[Security] Veiligheids risico webservers in netwerk - Netwerken

dinsdag 3 juni 2003 14:05

Acties:

Moderator SSC/PB

Moooooh!

Topicstarter

Ik heb een netwerk welke er als volgt uitziet:

Servers
Windows 2000 Server
- DNS
- Wins

Windows 2000 Server
- Exchange 2000

Windows 2000 Server
- DNS
- Wins
- IAS

Windows NT4 Server
- DHCP

Clients
Windows 95, NT4 en Windows 2000
- DHCP enabled
- in domein

Netwerk
Cisco PIX515E firewall
2 Cisco Catalyst switches
5 Cisco hubs
Totaal ~150 poorts

NAT is geïmplementeerd en er is een statische mapping gemaakt voor OWA op de Exchangebak. Er zijn nog een paar IP-adressen beschikbaar.

Op de firewall zijn de volgende restricties aangebracht:
- gebruikers alleen HTTP en HTTPS naar buiten
- servers uitgezonderd
- van buiten naar binnen alleen van 1 adres (outside) naar de Exchangeserver (inside) over HTTPS

Nu vraag ik me af hoe ik het risico moet inschatten van het openstellen van mijn netwerk voor OWA. Er kan alleen HTTP(s) verkeer naar de server en deze is steeds keurig gepatched maar wat als die gehackt wordt? Hoeveel mogelijkheden heeft een hacker wanneer hij de server over kan nemen. Ik ga er vanuit dat dit niet onmogelijk is tenminste. Overigens zijn de gebruikes vrij slordig met hun wachtwoorden dus het is niet ondenkbaar dat er iemand kan doordringen tot de OWA.

Ook overweeg ik om opnze website zelf te gaan hosten, om praktische redenen. Dan zou ik een standaard Linux-machine neerzetten met Apache er op. Op deze machine zou ik naast poort 80 ook 21 voor updates per ftp open zetten. Tot veel meer dan dit ben ik op Linux gebied namelijk niet in staat. Vervolgens op de firewall een extern IP-adres met de webserver mappen en een rule aanmaken dat er alleen over HTTP verkeer naar toe mag.

Mijn vraag is eigenlijk, welk risico loop ik hiermee. Ik stel 1 en later 2 servers open voor het publiek maar wat kunnen de gevolgen zijn als de beveiliging faalt.

Exchange en Office 365 specialist. Mijn blog.

dinsdag 3 juni 2003 14:29

Acties:

djluc

Waarom wil je in dit Windows netwerk een Linux servertje op gaan zetten. Ik neem aan dat je met zo'n netwerkje veel meer verstand hebt van Windows, dus veiliger is dit waarschijnlijk omdat de meeste fouten gemaakt worden door de beheerder en niet de software.

dinsdag 3 juni 2003 14:36

Acties:

Verwijderd

Iedere server in je interne netwerk die je van buitenaf bereikbaar maakt, vormt een security-risk. Mochten mensen met kwade bedoelingen namelijk op die bak terechtkomen, dan zitten ze al op je interne netwerk, en kunnen ze vrij makkelijk naar de rest van de machines migreren (althans: waarschijnlijk makkelijker dan het was om in eerste instantie op die ene machine terecht te komen).

Je hebt het volgens mij al redelijk dicht zitten, maar er blijft nog altijd een gevaar, zeker als het gaat om web- of andere IIS-servers (en OWA gebruikt ook een IIS-server).

Wat ik zou doen is een DMZ opzetten, en daar de web-, ftp- en OWA-servers in stoppen. Mochten die dingen dan onverhoopt gehacked worden, kunnen zo nog weinig doen, aangezien er nog een security-boundary tussen die servers en het interne netwerk zit.

Ik ken de PIX persoonlijk niet, maar dat ding kan vast een DMZ-segment hebben, dan kan je het nog voor elkaar krijgen zonder aanschaf van extra hardware ook...

Hope it helps...

woensdag 4 juni 2003 12:01

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Topicstarter

djluc schreef op 03 June 2003 @ 14:29:
Waarom wil je in dit Windows netwerk een Linux servertje op gaan zetten. Ik neem aan dat je met zo'n netwerkje veel meer verstand hebt van Windows, dus veiliger is dit waarschijnlijk omdat de meeste fouten gemaakt worden door de beheerder en niet de software.

Tja, mijn gevoel zegt dat een slecht opgezette Linux webserver veiliger is dan een goed opgezette IIS. Maar ik kan er naast zitten natuurlijk. Het scheelt natuurlijk ook weer een extra Windows 2000 Server licentie maar die kosten mogen niet de doorslag geven.

Verwijderd schreef op 03 June 2003 @ 14:36:
Ik ken de PIX persoonlijk niet, maar dat ding kan vast een DMZ-segment hebben, dan kan je het nog voor elkaar krijgen zonder aanschaf van extra hardware ook...

Ja, daar heb ik ook aan gedacht. Een DMZ is batuurlijk mogelijk op een Cisco PIX515E maar dan moet je wel een extra Ethernet-interface kopen. Maar die is niet zo duur dus dat is zeker een optie.

Exchange en Office 365 specialist. Mijn blog.

woensdag 4 juni 2003 14:03

Acties:

Predator

Suffers from split brain

NT -> PNS

Everybody lies | BFD rocks ! | PC-specs

woensdag 4 juni 2003 15:12

Acties:

axis

Jazzy schreef op 04 June 2003 @ 12:01:
[...]
Tja, mijn gevoel zegt dat een slecht opgezette Linux webserver veiliger is dan een goed opgezette IIS. Maar ik kan er naast zitten natuurlijk. Het scheelt natuurlijk ook weer een extra Windows 2000 Server licentie maar die kosten mogen niet de doorslag geven.

een out-of-the box linux server waarvan je niet weer hoe je iets moet beveiligen is in jouw optiek veiliger dan een IIS die je helemaal dichtpatched? Nou sorry, maar daar ben ik het dus echt niet mee eens...

Ik zou het lekker zo houden, maarja, wie ben ik... Een DMZ kan ook, je kan in Exchange server ook een front-end server en een back-end server instellen, waarbij je de front-end server in de DMZ zet. Zo raadt MS het aan.. Maarja, extra win2k, + extra Exchange licentie..

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

woensdag 4 juni 2003 15:14

Acties:

mutsje

Certified Prutser

Wat je ook kan doen is een lichtere machine neerzetten als Front-end server in je DMZ en deze naar je Back-end server in je lan laten verwijzen. Op deze manier komt men niet op jou exchange server. Een Strippen van IIS is ook een optie. dat je in je default website alleen die 4 extensies overhoud die jij nodig hebt zie http://www.datacrash.net/viewtopic.php?t=57

offtopic:
Deze IIS server waardit op draait is compleet gestript. Alle virtual ellende die default van IIS is is er ook van gehaald. Wil je dit weten moet je me maar ff mailen stuur ik je wel een prntscr.

woensdag 4 juni 2003 16:15

Acties:

Verwijderd

iis lockdown tool doet dat in principe ook... (tenminste de urlscan, die in de lockdowntool zit)
maar idd de extensie mappings verwijderen levert het meest zekere resultaat.

woensdag 4 juni 2003 22:17

Acties:

Maarten @klet.st

Jazzy schreef op 04 June 2003 @ 12:01:

[...]
Ja, daar heb ik ook aan gedacht. Een DMZ is batuurlijk mogelijk op een Cisco PIX515E maar dan moet je wel een extra Ethernet-interface kopen. Maar die is niet zo duur dus dat is zeker een optie.

Aangezien je al een PIX hebt staan zou ik die zeker gebruiken om een DMZ te creeeren. Mocht je webserver dan gehacked worden dan blijft het risisco beperkt tot de machines in de DMZ (gesteld dat je geen rare regels richting je inside hebt).

Of je een linux machine met apache moet gebruiken is maar helemaal de vraag. Hoe vervelend ik het zelf vind om te zeggen, Linux met Apache is haast meer 'exploit' prone dan Windows 2000 met IIS. Hoe vaak je Apache niet moet patchen tegenwoordig. Zeker als je niet zo into Linux/Apache bent mis je gemakkelijk een keer een vulnerabillity. Gezien het netwerk gok ik dat je meer ervaring met Windows hebt, dus kun je beter een Windows doos gebruiken die goed gepatched is.
Als alternatief voor beiden OS-en geldt dat je kunt overwegen een wat minder vaak gebruikte webserver te kiezen, waarvoor dus ook minder vulnerabillities voor uitkomen. Je kunt het scharen onder security-trough-obscurity, maar er valt wat voor te zeggen..

donderdag 5 juni 2003 11:02

Acties:

Verwijderd

Linux met Apache is haast meer 'exploit' prone dan Windows 2000 met IIS. Hoe vaak je Apache niet moet patchen tegenwoordig. Zeker als je niet zo into Linux/Apache bent mis je gemakkelijk een keer een vulnerabillity.

weeeee

Als alternatief voor beiden OS-en geldt dat je kunt overwegen een wat minder vaak gebruikte webserver te kiezen, waarvoor dus ook minder vulnerabillities voor uitkomen. Je kunt het scharen onder security-trough-obscurity, maar er valt wat voor te zeggen..

dit houdt alleen scriptkiddies tegen... in de minder vaak gebruikte webservers zitten vaak slechte implemnetaties waardoor ze door iemand met verstand van zaken best snel onderuit te schoppen zijn

zondag 8 juni 2003 11:00

Acties:

Maarten @klet.st

Verwijderd schreef op 05 June 2003 @ 11:02:

[...](was iets over niet veel gebruikte webserver software gebruiken)

dit houdt alleen scriptkiddies tegen... in de minder vaak gebruikte webservers zitten vaak slechte implemnetaties waardoor ze door iemand met verstand van zaken best snel onderuit te schoppen zijn

En hoe groot denk je dat de kans is dat iemand, om jouw website te hacken, die software gaan reverse engineeren/source code uitpluizen om een vulnerabillity te vinden? 99,99% (of meer) van alle website hacks wordt door middel van scripts gedaan, gebasseerd op 'bekende' vulnerabilities. De kans dat je daar mee te maken krijgt is vele malen groter dan dat een serieuze hacker jou als interessant genoeg target ziet om de door jou gebruikte software uit te gaan pluizen.

Uiteraard moet je niet een of ander stuk software gebruiken dat brak overkomt, maar wel een beetje kijken hoe h.e.e.a. in elkaar zit. Roxen is bijvoorbeeld een aardige keuze, of desnoods WN. Niet alles dat geen Apache of IIS heet is brak.

Voor alle software geldt dat als het er niet in zit het ook niet stuk kan gaan. SSL support, PHP/ASP support, java servlets, prachtig allemaal, maar als je het niet nodig hebt kan je er maar beter voor zorgen dat het er niet is, dan kan het ook niet stuk

zondag 8 juni 2003 13:04

Acties:

mutsje

Certified Prutser

Daarom melde ik ook dat je alle extensies uit de default website moet slopen. Zeker de site waar TS Exchange2000 op heeft draaien. Je kunt best met IISX werken als je maar de juiste tools en security implementeerd erop. Dan hebben scriptkidies al geen kans meer.

Nog mooier is als TS nog een klein budgetgaatje heeft om een simpele machine in te zetten en deze als Front-end Exchange2000 in zet. Hier staan namelijk geen mailboxen op maar is alleen puur doorgeef luik naar de Back-end server.

En vreemde webservers gaan implementeren helaas pindakaas Exchange2000 heeft IISX nodig met NNTP. Zonder IIS op de server waar je Exchange2000 wilt gaan installeren krijg je allemaal leuke vage foutmeldingen omdat de installer geen virtual directorys aan kan maken.

zondag 8 juni 2003 13:43

Acties:

Zwelgje

mutsje schreef op 08 June 2003 @ 13:04:
Daarom melde ik ook dat je alle extensies uit de default website moet slopen. Zeker de site waar TS Exchange2000 op heeft draaien. Je kunt best met IISX werken als je maar de juiste tools en security implementeerd erop. Dan hebben scriptkidies al geen kans meer.

Nog mooier is als TS nog een klein budgetgaatje heeft om een simpele machine in te zetten en deze als Front-end Exchange2000 in zet. Hier staan namelijk geen mailboxen op maar is alleen puur doorgeef luik naar de Back-end server.

En vreemde webservers gaan implementeren helaas pindakaas Exchange2000 heeft IISX nodig met NNTP. Zonder IIS op de server waar je Exchange2000 wilt gaan installeren krijg je allemaal leuke vage foutmeldingen omdat de installer geen virtual directorys aan kan maken.

als jij met frontend/backend servers wilt gaan werken binnen exchange moet je de enterprise edition hebben en niet de standard versie... en ja die is wel behoorlijk duurder dan de standard versie,

denk dat ie daar het budget niet voor heeft

waarom niet gewoon een ISA server gebruiken om op een veilige manier je OWA te publishen (met FR1 kun je dit veilig doen)

A wise man's life is based around fuck you

zondag 8 juni 2003 14:26

Acties:

jep

Linux met Apache is haast meer 'exploit' prone dan Windows 2000 met IIS. Hoe vaak je Apache niet moet patchen tegenwoordig.

1 Maal, in lange tijd.

zondag 8 juni 2003 14:46

Acties:

Maarten @klet.st

jep schreef op 08 juni 2003 @ 14:26:
[...]
1 Maal, in lange tijd.

Dat hangt er maar vanaf wat je lang noemt. Als ik zo eens op
http://www.apacheweek.com/features/security-13 en
http://www.apacheweek.com/features/security-20 kijk
dan kan ik me de meeste upgrades nog voor de geest halen.
En dan hadden we ook nog de OpenSSL update vorig jaar en een
paar PHP updates.

Volgens mij zijn dat er haast meer dan de relevante updates die ik
zo op http://www.microsoft.com/...ity_bulletins/archive.asp
zie staan.

Als gezegd, bovenstaande is niet iets waar ik persoonlijk blij mee ben,
maar het is wel realistisch om te zeggen dat Apache z'n fair share aan
lekken gehad heeft de afgelopen tijd. Dat is op zich ook niet zo gek,
apache 1.3.27 bestaat uit meer dan 4,5 MB sourcecode. Zoveel code,
daar moeten haast fouten in zitten

zondag 8 juni 2003 14:50

Acties:

jep

Als je daar even goed naar kijkt zijn er effectief maar weinig echte remote lekken op een standaard Apache + Linux installatie.

zondag 8 juni 2003 14:51

Acties:

Zwelgje

jep schreef op 08 June 2003 @ 14:26:
[...]

1 Maal, in lange tijd.

versie 2.0 dit jaar al 6 keer overigens...

A wise man's life is based around fuck you

zondag 8 juni 2003 14:52

Acties:

mutsje

Certified Prutser

hmmm toch eens opzoek naar enterprise edition moet hier ook nog front-end implementeren.

zondag 8 juni 2003 14:53

Acties:

jep

zwelgje schreef op 08 June 2003 @ 14:51:
[...]

versie 2.0 dit jaar al 6 keer overigens...

Ik heb 't hier dan wel over versie 1.3.*.

dinsdag 10 juni 2003 12:10

Acties:

Verwijderd

Maarten.O schreef op 08 June 2003 @ 11:00:
[...]

En hoe groot denk je dat de kans is dat iemand, om jouw website te hacken, die software gaan reverse engineeren/source code uitpluizen om een vulnerabillity te vinden? 99,99% (of meer) van alle website hacks wordt door middel van scripts gedaan, gebasseerd op 'bekende' vulnerabilities. De kans dat je daar mee te maken krijgt is vele malen groter dan dat een serieuze hacker jou als interessant genoeg target ziet om de door jou gebruikte software uit te gaan pluizen.

Uiteraard moet je niet een of ander stuk software gebruiken dat brak overkomt, maar wel een beetje kijken hoe h.e.e.a. in elkaar zit. Roxen is bijvoorbeeld een aardige keuze, of desnoods WN. Niet alles dat geen Apache of IIS heet is brak.

als je alleen bang bent voor scriptkiddies kan je net zo goed iis of apache gebruiken en patches bijhouden.

Voor alle software geldt dat als het er niet in zit het ook niet stuk kan gaan. SSL support, PHP/ASP support, java servlets, prachtig allemaal, maar als je het niet nodig hebt kan je er maar beter voor zorgen dat het er niet is, dan kan het ook niet stuk

alleen ssl en asp zit automatisch in iis... als je ssl niet gebruikt waarom zou je dan in port 443 forwarden (oftewel het boeit niet of dit erin zit of niet, alleen maar makkelijk lijkt me). asp kan je uitzetten met de extensie mappings, zoals al aangegeven was. (edit: in iis6 moet je asp aanzetten als je dat nodig hebt)

[ Voor 3% gewijzigd door Verwijderd op 10-06-2003 12:14 ]

dinsdag 10 juni 2003 12:17

Acties:

DiedX

Verwijderd schreef op 10 juni 2003 @ 12:10:
[...]

alleen ssl en asp zit automatisch in iis... als je ssl niet gebruikt waarom zou je dan in port 443 forwarden (oftewel het boeit niet of dit erin zit of niet, alleen maar makkelijk lijkt me). asp kan je uitzetten met de extensie mappings, zoals al aangegeven was. (edit: in iis6 moet je asp aanzetten als je dat nodig hebt)

Erm, en hoe denk jij over je printer-bindings dan?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

dinsdag 10 juni 2003 13:17

Acties:

Verwijderd

ik reageerde alleen op de dingen die hij opnoemde

volgens mij kan je .printer ook gewoon weghalen (weet ik niet zeker aangezien ik het op geen van mijn systemen .printer heb

)
maar dat is iig ook uit te zetten met urlscan

[ Voor 41% gewijzigd door Verwijderd op 10-06-2003 13:25 ]

dinsdag 10 juni 2003 13:26

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Topicstarter

Als topicstarter zal ik nu maar eens reageren. Bedankt voor de interessante replies trouwens, die move naar PNS was een goed idee

.

Wat de webserver betreft, ik denk inderdaad dat een goed beveiligde ISS een beter idee is dan een ongepatchte Linux-doos. Zeker gezien de tips die genoemd zijn. In dat geval is het wel zo dat gezien de extra kosten aan software-licenties het net zo makkelijk/duur is om de hosting uit te laten besteden. Onze huidige hosting loopt namelijk af, vandaar dat ik overwoog om dit in huis te gaan doen.

Qua backend/frontend, ik gebruik inderdaad niet de Enterprise-versie van Exchange. Ik weet niet wat de kosten van een upgrade bedragen dus ik kan niet zo goed inschatten of dit een aantrekkelijke oplossing is. Ik hou er rekening mee dat dit over the top is.

Een DMZ opzetten is mogelijk met een PIX515 alleen je hebt een extra interfacemodule nodig maar die kost maar 150,- euro. Nu vraag ik me alleen even af wat het nut van een DMZ is als ik de Exchange en OWA (ISS) niet uit elkaar kan trekken maar op dezelfde machine houd. Ik kan wel een 2e nic toevoegen en ISS op die nic laten luisteren maar dan heb ik nog steeds hetzelfde veiligheidsrisico, namelijk wanneer iemand binnen is dan is hij gelijk helemaal binnen. Of mis ik iets?

Exchange en Office 365 specialist. Mijn blog.

dinsdag 10 juni 2003 15:43

Acties:

Verwijderd

je gaat dan inderdaad voorbij aan je doel denk ik...

dinsdag 10 juni 2003 19:14

Acties:

mutsje

Certified Prutser

Je kunt ook ISA er tussen plaatsen als "filter" firewall. een echte firewall kun je het niet noemen. Maar ik denk als je je IIS al stript je en de hele boel goed patched je al genoeg secure voor aanvallen van scriptkiddies bent.

Wil je echt bakken geld uit geven ga je voor dubbele dmz en front en back-end servers.. maar dat kost klauwen vol geld en of het nou zo nodig is..

dinsdag 10 juni 2003 19:15

Acties:

Zwelgje

mutsje schreef op 10 June 2003 @ 19:14:
Je kunt ook ISA er tussen plaatsen als "filter" firewall. een echte firewall kun je het niet noemen. Maar ik denk als je je IIS al stript je en de hele boel goed patched je al genoeg secure voor aanvallen van scriptkiddies bent.

Wil je echt bakken geld uit geven ga je voor dubbele dmz en front en back-end servers.. maar dat kost klauwen vol geld en of het nou zo nodig is..

waarom is ISA Server 2000 geen 'echte' firewall in jouw ogen

A wise man's life is based around fuck you

dinsdag 10 juni 2003 19:50

Acties:

mutsje

Certified Prutser

offtopic:
omdat het een software matige en geen hardware matige firewall is. Als je de wizzard gebruikt worden er soms ongewenst dingen open gezet waar je geen of weinig controle over hebt. Ook wil de wizard nog wel eens detours inbouwen dus om de firewall heen.... een klein foutje om zo maar te zeggen.

dinsdag 10 juni 2003 19:57

Acties:

Zwelgje

mutsje schreef op 10 June 2003 @ 19:50:

offtopic:
omdat het een software matige en geen hardware matige firewall is. Als je de wizzard gebruikt worden er soms ongewenst dingen open gezet waar je geen of weinig controle over hebt. Ook wil de wizard nog wel eens detours inbouwen dus om de firewall heen.... een klein foutje om zo maar te zeggen.

naja de discussie over hardware matige/software matige firewall hoeven we hier niet te starten... ALLE firewalls (cisco incluus) draaien op een een stuk software (IOS)

een dedicated windows 2000 met ISA erop (en dan ALLEEN maar met ISA erop, niks anders is net zo goed)

en tja, wie gebruikt er dan ook de wizards... daar moet je zo min mogelijk gebruik van maken, en altijd CHECKEN of je nog wel dicht zit

A wise man's life is based around fuck you

dinsdag 10 juni 2003 20:07

Acties:

Verwijderd

Die DMZ-optie heeft natuurlijk wel zin, want daarmee schakel je je servers wel "los" van je lan. Als je namelijk van dmz->lan geen nieuwe connecties toelaat (dat wil dus zeggen dat alleen vanaf het lan die verbinding op te zetten is) kan iemand je server wel "overnemen" maar komt hij/zij niet in je lan.

Nadeel van deze optie (met 1 gecombineerde server begrijp ik, ben geen ms-kenner) is dan wel dat iemand de data op je server kan bereiken. Als je intern helemaal geen servers meer zou hebben staan is het niet zo zinvol om deze DMZ-constructie te bouwen, maar ik neem aan dat je intern nog wel ergens een file/print-server hebt staan.

dinsdag 10 juni 2003 20:46

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Topicstarter

Verwijderd schreef op 10 June 2003 @ 20:07:
Die DMZ-optie heeft natuurlijk wel zin, want daarmee schakel je je servers wel "los" van je lan. Als je namelijk van dmz->lan geen nieuwe connecties toelaat (dat wil dus zeggen dat alleen vanaf het lan die verbinding op te zetten is) kan iemand je server wel "overnemen" maar komt hij/zij niet in je lan.

Het gaat om een Exchange mailserver met OWA. Het is wenselijk dat de 150 interne gebruikers kunnen blijven mailen

. En in een AD situatie is het ook de bedoeling dat de servers met elkaar kunnen praten.

Nadeel van deze optie (met 1 gecombineerde server begrijp ik, ben geen ms-kenner) is dan wel dat iemand de data op je server kan bereiken. Als je intern helemaal geen servers meer zou hebben staan is het niet zo zinvol om deze DMZ-constructie te bouwen, maar ik neem aan dat je intern nog wel ergens een file/print-server hebt staan.

Zoals je in mijn startpost hebt kunnen zien heb ik inderdaad nog wel een paar servers in het interne netwerk staan ja.

Tenzij iemand me kan vertellen waarom een DMZ wel zin heeft in mijn situatie (dus geen backend/frontend) denk ik dat ik het maar houd zoals het is. Ik ga de OWA server verder dichzetten met de tips die genoemd zijn en het hosten van de website hou ik maar lekker buiten de deur. Geen zorgen en geen gedoe met security.

Aan ISA server had ik al eerder gedacht omdat ik behoefte heb aan een caching proxy en meer grip wil hebben op het internetverkeer. Als ik dan de veiligheid van mijn OWA-server ook nog vergroot dan denk ik dat het wel mooi is. Nadeel is het prijskaartje + een extra 2000 Server en een extra machine. Maar ja, dan heb je ook wat

.

Exchange en Office 365 specialist. Mijn blog.

woensdag 11 juni 2003 09:56

Acties:

Verwijderd

zwelgje schreef op 10 June 2003 @ 19:15:
[...]

waarom is ISA Server 2000 geen 'echte' firewall in jouw ogen

ik laat me hier niet over uit, maar een nieuwe interface in de pix is goedkoper

edit: als je nog behoefte heeft aan een proxy is isa zeker te overwegen (isa licentie $1500 uit me hoofd; buiten win2k en extra machine idd)

[ Voor 24% gewijzigd door Verwijderd op 11-06-2003 09:58 ]

woensdag 11 juni 2003 21:40

Acties:

Maarten @klet.st

Verwijderd schreef op 10 juni 2003 @ 12:10:
[...]
als je alleen bang bent voor scriptkiddies kan je net zo goed iis of apache gebruiken en patches bijhouden.

Beetje late reactie, maar ok.

Je moet niet alleen bang zijn voor scriptkiddies, maar daar ligt het grootste gevaar (tenzij je een high-profile site draait natuurlijk). Dat je je IIS of Apache goed moet patchen waren we het wel over eens, het is alleen makkelijker om alles goed bij te houden als je wat meer ervaring/interesse in het betreffende platform hebt.

Jezelf wapenen tegen een 'high-profile' hack, dan volstaat patchen niet. Dan komt het meer op ervaring en logica aan. Niet standaard hacks zijn veelal het gevolg van niet-gebruikte of vergeten 'features' in een bepaalde setup. Denk aan voorbeeldscripts, tijdelijke dingetjes die zijn blijven staan of gewoon functionaliteit die je niet gebruikt. Een goeie hack ligt vaak verborgen in het gebruikt van een kleine futiliteit om bij de volgende te komen en zo steeds een beetje verder in het systeem. Een mooi voorbeeld is de beschreven hack van apache.org door Hardbeat en {} (http://www.dataloss.net/papers/how.defaced.apache.org.txt).

In een dergelijke situatie zullen patches je weinig helpen. Logica, je systeem van voor tot achter kennen en zelf proberen na te gaan welke consequenties bepaalde zaken/applicaties/features kunnen hebben kunnen dit soort dingen voorkomen. De vraag is of al die effort zinvol is als je het over www.dezoveelstewebsite.in.een.dozijn.nl hebt.

Om terug te komen op het topic: voor de OWA geldt natuurlijk veel eerder dat je een potentiele high-profile hack te pakken hebt. Een website hacken is voor velen veel minder aanlokkelijk dan de e-mail binnen een bedrijf kunnen lezen.

[ Voor 8% gewijzigd door Maarten @klet.st op 11-06-2003 21:42 ]

donderdag 12 juni 2003 08:14

Acties:

_JGC_

Jazzy schreef op 04 June 2003 @ 12:01:
[...]
Tja, mijn gevoel zegt dat een slecht opgezette Linux webserver veiliger is dan een goed opgezette IIS. Maar ik kan er naast zitten natuurlijk. Het scheelt natuurlijk ook weer een extra Windows 2000 Server licentie maar die kosten mogen niet de doorslag geven.
[...]
Ja, daar heb ik ook aan gedacht. Een DMZ is batuurlijk mogelijk op een Cisco PIX515E maar dan moet je wel een extra Ethernet-interface kopen. Maar die is niet zo duur dus dat is zeker een optie.

Een slecht opgezette Linux server veiliger dan een goed beveiligde windows server? Damn, jij hebt wel vertrouwen in je eigen werk zeg

Op de school waar ik wat systeembeheer aan een stel linux servers bijklus erger ik me blauw aan het onveilige gedoe van de servers hier: je loopt zo het netwerk binnen, hetzij via brak ingestelde redhat servers met lekke webmin services, hetzij via ongepatchte windows NT4 en Win2K servers. Voor zover ik kan zeggen zijn er maar 5 servers moeilijk in te nemen: de 5 stuks die wij hier beheren

(tijd over enzo, security paranoia, etc, dan wil dat wel

)

Als jij dat ding openzet, moet je gewoon de patches goed in de gaten houden, evt subscriben op een mailinglist zoals securityfocus en je zit redelijk veilig. Denk niet dat er veel crackers zijn die dan je netwerk binnenlopen.

zaterdag 28 juni 2003 10:15

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Topicstarter

* UPDATE *

Mede dankzij de reakties in dit topic heb ik besloten om de huidige situatie grofweg aan te houden. Webhosting blijf ik uitbesteden en een DMZ is niet echt handig omdat ik geen Exchange front-backend constructie kan maken. Wel heb ik de beveiliging van de OWA-server nog eens flink aangepakt.

Bedankt voor de replies!

Exchange en Office 365 specialist. Mijn blog.

maandag 30 juni 2003 15:46

Acties:

Verwijderd

Je kunt overwegen om een Windows 2003 Webserver Edition te gebruiken in je DMZ. Win 2k3 heeft IIS6. IIS6 van de grond af aan opnieuw gebouwd en vele male meer secure. Alle applicaties op IIS draaien in hun eigen aparte context. Daarnaast zijn er veel security-design-onvriendelijke zaken uit voorgaande IIS versies beter aangepakt. Dit houdt in dat exploits die in de toekomst aan het licht komen een veel kleinere impact zullen hebben.

maandag 30 juni 2003 15:59

Acties:

mutsje

Certified Prutser

Verwijderd schreef op 10 juni 2003 @ 13:17:
ik reageerde alleen op de dingen die hij opnoemde

volgens mij kan je .printer ook gewoon weghalen (weet ik niet zeker aangezien ik het op geen van mijn systemen .printer heb )
maar dat is iig ook uit te zetten met urlscan

Deze kun je inderdaad veilig verwijderen. Je houd in totaal 4 entensies over die je nodig hebt.

maandag 30 juni 2003 16:16

Acties:

Verwijderd

Verwijderd schreef op 30 juni 2003 @ 15:46:
Je kunt overwegen om een Windows 2003 Webserver Edition te gebruiken in je DMZ. Win 2k3 heeft IIS6. IIS6 van de grond af aan opnieuw gebouwd en vele male meer secure. Alle applicaties op IIS draaien in hun eigen aparte context. Daarnaast zijn er veel security-design-onvriendelijke zaken uit voorgaande IIS versies beter aangepakt. Dit houdt in dat exploits die in de toekomst aan het licht komen een veel kleinere impact zullen hebben.

webhosting wordt uitbesteed maar...

/me wants to change his name