Gå til innhold
Trenger du hjelp med internett og nettverk? Still spørsmål her ×

Hvordan sikrer jeg port 80?

Xantix

Av Xantix
i Internett og nettverk

Anbefalte innlegg

Xantix

Xantix

Skrevet
Skrevet

Hei!

 

Tenkte jeg skulle begynne å ta sikkerheten litt på alvor etter 15 år uten egentlig å bry meg noe særlig :) Løst det meste ved å re-installere med jevne mellomrom, men som datastudent tenkte jeg at det var på tide å bli litt mere seriøs. Vel kjører noen tester ut mot nettet for å teste sikkerheten til pc'en min, og det begynner å se bra ut men port 80 er problematisk. Da jeg kjører en mysql-webserver på serveren min, så må jeg ha port 80 åpen, og det er jo litt uheldig, men er det egentlig noe måte å sikre seg på når den først er åpen? Å bytte port vil jo bare føre til at en annen blir åpen noe testsidene på internett vil oppdage, så hvordan løser jeg dette?

 

X.

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Xantix

Xantix

Skrevet
  • Forfatter
Skrevet

Noe guide/tips til hvordan jeg gjør dette? Ikke min sterkeste side dette med nettverk, en annen ting også jeg forstår det antivirus etc lignende programmer bør kjøres lokalt på de ulike pc' ene men trenger hver pc i et lite hjemmenettverk å kjøre egen firewall? Holder det ikke med den innebygde brannmuren i routeren at den er satt riktig opp?

 

X.

Lenke til kommentar
Zenit

Zenit

Skrevet
Skrevet

Min oppfatning er at NAT ikke vil hjelpe deg noe fra eller til. Å forwarde porten flytter jo bare problematikken til et annet sted i nettverket. Det du kan gjøre er å sette opp en DMZ, dvs. et separat nettverk for alle tjenester som skal være offisielt tilgjengelige.

 

En måte å sette opp DMZ på (veldig vanlig, men ikke nødvendigvis den tryggeste) er å ha en brannmur med 3 stk. nettverkskort.

 

1. Eksternt nett - 2. LAN - 3. DMZ

 

Brannmuren her kan også kjøre NAT, DMZ er i praksis bare et separat privat nettverk med restriksjoner på hvilke tjenester kan nås. F.eks. kan du her sperre alt av porter, utenom port 80. Du må også ha muligheten til å administrere serveren, f.eks. over ssh. Derfor må du tillate noe trafikk fra DMZ inn til ditt LAN, men det skal være minst mulig! Kun det som er nødvendig for administrasjon.

 

I praksis er det også uinteressant at porten er åpen, det er mye viktigere å bry seg om hva som lytter på den og at du holder tjenestene og OS-et oppdatert, samt bytte passord med jevne mellomrom. Står maskina i DMZ er det selvsagt at du ikke bruker samme passord som på innsiden av ditt nettverk. Du skal betrakte den som noe fremmed som kan bli kompromittert for så å bli brukt for å tilgang til ditt nettverk.

 

Ulempen med måten å sette opp DMZ med fremgangsmåten ovenfor er at hvis brannmuren blir kompromittert får vedkommende tilgang til alt likevel.

 

Du er heller ikke nødt til å ha en DMZ, det var kun et forslag. For å gjenta det, hold OS og tjenester oppdatert, sørg for at eventuelle webapplikasjoner/script du utvikler ikke har gapende sikkerhetshull. Det er etter min mening en enkel og grei strategi som bør funke for en liten server.

Lenke til kommentar
Zenit

Zenit

Skrevet
Skrevet
Fant litt info om DMZ vs NAT....

http://www.homenethelp.com/web/explain/por...warding-dmz.asp

 

Etter hva jeg ser der så virker det som om de vil anbefale å gå for NAT løsningen, mens DMZ løsningen er mere egnet til midlertidige opplegg.

5928979[/snapback]

Du blander sammen litt her nå, DMZ i en typisk hjemmeruter betegner ofte det å forwarde alt av porter og protokoller til en bestemt IP-adresse på innsiden av nettverket. Det blir gjort for å eksponere en adresse på innsiden fullstendig og dermed slippe å åpne enkeltporter. Det sier seg selv at det er ganske usikkert i lengden.

 

DMZ slik jeg beskrev det her er et adskilt nettverk som skal være tilgjengelig for offentligheten. Her skal serverne være sikret best mulig å kjøre kun det som er nødvendig av tjenester.

Lenke til kommentar
BlackDeath

BlackDeath

Skrevet
Skrevet

OK

Så det du sier er at man i DMZ kan kjøre med bare en port åpen?

Hvorfor er det tryggere med DMZ enn med NAT direkte til en bestemt IP adresse på innsiden av brannmuren?

Vil det være en større sjanse å ta når man åpner opp nettverket og gir tilgang inn på nettet? (som ved NAT)

Er det mulig å "komme seg frem" til andre maskiner en den som det er NAT´et til?

 

Er veldig takknemelig om du gidder å svare, og om du eventuelt har noen WEB steder med mere informasjon om temaet!! :)

 

 

mvh

Kent

Lenke til kommentar
Zenit

Zenit

Skrevet
Skrevet (endret)
Så det du sier er at man i DMZ kan kjøre med bare en port åpen?

5929147[/snapback]

Ikke nødvendigvis kun én port, men et minimum av porter som er nødvendig for å tilby tjenesten som skal kjøre og for administrasjon av serveren. Maskinen her skal også sikres best mulig (jfr. bastion host)

 

Hvorfor er det tryggere med DMZ enn med NAT direkte til en bestemt IP adresse på innsiden av brannmuren?

Vil det være en større sjanse å ta når man åpner opp nettverket og gir tilgang inn på nettet? (som ved NAT)

Er det mulig å "komme seg frem" til andre maskiner en den som det er NAT´et til?

5929147[/snapback]

Det er tryggere fordi man i utgangspunktet skal sette det opp slik at tilkoblinger fra DMZ inn til LAN-et ikke skal være tillatt. DMZ-en er et separat nettverk el. subnet. Det er en større sjanse med NAT fordi hvis du åpner porten og noen kompromitterer maskinen har vedkommende plutselig tilgang til alle dine maskiner på innsiden. Grunnen til det er at selv om du åpner porten, så befinner alle maskinene seg på samme subnet uten at brannmuren ruter pakkene. Man kan jo selvsagt ha software-brannmur etc, men disse setter mange naturlig nok til å tillate trafikk fra LAN. Vil heller ikke starte en diskusjon om software vs. dedikert brannmur da tråden vil spore helt av ;)

 

Legg merke til at jeg beskrev den enkle måten å sette opp DMZ på. I en litt større sammenheng ville man sørget for at DMZ-en også har en egen brannmur. Dvs. at hvis noen kompromitterte denne brannmuren, så ville man ikke automatisk fått tilgang til LAN-et. Ofte uaktuelt og for tungvint å sette det opp slik i et lite nettverk (f.eks hjemme).

 

Det er masse informasjon om DMZ og oppsett av slike, her er en fra wikipedia som oppsummerer det ganske enkelt og greit:

http://en.wikipedia.org/wiki/Demilitarized...%28computing%29

 

Trenger du mer kan jeg grave frem flere linker når jeg har tid. Men inntil videre bruk google :)

 

edit: luket ut et par trykkleifer

Endret av Zenit
Lenke til kommentar
BlackDeath

BlackDeath

Skrevet
Skrevet (endret)

Dette var interessant, takk for mye nyttig informasjon, godt forklart! :thumbup:

 

Har web tjeneste som går på innsiden av brannmuren, nå er web tjenesten bare for familien så jeg har valgt å kjører nat på en ikke standard port.

Dette fungerer helt greit, men jeg ser sikkerhets aspektet som du skiserer her!

 

Jeg kommer derfor til å kjøpe en liten switch som jeg kjører mot modemet, og setter to brannmurer på switchen. Da kan jeg kjøre et eget DMZ subnet for web serveren, og kjøre arbeidsstasjonene og den lokale serveren på brannmur/router nr 2.

 

Takk for god informasjon Zenit :)

Nå skal jeg lese om dette på linken din!!

 

mvh

Kent

Endret av BlackDeath
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...