij connect

Ooit van security through obscurity gehoord? Dat gaat niet echt "veilig" zijn, behalve als je gebruik maakt van encrypted knocking (tot op zekere hoogte).

Ik draai zelf knockd om (o.a.) mijn ssh af te schermen voor scriptkiddies, daar overheen draait fail2ban om de users tegen te houden welke mijn knock method kennen (gezien ik geen encrypted knocking gebruik). En ik heb bv IP's gewhitelist voor connecties waar ik vaak ben.
In dit geval gebruik ik de knockd enkel om iets te verbergen (dat ik ssh draai, that's all), het voegt niets toe aan het bestaande security model. Het achterliggende securitymodel moet dan dus nogsteeds goed doordacht zijn, knocking of niet.

Je bent nooit 100% safe maar 2 services die zowiezo uit den boze zijn telnet en netbios. Deze dien je dus zeker te vermijden. Netbios gebruik je tbv browsen naar je interne netwerk PC's en voor telnet is ssh het veiligeige alternatief waarbij alle data encrypted wordt verstuurd.

Anoniem: 19137 schreef op dinsdag 03 maart 2009 @ 17:52:
Je bent nooit 100% safe maar 2 services die zowiezo uit den boze zijn telnet en netbios.

1) Het boeit opzich niet of die services draaien, als je weet dat je ze veilig hebt ingericht.
2) In het geval gaat het de TS (lijkt me) om Ubuntu, waar je dus al spreekt over daemons, en niet zoveel te maken hebt met NetBIOS / andere "Windows" lekken.

Het draaien van een dienst kan je alleen doen als je de dienst voldoende kent. Of dit nou telnet, netbios, ssh of andere software is.

Ik draai liever een telnet service onder windows, met een stevig wachtwoord, icm dat ik de dienst nooit gebruik waardoor hij niet zomaar te sniffen is. Wat je niet wil is een sshd onder linux, waar root logins toegestaan zijn, en je geen password hebt.

Security gaat dus niet om specifieke diensten, maar om een totaalplaatje. Waar je natuurlijk de diensten compleet moet kennen (alle ins en outs) zodat je deze veilig kan inrichten. Je kan 1 pakket totaal dichttimmeren, als je 3 andere softwarepaketten onveilig laat, dan vraag ik me af waarom je de moeite steekt om het 1e pakket veilig te houden?

Anoniem: 265089 schreef op woensdag 04 maart 2009 @ 16:56:
En als ik nou alleen een ventrilo server draai?
Dat is toch al beveiligd van zichzelf?

Moet ik onthouden dat Ventrilo de rest van mijn pc beveiligd.

Zonder dollen, je moet natuurlijk je Ubuntu configureren dat er zo min mogelijk schade gedaan kan worden aan die pc/pcs in netwerk