Toon posts:

Distributie server over HTTPS

Pagina: 1
Acties:

donderdag 16 april 2009 15:35

Acties:

Verwijderd

Topicstarter
Hoi,

Ons bedrijf heeft ongeveer 120 web-servers verspreid over het hele land die mijn team onderhoudt. Dit gebeurt door een remote connectie. Het onderhouden vergt veel tijd want iedere dag moeten we ongeveer 30MB aan bestanden oversturen. De remote connecties varieeren van RAS (geloof het of niet) en VPN.

Aangezien de web-servers bij onze klanten staan en die klanten de DMZ waar de web-server staat het liefst zo dicht mogelijk timmeren hebben we geen mogelijkheid om een FTP connectie op te zetten en ook niet om porten te openen. We zijn dus afhankelijk van de VPN connectie of van de aanwezige HTTPS connectie.

Ik heb geexperimenteerd met WebDAV en dat werkte perfect. Echter, na een penetration test bleek er zoveel dingen naar voren te komen (HTTP PUT enabled etc) die als critical worden beschouwd dat dat dus uitgeschakeld moest worden.

Ik ben dus op zoek naar een methode waarbij ik of automatisch bestanden via HTTPS via een centrale server naar alle web-servers kan sturen of een methode waar alle web-servers bestanden van een centrale server kunnen downloaden, via HTTPS.

Is er iemand die hier ervaring mee heeft?
Bedankt.

donderdag 16 april 2009 15:38

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

BITS 2.0 ( http://msdn.microsoft.com/en-us/library/aa362708(VS.85).aspx ) of LiveSync :)

[ Voor 58% gewijzigd door alt-92 op 16-04-2009 15:40 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 20 april 2009 14:53

Acties:

Verwijderd

Topicstarter
alt-92 schreef op donderdag 16 april 2009 @ 15:38:
BITS 2.0 ( http://msdn.microsoft.com/en-us/library/aa362708(VS.85).aspx ) of LiveSync :)
Bedankt voor de tip. Ik heb gekeken naar BITS maar ik vind het nogal moeilijk configureerbaar, zeker zonder GUI.

Is er geen WSUS achtige applicatie die dit kan?

maandag 20 april 2009 14:55

Acties:
  • Spockz
  • Registratie: Augustus 2003
  • Laatst online: 23-01 15:36

Spockz

Live and Let Live

Je zegt dat je op sommige machines VPN hebt. Kun je dan niet voor die interface alle dingen open zetten? En er dan voor zorgen dat je alleen met de goede certificates en passwords op dat netwerk komt? Dan kan je verder overal bij en hoef je geen poorten te forwarden e.d..

C'est le ton qui fait la musique. | Blog | @linkedin
R8 | 18-55 IS | 50mm 1.8 2 | 70-200 2.8 APO EX HSM | 85 1.8

maandag 20 april 2009 15:00

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op maandag 20 april 2009 @ 14:53:

Is er geen WSUS achtige applicatie die dit kan?
Waar denk je dat WindowsUpdate (en dus ook WSUS) onderhuids gebruik van maakt? :)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 20 april 2009 16:20

Acties:

Verwijderd

Topicstarter
alt-92 schreef op maandag 20 april 2009 @ 15:00:
[...]

Waar denk je dat WindowsUpdate (en dus ook WSUS) onderhuids gebruik van maakt? :)
Dat weet ik maar volgens maakt WSUS wel gebruik van een GUI. :)

maandag 20 april 2009 16:55

Acties:

Verwijderd

Als ik het goed begrijp moet je 30mb aan data overbrengen naar 120 servers allemaal gekoppeld via vpn/ras of anders https. Ik denk overigens dat hier alleen een connectie naar die servers toegestaan is, en vanaf die die servers wordt geen https connectie toegestaan (test door te browsen vanaf zo'n pc). Je enige optie zou dan dus http put enablen zijn. (als http connecties wel toegestaan zijn > gnu wget is handig tooltje)

Je kan natuurlijk heel makkelijk een scriptje maken die deze 120 connecties opzet (vanaf een desktop os overigens slechts 2 vpn connecties tegerlijk toegestaan) en de files automatisch kopieert.

vb script:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

for /f "tokens=1,2,3" %%a in (connectionlist.txt) do call :copynow %%a %%b %%c
goto :eof

:copynow
rem ----------------------------------------------------------------------------
rem Set connection specific settings.
rem ----------------------------------------------------------------------------
set STR_CONNECTION=%1
set STR_USER=%2
set STR_PASSWORD=%3

rem ----------------------------------------------------------------------------
rem Make connection.
rem ----------------------------------------------------------------------------
rasdial %STR_CONNECTION% %STR_USER% %STR_PASSWORD%

:: doe je ding.

rasdial %STR_CONNECTION% /disconnect
goto :eof


in connectionlist.txt staan de volgende zaken per regel (geen spaties in namen gebruiken :))
VPNNameInMyNetworkPlaces UserName PassWord

Een tweede oplossing is een permanente verbinding op te houden. Alhoewel je misschien in de problemen komt doordat er meerdere klanten hetzelfde subnet gebruiken (permanent werkt dus niet vanaf een client os vanwege de max-2-vpn-restrictie).


Een andere oplossing is ftp-s op te zetten, maar daar moet je wel iets voor openzetten. Maar wie weet staan ze ftps wel toe. En gewoon zeggen dat je anders de passwords in cleartext op hebt geslagen en dat deze oplossing gewoon veiliger is :)
(edit: in dit geval dus een pull vanaf de webservers regelen ipv een push naar de webservers toe, maar ik denk dat je dat ook wilt inregelen).

[ Voor 4% gewijzigd door Verwijderd op 20-04-2009 17:02 ]

dinsdag 21 april 2009 11:58

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op maandag 20 april 2009 @ 16:55:
Als ik het goed begrijp moet je 30mb aan data overbrengen naar 120 servers allemaal gekoppeld via vpn/ras of anders https. Ik denk overigens dat hier alleen een connectie naar die servers toegestaan is, en vanaf die die servers wordt geen https connectie toegestaan (test door te browsen vanaf zo'n pc). Je enige optie zou dan dus http put enablen zijn. (als http connecties wel toegestaan zijn > gnu wget is handig tooltje)
De connectie moet via HTTPS en http put is niet toegestaan aangezien dat allemaal alarmbellen laat rinkelen als ik een penetration test uitvoer. Overigens maakt het niet uit of ik de web-server bestanden laat downloaden van een distributie server of dat een distributie server bestaan naar de web-server upload.
Je kan natuurlijk heel makkelijk een scriptje maken die deze 120 connecties opzet (vanaf een desktop os overigens slechts 2 vpn connecties tegerlijk toegestaan) en de files automatisch kopieert.

vb script:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

for /f "tokens=1,2,3" %%a in (connectionlist.txt) do call :copynow %%a %%b %%c
goto :eof

:copynow
rem ----------------------------------------------------------------------------
rem Set connection specific settings.
rem ----------------------------------------------------------------------------
set STR_CONNECTION=%1
set STR_USER=%2
set STR_PASSWORD=%3

rem ----------------------------------------------------------------------------
rem Make connection.
rem ----------------------------------------------------------------------------
rasdial %STR_CONNECTION% %STR_USER% %STR_PASSWORD%

:: doe je ding.

rasdial %STR_CONNECTION% /disconnect
goto :eof


in connectionlist.txt staan de volgende zaken per regel (geen spaties in namen gebruiken :))
VPNNameInMyNetworkPlaces UserName PassWord

Een tweede oplossing is een permanente verbinding op te houden. Alhoewel je misschien in de problemen komt doordat er meerdere klanten hetzelfde subnet gebruiken (permanent werkt dus niet vanaf een client os vanwege de max-2-vpn-restrictie).
Helaas wordt de VPN connectie beheerd door de klant en in de meeste gevallen is de connectie by default disabled.
Een andere oplossing is ftp-s op te zetten, maar daar moet je wel iets voor openzetten. Maar wie weet staan ze ftps wel toe. En gewoon zeggen dat je anders de passwords in cleartext op hebt geslagen en dat deze oplossing gewoon veiliger is :)
(edit: in dit geval dus een pull vanaf de webservers regelen ipv een push naar de webservers toe, maar ik denk dat je dat ook wilt inregelen).
FTP is niet toegestaan. Het zou zoveel makkelijker zijn als wij de web-servers zouden hosten maar helaas.
Ik heb trouwens ook gekeken naar WebEx en dat werkt wel ideaal. Alleen gebruikt WebEx allerlei extra poorten (buiten 443 om) en dat is dan weer lastig te organiseren.

dinsdag 21 april 2009 12:10

Acties:
  • teh_twisted
  • Registratie: Oktober 2005
  • Laatst online: 30-07-2025

teh_twisted

worden er porten geblokkeerd of protocols?
indien 't alleen poorten zijn kan je een ssh2 sessie oplaten bouwen vanaf die kant naar de server voor 't ophalen van bestanden.
of een tunneltje... of gewoon gelijk laten ophalen :)

Tyan S7025, 1x Xeon E5520, 32GB DDR3-1333 ECC/REG, GTX275 896MB, 2x Samsung SM 2243SN, Logitech Perf MX. Laptop: MBP 10,1/6,2. Cams: Canon EOS600D+Tamron AF18-200, Sony W350. Gadgets: iPad 64GB 3G, iPhone 5 64GB, PS1-3. Auto: W211 E220CDI

woensdag 22 april 2009 10:20

Acties:
  • Aikon
  • Registratie: Februari 2001
  • Niet online

Aikon

Verwijderd schreef op dinsdag 21 april 2009 @ 11:58:
[...]
FTP is niet toegestaan. Het zou zoveel makkelijker zijn als wij de web-servers zouden hosten maar helaas.
Ik heb trouwens ook gekeken naar WebEx en dat werkt wel ideaal. Alleen gebruikt WebEx allerlei extra poorten (buiten 443 om) en dat is dan weer lastig te organiseren.
Je kent het verschil tussen FTP en FTPS, want FTPS is wel veilig i.t.t. FTP. :)

woensdag 22 april 2009 15:25

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Daar zul je dus wel alle betrokken beheerders, organisaties en externe afnemers van moeten overtuigen ;)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq