Avatar billede longgaard Novice
18. juni 2002 - 13:34 Der er 4 kommentarer og
1 løsning

FTP-Server, styring af data-transmitions-porte fra

Hvordan kan jeg styrer forbruget af porte til data-transmition fra min Win2000 avd server med MS-IIS (WWW og FTP)

FTP log-on går fint på port 20-21, men data transmitioner skøjter over på uspecificerede porte mellem ca. 55.000 og 65.000.

Serveren står bag en firewall (www.zelow.no/floppyfw) som er en lille udynamisk firewall som ikke tillader periodisk trafik på disse porte. (enten er de åbne eller lukkede - skiftes ved manuel redigering af en ini-fil + reboot) Denne firewall er dog billig og ikke særlig HW krævende og derfor den foretrukende p.t.

Jeg er ikke hysterisk med at blive på MS-IIS, men active directory er lidt smart :)
Avatar billede thomasledet Nybegynder
18. juni 2002 - 13:56 #1
Portene som ftp svarer tilbage på, kan ikke kontrolleres... og begrænsede du dem, vil de gøre dit system mere usikkert end simpelthen bare at åbne for de høje porte...

problemet er din firewall, der ikke understøtter såkaldte states. States muliggør, at en port kan være helt lukket, indtil den tages i brug af en connection, der startes på en lovlig port. Ved endt brug lukkes den igen.

Både linux's iptables og FreeBSD's firewall har states og vil derfor være et godt alternativ... begge systemer er desuden ganske gratis og kan arbejde fra en maskine med begrænsede midler. Der findes endda linux-distributioner, der kan være på ganske få disketter, der kan gøre det, du efterlyser...

Du behøver ikke droppe MS... har du en gammel maskine (486'er eller derover) skulle den sagtens kunne bruges... alt hvad det kræver er to netkort...
Avatar billede longgaard Novice
18. juni 2002 - 23:31 #2
-> Thomas
Det lader til at du vil lokke mig til at opgradere min FW med en HD og et CD-Drev..(inst FreeBSD) Den går ikke - ikke lige nu, for jeg er vældig begejstret for at jeg kan tage floppyen ud af drevet når der er bootet, så er der INGEN der kan fifle med opsætningen. Fattes der mistanke til hacking på FW så reset knap + floppy ind i drev + floppy ud efter boot.

Hvordan kan mit system blive mere sårbart ved at have 30 porte åbne istedet for 10.000 porte?

Jeg har set at FloppyFW findes i en beta-version med iptables istedet for ipchains - jeg prøver lige om det kan løse mit problem.

Der må iøvrigt være et eller andet sted hvor MS-IIS bestemmer sig for at bruge en port og en regel om at nogle porte ikke må bruges til den slags i.e. de første 1024 porte som er reserveret til andet brug.
Avatar billede thomasledet Nybegynder
19. juni 2002 - 08:33 #3
de første 1024 porte er styret af operativsystemet og ikke af individuelle services...

en ny version af floppyfw kan måske løse dit problem med åbne porte...

har du kun 30 porte åbne, vil det være lettere for hackere at rette et angreb mod disse 30 porte, som de ved ofte er i brug... eller også kan de selv sætte dem i brug... hvis der er 10000 er det lidt sværere at gætte sig til, hvilke der er sårbare...

og må stadig indrømme, at jeg ikke tror du finder noget feinschmecker sted i MSIIS, hvor du kan bestemme, hvilke porte, der svares på...
Avatar billede wolsmann Nybegynder
24. juni 2002 - 11:45 #4
Drop den FW, den laver flere problemer end den gavner.
Avatar billede longgaard Novice
08. juli 2002 - 12:17 #5
-> Thomas
Det har hjulpet at skifte FW-version, og bruge iptables.
Port styrringen har ingen kunne svare på, så der er point til dig.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Uanset kodesprog, så giver vi dig mulighederne for at udvikle det, du behøver.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester