|
|
 | Port 80, er det mig, eller er det sikkerhe~
Fra : Stig Johansen |
Dato : 28-10-01 16:33 |
|
Hej Alle.
Kort baggrund:
Jeg er blevet anmodet om at deltage i et større integrationsprojekt(1000+).
Integrationen vil primært foregå over HTTP eller HTTP/S.
I forbindelse med opsætning af et test scenarie, var jeg på besøg hos en
given virksomhed, for at hjælpe dem med at opsætte testmiljøet.
Allerede da jeg bad om at få åbnet for port 80 på een IP-adresse, blev jeg
mødt med følgende argument:
- Det kan ikke lade sig gøre, hvis man åbner, er det for alle porte.
Shit, det forstod jeg lissom ikke. Nå efter anmodning, kontaktede vi
'firewall leverandøren', der forklarede, at det kan man godt.
Godt, videre.
Nu blev jeg mødt med følgende argument:
- Det skal ud på DMZ, for vi vil ikke have fremmed IP-traffik på vores
interne net.
Ok, i forbindelse med initial test, er det da godt nok.
MEN når den tid kommer, hvor der skal etableres en produktions integration,
holder den ikke mere.
Nu kommer spørgsmålene, og jeg vil gerne have så MANGE tilbagemeldinger som
muligt:
1) Er 'sikkerhedseksperter' i virkeligheden nogle inkompetente folk, der
bare siger nej til alt. Den ultimative sikkerhed er vel at pille stikket ud.
2) Kan nogen elaborere over risikoen ved at åbne for port 80/443 til een
intern IP?
3) Hvordan forestiller man sig, at integration kan foregå uden åbning for
indgående trafik?
--
Med venlig hilsen / Best regards
Stig Johansen
linux@w3data.dk
| |
 Niels Callesøe (28-10-2001)
| Kommentar
Fra : Niels Callesøe |
Dato : 28-10-01 16:42 |
|
Stig Johansen wrote in <news:9rh84t$nji$1@sunsite.dk>:
> 1) Er 'sikkerhedseksperter' i virkeligheden nogle inkompetente
> folk, der bare siger nej til alt. Den ultimative sikkerhed er vel
> at pille stikket ud.
Lad mig lige forstå dig ret... du sidder faktisk i ramme alvor og beder
de residerende sikkerhedseksperter[1] om at vurdere hvorvidt de er
"inkompetente folk, der bare siger nej til alt"? Forventer du helt
seriøst et brugbart svar på det?
[1]: Altså ikke undertegnede. Jeg er bestemt ikke ekspert. Jeg syntes
bare spørgsmålet forekom.. specielt.
--
Niels Callesøe - nørd light @work
"Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet"
Disclaimer: http://www.spacefish.net/nica/index.php3?step=disclaim
| |
Stig Johansen (28-10-2001)
| Kommentar
Fra : Stig Johansen |
Dato : 28-10-01 17:57 |
|
Niels Callesøe wrote:
> Stig Johansen wrote in <news:9rh84t$nji$1@sunsite.dk>:
>
>> 1) Er 'sikkerhedseksperter' i virkeligheden nogle inkompetente
>> folk, der bare siger nej til alt. Den ultimative sikkerhed er vel
>> at pille stikket ud.
>
> Lad mig lige forstå dig ret... du sidder faktisk i ramme alvor og beder
> de residerende sikkerhedseksperter[1] om at vurdere hvorvidt de er
> "inkompetente folk, der bare siger nej til alt"? Forventer du helt
> seriøst et brugbart svar på det?
Undskyld hvis jeg har formuleret mig forkert. Det er ikke min mening, at
nedgøre nogen som helst.
Det jeg er lidt ude efter, er en generel vurdering af virksomheders
sikkerheds politik.
Problemet er, at hvis man har en vision om at lave (near) realtids
integration, så nytter det ikke noget, bare at sige, vi vil ikke have
indkommen IP-traffik.
Det er klart, jeg er chokeret over holdningen fordi:
- Man siger bare nej uden at spørge.
- Man er ikke bevidst om, at der kan åbnes for en enkelt port.
- Man er ikke bevidst om, at det drejer sig om server - server traffik, så
man kan nøjes med at åbne for en/flere kendte remote IP'ere.
Du kan godt se, at hvis man skal rundt til 500-1000 'virksomheder', og tage
diskussionen hver gang, så bliver projektet formentlig aldrig til noget.
--
Med venlig hilsen / Best regards
Stig Johansen
linux@w3data.dk
| |
 Andreas Plesner Jaco~ (28-10-2001)
| Kommentar
Fra : Andreas Plesner Jaco~ |
Dato : 28-10-01 17:59 |
|
In article <9rhd37$9b2$1@sunsite.dk>, Stig Johansen wrote:
>
> Det jeg er lidt ude efter, er en generel vurdering af virksomheders
> sikkerheds politik.
>
> Problemet er, at hvis man har en vision om at lave (near) realtids
> integration, så nytter det ikke noget, bare at sige, vi vil ikke have
> indkommen IP-traffik.
Kan du ikke uddybe "realtids integration" - det lyder lidt som et
konsulent-buzzword.
> Det er klart, jeg er chokeret over holdningen fordi:
> - Man siger bare nej uden at spørge.
> - Man er ikke bevidst om, at der kan åbnes for en enkelt port.
> - Man er ikke bevidst om, at det drejer sig om server - server traffik, så
> man kan nøjes med at åbne for en/flere kendte remote IP'ere.
Der er mange sikkerhedsaspekter, selv når du åbner for enkelte IPer.
Husk: Ofte foregår sikkerhedsbrud inden for firmaet. Derudover er det
også muligt at spoofe IP-adresser (hvis du vil have et historisk
perspektiv på det var det bl.a. sådan en hvis hr Mitnick brød ind i et
vist super-computer center mig bekendt).
En DMZ er netop det den siger, og skal benyttes til dette. Jeg ville nok
også i høj grad stå fast på at alle servere skulle holdes væk fra det
LAN brugerne sidder på.
> Du kan godt se, at hvis man skal rundt til 500-1000 'virksomheder', og tage
> diskussionen hver gang, så bliver projektet formentlig aldrig til noget.
Eller også skal i ændre på jeres projekt-specs?
--
Andreas Plesner Jacobsen | Leave no stone unturned.
| -- Euripides
| |
Stig Johansen (28-10-2001)
| Kommentar
Fra : Stig Johansen |
Dato : 28-10-01 18:32 |
|
Andreas Plesner Jacobsen wrote:
> In article <9rhd37$9b2$1@sunsite.dk>, Stig Johansen wrote:
>>
> Kan du ikke uddybe "realtids integration" - det lyder lidt som et
> konsulent-buzzword.
Transaktionshåndtering på tværs af systemer.
> Eller også skal i ændre på jeres projekt-specs?
Projektet er ikke specificeret endnu. Indtil videre er det (for mig) kun en
vision, hvor jeg prøver at finde ud af, om det er noget jeg ønsker/orker at
deltage i.
--
Med venlig hilsen / Best regards
Stig Johansen
linux@w3data.dk
| |
Alex Holst (28-10-2001)
| Kommentar
Fra : Alex Holst |
Dato : 28-10-01 18:58 |
|
Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:
> En DMZ er netop det den siger, og skal benyttes til dette.
Jeg er faktisk ved at skrive om DMZ til OSS'en og kommer netop ind paa, at
det er blevet et marketingsbegreb. En De-Militarized Zone er et omraade hvor
man har ingen (militaere) styrker og ingen kontrol hvoraf den mest kendte
nok er graensen mellem syd og nord Korea.
Marketingsfolk har gjort DMZ = beskyttet segment, hvilket navnet netop ikke
antyder.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Flemming Riis (28-10-2001)
| Kommentar
Fra : Flemming Riis |
Dato : 28-10-01 16:45 |
|
"Stig Johansen" <linux@w3data.dk> wrote in message
news:9rh84t$nji$1@sunsite.dk
> 1) Er 'sikkerhedseksperter' i virkeligheden nogle inkompetente folk, der
> bare siger nej til alt. Den ultimative sikkerhed er vel at pille stikket
ud.
Nogle er Nogle er ikke
>
> 2) Kan nogen elaborere over risikoen ved at åbne for port 80/443 til een
> intern IP?
Kommer an på hvad man rammer, en default installer W2K server ville
resultere i at man vil have fuld kontrol over den box , og derfra vil kunne
angribe det interne net, men pr def er det skidt at ramme en intern host imo
>
> 3) Hvordan forestiller man sig, at integration kan foregå uden åbning for
> indgående trafik?
At man henter data isetdet for de bliver pushet.
| |
Alex Holst (28-10-2001)
| Kommentar
Fra : Alex Holst |
Dato : 28-10-01 17:09 |
|
Stig Johansen <linux@w3data.dk> wrote:
> 1) Er 'sikkerhedseksperter' i virkeligheden nogle inkompetente folk, der
> bare siger nej til alt. Den ultimative sikkerhed er vel at pille stikket ud.
Ligesom der findes mange elendige haandvaerkere og slagtere, findes der
ogsaa mange elendige sikkerhedsfolk. Det er nu engang saadan verdenen er.
Svaret er ikke at hive stikket ud, da det ofte vil saenke anvendeligheden af
et system ganske dramatisk. Jeg har skrevet lidt om det i OSS'en:
http://a.area51.dk/sikkerhed/indledning#hvad_er
> 2) Kan nogen elaborere over risikoen ved at åbne for port 80/443 til een
> intern IP?
Hvis webserveren (eller et CGI program) paa maskinen har en fejl i sin kode,
vil dette kunne udnyttes af en angriber. Dette kan modarbejdes ved at vaelge
en god webserver implementation -- evt. en som du selv kan se igennem for
fejl og ved at goere det samme for CGI programmer.
Dertil kan du saette din stateful firewall op saaledes din webserver ikke
har lov til at paabegynde trafik, men kun at svare paa http forespoergelser.
Dette vil forhindre at en angriber aabner en reverse shell, hvis han paa
noget tidspunkt er i stand til at udfoere kommandoer via HTTP interfacet.
Selve OS'et skal ogsaa igennem nogle aendringer som beskrevet i jeres
sikkerhedspolitik, blandt andet saa I opdager hvis systemfiler bliver
aendret, eller nye brugerenavne bliver oprettet uden korrekt tilladelse.
> 3) Hvordan forestiller man sig, at integration kan foregå uden åbning for
> indgående trafik?
Een bank jeg har arbejdet med har forlangt at en seperat leased line
blev installeret til formaalet saa der undgaas at sende trafik over
Internettet, og en ny fysisk switch blev brugt. Deres politik var ikke at
stole paa VLANs.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Martin Moller Peders~ (28-10-2001)
| Kommentar
Fra : Martin Moller Peders~ |
Dato : 28-10-01 17:25 |
|
In <slrn9tobdd.25tg.a@C-Tower.Area51.DK> Alex Holst <a@area51.dk> writes:
>Een bank jeg har arbejdet med har forlangt at en seperat leased line
>blev installeret til formaalet saa der undgaas at sende trafik over
>Internettet, og en ny fysisk switch blev brugt. Deres politik var ikke at
>stole paa VLANs.
Det samme bruger vi tit paa mit arbejde. Det koster, men er meget meget bedre.
/Martin
| |
Alex Holst (28-10-2001)
| Kommentar
Fra : Alex Holst |
Dato : 28-10-01 18:25 |
|
Martin Moller Pedersen <tusk@daimi.au.dk> wrote:
> In <slrn9tobdd.25tg.a@C-Tower.Area51.DK> Alex Holst <a@area51.dk> writes:
>
>>Een bank jeg har arbejdet med har forlangt at en seperat leased line
>>blev installeret til formaalet saa der undgaas at sende trafik over
>>Internettet, og en ny fysisk switch blev brugt. Deres politik var ikke at
>>stole paa VLANs.
>
> Det samme bruger vi tit paa mit arbejde. Det koster, men er meget meget
> bedre.
Hvilken del af det?
I mange tilfaelde er kravet om fysiske switche og leased lines ganske
fjollede og begrundet i at forhindre menneskefejl. Fejl som kan undgaas
gennem gode review processer.
Ofte er disse switche low-end switche der ikke stoetter f.eks. port locking,
hvilket betyder at man ikke kan forhindre at en angriber med adgang til een
af maskinerne paa nettet overtager rollen som gateway.
Et VPN kan udemaerket saettes op til at moede sikkerhedskrav -- men sjovt
nok skulle/skal man over i open source verdenen for at goere det rigtigt da
kommercielle VPN loesninger ikke stoetter AES, blowfish og andet endnu.
Selv paa en leased line skal der kryptering til, da en almindelig leased
line ikke stopper folk som vil bedrage en bank for £20 millioner.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Andreas Plesner Jaco~ (28-10-2001)
| Kommentar
Fra : Andreas Plesner Jaco~ |
Dato : 28-10-01 21:17 |
|
In article <slrn9tofqf.296i.a@C-Tower.Area51.DK>, Alex Holst wrote:
>
> Et VPN kan udemaerket saettes op til at moede sikkerhedskrav -- men sjovt
> nok skulle/skal man over i open source verdenen for at goere det rigtigt da
> kommercielle VPN loesninger ikke stoetter AES, blowfish og andet endnu.
Vil du mene at AES og blowfish er gamle nok til at man bør stole på dem
endnu?
--
Andreas Plesner Jacobsen | Let's call it an accidental feature.
| --Larry Wall
| |
Andreas Plesner Jaco~ (28-10-2001)
| Kommentar
Fra : Andreas Plesner Jaco~ |
Dato : 28-10-01 21:19 |
|
In article <slrn9topus.4ul.apj@slartibartfast.nerd.dk>, Andreas Plesner Jacobsen wrote:
>>
>> Et VPN kan udemaerket saettes op til at moede sikkerhedskrav -- men sjovt
>> nok skulle/skal man over i open source verdenen for at goere det rigtigt da
>> kommercielle VPN loesninger ikke stoetter AES, blowfish og andet endnu.
>
> Vil du mene at AES og blowfish er gamle nok til at man bør stole på dem
> endnu?
Ikke dermed sagt at de mennesker der har skrevet dem og reviewet dem
ikke er dygtige mennesker, jeg har al respekt for dem, men i sidste ende
er det "ude i marken" en protokol skal stå sin prøve.
--
Andreas Plesner Jacobsen | Yesterday upon the stair
| I met a man who wasn't there.
| He wasn't there again today --
| I think he's from the CIA.
| |
Alex Holst (28-10-2001)
| Kommentar
Fra : Alex Holst |
Dato : 28-10-01 21:58 |
|
Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote:
> In article <slrn9tofqf.296i.a@C-Tower.Area51.DK>, Alex Holst wrote:
>>
>> Et VPN kan udemaerket saettes op til at moede sikkerhedskrav -- men sjovt
>> nok skulle/skal man over i open source verdenen for at goere det rigtigt da
>> kommercielle VPN loesninger ikke stoetter AES, blowfish og andet endnu.
>
> Vil du mene at AES og blowfish er gamle nok til at man bør stole på dem
> endnu?
Som du selv siger i et andet indlaeg har mange dygtige folk allerede kigget
paa dem, og jeg tror at de fleste problemer bliver i implementationen af en
algoritme, ikke i designet.
AES blev jo netop valgt fordi det efterhaanden kan betale sig at angribe
tidligere brugte algoritmer. Vi stoler paa AES, og i visse interne systemer
er AES paakraevet frem for aeldre algoritmer.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Klaus Ellegaard (28-10-2001)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 28-10-01 17:08 |
|
Stig Johansen <linux@w3data.dk> writes:
>1) Er 'sikkerhedseksperter' i virkeligheden nogle inkompetente folk, der
>bare siger nej til alt. Den ultimative sikkerhed er vel at pille stikket ud.
Næh, men jo færre porte, der er åbne, jo bedre er sikkerheden sådan
helt overordnet set. Uden at det udsagn skal tages for den totalt
endegyldige sandhed, for det er det ikke.
>2) Kan nogen elaborere over risikoen ved at åbne for port 80/443 til een
>intern IP?
Hvis det er en IIS, der ikke er patchet for CodeRed, vil man være
nødt til at ominstallere samtlige Windows-bokse på det interne net.
Hvis altså den unpatchede IIS bliver ramt.
Det vil jeg kalde en nærmest uoverskuelig risiko.
Der findes også ubehagelige huller til andre platforme, som under
de rigtige (well, forkerte) forhold kan udnyttes.
>3) Hvordan forestiller man sig, at integration kan foregå uden åbning for
>indgående trafik?
Det kan man ikke bare lige svare på.
Mvh.
Klaus.
| |
Stig Johansen (28-10-2001)
| Kommentar
Fra : Stig Johansen |
Dato : 28-10-01 18:05 |
|
Klaus Ellegaard wrote:
> Stig Johansen <linux@w3data.dk> writes:
>
>>1) Er 'sikkerhedseksperter' i virkeligheden nogle inkompetente folk, der
>>bare siger nej til alt. Den ultimative sikkerhed er vel at pille stikket
>>ud.
>
> Næh, men jo færre porte, der er åbne, jo bedre er sikkerheden sådan
> helt overordnet set. Uden at det udsagn skal tages for den totalt
> endegyldige sandhed, for det er det ikke.
>
>>2) Kan nogen elaborere over risikoen ved at åbne for port 80/443 til een
>>intern IP?
>
> Hvis det er en IIS, der ikke er patchet for CodeRed, vil man være
> nødt til at ominstallere samtlige Windows-bokse på det interne net.
> Hvis altså den unpatchede IIS bliver ramt.
>
> Det vil jeg kalde en nærmest uoverskuelig risiko.
Enig, men lad os antage, at I*serveren er 100% sikker, hvad er så den
overordnede risiko ved at åbne for een IP/port. Er der overhovedet nogen
mulighed for at misbruge det til at få adgang på andre IP'er/Porte/Systemer?
--
Med venlig hilsen / Best regards
Stig Johansen
linux@w3data.dk
| |
Andreas Plesner Jaco~ (28-10-2001)
| Kommentar
Fra : Andreas Plesner Jaco~ |
Dato : 28-10-01 18:02 |
|
In article <9rhdij$9b2$3@sunsite.dk>, Stig Johansen wrote:
>>
>> Hvis det er en IIS, der ikke er patchet for CodeRed, vil man være
>> nødt til at ominstallere samtlige Windows-bokse på det interne net.
>> Hvis altså den unpatchede IIS bliver ramt.
>>
>> Det vil jeg kalde en nærmest uoverskuelig risiko.
>
> Enig, men lad os antage, at I*serveren er 100% sikker, hvad er så den
Hvis det var en antagelse man kunne tillade sig at have ville visse folk
her jo ikke have et job.
> overordnede risiko ved at åbne for een IP/port. Er der overhovedet nogen
> mulighed for at misbruge det til at få adgang på andre IP'er/Porte/Systemer?
Den tror jeg jeg vil besvare med et link:
http://www.cert.org/advisories/CA-2001-09.html
--
Andreas Plesner Jacobsen | To err is human, but I can REALLY foul things up.
| |
Klaus Ellegaard (28-10-2001)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 28-10-01 21:49 |
|
Stig Johansen <linux@w3data.dk> writes:
>Enig, men lad os antage, at I*serveren er 100% sikker, hvad er så den
>overordnede risiko ved at åbne for een IP/port. Er der overhovedet nogen
>mulighed for at misbruge det til at få adgang på andre IP'er/Porte/Systemer?
Hvis den er 100% sikker, så nej. Men hvem kan garantere, at den er det?
Og en maskine, der er 100% sikker i dag, kan nemt være 110% usikker i
morgen.
Mvh.
Klaus.
| |
Kent Friis (29-10-2001)
| Kommentar
Fra : Kent Friis |
Dato : 29-10-01 18:04 |
|
Den 28 Oct 2001 20:49:19 GMT skrev Klaus Ellegaard:
>Stig Johansen <linux@w3data.dk> writes:
>
>>Enig, men lad os antage, at I*serveren er 100% sikker, hvad er så den
>>overordnede risiko ved at åbne for een IP/port. Er der overhovedet nogen
>>mulighed for at misbruge det til at få adgang på andre IP'er/Porte/Systemer?
>
>Hvis den er 100% sikker, så nej. Men hvem kan garantere, at den er det?
Indenfor IT-sikkerhed, er 100% sikker = maskinen er muret inde i beton,
uden nogen kabler ud gennem beton'en (heller ikke powerkabel).
Mvh
Kent
--
War does not determine who is right, only who is left.
| |
Christian Andersen (29-10-2001)
| Kommentar
Fra : Christian Andersen |
Dato : 29-10-01 18:59 |
|
Kent Friis wrote:
>>Hvis den er 100% sikker, så nej. Men hvem kan garantere, at den er det?
>Indenfor IT-sikkerhed, er 100% sikker = maskinen er muret inde i beton,
>uden nogen kabler ud gennem beton'en (heller ikke powerkabel).
Hvad med baggrundsstråling? Over et langt nok tidsrum, skal der nok
kunne dannes alle mulige grimme vira på harddisken 
--
"...personality goes a long way."
http://chran.dyndns.dk - Nu med misbrug!
| |
Allan Olesen (29-10-2001)
| Kommentar
Fra : Allan Olesen |
Dato : 29-10-01 19:56 |
|
Christian Andersen <igqgfq001@sneakemail.com> wrote:
>Hvad med baggrundsstråling? Over et langt nok tidsrum, skal der nok
>kunne dannes alle mulige grimme vira på harddisken
Eller lidt mere håndgribeligt: Aflytning af udstråling fra monitor.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Christian Andersen (29-10-2001)
| Kommentar
Fra : Christian Andersen |
Dato : 29-10-01 20:03 |
|
Allan Olesen wrote:
>>Hvad med baggrundsstråling? Over et langt nok tidsrum, skal der nok
>>kunne dannes alle mulige grimme vira på harddisken
>Eller lidt mere håndgribeligt: Aflytning af udstråling fra monitor.
Yeah. Men hvis man har fjender der kan aflæse stråling fra en slukket
monitor, kan det vist alligevel være ligemeget...
Nej, jeg er ikke særlig seriøs nu. For at komme tilbage til sporet.
Som John Vranesevich (se mor, uden at checke det!) skriver/skrev på en
af "About"-siderne på Antionline: De har ikke sikret bygningen mod
Tempest-aflytning, fordi hvis de har modstandere der har ressourcer til
at foretage den slags, kan det vist egentlig være ligemeget.
Og det har han jo ret i. Sikringen skal stå mål med det sikrede.
--
"...personality goes a long way."
http://chran.dyndns.dk - Nu med misbrug!
| |
Alex Holst (29-10-2001)
| Kommentar
Fra : Alex Holst |
Dato : 29-10-01 20:39 |
|
Christian Andersen <igqgfq001@sneakemail.com> wrote:
> Som John Vranesevich (se mor, uden at checke det!) skriver/skrev på en
Folk boer undersoege baggrunden paa de "sikkerhedsexperter" de vaelger at
citere.
http://www.attrition.org/negation/
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Christian Andersen (29-10-2001)
| Kommentar
Fra : Christian Andersen |
Dato : 29-10-01 21:15 |
|
Alex Holst wrote:
>> Som John Vranesevich (se mor, uden at checke det!) skriver/skrev på en
>Folk boer undersoege baggrunden paa de "sikkerhedsexperter" de vaelger at
>citere.
>
> http://www.attrition.org/negation/
Tager jeg fejl med hensyn til at "det sikrede skal stå mål med sikringen"?
Det var min pointe i det du ikke citerede. Ikke at ligge på knæ for en
tilfældig person.
--
"...personality goes a long way."
http://chran.dyndns.dk - Nu med misbrug!
| |
Christian Andersen (29-10-2001)
| Kommentar
Fra : Christian Andersen |
Dato : 29-10-01 22:05 |
|
Christian Andersen wrote:
>>> Som John Vranesevich (se mor, uden at checke det!) skriver/skrev på en
>>Folk boer undersoege baggrunden paa de "sikkerhedsexperter" de vaelger at
>>citere.
>>
>> http://www.attrition.org/negation/
>Tager jeg fejl med hensyn til at "det sikrede skal stå mål med sikringen"?
Alex, jeg stillede dig et spørgsmål.
--
"...personality goes a long way."
http://chran.dyndns.dk - Nu med misbrug!
| |
Allan Olesen (29-10-2001)
| Kommentar
Fra : Allan Olesen |
Dato : 29-10-01 22:28 |
|
Christian Andersen <igqgfq001@sneakemail.com> wrote:
>Alex, jeg stillede dig et spørgsmål.
Siden hvornår er det blevet en pligt at svare inden for en time på
usenet?
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Christian Andersen (29-10-2001)
| Kommentar
Fra : Christian Andersen |
Dato : 29-10-01 22:56 |
|
Allan Olesen wrote:
>>Alex, jeg stillede dig et spørgsmål.
>Siden hvornår er det blevet en pligt at svare inden for en time på
>usenet?
Tja.
--
"...personality goes a long way."
http://chran.dyndns.dk - Nu med misbrug!
| |
Alex Holst (29-10-2001)
| Kommentar
Fra : Alex Holst |
Dato : 29-10-01 22:25 |
|
Christian Andersen <igqgfq001@sneakemail.com> wrote:
>>> Som John Vranesevich (se mor, uden at checke det!) skriver/skrev på en
>
>>Folk boer undersoege baggrunden paa de "sikkerhedsexperter" de vaelger at
>>citere.
>>
>> http://www.attrition.org/negation/
>
> Tager jeg fejl med hensyn til at "det sikrede skal stå mål med sikringen"?
Nej, men det var ikke noedvendigt for dig at citere John Vranesevich for at
goere den pointe.
Hvis man begynder at citere et individ som tager fejl eller bevidst
vildleder stoerstedelen af tiden, hvordan skal mennesker uden evner til at
gemmenskue bedrageriet saa kunne finde hoved og hale paa emnet?
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Christian Andersen (29-10-2001)
| Kommentar
Fra : Christian Andersen |
Dato : 29-10-01 22:47 |
|
Alex Holst wrote:
>>>Folk boer undersoege baggrunden paa de "sikkerhedsexperter" de vaelger at
>>>citere.
>>>
>>> http://www.attrition.org/negation/
>> Tager jeg fejl med hensyn til at "det sikrede skal stå mål med sikringen"?
>Nej, men det var ikke noedvendigt for dig at citere John Vranesevich for at
>goere den pointe.
Det kan du have ret i. Men jeg prøvede at give et eksempel på det jeg
mente i stedet for bare at smide en påstand ud.
Påstande kan angribes. Det kan eksempler på påstanden ikke(!)
>Hvis man begynder at citere et individ som tager fejl eller bevidst
>vildleder stoerstedelen af tiden, hvordan skal mennesker uden evner til at
>gemmenskue bedrageriet saa kunne finde hoved og hale paa emnet?
Igen har du ret. Men jeg har ikke fulgt så meget med i John Vranesevich
/ Carolyn Meinel / Steve Gibson personfnidderet som jeg måske burde have
haft.
--
"...personality goes a long way."
http://chran.dyndns.dk - Nu med misbrug!
| |
Allan Olesen (29-10-2001)
| Kommentar
Fra : Allan Olesen |
Dato : 29-10-01 22:01 |
|
Alex Holst <a@area51.dk> wrote:
>Folk boer undersoege baggrunden paa de "sikkerhedsexperter" de vaelger at
>citere.
>
> http://www.attrition.org/negation/
Hvad er dine anbefalinger mht. at undersøge baggrunden på folkene bag
de websider, man vælger at bringe URLs for?
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Alex Holst (29-10-2001)
| Kommentar
Fra : Alex Holst |
Dato : 29-10-01 22:29 |
|
Allan Olesen <aolesen@post3.tele.dk> wrote:
> Alex Holst <a@area51.dk> wrote:
>>Folk boer undersoege baggrunden paa de "sikkerhedsexperter" de vaelger at
>>citere.
>>
>> http://www.attrition.org/negation/
>
> Hvad er dine anbefalinger mht. at undersøge baggrunden på folkene bag
> de websider, man vælger at bringe URLs for?
So, like we've said since day one, YOU make the decision. Read both
AntiOnline as well as the rest of Negation. You decide what is real
and what is not.
No one but YOU should make decisions like that.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Allan Olesen (29-10-2001)
| Kommentar
Fra : Allan Olesen |
Dato : 29-10-01 22:48 |
|
Alex Holst <a@area51.dk> wrote:
> So, like we've said since day one, YOU make the decision. Read both
> AntiOnline as well as the rest of Negation. You decide what is real
> and what is not.
>
> No one but YOU should make decisions like that.
>
Hm. Det bliver pludselig mere læsevenligt, når det ikke står med hvid
skrift på sort baggrund.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Allan Olesen (29-10-2001)
| Kommentar
Fra : Allan Olesen |
Dato : 29-10-01 21:50 |
|
Christian Andersen <igqgfq001@sneakemail.com> wrote:
>Og det har han jo ret i. Sikringen skal stå mål med det sikrede.
Det kan der være noget om. På min arbejdsplads er man ret hysteriske
med EDB-sikkerhed[1]. Jeg har lige fået at vide i telefonen, at alle
vores PC'er er blevet stjålet.
[1]: Når jeg skriver "hysteriske" og ikke "påpasselige", skyldes det,
at påpasseligheden af og til virker lidt ustruktureret.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
F.Larsen (28-10-2001)
| Kommentar
Fra : F.Larsen |
Dato : 28-10-01 23:41 |
|
"Stig Johansen" <linux@w3data.dk> wrote in message news:9rhdij$9b2$3@sunsite.dk...
>
> Enig, men lad os antage, at I*serveren er 100% sikker, hvad er så den
> overordnede risiko ved at åbne for een IP/port. Er der overhovedet nogen
> mulighed for at misbruge det til at få adgang på andre IP'er/Porte/Systemer?
100% sikker kan ikke lade sig gøre... så den discussion er hurtig afsluttet ;=)
--
Flemming
Nintaus unplugged: http://hjem.get2net.dk/Quake2/Nintaus/
Støjdæmp din PC: http://hjem.get2net.dk/Quake2/LowNoise/
| |
Asbjorn Hojmark (28-10-2001)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 28-10-01 23:58 |
|
On Sun, 28 Oct 2001 18:05:26 +0100, Stig Johansen
<linux@w3data.dk> wrote:
> Enig, men lad os antage, at I*serveren er 100% sikker, hvad
> er så den overordnede risiko ved at åbne for een IP/port.
Dit udgangspunkt er forkert. Ingen server er 100% sikker, selv
hvis der åbnes for en enkelt port. Det har vi alle set alt for
mange gange til at kunne ignorere det.
-A
--
http://www.hojmark.org/
| |
Christian E. Lysel (29-10-2001)
| Kommentar
Fra : Christian E. Lysel |
Dato : 29-10-01 20:16 |
|
> >>1) Er 'sikkerhedseksperter' i virkeligheden nogle inkompetente folk, der
> >>bare siger nej til alt.
Nej.
> Enig, men lad os antage, at I*serveren er 100% sikker, hvad er så den
> overordnede risiko ved at åbne for een IP/port. Er der overhovedet nogen
> mulighed for at misbruge det til at få adgang på andre
IP'er/Porte/Systemer?
Hvis vi skal antage den er 100% sikker er den ikke 100% sikker.
Kommer an på firewallen, nogle/alle firewall's er ikke 100% sikker.
| |
Martin Moller Peders~ (28-10-2001)
| Kommentar
Fra : Martin Moller Peders~ |
Dato : 28-10-01 17:23 |
|
In <9rh84t$nji$1@sunsite.dk> Stig Johansen <linux@w3data.dk> writes:
>Hej Alle.
>2) Kan nogen elaborere over risikoen ved at åbne for port 80/443 til een
>intern IP?
Vel, hvis man bruger IIS og hvis den har en fejl, saa man udefra kan faa en
rootshell paa maskinen, saa er det da en stor risiko.
Hvorfor kan den ikke staa i en DMZ ?
/Martin
| |
Stig Johansen (28-10-2001)
| Kommentar
Fra : Stig Johansen |
Dato : 28-10-01 17:44 |
|
Martin Moller Pedersen wrote:
> In <9rh84t$nji$1@sunsite.dk> Stig Johansen <linux@w3data.dk> writes:
>
>>Hej Alle.
>
>>2) Kan nogen elaborere over risikoen ved at åbne for port 80/443 til een
>>intern IP?
>
> Vel, hvis man bruger IIS og hvis den har en fejl, saa man udefra kan faa
> en rootshell paa maskinen, saa er det da en stor risiko.
>
> Hvorfor kan den ikke staa i en DMZ ?
Det kan den også, men det ændrer ikke på den overordnede problemstilling.
Essensen er, at der modtages nogle XML-dokumenter, der skal håndteres af
businness objekter, der ligger på app-serveren. Så uanset hvordan man
drejer det, skal der åbnes for indgang.
Tag f.eks. leveringstid/restordre problematikken.
--
Med venlig hilsen / Best regards
Stig Johansen
linux@w3data.dk
| |
Flemming Riis (28-10-2001)
| Kommentar
Fra : Flemming Riis |
Dato : 28-10-01 17:49 |
|
"Stig Johansen" <linux@w3data.dk> wrote in message
news:9rhcaq$6cp$1@sunsite.dk
> > Hvorfor kan den ikke staa i en DMZ ?
>
> Det kan den også, men det ændrer ikke på den overordnede problemstilling.
> Essensen er, at der modtages nogle XML-dokumenter, der skal håndteres af
> businness objekter, der ligger på app-serveren. Så uanset hvordan man
> drejer det, skal der åbnes for indgang.
>
> Tag f.eks. leveringstid/restordre problematikken.
Aflever data i dmz lad app serveren pulle data fra dmz burde det ikke løse
det ?
| |
Stig Johansen (28-10-2001)
| Kommentar
Fra : Stig Johansen |
Dato : 28-10-01 18:02 |
|
Flemming Riis wrote:
> "Stig Johansen" <linux@w3data.dk> wrote in message
> news:9rhcaq$6cp$1@sunsite.dk
>
>> > Hvorfor kan den ikke staa i en DMZ ?
>>
>> Det kan den også, men det ændrer ikke på den overordnede problemstilling.
>> Essensen er, at der modtages nogle XML-dokumenter, der skal håndteres af
>> businness objekter, der ligger på app-serveren. Så uanset hvordan man
>> drejer det, skal der åbnes for indgang.
>>
>> Tag f.eks. leveringstid/restordre problematikken.
>
> Aflever data i dmz lad app serveren pulle data fra dmz burde det ikke løse
> det ?
Det vil være en lappeløsning. I det givne tilfælde vil man nok kunne
strikke noget sammen.
Den overordnede baggrund for spørgsmålene er, at man har en vision om på
sigt at lave (near) realtids integration. Det kan man ikke lave med en
'pull' løsning.
--
Med venlig hilsen / Best regards
Stig Johansen
linux@w3data.dk
| |
Flemming Riis (28-10-2001)
| Kommentar
Fra : Flemming Riis |
Dato : 28-10-01 18:01 |
|
"Stig Johansen" <linux@w3data.dk> wrote in message
news:9rhdb9$9b2$2@sunsite.dk
> > Aflever data i dmz lad app serveren pulle data fra dmz burde det ikke
løse
> > det ?
>
> Det vil være en lappeløsning. I det givne tilfælde vil man nok kunne
> strikke noget sammen.
Hvis kunden ikke tillader direkte adgang til det internt net må må de jo
også leve med begrænsningerne.
Hvad med at etablere et vpn ?
> Den overordnede baggrund for spørgsmålene er, at man har en vision om på
> sigt at lave (near) realtids integration. Det kan man ikke lave med en
> 'pull' løsning.
Hvis man puller hver sekund 
| |
F.Larsen (28-10-2001)
| Kommentar
Fra : F.Larsen |
Dato : 28-10-01 23:48 |
|
"Stig Johansen" <linux@w3data.dk> wrote in message news:9rhdb9$9b2$2@sunsite.dk...
>
> Den overordnede baggrund for spørgsmålene er, at man har en vision om på
> sigt at lave (near) realtids integration. Det kan man ikke lave med en
> 'pull' løsning.
Det har jeg svært ved at se. Det at afvikle en løsning i en DMZ har ikke større
konsekvenser for afvikling af en løsning end det lag som normalt opleves på
nettet. For mig lyder det som om det er noget sludder (har selv implementeret
flere løsninger med RPC).
--
Flemming
| |
Christian E. Lysel (29-10-2001)
| Kommentar
Fra : Christian E. Lysel |
Dato : 29-10-01 20:07 |
|
> Den overordnede baggrund for spørgsmålene er, at man har en vision om på
> sigt at lave (near) realtids integration. Det kan man ikke lave med en
> 'pull' løsning.
En pull løsning kan godt laves i en http session indefra kunden og ud til
Jer, det har MIME understøttet i lang tid. Kræver dog at http sessionen ikke
timer-ud af firewallen.
Dette er mere sikkert, oven på dette ville jeg kører SSL hvor certifikater
bliver benyttet for at sikre at klienter og server er dem de udgiver sig
for.
Men ikke endgang ovenstående er 100% sikkert!
Koder i selv webserveren?
| |
Stig Johansen (29-10-2001)
| Kommentar
Fra : Stig Johansen |
Dato : 29-10-01 22:44 |
|
Christian E. Lysel wrote:
> Koder i selv webserveren?
Måske, det afhænger af det videre forløb i projektet.
Jeg er ikke så meget ude efter sikkerhedshuller i diverse webservere, da
man 'bare' kan kode en selv.
Jeg er mere ude på nogle overordnede betragtninger om hvorvidt det udgør en
risiko at åbne eks. port 80.
I yderste konsekvens, om der overhovedet er en risiko, hvis der
ikke er en server i den anden ende.
--
Med venlig hilsen / Best regards
Stig Johansen
linux@w3data.dk
| |
Alex Holst (29-10-2001)
| Kommentar
Fra : Alex Holst |
Dato : 29-10-01 22:59 |
|
Stig Johansen <linux@w3data.dk> wrote:
> Jeg er ikke så meget ude efter sikkerhedshuller i diverse webservere, da
> man 'bare' kan kode en selv.
>
> Jeg er mere ude på nogle overordnede betragtninger om hvorvidt det udgør en
> risiko at åbne eks. port 80.
> I yderste konsekvens, om der overhovedet er en risiko, hvis der
> ikke er en server i den anden ende.
Det er altid en risiko. Hvor stor risiko afhaenger jo af det stykke software
som tager imod forbindelsen, selv hvis den er hjemmeskrevet. Det lader dit
indlaeg ikke til at du har forstaaet, og det er det mest vigtige. Hvis der
ikke koerer f.eks. en webserver er det blot dit operativsystem's TCP/IP
stack du skal vaere bekymret for.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Stig Johansen (30-10-2001)
| Kommentar
Fra : Stig Johansen |
Dato : 30-10-01 21:03 |
|
Alex Holst wrote:
> Stig Johansen <linux@w3data.dk> wrote:
>> Jeg er ikke så meget ude efter sikkerhedshuller i diverse webservere, da
>> man 'bare' kan kode en selv.
>>
>> Jeg er mere ude på nogle overordnede betragtninger om hvorvidt det udgør
>> en risiko at åbne eks. port 80.
>> I yderste konsekvens, om der overhovedet er en risiko, hvis der
>> ikke er en server i den anden ende.
>
> Det er altid en risiko. Hvor stor risiko afhaenger jo af det stykke
> software som tager imod forbindelsen, selv hvis den er hjemmeskrevet. Det
> lader dit indlaeg ikke til at du har forstaaet, og det er det mest
> vigtige. Hvis der ikke koerer f.eks. en webserver er det blot dit
> operativsystem's TCP/IP stack du skal vaere bekymret for.
Se response til Sonny.
--
Med venlig hilsen / Best regards
Stig Johansen
linux@w3data.dk
| |
Christian E. Lysel (29-10-2001)
| Kommentar
Fra : Christian E. Lysel |
Dato : 29-10-01 23:45 |
|
> > Koder i selv webserveren?
>
> Måske, det afhænger af det videre forløb i projektet.
> Jeg er ikke så meget ude efter sikkerhedshuller i diverse webservere, da
> man 'bare' kan kode en selv.
Men hvis Microsoft ikke kan finde ud af at kode en webserver uden fejl,
hvordan kan du så? Ikke en gang CERN kunne kode den først simple webserver
uden fejl.
Selv sikkerhedsfirmaerer kan ikke kode sikre webservere.
Den seneste fejl i windows går på at hvis man bruger std c biblioteket på
windows, kan følgende stump kode genstarte maskinen:
while (1) { printf "\t\t\b\b"; }
Skumelt?
Har du prøvet at sikkerheds auditere et program?
Evt. kan du vælge et programeringssprog der _ikke_ er fyldt med
"børnesygdomme", som fx python :)
Hvad siger du at implementere en pull løsning i en http session indefra
kunden og ud til Jer? Der skal holdes en session åben, og serveren kan hente
data når som helst den har lyst, dog er det klienten der initialisere
forbindelsen. Hermed skal der typisk ikke åbnes for noget i firewallen, da
næsten alle tillade http ud på Internettet. Næste problem bliver når du ikke
overholder HTTP som defineret i RFC'erne, og du får problemer med Proxy
firewall's der er RFC complience.
> Jeg er mere ude på nogle overordnede betragtninger om hvorvidt det udgør
en
> risiko at åbne eks. port 80.
Alt udgører en risiko, selv det at have en firewall der ikke tillader noget.
Derfor vælger man typisk 2 firewalls, den først kan fx være internet
routeren med et filter, den anden skal helst være en anden type, fx
applikationsproxy firewall. Derfor er fysisk netværkssegmentering også
kaldet DMZ en klar fordel.
> I yderste konsekvens, om der overhovedet er en risiko, hvis der
> ikke er en server i den anden ende.
Nogle firewall's kan man snyde til at rette trafikken mod en anden port
eller for den sags skyld en anden IP adresse. Selv
firewall-1/PIX/Raptor/Sonicwall (blot et lille udbud) har haft sine fejl.
| |
Sonny T. Larsen (30-10-2001)
| Kommentar
Fra : Sonny T. Larsen |
Dato : 30-10-01 05:23 |
|
On Mon, 29 Oct 2001 22:44:00 +0100, Stig Johansen wrote:
> Jeg er ikke så meget ude efter sikkerhedshuller i diverse webservere, da
> man 'bare' kan kode en selv.
Hmm - har der endnu været en httpd uden exploits?
Hvad får dig til at tro, at din vil være det?
Hvis ikke du forholder dig realistisk til de ting, du ønsker at vurdere,
så drop projektet med det samme.
Ovenstående regner jeg f.eks ikke for realistisk.
--
/Sonny - #include <std.disclaimer.h>
"I don't have an attitude problem, you have a perception problem."
| |
Alex Holst (30-10-2001)
| Kommentar
Fra : Alex Holst |
Dato : 30-10-01 05:35 |
|
Sonny T. Larsen <sonny@unix.dk> wrote:
> On Mon, 29 Oct 2001 22:44:00 +0100, Stig Johansen wrote:
>
>> Jeg er ikke så meget ude efter sikkerhedshuller i diverse webservere, da
>> man 'bare' kan kode en selv.
>
> Hmm - har der endnu været en httpd uden exploits?
Jeg er ikke bekendt med problemer i publicfile -- men den er ogsaa skrevet
af DJB som skriver overnaturligt fejlfri software af en eller anden grund og
dens funktionalitet er begraenset.
http://cr.yp.to/publicfile.html
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Sonny T. Larsen (30-10-2001)
| Kommentar
Fra : Sonny T. Larsen |
Dato : 30-10-01 23:58 |
|
On Tue, 30 Oct 2001 05:34:40 +0100, Alex Holst wrote:
> Jeg er ikke bekendt med problemer i publicfile -- men den er ogsaa skrevet
> af DJB som skriver overnaturligt fejlfri software af en eller anden grund og
> dens funktionalitet er begraenset.
Good point.
Jeg tænkte dog mere på "full-featured" httpds, hvad jeg burde have skrevet.
--
/Sonny - #include <std.disclaimer.h>
"I don't have an attitude problem, you have a perception problem."
| |
Stig Johansen (30-10-2001)
| Kommentar
Fra : Stig Johansen |
Dato : 30-10-01 20:58 |
|
Sonny T. Larsen wrote:
> On Mon, 29 Oct 2001 22:44:00 +0100, Stig Johansen wrote:
>
>> Jeg er ikke så meget ude efter sikkerhedshuller i diverse webservere, da
>> man 'bare' kan kode en selv.
>
> Hmm - har der endnu været en httpd uden exploits?
>
> Hvad får dig til at tro, at din vil være det?
>
> Hvis ikke du forholder dig realistisk til de ting, du ønsker at vurdere,
> så drop projektet med det samme.
>
> Ovenstående regner jeg f.eks ikke for realistisk.
Tag f.eks. følgende uddrag(pascal):
- accept(ServerSocketHandle, @addr, @len);
- RemoteAddr := inet_ntoa(iRemoteAddr.sin_addr);
- fResponse.Text := LavEnMasse, og byg response
- Send(Socket, P^, størrelse,0); osv..
Som nævnt, er jeg ude efter en risikovurdering på baggrund af åbning af en
enkelt port, men med udgangspunkt i de par kodelinier (ud af en masse), kan
man styre:
* ingen cgi, dermed ingen nimda osv..
* ingen exploits, da der ikke er implementeret baggrud for det.
* Yes, begrænset, nej hellere kalde det specialiseret funktionalitet.
Er der mulighed for at uddybe, hvad der er urealistisk, og hvad risikoen er?
--
Med venlig hilsen / Best regards
Stig Johansen
linux@w3data.dk
| |
Alex Holst (30-10-2001)
| Kommentar
Fra : Alex Holst |
Dato : 30-10-01 21:51 |
|
Stig Johansen <linux@w3data.dk> wrote:
> Tag f.eks. følgende uddrag(pascal):
> - accept(ServerSocketHandle, @addr, @len);
> - RemoteAddr := inet_ntoa(iRemoteAddr.sin_addr);
> - fResponse.Text := LavEnMasse, og byg response
> - Send(Socket, P^, størrelse,0); osv..
>
> Som nævnt, er jeg ude efter en risikovurdering på baggrund af åbning af en
> enkelt port, men med udgangspunkt i de par kodelinier (ud af en masse), kan
> man styre:
> * ingen cgi, dermed ingen nimda osv..
> * ingen exploits, da der ikke er implementeret baggrud for det.
> * Yes, begrænset, nej hellere kalde det specialiseret funktionalitet.
>
> Er der mulighed for at uddybe, hvad der er urealistisk, og hvad risikoen er?
Du har helt misforstaaet emnet. Taenk over foelgende:
Hvis jeg viser dig forsiden af en sukkerpose, en bradepande og laaget fra en
daase chokoladepulver, har du saa nogen mulighed for at forudsige hvilken
kvalitet chokoladekage jeg kan bage?
Nemlig.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Stig Johansen (30-10-2001)
| Kommentar
Fra : Stig Johansen |
Dato : 30-10-01 23:58 |
|
Alex Holst wrote:
> Stig Johansen <linux@w3data.dk> wrote:
>> Tag f.eks. følgende uddrag(pascal):
>> - accept(ServerSocketHandle, @addr, @len);
>> - RemoteAddr := inet_ntoa(iRemoteAddr.sin_addr);
>> - fResponse.Text := LavEnMasse, og byg response
>> - Send(Socket, P^, størrelse,0); osv..
>>
>> Som nævnt, er jeg ude efter en risikovurdering på baggrund af åbning af
>> en enkelt port, men med udgangspunkt i de par kodelinier (ud af en
>> masse), kan man styre:
>> * ingen cgi, dermed ingen nimda osv..
>> * ingen exploits, da der ikke er implementeret baggrud for det.
>> * Yes, begrænset, nej hellere kalde det specialiseret funktionalitet.
>>
>> Er der mulighed for at uddybe, hvad der er urealistisk, og hvad risikoen
>> er?
>
> Du har helt misforstaaet emnet. Taenk over foelgende:
>
> Hvis jeg viser dig forsiden af en sukkerpose, en bradepande og laaget fra
> en daase chokoladepulver, har du saa nogen mulighed for at forudsige
> hvilken kvalitet chokoladekage jeg kan bage?
Ja, jeg får ondt i fingrene, fordi temperaturen var for høj på bradepanden,
og jeg glemte at tage handsker på. Altså er chokoladen brændt på, og er af
ringe kvalitet.
Nej, Jeg prøver at opsamle nogle saglige risikovurderinger, ikke argumenter
for eller imod en løsning, for hvor farligt det er, at åbne for een ip/port
på det interne netværk.
Altså er der overhovedet nogen risiko, hvis man i yderste konsekvens
ikke har en listener på den givne ip/port?
--
Med venlig hilsen / Best regards
Stig Johansen
linux@w3data.dk
| |
Allan Olesen (31-10-2001)
| Kommentar
Fra : Allan Olesen |
Dato : 31-10-01 01:14 |
|
Stig Johansen <linux@w3data.dk> wrote:
>Altså er der overhovedet nogen risiko, hvis man i yderste konsekvens
> ikke har en listener på den givne ip/port?
Er der overhovedet nogen gavn?
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Stig Johansen (31-10-2001)
| Kommentar
Fra : Stig Johansen |
Dato : 31-10-01 08:14 |
|
"Allan Olesen" <aolesen@post3.tele.dk> wrote in message
news:3bdf4269$0$25378$edfadb0f@dspool01.news.tele.dk...
> Stig Johansen <linux@w3data.dk> wrote:
>
> >Altså er der overhovedet nogen risiko, hvis man i yderste konsekvens
> > ikke har en listener på den givne ip/port?
>
> Er der overhovedet nogen gavn?
Nej, men jeg prøver at skille tingene ad:
eksempelvis:
request->indgående traffik->Server
Jeg er ude efter at få klarlagt risikoen ved at åbne for eksempelvis port
80,
Derefter kan man tage hul på risikovurderinger i relation til
serversoftware.
Baggrunden er, at hvis man stopper allerede ved etablering af forbendelse,
er der ingen grund til at bruge tid på vurdering af serversoftware.
mvh
Stig Johansen.
| |
Asbjorn Hojmark (01-11-2001)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 01-11-01 01:05 |
|
On Wed, 31 Oct 2001 08:14:15 +0100, "Stig Johansen" <e08@oes.dk>
wrote:
> request->indgående traffik->Server
> Jeg er ude efter at få klarlagt risikoen ved at åbne for eksempelvis port
> 80,
Du er nødt til at forholde dig til, at mange af dine potentielle
kunder allerede har taget stilling til det med indgående trafik,
og har valgt ikke at tillade det.
> Baggrunden er, at hvis man stopper allerede ved etablering af forbendelse,
> er der ingen grund til at bruge tid på vurdering af serversoftware.
Netop.
-A
--
http://www.hojmark.org/
| |
Alex Holst (31-10-2001)
| Kommentar
Fra : Alex Holst |
Dato : 31-10-01 12:12 |
|
Stig Johansen <linux@w3data.dk> wrote:
> Alex Holst wrote:
>
>> Stig Johansen <linux@w3data.dk> wrote:
>> Du har helt misforstaaet emnet. Taenk over foelgende:
>>
>> Hvis jeg viser dig forsiden af en sukkerpose, en bradepande og laaget fra
>> en daase chokoladepulver, har du saa nogen mulighed for at forudsige
>> hvilken kvalitet chokoladekage jeg kan bage?
>
> Ja, jeg får ondt i fingrene, fordi temperaturen var for høj på bradepanden,
> og jeg glemte at tage handsker på. Altså er chokoladen brændt på, og er af
> ringe kvalitet.
Kan du udlede alt det, blot fordi jeg viser dig de 3 ting? Imponerende. Du
glemmer at tage hoejde for at jeg er fanatisk naar det kommer til chokolade,
hvilket kunne betyde at jeg er omhyggelig naar der er chokolade involveret.
Det er naesten umuligt for dig at udtale dig korrekt om hvordan en af mine
chokoladekager vil smage, blot fordi jeg viser dig 3 af komponenterne. Det
vigtigste er ikke engang om du tager fejl eller har ret mht. til kagen, men
at _vide_ om du tager fejl eller har ret, og hvordan kan du vide det hvis du
kun har et overfladisk kendskab til en lille del af processen?
Det kan du ikke.
Men du har formaaet at saare mine foeelser med din mangel paa tillid til
mine kage bage evner.
> Nej, Jeg prøver at opsamle nogle saglige risikovurderinger, ikke argumenter
> for eller imod en løsning, for hvor farligt det er, at åbne for een ip/port
> på det interne netværk.
Jeg forsoeger ikke at tale for eller imod en bestemt loesning. Jeg forsoeger
at forklare dig, at det ikke giver mening at tale om en risikovurdering
baseret paa vores nuvaerende viden om dit system (at det skal benytte port
80/tcp).
Foerst naar alle komponenter er identificeret er det muligt beskrive hvordan
de hver isaer kan angribes, og hvordan hvert af disse angreb ikke vil virke
imod vores system pga. de foranstaltninger vi har taget. "TCP port 80" goer
hverken fra eller til i den sammenhaeng.
> Altså er der overhovedet nogen risiko, hvis man i yderste konsekvens
> ikke har en listener på den givne ip/port?
Det kan vi ikke svare paa da vi ikke kender dit system eller din sikkerheds-
politik. Hvad vil der ske hvis en HTTP pakke bliver sendt igennem din
firewall ind paa dit netvaerk til denne maskine hvis OS afviser pakken?
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Christian E. Lysel (10-11-2001)
| Kommentar
Fra : Christian E. Lysel |
Dato : 10-11-01 01:53 |
|
"Stig Johansen" <linux@w3data.dk>
> Altså er der overhovedet nogen risiko, hvis man i yderste konsekvens
> ikke har en listener på den givne ip/port?
Ja hvis der er fejl i tcp/ip stakken, eller et eller andet, der har med
behandlingen af "trafikken" at gøre.
| |
Max Andersen (10-11-2001)
| Kommentar
Fra : Max Andersen |
Dato : 10-11-01 01:57 |
|
"Christian E. Lysel" <chlys@wmdata.com> skrev i en meddelelse
news:9shtpq$fkp$1@sunsite.dk...
> "Stig Johansen" <linux@w3data.dk>
> > Altså er der overhovedet nogen risiko, hvis man i yderste konsekvens
> > ikke har en listener på den givne ip/port?
>
> Ja hvis der er fejl i tcp/ip stakken, eller et eller andet, der har med
> behandlingen af "trafikken" at gøre.
>
En kendt fejl kan måske være en ganske humørfyldt tcp wrapper?.
Småt med exploit, men ......
>
Max
| |
Sonny T. Larsen (30-10-2001)
| Kommentar
Fra : Sonny T. Larsen |
Dato : 30-10-01 23:57 |
|
On Tue, 30 Oct 2001 20:58:21 +0100, Stig Johansen wrote:
> Tag f.eks. følgende uddrag(pascal):
Pascal? Nej, vel.
> Er der mulighed for at uddybe, hvad der er urealistisk, og hvad risikoen er?
Du misser pointen - en enkelt kodefejl, og du er sårbar.
Hvis ikke du har erfaring med at lave audit af kode, eller erfaring med at
skrive kode med henblik på sikkerhed, er der god sandsynlighed for, at du
vil lave netop de fejl, der giver exploits.
Det fejler iøvrigt også for gode programmører.
--
/Sonny - #include <std.disclaimer.h>
"I don't have an attitude problem, you have a perception problem."
| |
Stig Johansen (31-10-2001)
| Kommentar
Fra : Stig Johansen |
Dato : 31-10-01 08:19 |
|
"Sonny T. Larsen" <sonny@unix.dk> wrote in message
news:slrn9tubv1.1auv.sonny@bofh.nerdheaven.dk...
> On Tue, 30 Oct 2001 20:58:21 +0100, Stig Johansen wrote:
>
> > Tag f.eks. følgende uddrag(pascal):
>
> Pascal? Nej, vel.
Nu går diskussionen ikke på sprog, men hvad har du mod pascal?
Hvis du eksempelvis tager HP's operativ system MPE/iX, så er det skrevet i
(mod)pascal.
>
> > Er der mulighed for at uddybe, hvad der er urealistisk, og hvad risikoen
er?
>
> Du misser pointen - en enkelt kodefejl, og du er sårbar.
>
> Hvis ikke du har erfaring med at lave audit af kode, eller erfaring med at
> skrive kode med henblik på sikkerhed, er der god sandsynlighed for, at du
> vil lave netop de fejl, der giver exploits.
Nu er det nok ikke mig, der skal lave kodearbejdet. Et par eksempler på
udfald kan være:
Webmethods message broker
Oracle transfer agent
...
Lige nu er jeg kun interesseret i om den første stopklods er selve åbningen
af eks. port 80.
mvh
Stig Johansen.
| |
Sonny T. Larsen (31-10-2001)
| Kommentar
Fra : Sonny T. Larsen |
Dato : 31-10-01 19:02 |
|
On Wed, 31 Oct 2001 08:18:37 +0100, Stig Johansen wrote:
> Nu går diskussionen ikke på sprog, men hvad har du mod pascal?
At Pascal skulle have forblevet et undervisnings-sprog, men nok om det.
> Nu er det nok ikke mig, der skal lave kodearbejdet. Et par eksempler på
> udfald kan være:
Min pointe er, at det ikke giver mening at vurdere risikoen ved at åbne for
port 80/tcp, uden at tage flere ting i betragtning.
En af disse ting er, hvad du vil have til at lytte på porten.
> Webmethods message broker
> Oracle transfer agent
Oracle er ramt af en del spændende problemer for tiden - lad være med at tro,
at et stort navn nødvendigvis er en garanti for, at de ikke laver kode-fejl.
> Lige nu er jeg kun interesseret i om den første stopklods er selve åbningen
> af eks. port 80.
Det kan det være - hvis der f.eks findes en bedre løsning.
--
/Sonny - #include <std.disclaimer.h>
"I don't have an attitude problem, you have a perception problem."
| |
Jens Axel Søgaard (31-10-2001)
| Kommentar
Fra : Jens Axel Søgaard |
Dato : 31-10-01 19:55 |
|
"Sonny T. Larsen" <sonny@unix.dk> wrote in message news:slrn9u0f10.1c7i.sonny@bofh.nerdheaven.dk...
> On Wed, 31 Oct 2001 08:18:37 +0100, Stig Johansen wrote:
>
> > Nu går diskussionen ikke på sprog, men hvad har du mod pascal?
Lødige argumenter:
http://www.lysator.liu.se/c/bwk-on-pascal.html
--
Jens Axel Søgaard
| |
Bertel Lund Hansen (31-10-2001)
| Kommentar
Fra : Bertel Lund Hansen |
Dato : 31-10-01 22:04 |
| | |
Lasse Reichstein Nie~ (01-11-2001)
| Kommentar
Fra : Lasse Reichstein Nie~ |
Dato : 01-11-01 20:52 |
|
Bertel Lund Hansen <skrivtil@lundhansen.dk> writes:
> Jens Axel Søgaard skrev:
>
> >Lødige argumenter:
>
> ... som stort set alle falder til jorden hvis man med Pascal
> mener TurboPascal i Borlands version.
Til gengæld er jeg ikke til sprog uden en standard. Det er, i min bog,
ikke et rigtigt programmerings-sprog, bare et tilfældigt produkt fra
et tilfældigt firma. Det findes kun til få platforme. Der findes kun
en implementation at vælge imellem. Hvis firmaet dør, dør sproget med
dem. Ingen anden kan lave en konkurrerende implementation fordi der
ikke er en fast definition af sproget, kun "hvad Borland's compiler
gør" (dengang de hed Borland). Jeg har det samme imod Visual whatever
(Basic specielt, men Basic har aldrig været standardiseret, vel?).
/L 'kan programmere *ANSI* C'
| |
Thomas (01-11-2001)
| Kommentar
Fra : Thomas |
Dato : 01-11-01 00:19 |
|
Jens Axel Søgaard wrote:
>
> "Sonny T. Larsen" <sonny@unix.dk> wrote in message news:slrn9u0f10.1c7i.sonny@bofh.nerdheaven.dk...
>> On Wed, 31 Oct 2001 08:18:37 +0100, Stig Johansen wrote:
>>
>> > Nu går diskussionen ikke på sprog, men hvad har du mod pascal?
>
> Lødige argumenter:
>
> http://www.lysator.liu.se/c/bwk-on-pascal.html
muligvis, men ikke særligt up2date:
"Brian W. Kernighan, April 2, 1981"
(burde muligvis fut'e...)
--
Don't waste space
| |
Thomas B. Maxe (28-10-2001)
| Kommentar
Fra : Thomas B. Maxe |
Dato : 28-10-01 22:49 |
|
"Stig Johansen" <linux@w3data.dk> skrev:
> 1) Er 'sikkerhedseksperter' i virkeligheden nogle inkompetente folk, der
> bare siger nej til alt. Den ultimative sikkerhed er vel at pille stikket
ud.
>
Det er et sundt træk hos dig, at du stiller dig skeptisk over for
IT-sikkerhedseksperter. Det kan være svært at se på en velklædt i fyr i
skjorte og slips, om han er firewall-ekspert eller skosælger. Og uheldigvis
findes der selvudnævnte IT-sikkerhedseksperter, som giver råd, der stiller
kunderne dårligere, end hvis de havde spurgt sig for hos skosælgeren...
Hvis du skal betale mange penge for en ydelse, er det helt fair at bede om
dokumentation for, at konsulenterne kan deres kram. Der findes flere
anerkendte uddannelser/certificeringer for IT-sikkerhedskonsulenter, som i
hvert fald kan give garanti for en vis minimumsstandard:
Exam. ESL - Eksamineret EDB-SikkerhedsLeder (dansk titel)
CISSP - Certified Information Systems Security Professional (amerikansk
certificering)
CISA - Certified Information Systems Auditor
Du kan læse meget mere om titlerne hos Foreningen for Informationskvalitet:
http://www.isaca.dk/
Med venlig hilsen
Thomas B. Maxe
(som ikke er IT-ekspert, og som i denne forbindelse ikke repræsenterer TDC
Internet)
| |
Asbjorn Hojmark (28-10-2001)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 28-10-01 23:56 |
|
On Sun, 28 Oct 2001 16:32:48 +0100, Stig Johansen
<linux@w3data.dk> wrote:
> Jeg er blevet anmodet om at deltage i et større integrationsprojekt(1000+).
> Integrationen vil primært foregå over HTTP eller HTTP/S.
Hvis du baserer dit projekt på at der skal være åbent for trafik
til (mindst én maskine på) det indre netværk på port 80, så vil
du løbe ind i temmelig meget modstand.
Der har simpelthen vist sig for mange sikkerhedsbrister i ren
HTTP (eller rettere i implementationen af web-servere) til at
folk vil synes, det er nogen særlig tiltalende idé.
Mange steder vil du i det hele taget opleve, at folk blankt
nægter indgående trafik til noget som helst andet end et DMZ.
Hvis du ikke forholder dig til det, og designer dig ud af det, så
er dit projekt dømt til at fejle.
Man kan være enig eller uenig i holdningen med indadgående
trafik, men man er nødt til at forholde sig til det, når man
laver projekter som det du er igang med.
-A
--
http://www.hojmark.org/
| |
Bjørn Løndahl (29-10-2001)
| Kommentar
Fra : Bjørn Løndahl |
Dato : 29-10-01 16:40 |
|
Stig Johansen <linux@w3data.dk> skrev i
news:9rh84t$nji$1@sunsite.dk:
> videre. Nu blev jeg mødt med følgende argument:
> - Det skal ud på DMZ, for vi vil ikke have fremmed IP-traffik
> på vores interne net.
> Ok, i forbindelse med initial test, er det da godt nok.
> MEN når den tid kommer, hvor der skal etableres en produktions
> integration, holder den ikke mere.
Hvorfor dog ikke? DMZ kan jo nås både udefra og indefra.
> 1) Er 'sikkerhedseksperter' i virkeligheden nogle inkompetente
> folk, der bare siger nej til alt. Den ultimative sikkerhed er
> vel at pille stikket ud.
Det er næppe hovedreglen 
De fleste firmaer med en fornuftig sikkerhedsstrategi er
naturligvis interesseret i at overholde denne.
> 2) Kan nogen elaborere over risikoen ved at åbne for port
> 80/443 til een intern IP?
Hvis serveren på det interne net bliver kompromiteret, er hele det
interne net i fare.
> 3) Hvordan forestiller man sig, at integration kan foregå uden
> åbning for indgående trafik?
Ved at lade de deltagende servere hente data i stedet for at sende
data?
--
B-)
Købes: Originalt (gratis) analog-kort til DR2 & TV2-Zulu
Ting til salg: http://www.go.to/salg
Stop den urimelige afgift på IT-udstyr! http://www.stopcopydan.dk
| |
|
|