Kandu.dk - Tilgå mappe på server udefra


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Tilgå mappe på server udefra - sikkerhed
Fra : Salva

Dato : 01-12-03 21:45

Jeg ved ikke om spørgsmålet høre hjemme i denne gruppe.

I min mappe på vores W2k filserver er der selvfølgelig alm. NTFS
fil-rettigheder på.

Hvis nu at jeg gjorde mappen tilgængelig via en web side så jeg kunne tilgå
mappen hjemmefra uden VPN kobling, hvordan vil sikkerheden så se ud?

Vil det være for risikabelt eller er det nok sikkerhed i at det ikke er
anonym adgang til websiden og mappen? Dvs. adgang ske via brugernavn og
adgangskode.

-Salva

Troels Arvin (01-12-2003)

Kommentar
Fra : Troels Arvin

Dato : 01-12-03 22:07

On Mon, 01 Dec 2003 21:45:17 +0100, Salva wrote:

> Vil det være for risikabelt eller er det nok sikkerhed i at det ikke er
> anonym adgang til websiden og mappen? Dvs. adgang ske via brugernavn og
> adgangskode.

Du kunne jo supplere med at lade web-serveren køre SSL og evt. med kun
at give adgang til udvalgte IP-numre, hvis I har mulighed derfor. I så
fald kan sikkerheden siges at være _god nok_.

- Lige indtil et nyt hul findes i web-server software'en: I vil da være
udsatte i den tid det tager at få installeret en rettelse eller lukket
for ekstern adgang over port 80. I må overveje, om I kan leve med den
risiko-forøgelse. (I den forbindelse bør man nok have i tankerne, at
VPN-software også er skrevet af mennesker, og dermed lige såvel kan have
fejl.)

Potentielt mere speget: Har I styr på sikkerheden på de eksterne
maskiner, som I vil give adgang til jeres filer?

--
Greetings from Troels Arvin, Copenhagen, Denmark

Christian E. Lysel (01-12-2003)

Kommentar
Fra : Christian E. Lysel

Dato : 01-12-03 22:28

In article <pan.2003.12.01.21.06.50.924482@arvin.dk>, Troels Arvin wrote:
> Du kunne jo supplere med at lade web-serveren køre SSL og evt. med kun

Hvad løser SSL?

> at give adgang til udvalgte IP-numre, hvis I har mulighed derfor. I så

Nogle brugere kører med compaq managment software, det har en gratisk
feature så den er en proxy server (uden det står dokumenteret fra producenten)

Havde engang en ven som påstod hans webserver var sikker nok, fordi
han filterede adgangen på IP adresser. Han skiftede mening efter jeg
fik adgang til hans webserver via hans compaq mgmt klient. :)

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Troels Arvin (01-12-2003)

Kommentar
Fra : Troels Arvin

Dato : 01-12-03 22:43

On Mon, 01 Dec 2003 21:27:55 +0000, Christian E. Lysel wrote:

>> Du kunne jo supplere med at lade web-serveren køre SSL og evt. med kun
>
> Hvad løser SSL?

Det gør, at data ikke kan sniffes undervejs til de eksterne brugere, der
måske sidder på bolignetværk eller mere eller mindre åbne WLAN-netværk.

> Havde engang en ven som påstod hans webserver var sikker nok, fordi han
> filterede adgangen på IP adresser. Han skiftede mening efter jeg fik
> adgang til hans webserver via hans compaq mgmt klient. :)

Jeg har generelt meget lidt tillid til Compaqs forskellige add-on software
til servere. Senest skulle jeg installere noget
system-monitoreringssoftware fra dem på nogle servere; software'en
startede en imponerende mængde processer (inkl. en web-server proces på
en særlig port) og brød på flere måder med god systemadministrativ
skik for det operativsystem, det skulle installeres på.

Du nævner en masse gode eksempler på ting, der kan gå galt. Men
VPN-løsninger er ikke nødvendigvis meget bedre i praksis.

--
Greetings from Troels Arvin, Copenhagen, Denmark

Christian E. Lysel (01-12-2003)

Kommentar
Fra : Christian E. Lysel

Dato : 01-12-03 22:59

In article <pan.2003.12.01.21.42.40.323308@arvin.dk>, Troels Arvin wrote:
> On Mon, 01 Dec 2003 21:27:55 +0000, Christian E. Lysel wrote:
>
>>> Du kunne jo supplere med at lade web-serveren køre SSL og evt. med kun
>> Hvad løser SSL?
>
> Det gør, at data ikke kan sniffes undervejs til de eksterne brugere, der
> måske sidder på bolignetværk eller mere eller mindre åbne WLAN-netværk.

Godt, du beskrev blot ikke hvad det var godt for.

> Jeg har generelt meget lidt tillid til Compaqs forskellige add-on software
> til servere. Senest skulle jeg installere noget
> system-monitoreringssoftware fra dem på nogle servere; software'en
> startede en imponerende mængde processer (inkl. en web-server proces på
> en særlig port) og brød på flere måder med god systemadministrativ
> skik for det operativsystem, det skulle installeres på.

Desværrer er det den eneste måde at finde ud af at ens blæser/strømforsygning/
"whatever ting" er ved at gå istykker.

> Du nævner en masse gode eksempler på ting, der kan gå galt. Men
> VPN-løsninger er ikke nødvendigvis meget bedre i praksis.

Jeg nævnte problemmer (og dem er der mange af) han skal tage stilling til,
ikke løsninger.

Det er svært at udtale sig om løsninger på indlæggets grundlag.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Christian E. Lysel (01-12-2003)

Kommentar
Fra : Christian E. Lysel

Dato : 01-12-03 23:01

In article <pan.2003.12.01.21.42.40.323308@arvin.dk>, Troels Arvin wrote:
> Jeg har generelt meget lidt tillid til Compaqs forskellige add-on software
> til servere. Senest skulle jeg installere noget

Så vidt jeg husker, lavede de en fejlrettelse, der ikke rettede proxy
problemmet, selvom det var formålet.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Christian E. Lysel (01-12-2003)

Kommentar
Fra : Christian E. Lysel

Dato : 01-12-03 22:22

In article <vLNyb.6772$9Z5.4599@news.get2net.dk>, Salva wrote:
> Vil det være for risikabelt eller er det nok sikkerhed i at det ikke er
> anonym adgang til websiden og mappen? Dvs. adgang ske via brugernavn og
> adgangskode.

Problemmer:

o du har ikke styr på hvad du laver og sætter det forkert op

o Din webserver har et hul, der kan patches, men patchen er ikke
lagt på.

o Din webserver har et hul, der ikke er nogen patch til.

o Filerne kan tilgåes via andre scripts der ligge på webserver,
fx et eksempel script til at læse kildetekster, eller en
indekserings server man kan slå op i.

o Serveren tilbyder andre services, maskinen kan angribes via.
Herfra kan man evt. få adgang til filerne.

o Filerne har på et eller andet tidspunkt været offentligt
tilgændelige, og ligger nu i google's cache.

o Du har besøgt filerne fra en maskine. På denne
maskine ligger filerne cachet. (Disse kan evt. tilgåes
via et hul i browseren)

o Du har besøgt filterne fra en maskine, der bruger
en proxy server. På denne ligger filerne cachet. (Disse kan
.....)

o Du bruger svag brugervalidering...statiske password.
Kan måske gættes nemt, eller opsnappes.

.... find selv på mere, find ud af om der er et problem, evt.
hvad der skal til at løse det.

Et lille tips, Microsofts ftp server har ikke haft
huller i de sidste mange år. Microsofts IIS, kan
forholdsvist sættes sikkert op ved at slette default
sitet, og oprettet et nyt site, hvor alt man kan slå
fra er slået fra.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Søg

Reklame

Statistik

Spørgsmål :	177548
Tips :	31968
Nyheder :	719565
Indlæg :	6408803
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste