Fast IP adresse

[srene]

Jeg har nett nå fått en fast IP adresse fra altibox.no. Har ogaå en Windows Home Server (HP EX 490) som jeg tenker å kunne bruke til server.

 

Har derimot blitt "advart" mot dette, og blitt anbefalt å være svært forsiktig for at ikke alt skal bli hacket inn i solnedgangen.

 

Har dere noen tips til viktige sikkerhetsinstillinger etc.

[abrj]

Du må i alle fall passe på å kjøre hyppige oppdateringer av systemet, slik at sikkerhetshull osv tettes. Og skal du kjøre webserver må du passe på å oppdatere den programvaren også!

[Stigma]

Hvis du har en IP som peker direkte til en PC bør du definitivt ha en firewall av noe slag - enten hardware eller software. Software er selfølgleig mest praktisk og billigst for privatpersoner - og gjør samme nytten så lenge du litt kritisk til hvilken softwareløsning du bruker (det finnes mange - betal og gratis).

 

Hvis du ikke bruker en tredjeparts mer avansert firewall så må du minimum sette på windows firewallen. Den gjør forøvrig en grei jobb så lenge du ikke trenger veldig avansert funksjonalitet.

 

Vanligvis er maskiner på nett beskyttet av NAT i en ruter, slik at signaler som sendes inn i nettverket som ikke er "invitert" ikke sendes videre ved midnre du har satt opp spesielle regler for det (som at HTTP port 80 skal sendes til serveren for eksempel). Hvis du har maskinen på egen IP rett mot nettet så er i praksis alle kanaler åpne inn mot serveren ved mindre du bruker en firewall - og da har eventuelle hackere 100 ganger flere muligheter til å finne en svakhet i en av tjenestene som maskinen kjører.

 

Så bruk en firewall - og tillatt kun inngående porter som du faktisk kjører servere på - og bruk servere som er regnet som stabile og trygge. Husk også å oppdatere dem gjevnlig - både windows selv og serverene du kjører. Da er du relativt trygg.

 

Dersom du kjører noen servere som bruker passord login for å gi kontroll av serveren eller tjenesten (som remote kontroll eller en FTP) så bruk et sterkt passord og sørg for at serverprogrammet du bruker har sikring mot bruteforce-angrep slik at ikke hackere bare kan gjette passordet ved å sende millioner av tilfeldige passord til de gjetter riktig. De fleste gode servere har funksjonalitet som gjør at om du bruker feil passord flere ganger på rad så må du vente mer og mer mellom hver gang du får oppgi passordet - slik at bruteforce anngrep i praksis blir umulige. Sørg for at programmet støtter slikt og at du enabler det (om det er noe du må slå på manuellt vel og merke). Merket selv at jeg hadde et par slike angrep av bot'er i de årene jeg driftet personlig FTP - sansynligvis bare tilfeldige automatiserte anngrep dog.

 

Et godt antivirusprogram er selvfølgelig også å annbefale om du vil være på sikre siden.

 

-Stigma

Endret 27. oktober 2010 av Stigma

[Knopfix]

Velg gjerne en Firewall som har funksjonen IPS.

IPS utfører en "deep packet inspection" som sjekker innhold pr.pakke i stedet for kun å blokkere på portbasis.

[siDDis]

Nei du vil ikkje ha IPS, det øydeleggjar heile nettverksytelsen. Altibox har såpass gode linjer at det er ikkje mange brannmurregler ein skal ha før nettet begynner å knele ved last.

 

Windows sin innebygde brannmur kan fint brukas, og meir trenger du eigentleg ikkje. For eksempel om du vil at serveren skal ha remote desktop kjørande ut mot internett så lager du ein enkelt brannmurregel som låser ute ukjente ip-adresser.

 

Trenger du ein meir funksjonsrik brannmur så kan du kikke på http://m0n0.ch/wall/

 

Merk at meir funksjonsrike brannmurer betyr ikkje at det blir meir sikkert.

[Stigma]

deep packet inspection høres ut som veldig overkill, og det har store ufordeler i forhold til ytelse også. Det er ikke noe du bør vurdere ved mindre du faktisk skal utføre noe som TRENGER deep packet inspection for å kunne gjennomføres.

 

-Stigma

[Knopfix]

Er personlig av den oppfatning av nettverket aldri kan bli trygt nok.

Hvilken måte IPS blir implementert på vil avgjøre hvor mye ytelse man vil tape. Bruker selv IPS på en Cisco ruter hjemme uten tap.

Selv er jeg villig til å ofre litt av ytelsen om nødvendig på en server som er oppe 24/7. Blir ytelsen forferdelig, slå det helt enkelt av. Har du ikke noe sensitivt er det lite å tape.

Høyere sikkerhet kan du oppnå ved å bruke en mer intelligent brannmur som støtter CBAC, hvor det er mulighet for å holde "track" på hver enkelt sesjon på portnummerbasis, og ved at brannmuren oppretter dynamiske aksesslister.

Men det eneste som i sanntid kan stoppe det som slippes inn i de åpnede portene er IPS.

IPS signaturer blir oppdatert via en database som som kjenner til mange av de mest kjente virusene, ormene, DOS og DDOSangrep osv. Skanningen foregår fra lag 1 til lag 7 hvor blant annet payload i pakkene (dataene som blir satt sammen i maskinen din) blir skannet, i tillegg til parametere som går på selve kommunikasjonen.

Leser man litt om sikkerhet vil man se at IPS bør implementeres i tillegg til en brannmur.

En del sikkerhetsapplikasjoner beregnet for vanlige hjemmebrukere har funksjonen IPS, feks Norton. Så nei, det er ikke overkill.

Men nå er er jeg kanskje mer paranoid da jeg er inne i nettverksbransjen. Kan ellers nevne at det sjeldent går en dag jeg ikke opplever inntregningsførsøk på boksen hjemme.

[siDDis]

Den einaste grunnen til at nokon ynskjer seg avanserte pakkefiltere er når dei ikkje stoler på applikasjonen som lytter ut på internett. Dette gjelder stort sett bare sære applikasjoner som eigentleg bare skal vere tilgjengeleg igjennom ein ssh-tunnel/vpn-tunnel.

 

Tro det eller ei, men Microsoft har INGEN brannmur på deiras Microsoft.com

[Stigma]

Er personlig av den oppfatning av nettverket aldri kan bli trygt nok.

Hvilken måte IPS blir implementert på vil avgjøre hvor mye ytelse man vil tape. Bruker selv IPS på en Cisco ruter hjemme uten tap.

Selv er jeg villig til å ofre litt av ytelsen om nødvendig på en server som er oppe 24/7. Blir ytelsen forferdelig, slå det helt enkelt av. Har du ikke noe sensitivt er det lite å tape.

Høyere sikkerhet kan du oppnå ved å bruke en mer intelligent brannmur som støtter CBAC, hvor det er mulighet for å holde "track" på hver enkelt sesjon på portnummerbasis, og ved at brannmuren oppretter dynamiske aksesslister.

Men det eneste som i sanntid kan stoppe det som slippes inn i de åpnede portene er IPS.

IPS signaturer blir oppdatert via en database som som kjenner til mange av de mest kjente virusene, ormene, DOS og DDOSangrep osv. Skanningen foregår fra lag 1 til lag 7 hvor blant annet payload i pakkene (dataene som blir satt sammen i maskinen din) blir skannet, i tillegg til parametere som går på selve kommunikasjonen.

Leser man litt om sikkerhet vil man se at IPS bør implementeres i tillegg til en brannmur.

En del sikkerhetsapplikasjoner beregnet for vanlige hjemmebrukere har funksjonen IPS, feks Norton. Så nei, det er ikke overkill.

Men nå er er jeg kanskje mer paranoid da jeg er inne i nettverksbransjen. Kan ellers nevne at det sjeldent går en dag jeg ikke opplever inntregningsførsøk på boksen hjemme.

 

Om man ser på spørsmålet sett fra en i bransjen så er jeg helt enig med deg. Jeg hadde ikke nølt å bruke IPS og mer for en server som faktisk var viktig i f.eks. en bedrifssammenheng, men her snakker vi tross alt om en liten privat server som sansynligvis ikke skal kjøre mer enn 2-3 tjenester. Brukerens slår meg også til å være såpass relativt uerfaren at det er sansynligvis langt større sikkerhetsrisiko i brukerfeil i forhold til tjenestene han setter opp enn at en orm skulle treffe et sikkerhetshull i en av tjenestene gjennom brannmuren.

 

Men det er bare min mening da. Jeg synes ihvertfall at man bør være logisk konsis i forhold til sikkerhet og ta knekken poå de værste risikoene først. For de aller fleste vil å lage seg et skikkelig passordsystem for alle tjenestene de bruker gi mye mer sikkerhet enn ekstra filtrering i brannmuren. IPS er kjekt å ha - men det ville vært relativt langt ned på prioritetsstigen min for en privat server som dette med en (sansynligvis) gjennomsnittlig erfaren bruker.

 

Lite poeng i IPS i brannmuren hvis FTPen man satt opp med et 5-tegn passord blir bruteforcet i de første to ukene og gir tilgang til alle filene på maskinen fordi relevante sikkerhetsfeatures ikke var skrudd på for eksempel.

 

-Stigma

[Knopfix]

Den einaste grunnen til at nokon ynskjer seg avanserte pakkefiltere er når dei ikkje stoler på applikasjonen som lytter ut på internett. Dette gjelder stort sett bare sære applikasjoner som eigentleg bare skal vere tilgjengeleg igjennom ein ssh-tunnel/vpn-tunnel.

 

Tro det eller ei, men Microsoft har INGEN brannmur på deiras Microsoft.com

 

Selfølgelig bruker man IPS fordi man ikke stoler på innholdet.

Dette gjelder ikke kun sære programm. DDOS angrep er et godt eksempel på det.

Disse angrepene gjør ikke nødvendigvis skade men du kan miste tilgangen eller få sterkt nedgradert ytelse over langt tid.

Jeg har til eksmpel erfaring med at IPS har stoppet IP spoofing angrep.

Som nevnt fungerer IPS fra lag 1 til 7 i OSI modellen. Dette kan du finne info om på nettet.

Feks linken under.

 

http://www.aboutonlinetips.com/what-is-ips-and-how-intrusion-prevention-system-works/

 

Er personlig av den oppfatning av nettverket aldri kan bli trygt nok.

Hvilken måte IPS blir implementert på vil avgjøre hvor mye ytelse man vil tape. Bruker selv IPS på en Cisco ruter hjemme uten tap.

Selv er jeg villig til å ofre litt av ytelsen om nødvendig på en server som er oppe 24/7. Blir ytelsen forferdelig, slå det helt enkelt av. Har du ikke noe sensitivt er det lite å tape.

Høyere sikkerhet kan du oppnå ved å bruke en mer intelligent brannmur som støtter CBAC, hvor det er mulighet for å holde "track" på hver enkelt sesjon på portnummerbasis, og ved at brannmuren oppretter dynamiske aksesslister.

Men det eneste som i sanntid kan stoppe det som slippes inn i de åpnede portene er IPS.

IPS signaturer blir oppdatert via en database som som kjenner til mange av de mest kjente virusene, ormene, DOS og DDOSangrep osv. Skanningen foregår fra lag 1 til lag 7 hvor blant annet payload i pakkene (dataene som blir satt sammen i maskinen din) blir skannet, i tillegg til parametere som går på selve kommunikasjonen.

Leser man litt om sikkerhet vil man se at IPS bør implementeres i tillegg til en brannmur.

En del sikkerhetsapplikasjoner beregnet for vanlige hjemmebrukere har funksjonen IPS, feks Norton. Så nei, det er ikke overkill.

Men nå er er jeg kanskje mer paranoid da jeg er inne i nettverksbransjen. Kan ellers nevne at det sjeldent går en dag jeg ikke opplever inntregningsførsøk på boksen hjemme.

 

Om man ser på spørsmålet sett fra en i bransjen så er jeg helt enig med deg. Jeg hadde ikke nølt å bruke IPS og mer for en server som faktisk var viktig i f.eks. en bedrifssammenheng, men her snakker vi tross alt om en liten privat server som sansynligvis ikke skal kjøre mer enn 2-3 tjenester. Brukerens slår meg også til å være såpass relativt uerfaren at det er sansynligvis langt større sikkerhetsrisiko i brukerfeil i forhold til tjenestene han setter opp enn at en orm skulle treffe et sikkerhetshull i en av tjenestene gjennom brannmuren.

 

Men det er bare min mening da. Jeg synes ihvertfall at man bør være logisk konsis i forhold til sikkerhet og ta knekken poå de værste risikoene først. For de aller fleste vil å lage seg et skikkelig passordsystem for alle tjenestene de bruker gi mye mer sikkerhet enn ekstra filtrering i brannmuren. IPS er kjekt å ha - men det ville vært relativt langt ned på prioritetsstigen min for en privat server som dette med en (sansynligvis) gjennomsnittlig erfaren bruker.

 

Lite poeng i IPS i brannmuren hvis FTPen man satt opp med et 5-tegn passord blir bruteforcet i de første to ukene og gir tilgang til alle filene på maskinen fordi relevante sikkerhetsfeatures ikke var skrudd på for eksempel.

 

 

-Stigma

 

Sett fra den andre siden. En uoppmerksom har mange unødvendige tjenester slått på og vil derfor ha større nytte av IPS funksjonen.

Å sammenligne FTP passordlengde og IPS blir feil, dog har IPS en funksjoner som luker ut FTP kommando syntax som en hacker kan benytte seg av.

I linken ovenfor er det nevnt at IPS kan beskytte brute force også. Sikker ved at visse signaturer kan kjenne igjen mønste som ikke brukes ved vanlig innlogging.

[siDDis]

Når ein blir utsatt for syn flood(DDoS angrep), så risikerer ein at alle tenester som er bak brannmuren går ned fordi brannmuren ikkje handterer mengda innkommende pakker. F.eks blir ein syn flooda på port 80 så blir det svært vanskeleg for ein brannmur å sjå forskjell på dårlige og fine syn pakker. Ein anna faktor er ruteren som ligger forann brannmuren, den kan også knele heilt uavhengig av brannmur ved eit syn flood angrep, dette gjelder også ein IDS/IPS brannmur.

 

Får me eit alvorleg DDoS angrep her i bedriften, så "piper" me det utanfor brannmuren sånn at bare den tenesten som blir angrepe går ned mens alt det andre forsetter å fungere normalt.

 

IP-Spoofing er bare eit problem når ein har tenester som bruker autentisering basert på ip-adresser eksponert mot internett. Spørsmålet er då heller kvifor dei er det?

 

Brannmurer med packet filtering har ein verdi for ein større bedrift med fleire systemer eksponert mot internett og når ytelse har mindre prioritet enn sikkerheit. Med brannmur/IDS/IPS så må det også inn ressurser på personer som overvåker nettet og kan foreta justeringer om uvanleg aktivitet skulle dukke opp. Derfor har ein avansert brannmur ingen verdi for ein vanleg privatperson.

 

Dei fleste tenester som har ein form for autentisering som skal vere eksponert mot internett har innebygd funksjonalitet for å håndtere brute force angrep. Har dei ikkje det så bør ein bruka ein avansert brannmur med packet filtering for å få begrensa antall forsøk.

[Stigma]

Det er det jeg mener. IPS er flott om man blir DDoSet, men sånt skjer bare ikke på en privat server. Man er ikke synlig nok til at noen gidder å manuellt angripe deg. Jeg mener ihvertfall at som gjennomsnittlig bruker bør man i første omgang fokusere på å ha tilstrekkelig beskyttelse mot det vanlige nett-grumset som man kan møte på - dvs. automatiserte bot'er som tråler gjennom IPadresser etter lett angripelige mål. Har man da det mest grunnleggende av beskyttelse på plass ie. brannmur og oppdatert software i OS og serverene man kjører er man da reltivt trygg.

 

Om man skal snakke om beskyttelse mot målrettet hacking og DDoSing osv. så er det selvfølgleig noe helt annet - men det er i første omgang neppe noe OP vil komme borti ve å drifte en liten privat server.

 

Jeg er ikke nødvendigvis imot bruk av IPS. Jeg føler bare at det er ikke det første man bør fokusere på som en gjennomsnittlig bruker - men for all del OP - les gjerne mer om det og se om det er noe du føler kunne vært nyttig. brannmur med IPS gir utvilsomt et ekstra lag av beskyttelse. Akkurat det er det ingen tvil om, kun om du faktisk vil få bruk for dette ekstra laget i praksis.

 

-Stigma

 

-Stigma

[Knopfix]

Når ein blir utsatt for syn flood(DDoS angrep), så risikerer ein at alle tenester som er bak brannmuren går ned fordi brannmuren ikkje handterer mengda innkommende pakker. F.eks blir ein syn flooda på port 80 så blir det svært vanskeleg for ein brannmur å sjå forskjell på dårlige og fine syn pakker. Ein anna faktor er ruteren som ligger forann brannmuren, den kan også knele heilt uavhengig av brannmur ved eit syn flood angrep, dette gjelder også ein IDS/IPS brannmur.

 

En del av IPS signaturene sjekker nettopp SYN\ACK of FIN , og kan utføre en reset eller drop action mot IP adressen som sto bak. IPS kan derfor droppe trafikken gjennom port 80 som ikke brannmuren har oversikt over.

 

http://www.ipolicynetworks.com/technology/files/SYN_Flood_Attacks.html

 

Det er det jeg mener. IPS er flott om man blir DDoSet, men sånt skjer bare ikke på en privat server. Man er ikke synlig nok til at noen gidder å manuellt angripe deg. Jeg mener ihvertfall at som gjennomsnittlig bruker bør man i første omgang fokusere på å ha tilstrekkelig beskyttelse mot det vanlige nett-grumset som man kan møte på - dvs. automatiserte bot'er som tråler gjennom IPadresser etter lett angripelige mål. Har man da det mest grunnleggende av beskyttelse på plass ie. brannmur og oppdatert software i OS og serverene man kjører er man da reltivt trygg.

 

DDoS og DoS har jeg jeg blitt utsatt for for hjemme, det varte opp til 2- 3 dager i ett strekk. Også en del kortere DDoS.

 

DDoS og DoS har jeg jeg blitt utsatt for, det varte en gang opp til 2- 3 dager i ett strekk. Også en del kortere DDoS. Disse synes ved at et stort antall "half_open" TCP sesjoner er listet. Disse angrepene er mindre avanserte og flere kan utføre dem.

Øverst ligger directionary attack på SSH kontoen min.