---

Jeg skal skrive obligatorisk opgave på datanomstudiet i faget sikkerhed.

Jeg vil skrive om en windows 2000 server med fast ip.
Hvordan griber man det sikkerhedsmæssigt an hvis man ønsker at køre at
website fra denne.

Hvad skal man huske?
Hvad er de typiske fejl?
Hvordan bliver man typisk angrebet?
Hvordan holder man sin viden opdateres, så serveren altid holdes sikker?
Andres gode spørgsmål modtages gerne....

Serveren skal køre:
1 website, aspsider, men brugerhåndtering.
1 FTP server, men 5 forskellige logins --> måske G6
1 sql server 2000
1 billedkomponent, ASPimage

ADSLforbindelsen leveres af cybercity 1024/512.

DNS og mail styres fra ekstern leverendør og har intet med denne opgave at
gøre.

Jeg har selvfølgelig selv masser af ideer, man jeg vil gerne høre andres
mening. Alt modtages med glædes. Råd, links, materiale osv.

Jan Emil Christiansen
info@webmasteren.dk

---

"Jan Emil Christiansen" skrev:
> Jeg skal skrive obligatorisk opgave på datanomstudiet i faget sikkerhed.
>
> Jeg vil skrive om en windows 2000 server med fast ip.
> Hvordan griber man det sikkerhedsmæssigt an hvis man ønsker at køre at
> website fra denne.
>
Det lyder spændende. Jeg kan hjælpe dig med noget "læse-let-litteratur" og
et link til mere teknisk info:

http://www.csirt.dk/newsletter/default.asp?step=2&txtEditionID=32
(nyhedsbrev fra januar 2002 med fokus på Microsoft-sikkerhed)

Du vil formentlig få fuld valuta, hvis du læser NIST-guiden til
server-sikring:
http://csrc.nist.gov/publications/drafts.html
(NIST er det amerikanske National Institute of Standards and Technology)

Med venlig hilsen

Thomas B. Maxe
(som i denne forbindelse repræsenterer sig selv og ikke TDC Internet)

---

Jan Emil Christiansen <janemil@hotmail.com> wrote:
> Jeg skal skrive obligatorisk opgave på datanomstudiet i faget sikkerhed.
>
> Jeg vil skrive om en windows 2000 server med fast ip.

Har du virkeligt lyst til det? Det er meget begraenset og jeg ved ikke
hvor mange steder der kun har brug for en sikker Windows 2000 server med
fast IP adresse.

Hvorfor ikke i stedet skrive om hvordan attack trees eller en lignende
model kan bruges paa en Windows 2000 server med fast IP adresse? Hvis du
goer det ordenligt beviser du evnen til at analysere risiko i en given
situation, hvilket er mere brugbart end dette ene tilfaelde.

Under alle omstaendigheder er regel 0:

   "Systems built without requirements cannot fail; They merely
   offer surprises. Usually unpleasant." - Robert Morris, Sr.

> Serveren skal køre:
> 1 website, aspsider, men brugerhåndtering.

(Dit indlaeg indholder ingen beskrivelse af vaerdien af serveren, saa
hvis mine forslag er helt ved siden af, er det din skyld :)

Der bliver regelmaessigt fundet nye fejl i IIS. Er det en acceptabel
risiko? Der boer etableres procedurer for at modtage
sikkerhedsannonceringer fra MS, samt hvordan og hvornaar test og
installation af sikkerhedspatches skal finde sted.

Server-side kode skrevet af daarlige programmoerer har ogsaa ofte
sikkerhedsfejl i sig. Soerg for at faa designet og koden reviewet at
folk der kan opdage den slags fejl.

> 1 FTP server, men 5 forskellige logins --> måske G6

Er acceptabelt at bruge ukrypterede forbindelser til at uploade
informationen? Er det acceptabelt at bruge een faktor brugervalidering
til ditto? Jeg kender ikke kvaliteten af G6.

> 1 sql server 2000

Der er en stoerre checkliste paa MS's site for SQL Server. Soerg derudover
for at det userid som bruges af ASP delen kun har de noedvendige
rettigheder. Hvis websiden kun har brug for at skrive til een tabel er
der ingen grund til at det paagaeldende brugerid kan skrive til alle
sammen, osv.

> 1 billedkomponent, ASPimage

Det kender jeg ikke. Hvordan virker det?

> Jeg har selvfølgelig selv masser af ideer, man jeg vil gerne høre andres
> mening. Alt modtages med glædes. Råd, links, materiale osv.

Hvis du har lyst til at lufte alle dine ideer her, er der sikkert nogen
med praktisk erfaring der kan give dig feedback.

OSS'en indeholder ogsaa ganske lidt om servere, men det vigtigste afsnit
(Sikkerhedspolitikken) er endnu ikke tilfredsstillende. Brug alligevel
90 sekunder paa at laese indholdsfortegnelsen grundigt.

   http://a.area51.dk/sikkerhed/

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> (Dit indlaeg indholder ingen beskrivelse af vaerdien af serveren, saa
> hvis mine forslag er helt ved siden af, er det din skyld :)
[cut]
> Der bliver regelmaessigt fundet nye fejl i IIS. Er det en acceptabel


Ligeledes skriver han intet sted at det _skal_ være en IIS.

Jeg ville nok smide den på en Apache, eller installere en vmware med
OpenBSD på windows 2000 maskinen :)

---

Tak for svarene.
Jeg vender nok tilbage når opgaven er blevet mere konkret.
Jan

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3C993628.9020500@example.net...
> Alex Holst wrote:
>
> > (Dit indlaeg indholder ingen beskrivelse af vaerdien af serveren, saa
> > hvis mine forslag er helt ved siden af, er det din skyld :)
> [cut]
> > Der bliver regelmaessigt fundet nye fejl i IIS. Er det en acceptabel
>
>
> Ligeledes skriver han intet sted at det _skal_ være en IIS.
>
> Jeg ville nok smide den på en Apache, eller installere en vmware med
> OpenBSD på windows 2000 maskinen :)
>
>