Firewall til Windows 2003 server
Thomas Eriksen
Jeg star og skal bruge en firewall til min server. Serveren er en Windows
2003 server og jeg har kun adgang til den via terminalen de den er placeret
hos en webhost 8.000 km væk.
Jeg har ikke noget mod at betale for den men jeg ville sætte pris på at det
ikke var et stykke software til flere tusinde kr. Samtidig skal man kunne
sætte den op remote, den skal altså ikke afbryde forbindelsen til alle porte
og programmer pr default, for så er det jo lidt svært at sætte noget op.
Håber i kan anbefale noget til mig
Thomas
Uffe S. Callesen
alt 'stå åbnet' som default :)
Nicolai
Christian E. Lysel
> Jeg star og skal bruge en firewall til min server. Serveren er en Windows
> 2003 server og jeg har kun adgang til den via terminalen de den er placeret
> hos en webhost 8.000 km væk.
Hvad skal firewallen beskytte imod, når du aligevel bruger en usikker server som
terminal servicen?
--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/
Nicolai
server som
> terminal servicen?
Remote desktop kører uden probs uden terminal services installeret på 2k3 . .
.
Thomas Eriksen
news:40fb9f13$0$263$edfa...@dread11.news.tele.dk...
> tror næsten det største problem bliver at finde en firewall som lader
> alt 'stå åbnet' som default :)
Hehe den firrewall tror jeg er installeret som default i alle OS ;-)
Jeg mener selvfølgeligt at den ikke skal låse mig ude af min terminal klient
og at den ikke skal lukke for programmer som mail, IIS ftp osv som jo er ret
vigtige for en dedikeret webserver.
Thomas
Kasper Dupont
>
> Håber i kan anbefale noget til mig
Jeg har ingen specifikke råd omkring Windows, men
mere generelt: Uanset hvad du gør, så test det først
på en maskine du har fysisk adgang til. Lave en
remote opsætning af firewallen på en test maskine,
der kun står 5m væk.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
I'd rather be a hammer than a nail.
Flemming Riis
news:40fb98a8$0$14533$ba62...@nntp02.dk.telia.net
> Jeg star og skal bruge en firewall til min server. Serveren er en Windows
> 2003 server og jeg har kun adgang til den via terminalen de den er
> placeret
> hos en webhost 8.000 km væk.
Køb en lille pix eller anden hardware firewall med service på
Nic
Ikke billigt - RRAS er indbygget i serveren. Graris.
Christian E. Lysel
Taste fejl, "server" skulle været tastet som "service".
Mit spørgsmål er, hvorfor du vil du beskytte en host når du alligevel vil
kører Terminal service, som benytter sig af en usikker protokol?
Nicolai
>
> Taste fejl, "server" skulle været tastet som "service".
>
> Mit spørgsmål er, hvorfor du vil du beskytte en host når du alligevel vil
> kører Terminal service, som benytter sig af en usikker protokol?
Usikker? 128bit kryptering?
Jamen så lad os da få din begrundelse for din påstand.
Christian E. Lysel
>> Mit spørgsmål er, hvorfor du vil du beskytte en host når du alligevel vil
>> kører Terminal service, som benytter sig af en usikker protokol?
>
> Usikker? 128bit kryptering?
Du læser for meget marketingsmateriale, hvorfor mener du at xxx bits kryptering
i sig selv er sikkert?
Jeg mener RDP er usikkert.
Hvad nytter 128 bits kryptering, hvis klienten ikke kan genkende serveren?
Et man-in-middel angreb er trivielt at udfører, og giver angriberen adgang
til serveren og hvis han er heldig også adgang til klients harddisk og
klippebord.
> Jamen så lad os da få din begrundelse for din påstand.
Jeg gætter på vi snakker om RDP protokollen.
Desværrer er protokollen ikke offentligt kendt, så der er svært at pege på
problemmer i protokollen, vi kan kun se på protokollen udefra.
Jeg ved ikke om implementationen af RDP er usikkert, kun at designet ikke tager
hånd om almindelige problemstillinger. Jeg gætter på det er op til brugeren
af protokollen selv at tage stilling til problemmerne og pakke det ind til
SSL eller IPSec, eller noget andet.
Det er beklageligt at se så mange bruge RDP, uden at beskytte protokollen
på behørig vis, fx ved at pakke den ind i IPSec tunnel.
Mange leverandører fjernstyrer kunders installationer via RDP, jeg har også
set eksterne bogholdere tilgå økonomisystemmer via RDP.
I version 3 af RDP blev følgende rettet pga. sikkerhedshuller:
http://support.microsoft.com/default.aspx?scid=kb;en-us;324380
Thomas Eriksen
news:slrncfn8s...@weebo.spindelnet.dk...
> Hvad skal firewallen beskytte imod, når du aligevel bruger en usikker
server som
> terminal servicen?
undskyld jeg siger det men det lyder lidt som den sædvanelige han kører
windows server, det er ikke sikkert retorik.
men derudover så vil jeg da gerne vide hvordan du vil fjernadministrere en
windows server hvis du ikke bruger remote desktop eller andet
fjernstyringsprogram.
Thomas
Thomas Eriksen
news:40FBE0AD...@nospam.lir.dk.invalid...
> Jeg har ingen specifikke råd omkring Windows, men
> mere generelt: Uanset hvad du gør, så test det først
> på en maskine du har fysisk adgang til. Lave en
> remote opsætning af firewallen på en test maskine,
> der kun står 5m væk.
Klart den bliver installeret på en af de lokale computere jeg har her. Men
derfor er det jo rart at vide hvad man skal kigge efter før man bestiller
det.
Thomas
Anders Lund
> men derudover så vil jeg da gerne vide hvordan du vil fjernadministrere en
> windows server hvis du ikke bruger remote desktop eller andet
> fjernstyringsprogram.
Man må da gerne bruge et fjernstyringsprogram - bare det er "sikkert".
Jeg kan desværre ikke tale med omkring sikkerheden om de forskellige
programmer af denne slags.
--
Anders Lund - and...@andersonline.dk
Christian E. Lysel
> undskyld jeg siger det men det lyder lidt som den sædvanelige han kører
> windows server, det er ikke sikkert retorik.
Jeg er interesseret i at vide hvorfor man vil installere en firewall.
En firewall hjælper ikke på usikre applikationer, ej hjælper 128 bits kryptering.
Det hjælper heller ikke at kører et andet OS.
> men derudover så vil jeg da gerne vide hvordan du vil fjernadministrere en
> windows server hvis du ikke bruger remote desktop eller andet
> fjernstyringsprogram.
Hvad snakker du om?
Jeg snakker om protokollen RDP.
Hvis jeg har et problem med en protokol der skal bruges over
Internet, pakker jeg den normalt ind i en sikker protokol som
IPSec.
Christian E. Lysel
> Jeg kan desværre ikke tale med omkring sikkerheden om de forskellige
> programmer af denne slags.
Enig, et af problemmer med RDP er at protokollen ikke er beskrevet.
Der er beskrevet nogle forslag, til protokollen, men de er gamle og jeg
mener RDP er i version 5 nu.
Nogle har lavet en opensource klient, ved at undersøge protokollen.
Thomas Eriksen
> Jeg er interesseret i at vide hvorfor man vil installere en firewall.
> En firewall hjælper ikke på usikre applikationer, ej hjælper 128 bits
kryptering.
Har du svært ved at se hvorfor? for at forbedre sikkerheden hvad tror du?
> Hvad snakker du om?
Hvad har jeg snakket om heletiden? jeg vil have en software firewall og
stadig have mulighed for at bruge fjernadministration af min server.
> Jeg snakker om protokollen RDP.
Ja det kan jeg se men kan du ikke prøve og forklare hvad du mener med det
istedet for at blive ved med at sige at det er usikkert og så ikke forklare
hvad du mener. Er det fordi du mener at man kan forbinde fra alle maskiner
til serveren og derefter begynde at køre kodebrydningsprogrammer på windows
logins? Eller mener du at alt det kræver er at sniffe tingene under vejs?
ellers hvad?
Thomas
Christian E. Lysel
>> En firewall hjælper ikke på usikre applikationer, ej hjælper 128 bits
> kryptering.
>
> Har du svært ved at se hvorfor? for at forbedre sikkerheden hvad tror du?
Hvad vil du forbedre?
Hvis du vil forbedre at Internet ikke skal tilgå dine filer du deler, så
slå servicen fra, etcetera. Slå det fra du ikke bruger.
>> Hvad snakker du om?
>
> Hvad har jeg snakket om heletiden? jeg vil have en software firewall og
> stadig have mulighed for at bruge fjernadministration af min server.
Hvilken software firewall kan ikke det?
Men for at vende tilbage til mit oprindelige spørgsmål, "hvad skal
firewallen beskytte imod"?
>> Jeg snakker om protokollen RDP.
>
> Ja det kan jeg se men kan du ikke prøve og forklare hvad du mener med det
> istedet for at blive ved med at sige at det er usikkert og så ikke forklare
> hvad du mener. Er det fordi du mener at man kan forbinde fra alle maskiner
> til serveren og derefter begynde at køre kodebrydningsprogrammer på windows
> logins? Eller mener du at alt det kræver er at sniffe tingene under vejs?
> ellers hvad?
Siger man-in-middle dig ikke noget?
Kik evt. på
http://groups.google.com/groups?selm=slrncfqook.lj5.chel%40weebo.spindelnet.dk
Som jeg ser det er der følgende problemmer:
1) Klienten kan ikke identificere serveren.
2) Serveren kan ikke identificere klienten.
3) En anbriber imellem klient og server, vil kunne aflytte alt, også
selvom der benyttes kryptering, pga. punkt 1 og 2.
4) Når punkt 3 benyttes kan angriberen også læse filer på klientens maskine
og dennes clipboard.
5) De har før lavet grove fejl i protokollen, så man har kunne genafspille, fx
login sekvensen. Endvidere er protokollen ikke offentlig tilgændelig, så
man kan ikke tage stilling til om designet er hullet. Koden er ej offentligt
tilgændelig, så man kan ikke tage stilling til om implementationen er hullet.
6) Identifikation sker på et højrer lag.
Og til sidst har jeg det selv dårligt med at give adgang til terminal servicen,
før man validere brugeren.
Ole Helms
<news.su...@spindelnet.dk> skrev:
>Og til sidst har jeg det selv dårligt med at give adgang til terminal servicen,
>før man validere brugeren.
Gør man det med RDP?
--
Venligst
Ole Helms
Lars Kim Lund
>>Og til sidst har jeg det selv dårligt med at give adgang til terminal servicen,
>>før man validere brugeren.
>
>Gør man det med RDP?
Ja - du connecter til terminal services og får et almindeligt windows
login. Det er altså Windows der autentificerer dig i forbindelse med
login til boksen og ikke RDP i tilslutnings-tidspunktet.
--
Lars Kim Lund
http://www.net-faq.dk/
Christian E. Lysel
>>Og til sidst har jeg det selv dårligt med at give adgang til terminal servicen,
>>før man validere brugeren.
>
> Gør man det med RDP?
I RDP fjernstyrer du en session, om det er en ny session eller en gammel session
har RDP ikke styr på. Hvis det er en dårlig implementation vil du således måske
kunne få adgang til en igangværende session, uden at skulle validere dig.
Hvis det er en ny session, fjernstyrer du reelt blot et windows login billed.
Det er også derfor jeg anbefalder at pakke protokollen ind i noget andet, fx IPSec
eller SSL. I SSL kan du lave validering af både klient og server, desværrer er der
set mange huller i de forskellige SSL implementationer.
Jeg vil fortrække at pakke det ind i IPSec.
Kasper Dupont
>
> Ja - du connecter til terminal services og får et almindeligt windows
> login. Det er altså Windows der autentificerer dig i forbindelse med
> login til boksen og ikke RDP i tilslutnings-tidspunktet.
Det kunne i princippet være sikkert. Men det
forudsætter, at serveren autentificeres overfor
klienten. Ellers ville det være såbart overfor et
man in the midle attack.
Desuden skal man overveje muligheden for huller i
implementationen af login boksen. Inklusiv den kode
der er involveret i kommunikationen mellem login
boksen og klienten.
Ole Helms
Jeg må vist hellere se at få læst kap. 16 i Minasi, i Microsoft
Knowledge Base om terminal services og manualen til vores Zywalls.
Jeg står ikke selv med fingrene i det, men ville bare gerne vide lidt
mere om det.
--
Kind regards / Venligst
Ole Helms
Nicolai
> Knowledge Base om terminal services og manualen til vores Zywalls.
>
> Jeg står ikke selv med fingrene i det, men ville bare gerne vide lidt
> mere om det.
Hvorfor skal det være så svært?
Jeg har som sagt flere win2k3 stående i USA uden probs?