/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Netværks konfiguration
Fra : Anders K. Olsen


Dato : 21-07-05 12:15

Hej Gruppe

Vi har lige installeret en Microsoft Small Business Server 2003 (SBS) i
vores lille virksomhed, og nu håber jeg at I kan give et par gode råd til
hvordan vi sætter vores netværk op.

1) Vi vil gerne have web access til vores email vha. Outlook Web Access
(OWA) over HTTPS.
2) Vi vil gerne have VPN adgang til vores intranet (gerne via PPTP eller
måske L2TP/IPSec, hvis det er meget mere sikkert)
3) Vi har nogle maskiner som skal kunne ses fra internettet til demo formål
(HTTPS og FTP i øjeblikket).
4) Det skal være forholdsvis enkelt at lave rettelser på maskinerne i demo
netværket, når man sidder på det interne netværk. Det vil være dejligt, hvis
man kunne bruge samme password, dvs. hvis maskinerne var på domænet.
5) Vi har et trådløst netværk som skal have internet adgang. Adgang til
interne sider fra det trådløse netværk kan ske via samme VPN adgang som i
2).

Vores SBS server kører Exchange 2003, Active Directory og ISA 2000.

Vi har tænkt på at udstyre SBS maskinen med 4 NIC. 1) Internet, 2) Intranet,
3) Trådløs og 4) DMZ (demo netværk).

SBS maskinen skal sørge for VPN adgang til det interne netværk, og skal
tillade OWA udefra via HTTPS.

SBS maskinen vil forwarde relevante porte til DMZ maskinerne (for HTTPS og
FTP). Udefra er der ingen adgang til Intranet og Trådløse netværk.

Fra det trådløse netværk er der kun adgang til internettet og til VPN +
HTTPS på SBS maskinen.

Fra intranettet skal der være adgang til maskinerne i demo netværket. Der
skal være åben for fil deling med maskinerne på demo nettet.

Det vil også være dejligt, hvis vi kunne have CVS adgang fra demo maskinerne
til CVS serveren på intranettet. Vil det være at åbne op for et
sikkerhedshul?

Vil det være muligt at få maskinerne på demo netværket på domænet, uden at
åbne op for sikkerhedshuller?

Vil det være smartere at udstyre alle maskinerne på demo netværket med 2
NIC, og så tilslutte dem direkte til det interne netværk med det andet NIC.
Og så selvfølgelig sørge for at der ikke kan routes trafik gennem
maskinerne. Vil det være for besværligt at administrere?

Lyder det helt tåbeligt?

Gode råd modtages meget gerne.

Venlig hilsen

Anders Olsen



 
 
Kasper Dupont (21-07-2005)
Kommentar
Fra : Kasper Dupont


Dato : 21-07-05 17:14

"Anders K. Olsen" wrote:
>
> 4) Det skal være forholdsvis enkelt at lave rettelser på maskinerne i demo
> netværket, når man sidder på det interne netværk. Det vil være dejligt, hvis
> man kunne bruge samme password, dvs. hvis maskinerne var på domænet.

At bruge samme password ville være en svaghed. Brug
dog nøgler til autentifikation. På det interne
netværk opbevares den hemmelige nøgle krypteret vha.
passwordet. Og på DMZ maskinerne har man den
offentlige nøgle liggende. (Om nødvendigt bruges
forskellige nøglepar til hver bruger).

>
> Vi har tænkt på at udstyre SBS maskinen med 4 NIC. 1) Internet, 2) Intranet,
> 3) Trådløs og 4) DMZ (demo netværk).

Jeg kender ikke SBS. Er den overhovedet gearet til
den opgave?

>
> Det vil også være dejligt, hvis vi kunne have CVS adgang fra demo maskinerne
> til CVS serveren på intranettet. Vil det være at åbne op for et
> sikkerhedshul?

Du har vel ikke brug for at committe ændringer fra
demo maskinerne? Hvis der kun er brug for læseadgang
kan du evt. smide en kopi af CVS serveren i DMZ zonen.

>
> Vil det være smartere at udstyre alle maskinerne på demo netværket med 2
> NIC, og så tilslutte dem direkte til det interne netværk med det andet NIC.

Nej, så kunne du ligesågodt lave en direkte forbindelse
mellem lokalnettet og internettet.

--
Kasper Dupont -- der bruger for meget tid på usenet.
Note to self: Don't try to allocate 256000 pages
with GFP_KERNEL on x86.

Anders K. Olsen (25-07-2005)
Kommentar
Fra : Anders K. Olsen


Dato : 25-07-05 08:45

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:42DFC9DF.2B20012@daimi.au.dk...

Hej Kasper.

Mange tak for dit svar.

> "Anders K. Olsen" wrote:
>>
>> 4) Det skal være forholdsvis enkelt at lave rettelser på maskinerne i
>> demo
>> netværket, når man sidder på det interne netværk. Det vil være dejligt,
>> hvis
>> man kunne bruge samme password, dvs. hvis maskinerne var på domænet.
>
> At bruge samme password ville være en svaghed. Brug
> dog nøgler til autentifikation. På det interne
> netværk opbevares den hemmelige nøgle krypteret vha.
> passwordet. Og på DMZ maskinerne har man den
> offentlige nøgle liggende. (Om nødvendigt bruges
> forskellige nøglepar til hver bruger).

Ja, jeg kan forstå at det ikke er en særlig god ide. Man kunne måske sætte
en AD op på demo netværket, og så have to AD domains. Der skal så ikke
etableres trust mellem dem, men det er i øvrigt også umulig med SBS.

>> Vi har tænkt på at udstyre SBS maskinen med 4 NIC. 1) Internet, 2)
>> Intranet,
>> 3) Trådløs og 4) DMZ (demo netværk).
>
> Jeg kender ikke SBS. Er den overhovedet gearet til
> den opgave?

SBS er Microsofts løsning til små og mindre virksomheder. Det er en pakke
som indholder OS (nedskalleret version af Windows 2003 Server), Exchange
server, SharePoint Portal Server, ISA Server, SQL Server. For en lille
virksomhed som vores med 8 ansatte, vil det være for dyrt at købe separart
hardware og licenser til flere servere, så derfor er SBS en udmærket
løsning. Vi er godt klar over, at det ikke kan blive lige så sikkert som en
løsning på separate maskiner, men det er en risiko vi er villig til at leve
med.

>> Det vil også være dejligt, hvis vi kunne have CVS adgang fra demo
>> maskinerne
>> til CVS serveren på intranettet. Vil det være at åbne op for et
>> sikkerhedshul?
>
> Du har vel ikke brug for at committe ændringer fra
> demo maskinerne? Hvis der kun er brug for læseadgang
> kan du evt. smide en kopi af CVS serveren i DMZ zonen.

Personligt vil jeg sige, at vi ikke har behov for commit adgang, men det
skal jeg lige vende med mine kolleger. Vil det være besværligt at lave
læseadgang eller smide en kopi af CVS på demo netværket? Jeg kender ikke så
meget til konfiguration af CVS.

>> Vil det være smartere at udstyre alle maskinerne på demo netværket med 2
>> NIC, og så tilslutte dem direkte til det interne netværk med det andet
>> NIC.
>
> Nej, så kunne du ligesågodt lave en direkte forbindelse
> mellem lokalnettet og internettet.

Det var også min umiddelbare holdning, men min kollega var ikke enig.

Venlig hilsen

Anders



Alex Holst (21-07-2005)
Kommentar
Fra : Alex Holst


Dato : 21-07-05 18:30

Anders K. Olsen wrote:
> 4) Det skal være forholdsvis enkelt at lave rettelser på maskinerne i demo
> netværket, når man sidder på det interne netværk. Det vil være dejligt, hvis
> man kunne bruge samme password, dvs. hvis maskinerne var på domænet.

Det vil jeg stærkt fraråde. Jeg ville forhindre at demo nettet lavede
udgående forbindelser, og lade det kun tage imod forbindelser fra det
interne net samt internettet (måske endda begrænset til de IP scopes I
opholder jer på). Demo maskinerne ville blive en del af deres eget
domæne hvor DC stod på samme net og så måtte folk ellers leve med at
skulle have en produktions-bruger og en demo-bruger.

Hvis du forklarer lidt mere om hvordan I bruger demo maskinerne kan vi
måske komme med forslag til hvordan I kan løse jeres opgaver på demo
maskinerne så simpelt og let som muligt.

> Det vil også være dejligt, hvis vi kunne have CVS adgang fra demo maskinerne
> til CVS serveren på intranettet. Vil det være at åbne op for et
> sikkerhedshul?

Taler vi anonym CVS eller commit adgang? Lad i stedet CVS serveren
kopiere det nødvendige indhold ud på demomaskinerne med jævne mellemrum.

> Vil det være muligt at få maskinerne på demo netværket på domænet, uden at
> åbne op for sikkerhedshuller?

Nej. Hvis jeres demo maskiner er en del af jeres interne domæne (eller
endnu værre: Jeres interne domæne stoler på demo-domænet) får I hurtigt
alvorlige problemer.

> Vil det være smartere at udstyre alle maskinerne på demo netværket med 2
> NIC, og så tilslutte dem direkte til det interne netværk med det andet NIC.
> Og så selvfølgelig sørge for at der ikke kan routes trafik gennem
> maskinerne. Vil det være for besværligt at administrere?

Det er i hvert fald en fremragende måde at skabe helt grundlæggende
sikkerhedsproblemer på samtidigt med at man unødvendigt bruger penge på
hardware.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Christian E. Lysel (21-07-2005)
Kommentar
Fra : Christian E. Lysel


Dato : 21-07-05 22:01

Alex Holst wrote:
> Anders K. Olsen wrote:
>
>> 4) Det skal være forholdsvis enkelt at lave rettelser på maskinerne i
>> demo netværket, når man sidder på det interne netværk. Det vil være
>> dejligt, hvis man kunne bruge samme password, dvs. hvis maskinerne var
>> på domænet.
> Det vil jeg stærkt fraråde.

Enig...jeg kan lige forstille mig mulighederne for en angriber, hvis
ISA'en bruger data fra AD'et, demo-segmentet har adgang til...speciel
hvis evt. oplysningerne kan bruges til VPN adgangen.


Er der virkelig ingen der kan se problemmet i en gateway der kører AD,
Exchange og IIS (OWA)?


Anders har du tænkt dig at hardne SBS'en?


Den sidste SBS jeg auditerede, kørte alle services: smtp, http, https,
ldap, imap, pop3, fildeling, diverse rpc services.
Det tog 1 min via http services'en at få skriveadgang til filserveren.
Dog faldt IIS'en på gulvet. Jeg ringe til kunden for at få den
genstartet, men de påstod hårdnakket den ikke kørte IIS.

Jeg gætter på deres leverandør, som var et størrer Microsoft certificed
konsulenthus, havde et forklaringsproblem.


5) Jeg ville simplicere VPN netværket, og smide det direkte på Internet
segmentet...evt. tillade logs fra AP til en logserver. Herefter kan
firewallen betragte det som en vilken som helst anden maskine på Internet.

3) Disse kan også smides direkte på Internet, hvis de er hardnet
forsvarligt.

Alex Holst (21-07-2005)
Kommentar
Fra : Alex Holst


Dato : 21-07-05 22:47

Christian E. Lysel wrote:
> Er der virkelig ingen der kan se problemmet i en gateway der kører AD,
> Exchange og IIS (OWA)?

Jo, det er circa en katastrofe men hele produktet er bygget op om
alt-i-en konceptet. Folk der køber det er en af to typer: 1) enten ved
de ikke bedre og ser blot på hvor mange penge de kan spare på hardware,
eller 2) de har allerede besluttet at det er en acceptabel risiko.

Either way, det er yderst svært at trænge igennem med sine argumenter om
større ændringer.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Christian E. Lysel (22-07-2005)
Kommentar
Fra : Christian E. Lysel


Dato : 22-07-05 11:42

Alex Holst wrote:
> Jo, det er circa en katastrofe men hele produktet er bygget op om
> alt-i-en konceptet. Folk der køber det er en af to typer: 1) enten ved
> de ikke bedre og ser blot på hvor mange penge de kan spare på hardware,
> eller 2) de har allerede besluttet at det er en acceptabel risiko.

1) Jeg ser ikke den store økonomiske forskel

Smid AP'en på Internet. Du har sparet et netværkskort.

Smid DMZ maskinerne på Internet. Du har sparet et netværkskort. Din
udgift går dog på at hardne maskinerne (hvilket jeg mener er nødvendigt
selvom de står på en DMZ) og køb af ekstra IP adresser.

Køb en firewall, med mobil VPN understøttelse, fx
http://www.edbpriser.dk/Listprices.asp?ID=71135, lidt over 3.000 kr.

Smid SBS'en på det interne netværk og drop ISA'en.


OWA'en har jeg det svært med, specielt efter interegrationen med AD. Jeg
kan godt se den er lækker for brugerne..men designet kan jeg ikke lide,
ej med frontenden, som kræver adgang til AD'et. (Måske det har ændret
sig siden jeg rode med det?)


Men som jeg har forstået ISA'en bliver det meget svært at definere 4
netværkssegmenter, med de regler Anders forstiller sig...eller tager
jeg helt fejl...det er langtid siden jeg har rodet med ISA, dengang
syntes jeg den var ubruglig som en flere benet firewallen. Men som en
intern http proxy server, der validere sine bruger i et domain, var den
udmærket.


> Either way, det er yderst svært at trænge igennem med sine argumenter
> om større ændringer.

Ja. Dog synes jeg ICSA certificeringen gør det lettere at argumentere,
det er "kun" en certificering af firewallen og ikke de andre komponenter
og alligevel var den så svær at opnå.

Følgende er stadigvæk morsomt at læse igennem:
http://www.icsalabs.com/icsa/docs/html/communities/firewalls/pdf/microsoft.pdf

De måtte bygge 7 knowled artikler for at få den godkendt, se side 8.

Specielt http://go.microsoft.com/fwlink/?LinkId=24479 får det til at
løbe koldt ned at ryggen...ingen advarelser omkring hvad riskoen er ved
det man fortager sig.



Alex Holst (22-07-2005)
Kommentar
Fra : Alex Holst


Dato : 22-07-05 16:25

Christian E. Lysel wrote:
> Alex Holst wrote:
>
>> Jo, det er circa en katastrofe men hele produktet er bygget op om
>> alt-i-en konceptet. Folk der køber det er en af to typer: 1) enten ved
>> de ikke bedre og ser blot på hvor mange penge de kan spare på
>> hardware, eller 2) de har allerede besluttet at det er en acceptabel
>> risiko.
>
>
> 1) Jeg ser ikke den store økonomiske forskel

Udgifter til hardware og software licenser så man kan splitte opgaven ud
fra en enkelt maskine er ikke ubetydelige. Det kan dog hurtigt gå hen at
kunne betale sig.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Stig Johansen (22-07-2005)
Kommentar
Fra : Stig Johansen


Dato : 22-07-05 22:25

Christian E. Lysel wrote:

> Specielt http://go.microsoft.com/fwlink/?LinkId=24479 får det til at
> løbe koldt ned at ryggen...ingen advarelser omkring hvad riskoen er ved
> det man fortager sig.


Hvis vi et øjeblik ser bort fra, hvad der kan lade sig gøre på hvilke OS.
Hvordan ville 'man' forholde sig til at køre TS over en ssh-tunnel med key
auth?

--
Med venlig hilsen
Stig Johansen

Christian E. Lysel (23-07-2005)
Kommentar
Fra : Christian E. Lysel


Dato : 23-07-05 10:41

Stig Johansen wrote:
> Hvis vi et øjeblik ser bort fra, hvad der kan lade sig gøre på hvilke OS.
> Hvordan ville 'man' forholde sig til at køre TS over en ssh-tunnel med key
> auth?

Det vil svare til at køre telnet over ssh-tunnel med key auth. Det ville
jeg normalt ikke se noget problem i, bortset fra hvis det er i min
firewall, den risiko vil jeg ikke løbe.



Anders K. Olsen (25-07-2005)
Kommentar
Fra : Anders K. Olsen


Dato : 25-07-05 09:23

>"Christian E. Lysel" <sunsite.dk@spindelnet.dk> wrote in message
>news:42e0cd66$0$2338$edfadb0f@dread11.news.tele.dk...
>Alex Holst wrote:
>> Jo, det er circa en katastrofe men hele produktet er bygget op om
>> alt-i-en konceptet. Folk der køber det er en af to typer: 1) enten ved de
>> ikke bedre og ser blot på hvor mange penge de kan spare på hardware,
>> eller 2) de har allerede besluttet at det er en acceptabel risiko.
>
>1) Jeg ser ikke den store økonomiske forskel
>
>Smid AP'en på Internet. Du har sparet et netværkskort.

Et netværkskort koster ikke særlig meget.

>Smid DMZ maskinerne på Internet. Du har sparet et netværkskort. Din udgift
>går dog på at hardne maskinerne (hvilket jeg mener er nødvendigt selvom de
>står på en DMZ) og køb af ekstra IP adresser.
>
>Køb en firewall, med mobil VPN understøttelse, fx
>http://www.edbpriser.dk/Listprices.asp?ID=71135, lidt over 3.000 kr.

Vi har allerede en Linksys firewall, men den kan desværre ikke klare mere
end en offentlig IP, og vi får sandsynligvis brug for flere. Vi har allerede
fået anbefalet Cisco PIX'en, og det er da noget vi vil overveje. Jeg skal
dog overbevise min CFO om at det bedre kan betale sig at købe en dyr
firewall end et par billige netkort.

>Smid SBS'en på det interne netværk og drop ISA'en.
>
>
>OWA'en har jeg det svært med, specielt efter interegrationen med AD. Jeg
>kan godt se den er lækker for brugerne..men designet kan jeg ikke lide, ej
>med frontenden, som kræver adgang til AD'et. (Måske det har ændret sig
>siden jeg rode med det?)

OWA er dejligt at arbejde med. Vi har også medarbejdere som kan klare deres
arbejde via OWA når de er ude, så vi kan helt undlade at give dem VPN
adgang.

Nu er OWA og Exchange allerede en del af SBS, så den kører på samme maskine
som AD'et.

>Men som jeg har forstået ISA'en bliver det meget svært at definere 4
>netværkssegmenter, med de regler Anders forstiller sig...eller tager
>jeg helt fejl...det er langtid siden jeg har rodet med ISA, dengang syntes
>jeg den var ubruglig som en flere benet firewallen. Men som en intern http
>proxy server, der validere sine bruger i et domain, var den udmærket.

Jeg har endnu ikke kikket så meget på ISA'en, men mon ikke der er sket
forbedringer i ISA 2004? Jeg håber i hvert fald at den kan bruges.

Men ellers kunne det jo være et argument for at vi skal købe en Cisco
firewall.

Venlig hilsen

Anders



Christian E. Lysel (25-07-2005)
Kommentar
Fra : Christian E. Lysel


Dato : 25-07-05 21:57

Anders K. Olsen wrote:
>>Smid AP'en på Internet. Du har sparet et netværkskort.
> Et netværkskort koster ikke særlig meget.

Enig...det var ironisk...det billigste kort jeg har set var til 29 kr.

Men du har fået dig et mere simpelt setup, hvor sandsynligheden for fejl
er mindre.

>>http://www.edbpriser.dk/Listprices.asp?ID=71135, lidt over 3.000 kr.
>
> Vi har allerede en Linksys firewall, men den kan desværre ikke klare mere
> end en offentlig IP, og vi får sandsynligvis brug for flere. Vi har allerede
> fået anbefalet Cisco PIX'en, og det er da noget vi vil overveje. Jeg skal
> dog overbevise min CFO om at det bedre kan betale sig at købe en dyr
> firewall end et par billige netkort.

3.000 kr dyr?

Du får en firewall med flere muligheder, og med et mindre komplekst setup.

> OWA er dejligt at arbejde med. Vi har også medarbejdere som kan klare deres

Det er også sjovt at lukke bruger ude af AD'et, via OWA'en!

> arbejde via OWA når de er ude, så vi kan helt undlade at give dem VPN
> adgang.

Jeg ville stærkt overveje stærk brugervalidering, hvis jeg ville give
mine brugere adgang til OWA.

> Nu er OWA og Exchange allerede en del af SBS, så den kører på samme maskine
> som AD'et.

Hvilket ikke gør det bedre.

Har du prøvet at bruteforce dine brugeres passwords?

> Jeg har endnu ikke kikket så meget på ISA'en, men mon ikke der er sket
> forbedringer i ISA 2004? Jeg håber i hvert fald at den kan bruges.

Personlig tvivler jeg...men jeg ved det ikke.

Jeg kan ikke se den nye version er cerificeret, så jeg antager der ikke
er sket noget, andet end ved navnet.


Anders K. Olsen (26-07-2005)
Kommentar
Fra : Anders K. Olsen


Dato : 26-07-05 14:03

>"Christian E. Lysel" <sunsite.dk@spindelnet.dk> wrote in message
>news:42e55222$0$64276$edfadb0f@dread15.news.tele.dk...
>Anders K. Olsen wrote:
>> Vi har allerede en Linksys firewall, men den kan desværre ikke klare mere
>> end en offentlig IP, og vi får sandsynligvis brug for flere. Vi har
>> allerede fået anbefalet Cisco PIX'en, og det er da noget vi vil overveje.
>> Jeg skal dog overbevise min CFO om at det bedre kan betale sig at købe en
>> dyr firewall end et par billige netkort.
>
>3.000 kr dyr?

Nej, det er nok ikke særlig dyrt for en firewall.

>Du får en firewall med flere muligheder, og med et mindre komplekst setup.

Det kan du have ret i. Vi har i øjeblikket en Linksys DFL-700 firewall. Er
det en du kender noget til? Jeg kan ikke helt finde ud af om den kan
håndtere flere offentlige IP adresser. Hvis den kan det, så vil vi nok
overveje at bruge den som firewall foran SBS serveren. Sikkerhedsmæssigt vil
det nok være en god ide, og så kan vi sætte demo og wifi netværkene direkte
bag firewallen.

>
>> OWA er dejligt at arbejde med. Vi har også medarbejdere som kan klare
>> deres
>
>Det er også sjovt at lukke bruger ude af AD'et, via OWA'en!

Den forstår jeg ikke?

>> arbejde via OWA når de er ude, så vi kan helt undlade at give dem VPN
>> adgang.
>
>Jeg ville stærkt overveje stærk brugervalidering, hvis jeg ville give mine
>brugere adgang til OWA.

Den indbyggede validering er ikke nok? Heller ikke hvis det sker gennem SSL?
Mener du at brugernavn/password ikke er nok?

>> Nu er OWA og Exchange allerede en del af SBS, så den kører på samme
>> maskine som AD'et.
>
>Hvilket ikke gør det bedre.
>
>Har du prøvet at bruteforce dine brugeres passwords?

Nej, det har jeg godt nok ikke. Det kan være jeg skal overveje det, når vi
har fundet ud af hvordan vores netværk skal sættes op.

>> Jeg har endnu ikke kikket så meget på ISA'en, men mon ikke der er sket
>> forbedringer i ISA 2004? Jeg håber i hvert fald at den kan bruges.
>
>Personlig tvivler jeg...men jeg ved det ikke.
>
>Jeg kan ikke se den nye version er cerificeret, så jeg antager der ikke er
>sket noget, andet end ved navnet.

Mon ikke også at brugergrænsefladen er blevet bedre? Det ville ligne
Microsoft at bruge tid på den slags.

Venlig hilsen

Anders



Anders K. Olsen (26-07-2005)
Kommentar
Fra : Anders K. Olsen


Dato : 26-07-05 14:22

"Anders K. Olsen" <akol.dk@gmail.com> wrote in message
news:42e6356a$0$99644$edfadb0f@dread11.news.tele.dk...
> Det kan du have ret i. Vi har i øjeblikket en Linksys DFL-700 firewall. Er
> det en du kender noget til? Jeg kan ikke helt finde ud af om den kan
> håndtere flere offentlige IP adresser. Hvis den kan det, så vil vi nok
> overveje at bruge den som firewall foran SBS serveren. Sikkerhedsmæssigt
> vil det nok være en god ide, og så kan vi sætte demo og wifi netværkene
> direkte bag firewallen.

Hmm, det var nu godt nok en D-Link DFL-700 firewall som vi har.

http://www.dlink.com/products/?pid=327

/Anders



Christian E. Lysel (26-07-2005)
Kommentar
Fra : Christian E. Lysel


Dato : 26-07-05 16:53

Anders K. Olsen wrote:

> Det kan du have ret i. Vi har i øjeblikket en Linksys DFL-700 firewall. Er
> det en du kender noget til? Jeg kan ikke helt finde ud af om den kan

Jeg kender ikke til nogen linksys DFL-700 firewall, ej gør google!

Hvad hedder firewallen? Når jeg så din næste tråd. En dlink.

> håndtere flere offentlige IP adresser. Hvis den kan det, så vil vi nok
> overveje at bruge den som firewall foran SBS serveren.

Kik i
ftp://ftp.dlink.de/dfl/dfl-700/documentation/DFL-700_man_en_manual-v1_280104.zip

> Sikkerhedsmæssigt vil
> det nok være en god ide, og så kan vi sætte demo og wifi netværkene direkte
> bag firewallen.

Der mistede du mig igen...

En angriber der går efter din demo server med succes, vil måske kunne få
adgang til lokalnettet...eller vil du sætte SBS foran lokalnettet og
AP'et og demo miljøet "imellem" SBS'en og firewall/routeren?

>>Det er også sjovt at lukke bruger ude af AD'et, via OWA'en!
> Den forstår jeg ikke?

Typisk har man en politik der siger at 3 forkerte password låser
brugeren ude...det er sjovt at trigger via en OWA'en. Det hjælper ikke
at folk typisk bruger brugernavnet der er lig med emailadressen før @.

>>Jeg ville stærkt overveje stærk brugervalidering, hvis jeg ville give mine
>>brugere adgang til OWA.

> Den indbyggede validering er ikke nok?

Hvis du føler dine brugere er kompetente nok til at vælge passwords,
eller hvis du mener sikkerheden er ligegyldig er det vel fint nok.

> Heller ikke hvis det sker gennem SSL?

Server SSL hjælper ingen ting, udover imod et man-in-middel angreb, som
ikke er rettet imod grænsefladen.

> Mener du at brugernavn/password ikke er nok?

Blandt de brugere jeg kender, der bruger passwordet bamse1 eller
<brugernavn>2005...nej.

>>Har du prøvet at bruteforce dine brugeres passwords?
> Nej, det har jeg godt nok ikke. Det kan være jeg skal overveje det, når vi
> har fundet ud af hvordan vores netværk skal sættes op.

Det er generelt fustrende at se hvor let en angriber vil have...typisk
finder man bruger der ikke giver passwords og bruger noget helt trivielt
og man finder typisk også konsulenter og systemadministratorer der lige
skal oprette en bruger til test, som aldrig bliver pillet ned igen.

Jeg havde en kunde hvor det stod så slemt til at min bærbar ikke kunne
scrolle hurtigt nok til at vise de kontoer der blev gættet i de første
30 sekunder!!

> Mon ikke også at brugergrænsefladen er blevet bedre? Det ville ligne
> Microsoft at bruge tid på den slags.

Jeg gætter på papkassen er blevet piftet op.

Anders K. Olsen (27-07-2005)
Kommentar
Fra : Anders K. Olsen


Dato : 27-07-05 09:07

>"Christian E. Lysel" <sunsite.dk@spindelnet.dk> wrote in message
>news:42e65bf6$0$1993$edfadb0f@dread11.news.tele.dk...
>Anders K. Olsen wrote:
>
>> håndtere flere offentlige IP adresser. Hvis den kan det, så vil vi nok
>> overveje at bruge den som firewall foran SBS serveren.
>
>Kik i
>ftp://ftp.dlink.de/dfl/dfl-700/documentation/DFL-700_man_en_manual-v1_280104.zip
>

Ja, der er nok ikke andet at gøre end studere manualen.

> > Sikkerhedsmæssigt vil
>> det nok være en god ide, og så kan vi sætte demo og wifi netværkene
>> direkte bag firewallen.
>
>Der mistede du mig igen...
>
>En angriber der går efter din demo server med succes, vil måske kunne få
>adgang til lokalnettet...eller vil du sætte SBS foran lokalnettet og AP'et
>og demo miljøet "imellem" SBS'en og firewall/routeren?

Hvis vores eksisterende firewall kan det vi ønsker, så vil vi sætte den
forrest. Efter firewallen vil vi så sætte demo, wifi og SBS. Efter SBS vil
vi så have lokalnettet. Så hvis en angiriber får adgang til en maskine i
demo nettet, vil skal han stadig gennem SBS for at få adgang til
lokalnettet.

>>>Det er også sjovt at lukke bruger ude af AD'et, via OWA'en!
>> Den forstår jeg ikke?
>
>Typisk har man en politik der siger at 3 forkerte password låser brugeren
>ude...det er sjovt at trigger via en OWA'en. Det hjælper ikke at folk
>typisk bruger brugernavnet der er lig med emailadressen før @.

Ah, det havde jeg ikke tænkt på. Hmm - det må jeg lige tænke lidt mere over.

Jeg har kikket lidt på vores firewall, og jeg kan se at den har noget
indbygget authentifikaiton (evt. via en RADIUS server). Hvis det virker som
jeg tror, så kan den sættes op så man skal man authentificere sig mod
firewallen før man får adgang til f.eks. Outlook Web Access. Det vil vi nok
slå til. Det er vist noget med en hjemmeside hvor man indtaster
brugernavn/password (via SSL), og derefter er der adgang fra ens IP i en
times tid.

>Hvis du føler dine brugere er kompetente nok til at vælge passwords, eller
>hvis du mener sikkerheden er ligegyldig er det vel fint nok.

Tja, det er jo en vurdering. SBS er sat op til at sørge for at adgangskoder
har en vis kompleksitet, så helt slemme adgangskoder er ikke tilladt. Men
f.eks. Bamse2005 er vist ok (store og små bogstaver samt tal).

>>>Har du prøvet at bruteforce dine brugeres passwords?
>> Nej, det har jeg godt nok ikke. Det kan være jeg skal overveje det, når
>> vi har fundet ud af hvordan vores netværk skal sættes op.
>
>Det er generelt fustrende at se hvor let en angriber vil have...typisk
>finder man bruger der ikke giver passwords og bruger noget helt trivielt og
>man finder typisk også konsulenter og systemadministratorer der lige skal
>oprette en bruger til test, som aldrig bliver pillet ned igen.
>
>Jeg havde en kunde hvor det stod så slemt til at min bærbar ikke kunne
>scrolle hurtigt nok til at vise de kontoer der blev gættet i de første 30
>sekunder!!

Det lyder ikke godt.

/Anders



Christian E. Lysel (27-07-2005)
Kommentar
Fra : Christian E. Lysel


Dato : 27-07-05 18:07

Anders K. Olsen wrote:
> Ja, der er nok ikke andet at gøre end studere manualen.

Umiddelbart kunne jeg ikke finde noget på emnet.

> Hvis vores eksisterende firewall kan det vi ønsker, så vil vi sætte den
> forrest. Efter firewallen vil vi så sætte demo, wifi og SBS. Efter SBS vil
> vi så have lokalnettet. Så hvis en angiriber får adgang til en maskine i
> demo nettet, vil skal han stadig gennem SBS for at få adgang til
> lokalnettet.

Det lyder fornuftigt.

> Ah, det havde jeg ikke tænkt på. Hmm - det må jeg lige tænke lidt mere over.

Sæt kriteret for hvornår man bliver smidt ud, op.

Jeg ser ikke noget problem i 10-50 password forsøg, hvis passwordene er
valgt fornuftige nok.


Et andet problem, kan være at folk genbruger passwords:

http://www.computerworld.dk/default.asp?Mode=2&ArticleID=28990

> Jeg har kikket lidt på vores firewall, og jeg kan se at den har noget
> indbygget authentifikaiton (evt. via en RADIUS server). Hvis det virker som
> jeg tror, så kan den sættes op så man skal man authentificere sig mod
> firewallen før man får adgang til f.eks. Outlook Web Access. Det vil vi nok
> slå til. Det er vist noget med en hjemmeside hvor man indtaster
> brugernavn/password (via SSL), og derefter er der adgang fra ens IP i en
> times tid.

OWA'en skal nok drille ved at skrive absolute URL'er i sessionen, der
peger på den selv (internt, hvilket jo ikke kan resolve eksternt).

> f.eks. Bamse2005 er vist ok (store og små bogstaver samt tal).

Hvilket er et fint standard password.

> Det lyder ikke godt.

Prøv det.

Anders K. Olsen (25-07-2005)
Kommentar
Fra : Anders K. Olsen


Dato : 25-07-05 09:13

"Alex Holst" <a@mongers.org> wrote in message
news:42e017c0$0$182$edfadb0f@dtext02.news.tele.dk...
> Christian E. Lysel wrote:
>> Er der virkelig ingen der kan se problemmet i en gateway der kører AD,
>> Exchange og IIS (OWA)?
>
> Jo, det er circa en katastrofe men hele produktet er bygget op om alt-i-en
> konceptet. Folk der køber det er en af to typer: 1) enten ved de ikke
> bedre og ser blot på hvor mange penge de kan spare på hardware, eller 2)
> de har allerede besluttet at det er en acceptabel risiko.

Det er vel altid et spørgsmål om penge. Hvad koster det, hvis fremmede får
adgang til ens netværk? Det skal jo ses i forhold til udgifterne ved at
drive serverne og det eventuelle ekstra besvær ved at udføre sit daglige
arbejde.

> Either way, det er yderst svært at trænge igennem med sine argumenter om
> større ændringer.

Vi er klar over, at vi vil introducere sikkerhedshuller i vores setup. Jeg
forsøger bare at minimere dem, og samtidig undgå de helt åbentlyse
problemer. Derfor er det også utrolig dejligt at kunne trække på den viden
der findes her i gruppen. Mange tak til alle jer som har svaret på mine
spørgsmål.

Venlig hilsen

Anders



Stig Johansen (25-07-2005)
Kommentar
Fra : Stig Johansen


Dato : 25-07-05 18:55

Anders K. Olsen wrote:

> Det er vel altid et spørgsmål om penge. Hvad koster det, hvis fremmede får
> adgang til ens netværk?

Eksempelvis:
<http://www.computerworld.dk/default.asp?Mode=2&ArticleID=29081>

Uddrag:
......
Firmaet Cardsystems, som håndterer kreditkorttransaktioner for mere end
100.000 firmaer, erkender nu, at selskabet står på afgrundens rand, efter
en alvorlig sikkerhedsbrist.
......


--
Med venlig hilsen
Stig Johansen

Anders K. Olsen (26-07-2005)
Kommentar
Fra : Anders K. Olsen


Dato : 26-07-05 14:07

"Stig Johansen" <stig_johansen_it_at_=(@)hotmail.com> wrote in message
news:42e52789$0$18646$14726298@news.sunsite.dk...
> Anders K. Olsen wrote:
>
>> Det er vel altid et spørgsmål om penge. Hvad koster det, hvis fremmede
>> får
>> adgang til ens netværk?
>
> Eksempelvis:
> <http://www.computerworld.dk/default.asp?Mode=2&ArticleID=29081>

Ja, den historie har jeg lagt mærke til. Nu har vi ikke på samme måde
kunders data liggende på vores servere, så jeg mener ikke at vi risikerer at
stå i samme situation.

Venlig hilsen

Anders



Stig Johansen (26-07-2005)
Kommentar
Fra : Stig Johansen


Dato : 26-07-05 22:38

Anders K. Olsen wrote:

> "Stig Johansen" <stig_johansen_it_at_=(@)hotmail.com> wrote in message
> news:42e52789$0$18646$14726298@news.sunsite.dk...
>> Anders K. Olsen wrote:
>>
>>> Det er vel altid et spørgsmål om penge. Hvad koster det, hvis fremmede
>>> får
>>> adgang til ens netværk?
>>
>> Eksempelvis:
>> <http://www.computerworld.dk/default.asp?Mode=2&ArticleID=29081>
>
> Ja, den historie har jeg lagt mærke til. Nu har vi ikke på samme måde
> kunders data liggende på vores servere, så jeg mener ikke at vi risikerer
> at stå i samme situation.

Det er jeg med på.
Den risikovurdering, i skal lave skal ses ud fra incitamentet til at få fat
i jeres kildekoder.
Hvis du skal prøve at sætte pris på skadesvirkning ved at få fat i jeres
kildekoder, skal du over i nogle overvejelser om mistede forretninger/øget
pres fra konkurrenter eller lign.
Nu skriver du ikke om det eksempelvis er markedsledene produkter, i handler
med osv., så vi(jeg) kan ikke vurdere hvorvidt det overhovedet ville være
interessant at angribe jeres system.

Nå never mind, men generelt stoler jeg ikke på en alt-i-een M$ løsning over
en dørtærskel. Dette skal ikke ses som et religiøst angreb, men et udtryk
for en ikke uanseelig erfaring.

Med tanke i hvor lidt killdekoder fylder, og hvor lidt CPU, der skal til for
at drive CVS + fil share, ville jeg nok tænke lidt i baner om at anskaffe
noget nær den billigste (evt brugte) PC, og køre en Linux med
IPTABLES/SAMBA/CVS, udelukkende til kildekoder og CVS.

--
Med venlig hilsen
Stig Johansen

Anders K. Olsen (27-07-2005)
Kommentar
Fra : Anders K. Olsen


Dato : 27-07-05 08:47

"Stig Johansen" <stig_johansen_it_at_=(@)hotmail.com> wrote in message
news:42e6ad78$0$18640$14726298@news.sunsite.dk...
> Den risikovurdering, i skal lave skal ses ud fra incitamentet til at få
> fat
> i jeres kildekoder.

[klip]

> Med tanke i hvor lidt killdekoder fylder, og hvor lidt CPU, der skal til
> for
> at drive CVS + fil share, ville jeg nok tænke lidt i baner om at anskaffe
> noget nær den billigste (evt brugte) PC, og køre en Linux med
> IPTABLES/SAMBA/CVS, udelukkende til kildekoder og CVS.

Vi har planer om at sætte en separat filserver/CVS server op. Den kommer
sandsynligvis til at køre linux. Jeg kan godt følge dig i dine bekymringer
omkring SBS serveren, så vi har ikke planer om at gemme vores kildekode på
den maskine.

/Anders



Anders K. Olsen (25-07-2005)
Kommentar
Fra : Anders K. Olsen


Dato : 25-07-05 09:08

>"Christian E. Lysel" <sunsite.dk@spindelnet.dk> wrote in message
>news:42e00d13$0$10620$edfadb0f@dread11.news.tele.dk...
>Alex Holst wrote:
>> Anders K. Olsen wrote:
>>
>>> 4) Det skal være forholdsvis enkelt at lave rettelser på maskinerne i
>>> demo netværket, når man sidder på det interne netværk. Det vil være
>>> dejligt, hvis man kunne bruge samme password, dvs. hvis maskinerne var
>>> på domænet.
>> Det vil jeg stærkt fraråde.
>
>Enig...jeg kan lige forstille mig mulighederne for en angriber, hvis ISA'en
>bruger data fra AD'et, demo-segmentet har adgang til...speciel hvis evt.
>oplysningerne kan bruges til VPN adgangen.
>
>
>Er der virkelig ingen der kan se problemmet i en gateway der kører AD,
>Exchange og IIS (OWA)?

Jo, jeg kan sagtens se problemet. Jeg kan nu også se problemet i at betale
for hardware og licens til Microsoft for separate servere til alle services.

>Anders har du tænkt dig at hardne SBS'en?

Meget gerne. Kan du give et par tips til hvad jeg kan gøre?

>Den sidste SBS jeg auditerede, kørte alle services: smtp, http, https,
>ldap, imap, pop3, fildeling, diverse rpc services.

Vi har ikke planer om at køre imap og pop3, men derudover kommer vi nok til
at køre de fleste af de services du nævner. Der skulle dog helst kun være
adgang til smtp, https og VPN udefra, men vi får vel behov for at adgang til
resten fra det interne netværk.

>Det tog 1 min via http services'en at få skriveadgang til filserveren. Dog
>faldt IIS'en på gulvet. Jeg ringe til kunden for at få den genstartet, men
>de påstod hårdnakket den ikke kørte IIS.

Jeg er klar over, at hvis du får adgang til SBS'en, så har du fuld adgang
til det interne netværk. Det er en risiko vi er villig til at løbe. Vi vil
dog sørge for hele tiden at holde maskine opdateret med de nyeste patches
fra Microsoft, samt logge hvad der sker på den.

Vi har planer om at sætte en separat CVS server op til alt vores kildekode.
Det bliver sandsynligvis en Linux server, og den kommer ikke på domænet.

>Jeg gætter på deres leverandør, som var et størrer Microsoft certificed
>konsulenthus, havde et forklaringsproblem.
>
>
>5) Jeg ville simplicere VPN netværket, og smide det direkte på Internet
>segmentet...evt. tillade logs fra AP til en logserver. Herefter kan
>firewallen betragte det som en vilken som helst anden maskine på Internet.

Det var også en mulighed vi har overvejet. Det ville dog være rart med en
firewall foran maskinerne på VPN netværket, og da vi nu har en ISA server
stående, regnede jeg med at vi lige så godt kunne bruge dens firewall
egenskaber.

>3) Disse kan også smides direkte på Internet, hvis de er hardnet
>forsvarligt.

Det var også en mulighed. Igen ville det være rart med en firewall foran
dem, så der i det mindste var lidt beskyttelse foran dem. Der kommer sikkert
til at stå et par maskiner til det netværk, og jeg er bange for at det vil
være let at glemme at opdatere en af dem, hvis man ikke lige arbejder på den
i øjeblikket.

Venlig hilsen

Anders



Christian E. Lysel (25-07-2005)
Kommentar
Fra : Christian E. Lysel


Dato : 25-07-05 22:06

Anders K. Olsen wrote:
>>Anders har du tænkt dig at hardne SBS'en?
> Meget gerne. Kan du give et par tips til hvad jeg kan gøre?

Slå alt fra du ikke brugere... på sikkerhed-faq.dk har vi nogle links.

> Vi har ikke planer om at køre imap og pop3, men derudover kommer vi nok til

Godt, så slå det fra.

> at køre de fleste af de services du nævner. Der skulle dog helst kun være
> adgang til smtp, https og VPN udefra, men vi får vel behov for at adgang til
> resten fra det interne netværk.

Og hvis du laver en fejl i firewall opsætningen som min kundes konsulent
firma lavede?

> Jeg er klar over, at hvis du får adgang til SBS'en, så har du fuld adgang
> til det interne netværk. Det er en risiko vi er villig til at løbe. Vi vil
> dog sørge for hele tiden at holde maskine opdateret med de nyeste patches
> fra Microsoft, samt logge hvad der sker på den.

ok.

> Vi har planer om at sætte en separat CVS server op til alt vores kildekode.
> Det bliver sandsynligvis en Linux server, og den kommer ikke på domænet.

Hvilken værdi har jeres kildekode for Jer?

>>5) Jeg ville simplicere VPN netværket, og smide det direkte på Internet
>>segmentet...evt. tillade logs fra AP til en logserver. Herefter kan
>>firewallen betragte det som en vilken som helst anden maskine på Internet.
>
>
> Det var også en mulighed vi har overvejet. Det ville dog være rart med en
> firewall foran maskinerne på VPN netværket, og da vi nu har en ISA server
> stående, regnede jeg med at vi lige så godt kunne bruge dens firewall
> egenskaber.

Brug dennes indbygget firewall og DHCP server:
http://www.edbpriser.dk/Listprices.asp?ID=18516, 500 kr.

>>3) Disse kan også smides direkte på Internet, hvis de er hardnet
>>forsvarligt.
>
> Det var også en mulighed. Igen ville det være rart med en firewall foran
> dem, så der i det mindste var lidt beskyttelse foran dem. Der kommer sikkert
> til at stå et par maskiner til det netværk, og jeg er bange for at det vil
> være let at glemme at opdatere en af dem, hvis man ikke lige arbejder på den
> i øjeblikket.

Hvis maskinerne er hardnet vil en firewall ikke beskytte imod en
manglende opdatering.

Dog er jeg enig i det kan være svært at holde en maskine hardnet, hvis
flere skal have adgang til den.

Anders K. Olsen (26-07-2005)
Kommentar
Fra : Anders K. Olsen


Dato : 26-07-05 14:20

>"Christian E. Lysel" <sunsite.dk@spindelnet.dk> wrote in message
>news:42e5541c$0$64235$edfadb0f@dread15.news.tele.dk...
>Anders K. Olsen wrote:
>>>Anders har du tænkt dig at hardne SBS'en?
>> Meget gerne. Kan du give et par tips til hvad jeg kan gøre?
>
>Slå alt fra du ikke brugere... på sikkerhed-faq.dk har vi nogle links.

Den side vil jeg kikke på. Mange tak for linket.

>> Vi har ikke planer om at køre imap og pop3, men derudover kommer vi nok
>> til
>
>Godt, så slå det fra.

De eneste protokoller der er startede i Exchange er SMTP og HTTP (Outlook
Web Access).

>> at køre de fleste af de services du nævner. Der skulle dog helst kun være
>> adgang til smtp, https og VPN udefra, men vi får vel behov for at adgang
>> til resten fra det interne netværk.
>
>Og hvis du laver en fejl i firewall opsætningen som min kundes konsulent
>firma lavede?

Ja, det er en risiko. Jeg vil selvfølgelig gøre mit bedste, og forsøge at
sætte mig så godt som muligt ind i tingene. Det er derfor jeg spørger jer
her i gruppen.

>> Vi har planer om at sætte en separat CVS server op til alt vores
>> kildekode. Det bliver sandsynligvis en Linux server, og den kommer ikke
>> på domænet.
>
>Hvilken værdi har jeres kildekode for Jer?

Den har meget stor værdi. Vores kildekode består af to ting:

1) Vores primære produkt. Det er det vi lever af, så kildekoden til dette
produkt er nok det mest værdifulde vi har, og dermed det vil ønsker at passe
bedst muligt på.
2) Kundetilpasninger / POC setups. Vi vil selvfølgelig gemme kildekoden til
disse ting, men de har kun værdi i forbindelse med kodegenbrug. Der er ikke
noget af denne kode som er hemlig, og vores kunder får normalt adgang til
selv at rette i den når den er installeret hos dem.

Venlig hilsen

Anders



Christian E. Lysel (26-07-2005)
Kommentar
Fra : Christian E. Lysel


Dato : 26-07-05 16:57

Anders K. Olsen wrote:
> De eneste protokoller der er startede i Exchange er SMTP og HTTP (Outlook
> Web Access).

Er det ikke en underdrivelse?

Prøv at kør: "netstat -na" og kik efter de porte hvor der står LISTEN,
dette er programmer der står og venter på noget kontakter netværkskortet.

> Ja, det er en risiko. Jeg vil selvfølgelig gøre mit bedste, og forsøge at
> sætte mig så godt som muligt ind i tingene. Det er derfor jeg spørger jer
> her i gruppen.

Bed evt. en sikkerhedskonsulent, om at lave en auditering fra consolen,
dvs. få denne til at se om maskinen er sat rigtigt op.

>>Hvilken værdi har jeres kildekode for Jer?
>
>
> Den har meget stor værdi. Vores kildekode består af to ting:
>
> 1) Vores primære produkt. Det er det vi lever af, så kildekoden til dette
> produkt er nok det mest værdifulde vi har, og dermed det vil ønsker at passe
> bedst muligt på.
> 2) Kundetilpasninger / POC setups. Vi vil selvfølgelig gemme kildekoden til
> disse ting, men de har kun værdi i forbindelse med kodegenbrug. Der er ikke
> noget af denne kode som er hemlig, og vores kunder får normalt adgang til
> selv at rette i den når den er installeret hos dem.

Godt, så indret sikkerhedsnivauet efter det.

Anders K. Olsen (27-07-2005)
Kommentar
Fra : Anders K. Olsen


Dato : 27-07-05 09:12

>"Christian E. Lysel" <sunsite.dk@spindelnet.dk> wrote in message
>news:42e65cea$0$87012$edfadb0f@dread11.news.tele.dk...
>Anders K. Olsen wrote:
>> De eneste protokoller der er startede i Exchange er SMTP og HTTP (Outlook
>> Web Access).
>
>Er det ikke en underdrivelse?
>
>Prøv at kør: "netstat -na" og kik efter de porte hvor der står LISTEN,
>dette er programmer der står og venter på noget kontakter netværkskortet.

Jeg mente, at jeg ikke har aktiveret POP3, IMAP4 og NNTP protokollerne i
Exchange serveren. Jeg ved godt at der kører andre services på serveren som
lytter på forskellige porte. Jeg prøvede lige at køre en netstat, og jeg må
sige at jeg er overrasket over at det er så mange porte der lyttes på.

Det er jo problemet med en SBS server. Vi bruger den som Exchange, DC,
Webserver, så der er behov for en del kommunikation med den fra lokalnettet.
Der skulle dog meget gerne være spæret for det meste fra ydersiden.

Kender du et program som jeg kan bruge til at teste hvilke porte der er åbne
på en maskine? Så kan jeg prøve at køre det fra en laptop på ydersiden.

>> Ja, det er en risiko. Jeg vil selvfølgelig gøre mit bedste, og forsøge at
>> sætte mig så godt som muligt ind i tingene. Det er derfor jeg spørger jer
>> her i gruppen.
>
>Bed evt. en sikkerhedskonsulent, om at lave en auditering fra consolen,
>dvs. få denne til at se om maskinen er sat rigtigt op.

Det var måske ikke en dum ide.



Christian E. Lysel (27-07-2005)
Kommentar
Fra : Christian E. Lysel


Dato : 27-07-05 18:18

Anders K. Olsen wrote:
>>Prøv at kør: "netstat -na" og kik efter de porte hvor der står LISTEN,
>>dette er programmer der står og venter på noget kontakter netværkskortet.
>
>
> Jeg mente, at jeg ikke har aktiveret POP3, IMAP4 og NNTP protokollerne i

Gør den ikke selv det?

> Exchange serveren. Jeg ved godt at der kører andre services på serveren som
> lytter på forskellige porte. Jeg prøvede lige at køre en netstat, og jeg må

Prøv at køre "netstat -nao", nu får du også PID'en.

> sige at jeg er overrasket over at det er så mange porte der lyttes på.

Start med at minimere antallet af porte der lyttes på...prøv derefter at
få resten til at lytte til det interne interface hvis det er nødvendt og
derefter kan du lave filtre der beskytter resten.

> Det er jo problemet med en SBS server. Vi bruger den som Exchange, DC,
> Webserver, så der er behov for en del kommunikation med den fra lokalnettet.
> Der skulle dog meget gerne være spæret for det meste fra ydersiden.
>
> Kender du et program som jeg kan bruge til at teste hvilke porte der er åbne
> på en maskine? Så kan jeg prøve at køre det fra en laptop på ydersiden.

"netstat" er det bedste program. Bagefter bør du bruge "nmap" via netværket.

>>Bed evt. en sikkerhedskonsulent, om at lave en auditering fra consolen,
>>dvs. få denne til at se om maskinen er sat rigtigt op.
> Det var måske ikke en dum ide.

Lad vær med at bruge en sikkerhedskonsulent til at auditere
netværket...det giver ikke meget i mine øjne..typisk som at famle i blinde.

Den sidste audit jeg udførte, fandt 13 problemmer, alt fra manglende
dokumententation, uoverskuelige regler, service der ikke bruges, simple
identiske shared secrets til manglene fejlrettelser...en netværksaudit
ville kun havde fundet en af de 13 problemmer.

Anders K. Olsen (28-07-2005)
Kommentar
Fra : Anders K. Olsen


Dato : 28-07-05 09:09

>"Christian E. Lysel" <sunsite.dk@spindelnet.dk> wrote in message
>news:42e7c167$0$95890$edfadb0f@dread11.news.tele.dk...
>Anders K. Olsen wrote:
>> Jeg mente, at jeg ikke har aktiveret POP3, IMAP4 og NNTP protokollerne i
>
>Gør den ikke selv det?

Nej, Exchange i SBS starter som standard kun SMTP og HTTP. Det kan sikkert
ændres, men det har jeg ikke planer om at gøre. Jeg ved ikke om det også
gælder for en normal Exchange 2003.

>> Exchange serveren. Jeg ved godt at der kører andre services på serveren
>> som lytter på forskellige porte. Jeg prøvede lige at køre en netstat, og
>> jeg må
>
>Prøv at køre "netstat -nao", nu får du også PID'en.

Jeg vil lige høre, om jeg forstår netstat korrekt. Hvis Local Address er
0.0.0.0, betyder det så at den lytter på alle interfaces? Hvad så med Local
Address 127.0.0.1? Hvis Local Address er en angivet IP, så lytter den kun på
det interface som har den angivne IP?

>> sige at jeg er overrasket over at det er så mange porte der lyttes på.
>
>Start med at minimere antallet af porte der lyttes på...prøv derefter at få
>resten til at lytte til det interne interface hvis det er nødvendt og
>derefter kan du lave filtre der beskytter resten.

Selv om maskinen lytter på en port, så kan ISA serveren vel godt
efterfølgende spære for adgangen til samme port f.eks. fra det eksterne
interface? Men det bedste vil selvfølgelig være at der slet ikke lyttes på
porten.

>
>> Det er jo problemet med en SBS server. Vi bruger den som Exchange, DC,
>> Webserver, så der er behov for en del kommunikation med den fra
>> lokalnettet. Der skulle dog meget gerne være spæret for det meste fra
>> ydersiden.
>>
>> Kender du et program som jeg kan bruge til at teste hvilke porte der er
>> åbne på en maskine? Så kan jeg prøve at køre det fra en laptop på
>> ydersiden.
>
>"netstat" er det bedste program. Bagefter bør du bruge "nmap" via
>netværket.

Det vil jeg prøve.

Mange tak fordi du har villet svare på alle mine spørgsmål.

Venlig hilsen

Anders



Christian E. Lysel (28-07-2005)
Kommentar
Fra : Christian E. Lysel


Dato : 28-07-05 15:19

Anders K. Olsen wrote:
>>Gør den ikke selv det?
> Nej, Exchange i SBS starter som standard kun SMTP og HTTP. Det kan sikkert
> ændres, men det har jeg ikke planer om at gøre. Jeg ved ikke om det også
> gælder for en normal Exchange 2003.

Ok.

> Jeg vil lige høre, om jeg forstår netstat korrekt. Hvis Local Address er
> 0.0.0.0, betyder det så at den lytter på alle interfaces? Hvad så med Local
> Address 127.0.0.1? Hvis Local Address er en angivet IP, så lytter den kun på
> det interface som har den angivne IP?

Det er korrrekt.

>>Start med at minimere antallet af porte der lyttes på...prøv derefter at få
>>resten til at lytte til det interne interface hvis det er nødvendt og
>>derefter kan du lave filtre der beskytter resten.
> Selv om maskinen lytter på en port, så kan ISA serveren vel godt
> efterfølgende spære for adgangen til samme port f.eks. fra det eksterne
> interface? Men det bedste vil selvfølgelig være at der slet ikke lyttes på
> porten.

Ja.

>>>Kender du et program som jeg kan bruge til at teste hvilke porte der er
>>>åbne på en maskine? Så kan jeg prøve at køre det fra en laptop på
>>>ydersiden.
>>
>>"netstat" er det bedste program. Bagefter bør du bruge "nmap" via
>>netværket.
>
>
> Det vil jeg prøve.
>
> Mange tak fordi du har villet svare på alle mine spørgsmål.

Det var så lidt.

Anders K. Olsen (25-07-2005)
Kommentar
Fra : Anders K. Olsen


Dato : 25-07-05 08:56

"Alex Holst" <a@mongers.org> wrote in message
news:42dfdb82$0$174$edfadb0f@dtext02.news.tele.dk...

Hej Alex

Mange tak for dit svar.

> Anders K. Olsen wrote:
>> 4) Det skal være forholdsvis enkelt at lave rettelser på maskinerne i
>> demo netværket, når man sidder på det interne netværk. Det vil være
>> dejligt, hvis man kunne bruge samme password, dvs. hvis maskinerne var på
>> domænet.
>
> Det vil jeg stærkt fraråde. Jeg ville forhindre at demo nettet lavede
> udgående forbindelser, og lade det kun tage imod forbindelser fra det
> interne net samt internettet (måske endda begrænset til de IP scopes I
> opholder jer på). Demo maskinerne ville blive en del af deres eget domæne
> hvor DC stod på samme net og så måtte folk ellers leve med at skulle have
> en produktions-bruger og en demo-bruger.

Det lyder som en brugbar løsning. Vi har i øjeblikket ikke en separat server
som vi kan bruge som DC, men kræver det særlig meget af en maskine at køre
DC? Så kunne en af vores eksisterende Windows 2003 Servere sikkert overtales
til også at være domæne controller.

> Hvis du forklarer lidt mere om hvordan I bruger demo maskinerne kan vi
> måske komme med forslag til hvordan I kan løse jeres opgaver på demo
> maskinerne så simpelt og let som muligt.

Maskinerne på demo netværket skal bruges til at demonstrere vores produkt
over for kommende kunder. De skal også bruges til at lave Proof of Concept
hvor vi demonstrerer hvordan vores produkt kommende kunders problemer. Det
vil sandsynligvis kræve web server (Apache og/eller IIS), database og så
vores produkt installeret. Alt afhængig af hvad vores kunder har, som vi
skal integrere med, kan det også kræve installation af andet software og
måske også udgående forbindelse til andre servere. Det vil helt afhænge af
den pågældende POC.

Det vil dog være dejligt, hvis vi kunne arbejde med POC'en direkte på
maskinen i demo netværket, evt. via Remote Desktop (hvis det er en Windows
maskine), og det vil sikkert også være rart at kunne overføre filer til den
via windows fildeling.

>> Det vil også være dejligt, hvis vi kunne have CVS adgang fra demo
>> maskinerne til CVS serveren på intranettet. Vil det være at åbne op for
>> et sikkerhedshul?
>
> Taler vi anonym CVS eller commit adgang? Lad i stedet CVS serveren kopiere
> det nødvendige indhold ud på demomaskinerne med jævne mellemrum.

Det var en mulighed. Det vil jeg snakke med mine kolleger om.

>> Vil det være muligt at få maskinerne på demo netværket på domænet, uden
>> at åbne op for sikkerhedshuller?
>
> Nej. Hvis jeres demo maskiner er en del af jeres interne domæne (eller
> endnu værre: Jeres interne domæne stoler på demo-domænet) får I hurtigt
> alvorlige problemer.

Ok. Det vil jeg så undlade. Så må vi klare os med to adgangskoder, men det
kan jeg også fint leve med.
Det er ikke muligt for en SBS at stole på andre domæner, så det problem får
vi ikke

>> Vil det være smartere at udstyre alle maskinerne på demo netværket med 2
>> NIC, og så tilslutte dem direkte til det interne netværk med det andet
>> NIC. Og så selvfølgelig sørge for at der ikke kan routes trafik gennem
>> maskinerne. Vil det være for besværligt at administrere?
>
> Det er i hvert fald en fremragende måde at skabe helt grundlæggende
> sikkerhedsproblemer på samtidigt med at man unødvendigt bruger penge på
> hardware.

Det var også min holdning, men jeg ville lige spørge. Det er altid rart at
have nogle gode argumenter når jeg skal tale med mine kolleger.

Venlig hilsen
Anders



Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste