Avatar billede krogstrup Nybegynder
09. november 2000 - 16:37 Der er 3 kommentarer og
4 løsninger

Sikkerhed på webserver

Hvordan tjekker jeg hvilke porte der står pivåbent på min webserver ?

Hvordan lukker jeg eventuelle åbne porte, som jeg ikke bruger?

Hvilken firewall er anbefalelsesværdig ?

Andre generelle gode råd om sikkerhed på en offentlig web/mailserver modtages meget gerne :-)
Avatar billede mains Nybegynder
09. november 2000 - 16:55 #1
Til det formål kan du benytte en portscanner, og dem findes der mange af, hvilken der passer dig bedst kommer an på hvilket operativsystem du benytter, jeg nævner her 2.

Følgende er en kombineret portscanner og webserver tester, og er til Windows platformen:
http://www.rawlogic.com/products.html


Er du mere til Unix/Linux kan du kigger på http://freshmeat.net, og søg på portscanner, hvor jeg selv har fundet og brugt følgende:
http://www.ameth.org/~veilleux/portscan.html

Den nemmeste måde at lukke porte på er vel at installere en firewall. På Windows platformen anses Firewall1 vist for at være den bedste, men den koster også et par kroner.
Under Linux kan du bruge \"ipchains\" til at lukke åbne porte med.

Generelt er det altid en god ide\' at have en firewall foran din webserver. Står din webserver bag en god firewall, giver det dig mulighed for at have \"usikre\" porte åbne til f.eks database træk fra anden server, og lignende.
Avatar billede finnras Nybegynder
09. november 2000 - 17:03 #2
Hej
I første omgang vil jeg spørge om du har en form for proxy server installeret på din mailserver. Hvis du ikke har det er der direkte adgang til alt på serveren. Er det en forbindelse der samtidig bruges som internetadgang for dine brugere, eller er det kun til mails.

Hvis det er til mails alene, har Norton en softwarebaseret firewall, men den er ret resource krævende (men virker umiddelbart efter hensigten).

Hvis dine brugere bruger forbindelse til internettet også vil jeg anbefale dig at anskaffe en PIX firewall eksempelvis Cisco. Den er forholdsvis dyr ca. kr.50.000, men er ret effektiv (vi bruger den til ca. 300 brugere). Når den konfigueres, sættes adgange op på de forskellige porte med diverse restriktioner. Du har samtidig en mulighed for at koble en internetserver på, så den ikke har direkte forbindelse til dit interne netværk.

Men.....
Det hele handler jo om penge....og hvor stor organisation du er i. Jeg vil anbefale:

Hvis du er i en lille, læs under 10-15 vil jeg installere evt. Norton Firewall.
Hvis du er over dette antal vil jeg bruge en Cisco PIX.

Jeg håber du kan bruge dette til noget.

Mvh.

Finn Rasmussen
Avatar billede victor44 Nybegynder
09. november 2000 - 18:58 #3
Ja sæt en Firewall op til at styre adgangen.
Jeg kan ellers komme med alternativer til PIX\'en som er meget billigere og med samme funktionalitet, hvis det er en LINUX server du har gang i er firewall\'en indbygget så der kan du bruge den.
For at finde ud af hvilke porte du har åbent er en scanner da meget god, men hvad med UDP osv?
Brug dog netstat komandoen.
En sikker webserver findes ikke, men du kan sikre den meget ved at følge producentens anvisninger for sikkerhed eller ved at få nogen der har styr på det til at konfigurere den.
Generelt er det en dårlig ide at have for mange services kørende på en maskine så du kan evt. sætte en SMTP proxy på serveren og placere din mail server et andet sted.

Avatar billede beaviz Nybegynder
10. november 2000 - 08:35 #4
Beaviz anbefaler idag til port/net skanning, nmap (Network Mapper) af Fyodor, se evt. http://www.insecure.org/nmap/ - og ja, der er kommet en NT port.
Hvordan du lukker portene er dybt afhængigt af OS.
mht firewall, Cisco :)
Af andre gode råd: Tjah, hold dig til open source, kend dit software i BUND - det er ikke noget loppetjans at holde sådan et maskineri kørende... Nogen der fangede at der kom en bind 8.2.2p7 igår måske? :)
Avatar billede krogstrup Nybegynder
10. november 2000 - 10:33 #5
Jeg takker for svarene :-)
Avatar billede beaviz Nybegynder
10. november 2000 - 10:45 #6
victor44: netstat er en god ide, men den ville ikke fange fx en kernellevel trojan. nmap kan godt skanne udp, selvom det er med en vis usikkerhed :)
Avatar billede victor44 Nybegynder
10. november 2000 - 14:02 #7
Beaviz > Det har du ganske ret i, men jeg mener ikke det er et problem da man checker disse ting på en ren maskine inden den udsættes for internettet.
Brug evt. et program som tripwire til at sikre integriteten af serveren.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Uanset kodesprog, så giver vi dig mulighederne for at udvikle det, du behøver.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester