Beste GoT'ers,
Situatie
Ik heb op 2 locaties een servertje staan waarop een rits aan applicaties draait (onafhankelijk van elkaar). Deze applicaties zijn veelal toegankelijk via een webinterface, toegang geschied via het interne netwerk (LAN) en via internet.
Middels een intranet zijn alle webinterfaces aan elkaar gelinkt. De bedoeling is dat het intranet+applicaties vanuit het LAN toegankelijk zijn zonder autorisatie, wordt het vanaf het internet benaderd dient er te worden ingelogd. Deze opzet draait al een tijdje naar volle tevredenheid, maar ik begin nu toch wat twijfels te krijgen over de veiligheid van het systeem.
Openstaande poorten:80 (HTTP) + 5900/5800 (VNC)
Webserver: Apache (onderdeel van WAMP suite) versie 2.2.11
OS: Win XP SP3
XP firewall + MSE
Alle webapplicaties draaien intern op verschillende poorten, maar dmv een proxy wordt dit allemaal achter poort 80 gegooid op verschillende subdomeinen. Een van de proxydefinities uit httpd.conf:
Authentificatie vanaf internet wordt gedaan door de Apache Digest Authentificatie module.
Directe aanleiding is een vreemde log, iemand uit Brazilie heeft vannacht 2 keer ingelogd op een van de servers. Dit is geen login die door een van de gerechtige users is gedaan.
Vragen
- In hoeverre is de Apache Digest Authentificatie loginmodule voldoende veilig?
- Levert de login-uitzondering voor een specifiek IP op deze manier een veiligheidsrisico op? IP-spoofing is een mogelijkheid, echter zal de request dan wel aankomen en doorgelaten worden maar het antwoord van de server komt dan nooit terug bij de hackert.
- Is de Apache install uit de WAMP suite veilig genoeg voor gebruik? De versies lopen hierin altijd wat achter, is het noodzakelijk immer en altijd de nieuwste versie te draaien? Of is voor dit basic-gebruik een oudere versie geen ramp.
- Is de XP firewall + MSE afdoende voor een server die 24/7 aanstaat met poort 80+VNC open?
- Zijn er andere zaken die noodzakelijk zijn voor een veilige omgeving en die ik waarschijnlijk niet op orde heb?
De data op het intranet is niet top-secret, maar graag wil ik het wel volledig voor de rechmatige gebruikers houden. Er kan wel veel gekloot worden met de instellingen in de diverse apps, dat wil ik ook vermijden.
Alvast bedankt!
Situatie
Ik heb op 2 locaties een servertje staan waarop een rits aan applicaties draait (onafhankelijk van elkaar). Deze applicaties zijn veelal toegankelijk via een webinterface, toegang geschied via het interne netwerk (LAN) en via internet.
Middels een intranet zijn alle webinterfaces aan elkaar gelinkt. De bedoeling is dat het intranet+applicaties vanuit het LAN toegankelijk zijn zonder autorisatie, wordt het vanaf het internet benaderd dient er te worden ingelogd. Deze opzet draait al een tijdje naar volle tevredenheid, maar ik begin nu toch wat twijfels te krijgen over de veiligheid van het systeem.
Openstaande poorten:80 (HTTP) + 5900/5800 (VNC)
Webserver: Apache (onderdeel van WAMP suite) versie 2.2.11
OS: Win XP SP3
XP firewall + MSE
Alle webapplicaties draaien intern op verschillende poorten, maar dmv een proxy wordt dit allemaal achter poort 80 gegooid op verschillende subdomeinen. Een van de proxydefinities uit httpd.conf:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
| # Intranet
<VirtualHost *:80>
ServerName framework.domein.nl
DocumentRoot C:/Applicaties/WAMP/www/
<Directory C:/Applicaties/WAMP/www/>
AuthUserFile /Applicaties/WAMP/pwds/.htpasswd
AuthType Digest
AuthName "Inloggen aub"
require valid-user
order deny,allow
satisfy any
deny from all
allow from 81.207.***.***
</Directory>
</VirtualHost>
# Applicatie1
<VirtualHost *:80>
ServerName applicatie1.domein.nl
ProxyPass / http://192.168.2.150:7000/
ProxyPassReverse / http://192.168.2.150:7000/
<Proxy *>
AuthUserFile /Applicaties/WAMP/pwds/.htpasswd
AuthType Digest
AuthName "Inloggen aub"
require valid-user
order deny,allow
satisfy any
deny from all
allow from 81.207.***.***
</Proxy>
</VirtualHost> |
Authentificatie vanaf internet wordt gedaan door de Apache Digest Authentificatie module.
Directe aanleiding is een vreemde log, iemand uit Brazilie heeft vannacht 2 keer ingelogd op een van de servers. Dit is geen login die door een van de gerechtige users is gedaan.
Vragen
- In hoeverre is de Apache Digest Authentificatie loginmodule voldoende veilig?
- Levert de login-uitzondering voor een specifiek IP op deze manier een veiligheidsrisico op? IP-spoofing is een mogelijkheid, echter zal de request dan wel aankomen en doorgelaten worden maar het antwoord van de server komt dan nooit terug bij de hackert.
- Is de Apache install uit de WAMP suite veilig genoeg voor gebruik? De versies lopen hierin altijd wat achter, is het noodzakelijk immer en altijd de nieuwste versie te draaien? Of is voor dit basic-gebruik een oudere versie geen ramp.
- Is de XP firewall + MSE afdoende voor een server die 24/7 aanstaat met poort 80+VNC open?
- Zijn er andere zaken die noodzakelijk zijn voor een veilige omgeving en die ik waarschijnlijk niet op orde heb?
De data op het intranet is niet top-secret, maar graag wil ik het wel volledig voor de rechmatige gebruikers houden. Er kan wel veel gekloot worden met de instellingen in de diverse apps, dat wil ik ook vermijden.
Alvast bedankt!