---

Duere det til noget at køre webserver og firewall på samme maskine, altså
hvor alt netværkstrafik går igennem webserveren ??

Det var for kun at have en maskine stående tændt hele tiden.

---

Andre <andre21@ofir.dk> wrote:
> Duere det til noget at køre webserver og firewall på samme maskine, altså
> hvor alt netværkstrafik går igennem webserveren ??
>
> Det var for kun at have en maskine stående tændt hele tiden.

Er dit eneste sikkerhedskrav virkeligt "kun een maskine maa vaere taendt
hele tiden"? Laes ogsaa lidt om hvorfor vi ikke kan besvare den slags
spoergsmaal:

   http://a.area51.dk/sikkerhed/indledning#bedste

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Andre wrote:
>
> Duere det til noget at køre webserver og firewall på samme maskine, altså
> hvor alt netværkstrafik går igennem webserveren ??
>
> Det var for kun at have en maskine stående tændt hele tiden.

Hvis jeg har forstået dig rigtigt, vil du have en computer med
firewall og webserver kørende hele tiden, og samtidig have et
antal computere bagved, som kun er tændt en del af tiden.

Spørgsmålet er så, hvad betyder firewallen for sikkerheden af
henholdsvis webserveren og maskinerne bagved.

For maskinerne bagved vil det sikreste være, at firewallen
ikke laver andet end at fugnere som firewall, og dermed ikke
fungerer som webserver. Det mindst sikre vil være, at der slet
ingen firewall er.

Hvis valget står mellem ingen firewall og en kombineret
webserver og firewall, vil den kombinerede løsning være den
sikreste.

Firewallen vil sandsynligvis også være til gavn for webserverens
sikkerhed, men du kan ikke være helt sikker på, at det vil være
tilfældet. Hvis de kører på samme maskine er der en teoretisk
mulighed for, at firewallen forringer webserverens sikkerhed.

Sikkerhedshuller i selve webserver programmet kan en firewall
ikke gøre meget ved. En meget avanceret statefull inspection
firewall kan givetvis hjælpe mod nogle fejl i webserveren, men
det forøgere risikoen for fejl i firewallen.

Hvis man kan få kontrol over webserveren er dit system dermed
ca. lige så udsat som helt uden firewall.

Nogle mere sikre løsninger er følgende:
1) Placer webserveren bagved firewallen.
2) Placer webserveren på et ekstra netkort på firewallen,
det betyder, at du skal have tre netkort i din firewall.
3) Placer webserveren mellem to firewalls, så du har en
firewall foran webserveren og en bagved. Den bageste vil så
stadig beskytte resten af maskinerne hvis webserveren er
blevet kompromiteret.

Alle tre forslag vil naturligvis kræve at flere maskiner er
tændt samtidig, og de vil muligvis være overkill i forhold til
dine krav.

Hvis du foretrækker at køre webserver og firewall på en enkelt
maskine med to netkort, vil jeg anbefale Linux 2.4.x hvor du
bruger iptables som firewall og apache som webserver. Du kan
f.eks. bruge Red Hat Linux 7.2, men sørg for at installere
alle sikkerhedsopdateringer, og kom endelig tilbage og spørg
hvordan den skal konfigureres. (Der findes naturligvis
alternativer, f.eks. debian eller måske ligefrem FreeBSD, men
I så fald kan *jeg* ikke hjælpe dig.)

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>Hvis jeg har forstået dig rigtigt, vil du have en computer med
>firewall og webserver kørende hele tiden, og samtidig have et
>antal computere bagved, som kun er tændt en del af tiden.

Sådan gør jeg herhjemme: min Linux-boks er server og desuden
firewall for min Windowsmaskine.

>Sikkerhedshuller i selve webserver programmet kan en firewall
>ikke gøre meget ved. En meget avanceret statefull inspection
>firewall kan givetvis hjælpe mod nogle fejl i webserveren, men
>det forøgere risikoen for fejl i firewallen.

Linux 2.4's iptables kan faktisk noget rigtig smart: den kan
filtrere pakker der stammer fra firewallmaskinen selv, afhængigt
af senderens userID.

Min Linuxboks er konfigureret sådan at de brugernavne som
webserveren kører under (dels Apaches eget brugernavn, dels nogle
der kører cgi-scripts via suexec) ikke har lov til at oprette
forbindelser (i bred forstand, også omfattende udp) ind i det
interne net overhovedet. Det samme gælder de brugernavne min
navneserver og min mailserver kører under. Disse brugernavne har
naturligvis heller ikke lov til at forbinde sig til farlige
services på maskinen selv (den kører nogle services til brug
indefra som jeg ikke ønsker tilgængelige udefra eller fra usikre
brugernavne).

Herved er problemet med beskyttelse af det interne net (hvis man
tror på iptables og kan finde ud af at bruge dem rigtigt)
reduceret til at disse "usikre" brugernavne ikke må kunne forøge
deres privilegier via en fejl i noget lokalt software. Det kan
man i hæderlig grad sikre sig mod ved at beskytte alle setuid- og
setgid-programmer på maskinen, så de ikke kan køres af de usikre
brugere. Det eneste setuid-program alle brugernavne har lov til
at køre på min maskine er "passwd" - den er altså rar at have, og
jeg har vurderet at den nok ikke er den store sikkerhedsrisiko.
Desuden kan "httpd" (og kun "httpd") naturligvis køre "suexec" -
jeg har valgt at stole på dens indbyggede sikkerhedstjek.

Omvendt er der også nogle få brugernavne som jeg betragter som
"sikre": de kan køre su, ping, og alle de andre
setuid-root-programmer, men medmindre jeg har dummet mig slemt
kan man ikke opnå sådan en userID via webserveren. Og deres
passwords sendes aldrig i klartekst over nettet.

Alt dette er naturligvis ikke nær så sikkert som at skille
tingene i flere omhyggeligt konfigurerede maskiner. Men til
hjemmebrug, hvor det (i hvert fald når man bor i en lille
lejlighed) faktisk kan være et meget væsentligt krav at der kun
er én maskine der altid skal være tændt, er det slet ikke så
ringe endda.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Jesper Dybdal wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> wrote:
>
> >Hvis jeg har forstået dig rigtigt, vil du have en computer med
> >firewall og webserver kørende hele tiden, og samtidig have et
> >antal computere bagved, som kun er tændt en del af tiden.
>
> Sådan gør jeg herhjemme: min Linux-boks er server og desuden
> firewall for min Windowsmaskine.
>
> >Sikkerhedshuller i selve webserver programmet kan en firewall
> >ikke gøre meget ved. En meget avanceret statefull inspection
> >firewall kan givetvis hjælpe mod nogle fejl i webserveren, men
> >det forøgere risikoen for fejl i firewallen.
>
> Linux 2.4's iptables kan faktisk noget rigtig smart: den kan
> filtrere pakker der stammer fra firewallmaskinen selv, afhængigt
> af senderens userID.
>
> Min Linuxboks er konfigureret sådan at de brugernavne som
> webserveren kører under (dels Apaches eget brugernavn, dels nogle
> der kører cgi-scripts via suexec) ikke har lov til at oprette
> forbindelser (i bred forstand, også omfattende udp) ind i det
> interne net overhovedet.

Det har du ret i, det havde jeg ikke lige overvejet.
Jeg bruger faktisk selv den feature til at sikre at
kun root kan konfigurere kabelmodemet. Ovenstående
burde være sikkert medmindre nogen finder et lokalt
root exploit at anvende gennem webserveren.

Du kunne vel også filtrere pakker udad så webserveren
ikke kan kontakte eksterne maskiner men kun kan sende
svar på forespørgsler. Det ville stoppe en evt. Code
Red variant til apache, hvis sådan en nogensinde
skulle dukke op. (Nok ret usandsynligt.)

> Det samme gælder de brugernavne min
> navneserver og min mailserver kører under. Disse brugernavne har
> naturligvis heller ikke lov til at forbinde sig til farlige
> services på maskinen selv (den kører nogle services til brug
> indefra som jeg ikke ønsker tilgængelige udefra eller fra usikre
> brugernavne).

Du har vist gjort mere ud af din iptables opsætning
end jeg har, og jeg troede min var omfattende.

>
> Herved er problemet med beskyttelse af det interne net (hvis man
> tror på iptables og kan finde ud af at bruge dem rigtigt)
> reduceret til at disse "usikre" brugernavne ikke må kunne forøge
> deres privilegier via en fejl i noget lokalt software. Det kan
> man i hæderlig grad sikre sig mod ved at beskytte alle setuid- og
> setgid-programmer på maskinen, så de ikke kan køres af de usikre
> brugere. Det eneste setuid-program alle brugernavne har lov til
> at køre på min maskine er "passwd" - den er altså rar at have, og
> jeg har vurderet at den nok ikke er den store sikkerhedsrisiko.
> Desuden kan "httpd" (og kun "httpd") naturligvis køre "suexec" -
> jeg har valgt at stole på dens indbyggede sikkerhedstjek.
>
> Omvendt er der også nogle få brugernavne som jeg betragter som
> "sikre": de kan køre su, ping, og alle de andre
> setuid-root-programmer, men medmindre jeg har dummet mig slemt
> kan man ikke opnå sådan en userID via webserveren. Og deres
> passwords sendes aldrig i klartekst over nettet.
>
> Alt dette er naturligvis ikke nær så sikkert som at skille
> tingene i flere omhyggeligt konfigurerede maskiner. Men til
> hjemmebrug, hvor det (i hvert fald når man bor i en lille
> lejlighed) faktisk kan være et meget væsentligt krav at der kun
> er én maskine der altid skal være tændt, er det slet ikke så
> ringe endda.

Det lyder sandelig meget velovervejet. Du er nok
ret godt sikret. Jeg vil overveje at bruge nogle
af dine idéer på min egen computer.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>Du kunne vel også filtrere pakker udad så webserveren
>ikke kan kontakte eksterne maskiner men kun kan sende
>svar på forespørgsler. Det ville stoppe en evt. Code
>Red variant til apache, hvis sådan en nogensinde
>skulle dukke op. (Nok ret usandsynligt.)

Det gør jeg ikke pt., men det er jo rigtigt at det kunne jeg
sagtens gøre. (Efter lige at have overvejet om jeg en dag mon
skriver et cgi-script der bruger http udad - men det er nok ikke
sandsynligt.)

>Jeg vil overveje at bruge nogle
>af dine idéer på min egen computer.

Det glæder mig at det ikke var spild af tid at beskrive hvad jeg
gør.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

> (Der findes naturligvis alternativer, f.eks. debian eller måske ligefrem
FreeBSD, men
> I så fald kan *jeg* ikke hjælpe dig.)

Hvad mener du med "ligefrem FreeBSD" ?
mvh Rasmus

---

"Rasmus Ladekjær Pedersen" wrote:
>
> > (Der findes naturligvis alternativer, f.eks. debian eller måske
> > ligefrem FreeBSD, men I så fald kan *jeg* ikke hjælpe dig.)
>
> Hvad mener du med "ligefrem FreeBSD" ?

Det tror jeg ikke, der lå nogen dybere mening i. Jeg kan I hvert
fald ikke selv huske, hvad den i så fald har været. Det eneste
jeg prøvede at sige var, at selvom jeg nævnte Red Hat Linux som
et eksempel, kunne der nemt være andre mindst lige så gode valg.

Jo mere systemet ligner det system, jeg kender bedst, des mere
vil min ekspertise kunne hjælpe. Jeg vil ikke udtale mig om
FreeBSD vs. Linux blot konstatere, at mine erfaringer med
iptables vil være af begrænset værdi ved opsætning af en FreeBSD
firewall.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Tak for svarene.

Hvad så hvis man installerede zonealarm på alle pceren og routede (Dlink
DI-704 rotuer) alt trafik på port 80 til en pc på lanet. Er der så muligt
for hacker at brude ind på de andre computere på lanet, evt. via webserveren
??

Vil denne løsning være OK ??


Andre <andre21@ofir.dk> skrev i en
nyhedsmeddelelse:3c974eee$0$223$edfadb0f@dspool01.news.tele.dk...
> Duere det til noget at køre webserver og firewall på samme maskine, altså
> hvor alt netværkstrafik går igennem webserveren ??
>
> Det var for kun at have en maskine stående tændt hele tiden.
>
>

---

Andre wrote:

> Tak for svarene.
>
> Hvad så hvis man installerede zonealarm på alle pceren og routede (Dlink
> DI-704 rotuer) alt trafik på port 80 til en pc på lanet. Er der så muligt
> for hacker at brude ind på de andre computere på lanet, evt. via webserveren
> ??


Ja.


> Vil denne løsning være OK ??


Vil du være mere sikker, bør du stille webserveren ude foran din router,
eller på et selvstændigt segment på routeren. (men det har di-704, nok ikke)

---

Du har rat, selvstændigt segment understøtter min router ikke.

Forringer det en hackers muligheder, hvis jeg sætter den i en selvstændig
port på routeren, den har indbygget swisch ??


Christian E. Lysel <chlyshoswmdatapunktumcom@example.net> skrev i en
nyhedsmeddelelse:3C9C68EF.6090402@example.net...
> Andre wrote:
>
> > Tak for svarene.
> >
> > Hvad så hvis man installerede zonealarm på alle pceren og routede (Dlink
> > DI-704 rotuer) alt trafik på port 80 til en pc på lanet. Er der så
muligt
> > for hacker at brude ind på de andre computere på lanet, evt. via
webserveren
> > ??
>
>
> Ja.
>
>
> > Vil denne løsning være OK ??
>
>
> Vil du være mere sikker, bør du stille webserveren ude foran din router,
> eller på et selvstændigt segment på routeren. (men det har di-704, nok
ikke)
>

---

Andre wrote:

> Du har rat, selvstændigt segment understøtter min router ikke.


Sæt den dog på ydersiden, og sørg for maskinen er hardnet, dvs. strippet
for unødvendigt software og services.


> Forringer det en hackers muligheder, hvis jeg sætter den i en selvstændig
> port på routeren, den har indbygget swisch ??


Hvis det er to segmenter, hvor det inderste segment er en switch, ja,
men ikke meget.

Hackeren vil ikke kunne sniffe traffiken (dvs. trafik mellem to noder på
dit interne net, ikke af sig selv kommer forbi webserveren) da segmentet
er et microsegment, dvs. det er switchet. Dog er det typisk nemt at
omgåes microsegmentering.

---

Andre <andre21@ofir.dk> wrote:
> Hvad så hvis man installerede zonealarm på alle pceren og routede (Dlink
> DI-704 rotuer) alt trafik på port 80 til en pc på lanet. Er der så muligt
> for hacker at brude ind på de andre computere på lanet, evt. via webserveren
> ??

En firewall kan ikke noedvendigvis forhindre et eletronisk indbrud. Du
bliver noedt til at taenke lidt anderledes for at loese dit problem.

   http://a.area51.dk/sikkerhed/ordforklaring#firewalls

Hvis der er en fejl i webserver softwaren kan dette give en angriber
adgang til din interne maskine. Med alle de fejl som findes i IE
regelmaessigt vil det vaere trivielt at bryde ind i de andre interne
maskiner hen ad vejen.

> Vil denne løsning være OK ??

Det kan vi ikke svare saerligt godt paa. Der er mange grader af "OK", og
min form for OK er sikkert meget anderledes end din.

   http://a.area51.dk/sikkerhed/indledning#bedste

Hvad daekker "OK" over i dit tilfaelde?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Med OK, mener jeg om det vil give en rimelig sikkerhed, forstået på den måde
at det ikke umiddelbart kan lade sig gøre at komme ind. Det findes jeg meget
dygtige hacker, som jo det jo næsten er umuligt at holde ude.

Jeg påtænker at køre med Sambar webserver, IIS er for usikkert, den bliver
jo angrebet hele tiden.


Alex Holst <a@area51.dk> skrev i en
nyhedsmeddelelse:slrna9oqre.pbb.a@C-Tower.Area51.DK...
> Andre <andre21@ofir.dk> wrote:
> > Hvad så hvis man installerede zonealarm på alle pceren og routede (Dlink
> > DI-704 rotuer) alt trafik på port 80 til en pc på lanet. Er der så
muligt
> > for hacker at brude ind på de andre computere på lanet, evt. via
webserveren
> > ??
>
> En firewall kan ikke noedvendigvis forhindre et eletronisk indbrud. Du
> bliver noedt til at taenke lidt anderledes for at loese dit problem.
>
> http://a.area51.dk/sikkerhed/ordforklaring#firewalls
>
> Hvis der er en fejl i webserver softwaren kan dette give en angriber
> adgang til din interne maskine. Med alle de fejl som findes i IE
> regelmaessigt vil det vaere trivielt at bryde ind i de andre interne
> maskiner hen ad vejen.
>
> > Vil denne løsning være OK ??
>
> Det kan vi ikke svare saerligt godt paa. Der er mange grader af "OK", og
> min form for OK er sikkert meget anderledes end din.
>
> http://a.area51.dk/sikkerhed/indledning#bedste
>
> Hvad daekker "OK" over i dit tilfaelde?
>
> --
> I prefer the dark of the night, after midnight and before four-thirty,
> when it's more bare, more hollow. http://a.area51.dk/
>

---

Andre wrote:

> Jeg påtænker at køre med Sambar webserver, IIS er for usikkert, den bliver
> jo angrebet hele tiden.


Sambar er et stykke legetøj.

---

Hvad mener du med det ??

Jeg syntes da at den køre godt nok.


Christian E. Lysel <chlyshoswmdatapunktumcom@example.net> skrev i en
nyhedsmeddelelse:3C9C9072.4090609@example.net...
> Andre wrote:
>
> > Jeg påtænker at køre med Sambar webserver, IIS er for usikkert, den
bliver
> > jo angrebet hele tiden.
>
>
> Sambar er et stykke legetøj.
>
>
>

---

Andre wrote:

> Hvad mener du med det ??


At der er nogle kedelig huller.


> Jeg syntes da at den køre godt nok.


Køre godt nok, kan du ikke definere det?

2002-02-19: Multiple Vendor HTTP CONNECT TCP Tunnel Vulnerability
2002-01-16: Sambar Server Sample Script Denial Of Service Vulnerability
2001-07-25: Sambar Server Insecure Default Password Protection
Vulnerability
2001-07-22: Sambar Server pagecount File Overwrite Vulnerability
2000-09-15: Sambar Server Search CGI Vulnerability
2000-06-01: Sambar Server 4.3 Buffer Overflow Vulnerability
2000-02-24: Sambar Server Batch CGI Vulnerability
1998-06-10: Sambar Server Admin Access Vulnerability

---

Christian E. Lysel <chlyshoswmdatapunktumcom@example.net> skrev i en
nyhedsmeddelelse:3C9DC135.6080903@example.net...
> Andre wrote:
>
> > Hvad mener du med det ??
>
>
> At der er nogle kedelig huller.
>
>
> > Jeg syntes da at den køre godt nok.
>
>
> Køre godt nok, kan du ikke definere det?

Jeg har en stående som jeg tester og lejer lidt med, for at finde ud af det
hele ingen jeg skal bruge den rigtig. Jeg har også kikket på apaphe, men
kunne ikke rigtig finde ud af at sætte den op. Er der ikke noget
webinterfaces med til den ??

En af grundene til at jeg ville bruge sambar, var også at der var mail og
FTP med i den, men hvis den er så usikker som du siger, vil jeg nok vælge en
anden.

Kan nogle anbefale en mail og FTP server ??

---

Andre wrote:

>>Køre godt nok, kan du ikke definere det?
> Jeg har en stående som jeg tester og lejer lidt med, for at finde ud af det
> hele ingen jeg skal bruge den rigtig. Jeg har også kikket på apaphe, men


Test miljøer skal man passe på med, og evt. begrænse adgangen til disse.

> kunne ikke rigtig finde ud af at sætte den op. Er der ikke noget
> webinterfaces med til den ??


Der er en god manual på httpd.apache.org


> En af grundene til at jeg ville bruge sambar, var også at der var mail og
> FTP med i den, men hvis den er så usikker som du siger, vil jeg nok vælge en
> anden.


Den er dejlig nem at gå til, og kræver ikke at du sætte dig ind i den,
men det er også problemet for nu behøver du ikke at forstå hvorfor den
er usikker og hvad der skal til for at løse disse sikkerhedshuller.


> Kan nogle anbefale en mail og FTP server ??


http://www.postfix.org/ og http://cr.yp.to/publicfile.html

---

"Andre" <andre21@ofir.dk> wrote in message
news:3c9c8436$0$39563$edfadb0f@dspool01.news.tele.dk...

> Jeg påtænker at køre med Sambar webserver, IIS er for usikkert, den bliver
> jo angrebet hele tiden.

Meget af diskussionen tenderer at være småreligiøs, men jeg mener
(uden i øvrigt at have nogen fornemmelse af hvornår niveauet 'godt nok' -
med eller udend TM - nås for andre end undertegnede) at meget af det,
der skrives om MSIIS er vildt overdrevet.
Jeg tror at man i langt de fleste tilfælde vil være dækket fornuftigt
ind ved at bruge sund fornuft - også ¨på en MSIIS.
1.) Fjern alle overflødige services.
2.) Benyt en fornuftig virussoftware.
3.) Sørg for at serveren altid er patched helt op.

Jeg (og mine kollegaer) har nu haft servere stående blafrende ude på
det åbne net i 5-6 år. Og jeg har konkluderet følgende:
En server har nu kørt siden '96 (dog med flere gange opdatering af OS
og udskiftning af diske) og har fungeret som hotel for mellem 5 og 50
websites uden en eneste gang at blive skudt i sænk. Men den er bleve
opdateret/patchet mindst en gang om ugen.
Til gengæld er det helt sikkert at de servere, jeg er blevet bedt om
at kigge på p.g.a. uregelmæssigheder, alle som en har været svinet
til i trojanere, virus og hvad ved jeg, hvis ikke de er blevet patchet.

Så uden at være i besiddelse af nogen videre emperi, vil jeg dog hævde
at produktet fungerer udmærket - hvis det bliver passet.

Og så kan der selvfølgeligt indføres et hav af indvendinger mod MS - men
det er måske klogt at skelne mellem den almindelige MS-bashing og
realiteterne.

vh
Jan

---

Jan Boegh wrote:

> Meget af diskussionen tenderer at være småreligiøs, men jeg mener
> (uden i øvrigt at have nogen fornemmelse af hvornår niveauet 'godt nok' -
> med eller udend TM - nås for andre end undertegnede) at meget af det,
> der skrives om MSIIS er vildt overdrevet.


Default konfigurationen er åben for alt for meget.

> Jeg tror at man i langt de fleste tilfælde vil være dækket fornuftigt
> ind ved at bruge sund fornuft - også ¨på en MSIIS.
> 1.) Fjern alle overflødige services.


Ja, men dette kan være svært, sidst jeg prøvede på en IIS, lykkedes det
mig i 3. forsøg.

I nogle situationer lykkes det mig at bringe webserveren ud i en
situation hvor applikationen ikke virker længere.

Det "sjoveste" jeg har set var et CRM system der brugte et gammel
installshield med 8.3 stier. Efter at fjerne support for 8.3 stier i
NTFS filsystemet holdt CRM systemet op med at virke, da den ikke kunne
finde sine dll'er.

Problemet var nu blot at webserveren skulle være sårbar for 8.3 stier,
for at CRM systemet kunne kører.


> 2.) Benyt en fornuftig virussoftware.


*Suk*, hvad skal det løse, udover en system administrator der inficere
maskinen med virus?

> 3.) Sørg for at serveren altid er patched helt op.


Dette kan også være svært grundet den mærkelig måde microsoft lave
versionskontrol (eller mangel på samme) af .dll-filer.


> Jeg (og mine kollegaer) har nu haft servere stående blafrende ude på
> det åbne net i 5-6 år. Og jeg har konkluderet følgende:


Hmm.

Jeg fortrækker at kører Apache 1.3.19. Denne er der ikke bliver fundet
sårbarheder til de sidste mange år.

Nogle firewall producenter bruger nu Apache til out-of-band
brugervalidering.


> En server har nu kørt siden '96 (dog med flere gange opdatering af OS
> og udskiftning af diske) og har fungeret som hotel for mellem 5 og 50
> websites uden en eneste gang at blive skudt i sænk. Men den er bleve


Hvordan ved du at den ikke er skudt i sænk? :)

> opdateret/patchet mindst en gang om ugen.
> Til gengæld er det helt sikkert at de servere, jeg er blevet bedt om
> at kigge på p.g.a. uregelmæssigheder, alle som en har været svinet
> til i trojanere, virus og hvad ved jeg, hvis ikke de er blevet patchet.
>
> Så uden at være i besiddelse af nogen videre emperi, vil jeg dog hævde
> at produktet fungerer udmærket - hvis det bliver passet.


Interessant, dvs. de huller som jeg eller andre kender der ikke er
patchet er ikke noget problem, eller de huller Microsoft mener er
"features" er måske heller ikke noget problem?


> Og så kan der selvfølgeligt indføres et hav af indvendinger mod MS - men
> det er måske klogt at skelne mellem den almindelige MS-bashing og
> realiteterne.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3C9CAB14.5050207@example.net...

> > Meget af diskussionen tenderer at være småreligiøs, men jeg mener
> > (uden i øvrigt at have nogen fornemmelse af hvornår niveauet 'godt
nok' -
> > med eller udend TM - nås for andre end undertegnede) at meget af det,
> > der skrives om MSIIS er vildt overdrevet.
>
> Default konfigurationen er åben for alt for meget.

By design. Min Passat kan også køre alt for hurtigt - derfor bør jeg
bruge sund fornuft, når jeg bruger den.
Selvfølgeligt kan et design altid diskuteres - og jeg vil egentligt
hævde at MSIIS er godt nok - mens det samme ikke kan siges om alle
operatører.

> > Jeg tror at man i langt de fleste tilfælde vil være dækket fornuftigt
> > ind ved at bruge sund fornuft - også ¨på en MSIIS.
> > 1.) Fjern alle overflødige services.
>
>
> Ja, men dette kan være svært, sidst jeg prøvede på en IIS, lykkedes det
> mig i 3. forsøg.

Jeg synes at det er let. Og det er rimeligt enkelt at finde
'how to's på nettet, hvis man ikke selv kan finde ud af det.

> I nogle situationer lykkes det mig at bringe webserveren ud i en
> situation hvor applikationen ikke virker længere.

> Det "sjoveste" jeg har set var et CRM system der brugte et gammel
> installshield med 8.3 stier. Efter at fjerne support for 8.3 stier i
> NTFS filsystemet holdt CRM systemet op med at virke, da den ikke kunne
> finde sine dll'er.
>
> Problemet var nu blot at webserveren skulle være sårbar for 8.3 stier,
> for at CRM systemet kunne kører.

Tjae - jeg oplever da ikke så sjældent at der er problemer med
gammelt software, der snadsynligvis ikke er designet til
overhovedet at køre på 32bitsWin.

> > 2.) Benyt en fornuftig virussoftware.
>
> *Suk*, hvad skal det løse, udover en system administrator der inficere
> maskinen med virus?

At den hyler op, når en af kunderne på webhotellet smider noget
inficeret snask op. Eller jeg skal måske smide mine brugere
ud sammen med OS'et?

> > 3.) Sørg for at serveren altid er patched helt op.
>
>
> Dette kan også være svært grundet den mærkelig måde microsoft lave
> versionskontrol (eller mangel på samme) af .dll-filer.

Tjae - Windows updater virker IMHO ganske udmærket.

> > Jeg (og mine kollegaer) har nu haft servere stående blafrende ude på
> > det åbne net i 5-6 år. Og jeg har konkluderet følgende:
>
> Hmm.
>
> Jeg fortrækker at kører Apache 1.3.19. Denne er der ikke bliver fundet
> sårbarheder til de sidste mange år.
>
> Nogle firewall producenter bruger nu Apache til out-of-band
> brugervalidering.

Aha - dem skal vi stole på. For som du siger:
> Hvordan ved du at den ikke er skudt i sænk? :)
Måske oven i købet det meget agtværdige firma, hvis implementering af
MPLS koster os det blege p.g.a. nyopdukkede sikkerhedsrisici? Har de
så meget styr på sagerne at de fungerer som sandhedsvidner?

> > En server har nu kørt siden '96 (dog med flere gange opdatering af OS
> > og udskiftning af diske) og har fungeret som hotel for mellem 5 og 50
> > websites uden en eneste gang at blive skudt i sænk. Men den er bleve
>
> Hvordan ved du at den ikke er skudt i sænk? :)

Uden at starte en diskussion om positivistisk videnskabsteori kan dette
jo fremføres i enhver sammenhæng.

> > opdateret/patchet mindst en gang om ugen.
> > Til gengæld er det helt sikkert at de servere, jeg er blevet bedt om
> > at kigge på p.g.a. uregelmæssigheder, alle som en har været svinet
> > til i trojanere, virus og hvad ved jeg, hvis ikke de er blevet patchet.
> >
> > Så uden at være i besiddelse af nogen videre emperi, vil jeg dog hævde
> > at produktet fungerer udmærket - hvis det bliver passet.
>
> Interessant, dvs. de huller som jeg eller andre kender der ikke er
> patchet er ikke noget problem, eller de huller Microsoft mener er
> "features" er måske heller ikke noget problem?

Al den stund, du ikke beskriver disse huller, er det ret umuligt
at argumentere hverken for eller imod.
Hvad siger du til:
Jeg kender en hel stribe alvorlige sikkerhedsrisici på apache på
Linux. Men jeg vil af hensyn til de onde hackere (jeg er ligeglad med
hvad de hedder - blot for at kvæle den diskussion fra starten) ikke
offentliggøre disse.

(Nej, helt alvorligt - jeg aner ikke en kæft om disse huller)

vh
Jan

---

Jan Boegh <jan@boegh._X_net> wrote:
> "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
[IIS]
>> Default konfigurationen er åben for alt for meget.
>
> By design. Min Passat kan også køre alt for hurtigt - derfor bør jeg
> bruge sund fornuft, når jeg bruger den.

Den slags sammenligninger er latterlige. Du skal ikke bruge timer paa at
rode med din bil efter hver vask/reperation for at du igen kan overholde
faerselsreglerne.

Jeg er enig i, at maskiner skal saettes op efter sund fornuft (som det
begreb nu er defineret i din sikkerhedspolitik). Microsoft stiller selv
en sikkerhedscheckliste til raadighed som de anbefaler man gaar igennem
inden deres OS slippes loes paa nettet. Jeg forstaar ikke hvorfor deres
maskiner ikke kommer i denne konfiguration, hvor en admin efterfoelgende
skal starte noedvendige services.

Nu Microsoft har lavet en ko-vending og vil saette sikkerhed over
funktionalitet haaber jeg det bliver tilfaeldet med deres fremtidige
produkter. Det kan ikke vaere svaert at smide en Wizard op efter
installation og lade brugeren saette krydser i et par kasser.

Windows 2000 og XP er dog bedre end tidligere udgaver da det indbyggede
policy language og snap-in policy giver mulighed for let at aendre mange
instillinger paa et sekund.

> Selvfølgeligt kan et design altid diskuteres - og jeg vil egentligt
> hævde at MSIIS er godt nok - mens det samme ikke kan siges om alle
> operatører.

De sidste par aar har der med ca. 2-4 ugers mellemrum vaeret fundet nye fejl
i IIS af varierende grader. Jeg kan ikke forestille mig at den risiko er
acceptabel ret mange steder. Hvis den risiko er acceptabel hos Jer, har
I informeret Jeres kunder om den beslutning?

> Tjae - Windows updater virker IMHO ganske udmærket.

I mange tilfaelde goer den, men der findes patches som ikke laegges paa
Windows update, og der har vaeret adskellige tilfaelde af
sikkerhedspatches som oedelagde en Windows installation helt. Jeg mindes
isaer een patch som tog 6 maaneder at udgive (saa det var ikke et
rushjob hvor der ikke var tid til ordenlig QA) med denne feature. Den
blev trukket tilbage efter et par dage.

>> Hvordan ved du at den ikke er skudt i sænk? :)
>
> Uden at starte en diskussion om positivistisk videnskabsteori kan dette
> jo fremføres i enhver sammenhæng.

Det kaldes "assurance" og nogle forretninger vil haevde at dit produkt
er usikkert (og ubrugeligt og alt muligt andet) indtil du har vist
hvordan det er bygget og testet.

Kvaliteten af software er deprimerende saa den holdning forstaar jeg
ganske udmaerket. Det lader til at den eneste der kan skrive godt
software foerste gang er DJB..

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Jan Boegh wrote:

>>Default konfigurationen er åben for alt for meget.
> By design. Min Passat kan også køre alt for hurtigt - derfor bør jeg
> bruge sund fornuft, når jeg bruger den.


By default kan den kun starte når du bruger nøglen, så det er vel en dum
sammenligning

> Selvfølgeligt kan et design altid diskuteres - og jeg vil egentligt
> hævde at MSIIS er godt nok - mens det samme ikke kan siges om alle
> operatører.


?

Hvad skal man bruge skift af password til på en webserver, eller print
via en webserver, i en default installation...Hvor mange bruger det? (ud
over angriberne)

>>Ja, men dette kan være svært, sidst jeg prøvede på en IIS, lykkedes det
>>mig i 3. forsøg.
> Jeg synes at det er let. Og det er rimeligt enkelt at finde
> 'how to's på nettet, hvis man ikke selv kan finde ud af det.


Jeg følger typisk en how-to og nogle artikler fra MS, men bagefter
udfører jeg en auditering over de huller jeg selv kender, dette skal
typisk gentages 2-3 gange, før jeg følger mig sikker.

>>Problemet var nu blot at webserveren skulle være sårbar for 8.3 stier,
>>for at CRM systemet kunne kører.
> Tjae - jeg oplever da ikke så sjældent at der er problemer med
> gammelt software, der snadsynligvis ikke er designet til
> overhovedet at køre på 32bitsWin.


Problemet lå i installshieldet og ikke applikationen der blev
installeret, firmaet var et af de 20 største applikations huse i danmark.

>>*Suk*, hvad skal det løse, udover en system administrator der inficere
>>maskinen med virus?
> At den hyler op, når en af kunderne på webhotellet smider noget
> inficeret snask op. Eller jeg skal måske smide mine brugere


Det ændre vel ikke ved sikkerheden på din server?

> ud sammen med OS'et?


Det har som jeg ser det ikke noget med sagen at gøre.

>>>3.) Sørg for at serveren altid er patched helt op.


>>Dette kan også være svært grundet den mærkelig måde microsoft lave
>>versionskontrol (eller mangel på samme) af .dll-filer.
> Tjae - Windows updater virker IMHO ganske udmærket.


Ser det ud til at virke, eller ved du det virker fordi du har et
indgående kendskab til hvad der i virkeligheden forgår, eller er der
også sårbarheder i Windows updater?

>>Jeg fortrækker at kører Apache 1.3.19. Denne er der ikke bliver fundet
>>sårbarheder til de sidste mange år.
>>
>>Nogle firewall producenter bruger nu Apache til out-of-band
>>brugervalidering.
> Aha - dem skal vi stole på. For som du siger:


Den har en bedre historie, der siger at der ikke er fundet sårbarheder i
de sidste par år.


>>Hvordan ved du at den ikke er skudt i sænk? :)
> Måske oven i købet det meget agtværdige firma, hvis implementering af
> MPLS koster os det blege p.g.a. nyopdukkede sikkerhedsrisici? Har de
> så meget styr på sagerne at de fungerer som sandhedsvidner?


Hvad har det med sagen at gøre?

>>Hvordan ved du at den ikke er skudt i sænk? :)
> Uden at starte en diskussion om positivistisk videnskabsteori kan dette
> jo fremføres i enhver sammenhæng.


En opbevaring af filernes checksum på et andet media vel hjælpe.

>>>Så uden at være i besiddelse af nogen videre emperi, vil jeg dog hævde
>>>at produktet fungerer udmærket - hvis det bliver passet.
>>Interessant, dvs. de huller som jeg eller andre kender der ikke er
>>patchet er ikke noget problem, eller de huller Microsoft mener er
>>"features" er måske heller ikke noget problem?
> Al den stund, du ikke beskriver disse huller, er det ret umuligt
> at argumentere hverken for eller imod.


Men der eksitere også huller som Microsoft blot mener er "features",
hvad gør du for at læse disse, du kan ikke selv rette i koden, eller
betale microsoft for det?

> Hvad siger du til:
> Jeg kender en hel stribe alvorlige sikkerhedsrisici på apache på
> Linux. Men jeg vil af hensyn til de onde hackere (jeg er ligeglad med


Jeg snakker ikke om apache på Linux :)

> hvad de hedder - blot for at kvæle den diskussion fra starten) ikke
> offentliggøre disse.


Nej, der er ikke nogen forskel her på Windows eller Linux, andet end du
selvfølgelig selv kan skrive en patch.


> (Nej, helt alvorligt - jeg aner ikke en kæft om disse huller)

Men er de stadigvæk ikke noget problem?

---

Hvor / hvordan fjerner fjerner man alle overflødige services ?? Jeg har
kikket på IIS, men kan ikke rigtig finde noget sted.

Kan en server patched sig selv ??


Jan Boegh <jan@boegh._X_net> skrev i en
nyhedsmeddelelse:mE1n8.36$_T4.3947@news010.worldonline.dk...
> "Andre" <andre21@ofir.dk> wrote in message
> news:3c9c8436$0$39563$edfadb0f@dspool01.news.tele.dk...
>
> > Jeg påtænker at køre med Sambar webserver, IIS er for usikkert, den
bliver
> > jo angrebet hele tiden.
>
> Meget af diskussionen tenderer at være småreligiøs, men jeg mener
> (uden i øvrigt at have nogen fornemmelse af hvornår niveauet 'godt nok' -
> med eller udend TM - nås for andre end undertegnede) at meget af det,
> der skrives om MSIIS er vildt overdrevet.
> Jeg tror at man i langt de fleste tilfælde vil være dækket fornuftigt
> ind ved at bruge sund fornuft - også ¨på en MSIIS.
> 1.) Fjern alle overflødige services.
> 2.) Benyt en fornuftig virussoftware.
> 3.) Sørg for at serveren altid er patched helt op.
>
> Jeg (og mine kollegaer) har nu haft servere stående blafrende ude på
> det åbne net i 5-6 år. Og jeg har konkluderet følgende:
> En server har nu kørt siden '96 (dog med flere gange opdatering af OS
> og udskiftning af diske) og har fungeret som hotel for mellem 5 og 50
> websites uden en eneste gang at blive skudt i sænk. Men den er bleve
> opdateret/patchet mindst en gang om ugen.
> Til gengæld er det helt sikkert at de servere, jeg er blevet bedt om
> at kigge på p.g.a. uregelmæssigheder, alle som en har været svinet
> til i trojanere, virus og hvad ved jeg, hvis ikke de er blevet patchet.
>
> Så uden at være i besiddelse af nogen videre emperi, vil jeg dog hævde
> at produktet fungerer udmærket - hvis det bliver passet.
>
> Og så kan der selvfølgeligt indføres et hav af indvendinger mod MS - men
> det er måske klogt at skelne mellem den almindelige MS-bashing og
> realiteterne.
>
> vh
> Jan
>

---

"Andre" <andre21@ofir.dk> writes:

> Hvor / hvordan fjerner fjerner man alle overflødige services ?? Jeg har
> kikket på IIS, men kan ikke rigtig finde noget sted.


Kan jeg ikke få dig til at klippe den overskydende tekst væk i de
indlæg du svare på og at skrive under den tekst du besvare?

Martin

---

> Meget af diskussionen tenderer at være småreligiøs, men jeg mener
> (uden i øvrigt at have nogen fornemmelse af hvornår niveauet 'godt nok' -
> med eller udend TM - nås for andre end undertegnede) at meget af det,
> der skrives om MSIIS er vildt overdrevet.
> Jeg tror at man i langt de fleste tilfælde vil være dækket fornuftigt
> ind ved at bruge sund fornuft - også ¨på en MSIIS.
> 1.) Fjern alle overflødige services.
> 2.) Benyt en fornuftig virussoftware.
> 3.) Sørg for at serveren altid er patched helt op.

Også er det jeg spørge hvordan / hvor man fejrner overflødige services ??