Discussion:
Uitgaand verkeer filteren
(te oud om op te antwoorden)
Paul van der Vlis
2009-05-12 13:30:20 UTC
Permalink
Hallo,

Ik overweeg ook het uitgaande verkeer van een webserver te gaan filteren
via een aparte firewall machine. Daarom laat ik het verkeer eerst
loggen. Ik gebruik iets als onderstaande:

iptables -A FORWARD -s $IP -m state --state ESTABLISHED,RELATED -j
ACCEPT
iptables -A FORWARD -s $IP -j logaccept

Die laatste regel zorgt dat iets gelogt wordt.
$IP is de IP van de server waarvan ik het uitgaande verkeer wil monitoren.

Is dit idee goed?

Ik zie nog wat teveel van poort 80 komen in de logs, meldingen als dit:

May 12 14:00:15 firewall kernel: FW-accept:IN=eth3 OUT=eth0 SRC=x.x.x.x
DST=1.2.3.4 LEN=40 TOS=0x00 PREC=0x60 TTL=63 ID=0 DF PROTO=TCP SPT=80
DPT=16586 WINDOW=0 RES=0x00 RST URGP=0

Ik zie dat IP 1.2.3.4 wel voorkomen in de Apache logs, maar niet op dat
moment.

Iemand tips?

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Huub Reuver
2009-05-12 16:40:33 UTC
Permalink
Post by Paul van der Vlis
Hallo,
Ik overweeg ook het uitgaande verkeer van een webserver te gaan filteren
via een aparte firewall machine. Daarom laat ik het verkeer eerst
iptables -A FORWARD -s $IP -m state --state ESTABLISHED,RELATED -j
ACCEPT
iptables -A FORWARD -s $IP -j logaccept
Die laatste regel zorgt dat iets gelogt wordt.
$IP is de IP van de server waarvan ik het uitgaande verkeer wil monitoren.
Is dit idee goed?
Het zou moeten werken...
Ik vraag me alleen af waarom je het nodig zou hebben.
Post by Paul van der Vlis
May 12 14:00:15 firewall kernel: FW-accept:IN=eth3 OUT=eth0 SRC=x.x.x.x
DST=1.2.3.4 LEN=40 TOS=0x00 PREC=0x60 TTL=63 ID=0 DF PROTO=TCP SPT=80
DPT=16586 WINDOW=0 RES=0x00 RST URGP=0
Ik zie dat IP 1.2.3.4 wel voorkomen in de Apache logs, maar niet op dat
moment.
Iemand tips?
Als je snel een beeld wil krijgen van netwerkverkeer zou je ook eens
kunnen kijken naar ntop. Daarbij moet je natuurlijk wel instellen dat
alleen jij ntop kunt raadplegen (bijvoorbeeld met een fixed IP).

Houdt er dan wel rekening mee dat ntop alles logt. Zoals mislukte
dictionary attacks op ssh.

Als ik het hele verhaal goed begrijp wil je server vanuit een DMZ
met internet laten communiceren. Daarbij wil je alleen toelaatbaar
verkeer toestaan. Let er even op dat als je dit goed instelt je
daarnaast vaak alsnog een ipfilter en tcpfilters op de host wil
gebruiken. Tools als denyhost en fail2ban wil je geen rules voor
de externe firewall laten genereren.

Zelfs met vrij botte instellingen (alles blokkeren behalve services
en voor onderhoud toegang van/naar enkele machines) heb ik weinig
last dat er een service geblokkeerd wordt die ik niet kan verklaren.

Met vriendelijke groet,
Huub Reuver
Joost de Heer
2009-05-12 17:26:36 UTC
Permalink
Post by Paul van der Vlis
May 12 14:00:15 firewall kernel: FW-accept:IN=eth3 OUT=eth0 SRC=x.x.x.x
DST=1.2.3.4 LEN=40 TOS=0x00 PREC=0x60 TTL=63 ID=0 DF PROTO=TCP SPT=80
DPT=16586 WINDOW=0 RES=0x00 RST URGP=0
Als je goed kijkt zie je dat de sourcepoort 80 is, en niet de
destination poort. Dit is een TCP reset pakketje op een socket die
blijkbaar al gesloten is.

Joost
Paul van der Vlis
2009-05-13 06:54:35 UTC
Permalink
Post by Joost de Heer
Post by Paul van der Vlis
May 12 14:00:15 firewall kernel: FW-accept:IN=eth3 OUT=eth0 SRC=x.x.x.x
DST=1.2.3.4 LEN=40 TOS=0x00 PREC=0x60 TTL=63 ID=0 DF PROTO=TCP SPT=80
DPT=16586 WINDOW=0 RES=0x00 RST URGP=0
Als je goed kijkt zie je dat de sourcepoort 80 is, en niet de
destination poort.
Inderdaad, maar had ik gezien. Ik filter hier immers alleen uitgaand
verkeer.
Post by Joost de Heer
Dit is een TCP reset pakketje op een socket die
blijkbaar al gesloten is.
Interessant. Kun je (of iemand anders) dat nog iets beter uitleggen?
Wat reset nu wat?

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Fred Mobach
2009-05-13 15:51:07 UTC
Permalink
Post by Paul van der Vlis
Post by Joost de Heer
Dit is een TCP reset pakketje op een socket die
blijkbaar al gesloten is.
Interessant. Kun je (of iemand anders) dat nog iets beter uitleggen?
Wat reset nu wat?
Het hele verhaal staat prima beschreven in enkele RFC's maar wat beter
uitgelegd in TCP/IP Illustrated van W. Richard Stevens. Zeg maar de
boeken die elke netwerkspecialist onder z'n hoofdkussen zou moeten
hebben liggen. :-)
--
Fred Mobach - ***@mobach.nl
website : http://fred.mobach.nl
.... In God we trust ....
.. The rest we monitor ..
richard lucassen
2009-05-13 20:21:23 UTC
Permalink
On Wed, 13 May 2009 17:51:07 +0200
Post by Fred Mobach
Post by Paul van der Vlis
Interessant. Kun je (of iemand anders) dat nog iets beter uitleggen?
Wat reset nu wat?
Het hele verhaal staat prima beschreven in enkele RFC's maar wat beter
uitgelegd in TCP/IP Illustrated van W. Richard Stevens. Zeg maar de
boeken die elke netwerkspecialist onder z'n hoofdkussen zou moeten
hebben liggen. :-)
Dat stapeltje van 3 boeken maakt het dat je bijna rechtop slaapt :)
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Paul van der Vlis
2009-05-13 06:45:57 UTC
Permalink
Post by Huub Reuver
Post by Paul van der Vlis
Hallo,
Ik overweeg ook het uitgaande verkeer van een webserver te gaan filteren
via een aparte firewall machine. Daarom laat ik het verkeer eerst
iptables -A FORWARD -s $IP -m state --state ESTABLISHED,RELATED -j
ACCEPT
iptables -A FORWARD -s $IP -j logaccept
Die laatste regel zorgt dat iets gelogt wordt.
$IP is de IP van de server waarvan ik het uitgaande verkeer wil monitoren.
Is dit idee goed?
Het zou moeten werken...
Ik vraag me alleen af waarom je het nodig zou hebben.
In een ideaal geval natuurlijk niet. Dan reageert de server alleen als
je hem iets vraagt. Als er echter een hacker actief is, kan hij anderen
lastig vallen. Dat wil ik verbieden, daarom monitor ik eerst wat voor
verkeer ik zoal zou verbieden.
Post by Huub Reuver
Post by Paul van der Vlis
May 12 14:00:15 firewall kernel: FW-accept:IN=eth3 OUT=eth0 SRC=x.x.x.x
DST=1.2.3.4 LEN=40 TOS=0x00 PREC=0x60 TTL=63 ID=0 DF PROTO=TCP SPT=80
DPT=16586 WINDOW=0 RES=0x00 RST URGP=0
Ik zie dat IP 1.2.3.4 wel voorkomen in de Apache logs, maar niet op dat
moment.
Iemand tips?
Als je snel een beeld wil krijgen van netwerkverkeer zou je ook eens
kunnen kijken naar ntop. Daarbij moet je natuurlijk wel instellen dat
alleen jij ntop kunt raadplegen (bijvoorbeeld met een fixed IP).
Houdt er dan wel rekening mee dat ntop alles logt. Zoals mislukte
dictionary attacks op ssh.
Via de firewall kan ik ook al het verkeer loggen. Maar het is gewoon
veel te veel, dan moet ik toch weer gaan filteren.
Post by Huub Reuver
Als ik het hele verhaal goed begrijp wil je server vanuit een DMZ
met internet laten communiceren.
Ja, dat is de situatie.
Post by Huub Reuver
Daarbij wil je alleen toelaatbaar verkeer toestaan.
Inderdaad. Nu mag al het uitgaande verkeer, maar ik wil dat gaan
beperken. Een webserver moet uiteraard antwoorden op vragen, maar heeft
zelf niks te zoeken op de website van een ander, of op een IRC channel,
ahum.
Post by Huub Reuver
Let er even op dat als je dit goed instelt je
daarnaast vaak alsnog een ipfilter en tcpfilters op de host wil
gebruiken.
Heb ik ook.
Post by Huub Reuver
Tools als denyhost en fail2ban wil je geen rules voor
de externe firewall laten genereren.
Klopt.
Post by Huub Reuver
Zelfs met vrij botte instellingen (alles blokkeren behalve services
en voor onderhoud toegang van/naar enkele machines) heb ik weinig
last dat er een service geblokkeerd wordt die ik niet kan verklaren.
Je hebt het over van/naar. Die "van" heb ik natuurlijk al
geimplementeerd, nu die "naar" nog.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Huub Reuver
2009-05-13 18:25:23 UTC
Permalink
Post by Paul van der Vlis
Post by Huub Reuver
Post by Paul van der Vlis
Hallo,
Ik overweeg ook het uitgaande verkeer van een webserver te gaan filteren
via een aparte firewall machine. Daarom laat ik het verkeer eerst
iptables -A FORWARD -s $IP -m state --state ESTABLISHED,RELATED -j
ACCEPT
iptables -A FORWARD -s $IP -j logaccept
Die laatste regel zorgt dat iets gelogt wordt.
$IP is de IP van de server waarvan ik het uitgaande verkeer wil monitoren.
Is dit idee goed?
Het zou moeten werken...
Ik vraag me alleen af waarom je het nodig zou hebben.
In een ideaal geval natuurlijk niet. Dan reageert de server alleen als
je hem iets vraagt. Als er echter een hacker actief is, kan hij anderen
lastig vallen. Dat wil ik verbieden, daarom monitor ik eerst wat voor
verkeer ik zoal zou verbieden.
Eh?

Als een hacker actief is kan hij:
- een normale verbinding maken met een service.
- een exploit benutten van een service (updates?).
- via een exploit een login of DOS uitproberen (met random stack base en
memory base is de kans op een login kleiner).
- na een login een rights-escalation uitproberen (daarvoor hebben ze
chroot, RBAC en kernelhardening uitgevonden).
En natuurlijk is in de chroot (en daarbuiten) alleen de minimale set
programma's aanwezig.
- dan kan de hacker proberen gereedschap van een andere server te halen
(firewall) of zelf te compileren (waarom zou je een compiler
installeren op de server zelf).
- als de hacker dan een inlogshell heeft gekregen en escallation naar
root en hij heeft de firewall omzeilt zodat hij vrij naar binnen kan
(...) dan zou hij geen services naar buiten kunnen starten.
- als de hacker dan uiteindelijk alle rechten op de machine heeft heeft
hij het ook verdiend.

Hoeveel last hebben andere gebruikers van een hacker?
Toch niet meer dan lag?
Anders ben je enkele stappen vergeten.
Post by Paul van der Vlis
Post by Huub Reuver
Houdt er dan wel rekening mee dat ntop alles logt. Zoals mislukte
dictionary attacks op ssh.
Via de firewall kan ik ook al het verkeer loggen. Maar het is gewoon
veel te veel, dan moet ik toch weer gaan filteren.
Ntop geeft meer een overzicht van het netwerkverkeer dan dat het
daadwerkelijk logt.
Post by Paul van der Vlis
Post by Huub Reuver
Daarbij wil je alleen toelaatbaar verkeer toestaan.
Inderdaad. Nu mag al het uitgaande verkeer, maar ik wil dat gaan
beperken. Een webserver moet uiteraard antwoorden op vragen, maar heeft
zelf niks te zoeken op de website van een ander, of op een IRC channel,
ahum.
..
Post by Paul van der Vlis
Je hebt het over van/naar. Die "van" heb ik natuurlijk al
geimplementeerd, nu die "naar" nog.
Wat gebruik je aan externe services van de server behalve DNS, NTP
en repositories voor updates? Gebruik je UDP?

Je configureert zelf je server, je zou dus moeten weten wat jouw server
zelf moet zoeken op internet. Loggen om dat uit te zoeken is natuurlijk
het paard voor de wagen spannen.

Met vriendelijke groet,
Huub Reuver
Paul van der Vlis
2009-05-13 19:16:09 UTC
Permalink
Post by Huub Reuver
Post by Paul van der Vlis
Post by Huub Reuver
Post by Paul van der Vlis
Hallo,
Ik overweeg ook het uitgaande verkeer van een webserver te gaan filteren
via een aparte firewall machine. Daarom laat ik het verkeer eerst
iptables -A FORWARD -s $IP -m state --state ESTABLISHED,RELATED -j
ACCEPT
iptables -A FORWARD -s $IP -j logaccept
Die laatste regel zorgt dat iets gelogt wordt.
$IP is de IP van de server waarvan ik het uitgaande verkeer wil monitoren.
Is dit idee goed?
Het zou moeten werken...
Ik vraag me alleen af waarom je het nodig zou hebben.
In een ideaal geval natuurlijk niet. Dan reageert de server alleen als
je hem iets vraagt. Als er echter een hacker actief is, kan hij anderen
lastig vallen. Dat wil ik verbieden, daarom monitor ik eerst wat voor
verkeer ik zoal zou verbieden.
Eh?
- een normale verbinding maken met een service.
- een exploit benutten van een service (updates?).
- via een exploit een login of DOS uitproberen (met random stack base en
memory base is de kans op een login kleiner).
- na een login een rights-escalation uitproberen (daarvoor hebben ze
chroot, RBAC en kernelhardening uitgevonden).
En natuurlijk is in de chroot (en daarbuiten) alleen de minimale set
programma's aanwezig.
- dan kan de hacker proberen gereedschap van een andere server te halen
(firewall) of zelf te compileren (waarom zou je een compiler
installeren op de server zelf).
- als de hacker dan een inlogshell heeft gekregen en escallation naar
root en hij heeft de firewall omzeilt zodat hij vrij naar binnen kan
(...) dan zou hij geen services naar buiten kunnen starten.
- als de hacker dan uiteindelijk alle rechten op de machine heeft heeft
hij het ook verdiend.
Hoeveel last hebben andere gebruikers van een hacker?
Toch niet meer dan lag?
Anders ben je enkele stappen vergeten.
Post by Paul van der Vlis
Post by Huub Reuver
Houdt er dan wel rekening mee dat ntop alles logt. Zoals mislukte
dictionary attacks op ssh.
Via de firewall kan ik ook al het verkeer loggen. Maar het is gewoon
veel te veel, dan moet ik toch weer gaan filteren.
Ntop geeft meer een overzicht van het netwerkverkeer dan dat het
daadwerkelijk logt.
Misschien moet ik er eens naar kijken. Maar het is geen tool waarmee ik
iets kan verbieden, en dat kan ik met die firewall-regels wel.
Post by Huub Reuver
Post by Paul van der Vlis
Post by Huub Reuver
Daarbij wil je alleen toelaatbaar verkeer toestaan.
Inderdaad. Nu mag al het uitgaande verkeer, maar ik wil dat gaan
beperken. Een webserver moet uiteraard antwoorden op vragen, maar heeft
zelf niks te zoeken op de website van een ander, of op een IRC channel,
ahum.
..
Post by Paul van der Vlis
Je hebt het over van/naar. Die "van" heb ik natuurlijk al
geimplementeerd, nu die "naar" nog.
Wat gebruik je aan externe services van de server behalve DNS, NTP
en repositories voor updates?
Dat is het belangerijkste inderdaad.
Post by Huub Reuver
Gebruik je UDP?
NTP en DNS gebruiken natuurlijk UDP.
Post by Huub Reuver
Je configureert zelf je server, je zou dus moeten weten wat jouw server
zelf moet zoeken op internet. Loggen om dat uit te zoeken is natuurlijk
het paard voor de wagen spannen.
Er plaatsen allerlei mensen dingen op deze server. Verder is het ook een
soort controle of mijn lijst met uitzonderingen compleet is.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Huub Reuver
2009-05-14 06:08:45 UTC
Permalink
Post by Paul van der Vlis
Post by Huub Reuver
Je configureert zelf je server, je zou dus moeten weten wat jouw server
zelf moet zoeken op internet. Loggen om dat uit te zoeken is natuurlijk
het paard voor de wagen spannen.
Er plaatsen allerlei mensen dingen op deze server. Verder is het ook een
soort controle of mijn lijst met uitzonderingen compleet is.
En je staat ook toe dat mensen bijvoorbeeld een database installeren
(die jezelf dus niet onderhoudt?).

Als mensen extra services mogen installeren wordt het tijd dat ze zelf
clue krijgen. Anders is het een extra reden de firewall dicht te zetten.
Overigens is shell access ook een goede reden nog eens te kijken naar
kernel hardening. Hoewel het natuurlijk dweilen met de kraan open
blijft.

Met vriendelijke groet,
Huub Reuver
Paul van der Vlis
2009-05-14 08:51:11 UTC
Permalink
Post by Huub Reuver
Post by Paul van der Vlis
Post by Huub Reuver
Je configureert zelf je server, je zou dus moeten weten wat jouw server
zelf moet zoeken op internet. Loggen om dat uit te zoeken is natuurlijk
het paard voor de wagen spannen.
Er plaatsen allerlei mensen dingen op deze server. Verder is het ook een
soort controle of mijn lijst met uitzonderingen compleet is.
En je staat ook toe dat mensen bijvoorbeeld een database installeren
(die jezelf dus niet onderhoudt?).
Een database aanmaken doet een beheerder.
Post by Huub Reuver
Als mensen extra services mogen installeren wordt het tijd dat ze zelf
clue krijgen. Anders is het een extra reden de firewall dicht te zetten.
Overigens is shell access ook een goede reden nog eens te kijken naar
kernel hardening. Hoewel het natuurlijk dweilen met de kraan open
blijft.
Mensen mogen alleen websites plaatsen en dus geen services installeren.
En maar enkele hebben SSH toegang (IP-whitelist).

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Fred Mobach
2009-05-13 15:55:29 UTC
Permalink
Post by Paul van der Vlis
Ik overweeg ook het uitgaande verkeer van een webserver te gaan
filteren via een aparte firewall machine.[...]
Is dit idee goed?
Het lijkt me absoluut noodzakelijk. Voorbeeld : uitgaand tcp poort 25
naar de buitenwereld lijkt me helemaal niet nodig voor de meeste
webservers. En dat lukt anders prima met het CONNECT commando van een
client naar Apache.

Het hele idee dat al het uitgaand verkeer van clients of servers maar
moet worden toegestaan resulteert elke dag weer in een nauwelijks in te
dammen spamvloed.
--
Fred Mobach - ***@mobach.nl
website : http://fred.mobach.nl
.... In God we trust ....
.. The rest we monitor ..
Huub Reuver
2009-05-13 17:27:29 UTC
Permalink
Post by Fred Mobach
Post by Paul van der Vlis
Ik overweeg ook het uitgaande verkeer van een webserver te gaan
filteren via een aparte firewall machine.[...]
Is dit idee goed?
Het lijkt me absoluut noodzakelijk. Voorbeeld : uitgaand tcp poort 25
naar de buitenwereld lijkt me helemaal niet nodig voor de meeste
webservers. En dat lukt anders prima met het CONNECT commando van een
client naar Apache.
Het hele idee dat al het uitgaand verkeer van clients of servers maar
moet worden toegestaan resulteert elke dag weer in een nauwelijks in te
dammen spamvloed.
Misschien een domme opmerking, maar waarom moet een server uberhaupt
een verbinding maken naar internet? Voor een mailserver is hiervoor een
noodzaak. Bij het gebruik van UDP is hiervoor een noodzaak. Maar in de
regel hoeft een server alleen connecties te ontvangen.

Het ophalen van updates kan via enkele zorgvuldig geselecteerde en
in de firewall vastgelegde servers. En misschien dat je expliciet een
regeltje wilt toevoegen voor DNS en NTP, Veel meer connecties hoef je
niet van binnenuit te maken.

Strict genomen kun je verbindingen voor updates ook van buitenaf
initieren.

Met vriendelijke groet,
Huub Reuver
Paul van der Vlis
2009-05-13 19:09:30 UTC
Permalink
Post by Huub Reuver
Post by Fred Mobach
Post by Paul van der Vlis
Ik overweeg ook het uitgaande verkeer van een webserver te gaan
filteren via een aparte firewall machine.[...]
Is dit idee goed?
Het lijkt me absoluut noodzakelijk. Voorbeeld : uitgaand tcp poort 25
naar de buitenwereld lijkt me helemaal niet nodig voor de meeste
webservers. En dat lukt anders prima met het CONNECT commando van een
client naar Apache.
Het hele idee dat al het uitgaand verkeer van clients of servers maar
moet worden toegestaan resulteert elke dag weer in een nauwelijks in te
dammen spamvloed.
Misschien een domme opmerking, maar waarom moet een server uberhaupt
een verbinding maken naar internet? Voor een mailserver is hiervoor een
noodzaak. Bij het gebruik van UDP is hiervoor een noodzaak. Maar in de
regel hoeft een server alleen connecties te ontvangen.
En daar antwoord op geven, dat is uitgaand verkeer.
Post by Huub Reuver
Het ophalen van updates kan via enkele zorgvuldig geselecteerde en
in de firewall vastgelegde servers. En misschien dat je expliciet een
regeltje wilt toevoegen voor DNS en NTP, Veel meer connecties hoef je
niet van binnenuit te maken.
Precies, tenzij je mail wilt ondersteunen.
Post by Huub Reuver
Strict genomen kun je verbindingen voor updates ook van buitenaf
initieren.
Met vriendelijke groet,
Huub Reuver
Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Huub Reuver
2009-05-14 06:04:20 UTC
Permalink
Post by Paul van der Vlis
Post by Huub Reuver
Post by Fred Mobach
Post by Paul van der Vlis
Ik overweeg ook het uitgaande verkeer van een webserver te gaan
filteren via een aparte firewall machine.[...]
Is dit idee goed?
Het lijkt me absoluut noodzakelijk. Voorbeeld : uitgaand tcp poort 25
naar de buitenwereld lijkt me helemaal niet nodig voor de meeste
webservers. En dat lukt anders prima met het CONNECT commando van een
client naar Apache.
Het hele idee dat al het uitgaand verkeer van clients of servers maar
moet worden toegestaan resulteert elke dag weer in een nauwelijks in te
dammen spamvloed.
Misschien een domme opmerking, maar waarom moet een server uberhaupt
een verbinding maken naar internet? Voor een mailserver is hiervoor een
noodzaak. Bij het gebruik van UDP is hiervoor een noodzaak. Maar in de
regel hoeft een server alleen connecties te ontvangen.
En daar antwoord op geven, dat is uitgaand verkeer.
Niet gewoon uitgaand verkeer, maar "established and related".
Dit is je eerste firewall rule. Alles wat je alvast niet wil loggen
tenzij je een serieus verdacht hebt.
Post by Paul van der Vlis
Post by Huub Reuver
Het ophalen van updates kan via enkele zorgvuldig geselecteerde en
in de firewall vastgelegde servers. En misschien dat je expliciet een
regeltje wilt toevoegen voor DNS en NTP, Veel meer connecties hoef je
niet van binnenuit te maken.
Precies, tenzij je mail wilt ondersteunen.
Of VOIP, of andere services.
Post by Paul van der Vlis
Post by Huub Reuver
Strict genomen kun je verbindingen voor updates ook van buitenaf
initieren.
Met vriendelijke groet,
Huub Reuver
unknown
2009-05-13 17:42:38 UTC
Permalink
Post by Fred Mobach
Post by Paul van der Vlis
Ik overweeg ook het uitgaande verkeer van een webserver te gaan filteren
via een aparte firewall machine.[...]
Is dit idee goed?
Het lijkt me absoluut noodzakelijk. Voorbeeld : uitgaand tcp poort 25
naar de buitenwereld lijkt me helemaal niet nodig voor de meeste
webservers. En dat lukt anders prima met het CONNECT commando van een
client naar Apache.
Misschien dat je dan ook eens kunt kijken naar de configuratie van die
Apache.
--
robert
Paul van der Vlis
2009-05-13 19:06:56 UTC
Permalink
Post by Fred Mobach
Post by Paul van der Vlis
Ik overweeg ook het uitgaande verkeer van een webserver te gaan
filteren via een aparte firewall machine.[...]
Is dit idee goed?
Het lijkt me absoluut noodzakelijk. Voorbeeld : uitgaand tcp poort 25
naar de buitenwereld lijkt me helemaal niet nodig voor de meeste
webservers. En dat lukt anders prima met het CONNECT commando van een
client naar Apache.
Daar heb je het over een ander probleem. Deze server moet namelijk wel
mail kunnen verzenden, in elk geval bepaalde applicaties moeten dat
kunnen. Ik zit eraan te denken die applicaties maar op een andere
machine te gaan zetten, maar een echt goede oplossing vind ik dat ook niet.
Post by Fred Mobach
Het hele idee dat al het uitgaand verkeer van clients of servers maar
moet worden toegestaan resulteert elke dag weer in een nauwelijks in te
dammen spamvloed.
Ik realiseer het me.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
GH Snijders
2009-05-14 17:48:00 UTC
Permalink
[uitgaand verkeer filteren]
Post by Paul van der Vlis
Post by Fred Mobach
Het lijkt me absoluut noodzakelijk. Voorbeeld : uitgaand tcp poort 25
naar de buitenwereld lijkt me helemaal niet nodig voor de meeste
webservers. En dat lukt anders prima met het CONNECT commando van een
client naar Apache.
Daar heb je het over een ander probleem. Deze server moet namelijk wel
mail kunnen verzenden, in elk geval bepaalde applicaties moeten dat
kunnen. Ik zit eraan te denken die applicaties maar op een andere
machine te gaan zetten, maar een echt goede oplossing vind ik dat ook niet.
Op zich zit er wel wat in om het versturen van mail via een aparte
machine te doen; als die ook DNS doet, kun je je verkeer van de webserver
vrij gemakkelijk filteren.
Diezelfde aparte machine hoeft dan ook geen inkomende verbindingen vanaf
Internet toe te staan.


mvg,
Guus
Paul van der Vlis
2009-05-15 09:34:46 UTC
Permalink
Post by GH Snijders
[uitgaand verkeer filteren]
Post by Paul van der Vlis
Post by Fred Mobach
Het lijkt me absoluut noodzakelijk. Voorbeeld : uitgaand tcp poort 25
naar de buitenwereld lijkt me helemaal niet nodig voor de meeste
webservers. En dat lukt anders prima met het CONNECT commando van een
client naar Apache.
Daar heb je het over een ander probleem. Deze server moet namelijk wel
mail kunnen verzenden, in elk geval bepaalde applicaties moeten dat
kunnen. Ik zit eraan te denken die applicaties maar op een andere
machine te gaan zetten, maar een echt goede oplossing vind ik dat ook niet.
Op zich zit er wel wat in om het versturen van mail via een aparte
machine te doen; als die ook DNS doet, kun je je verkeer van de webserver
vrij gemakkelijk filteren.
Ik snap je logica niet helemaal.

Het filteren wordt inderdaad wat gemakkelijker, maar een hacker zou nog
steeds kunnen spammen, lijkt me, alleen loopt de mail nu via die aparte
machine.
Post by GH Snijders
Diezelfde aparte machine hoeft dan ook geen inkomende verbindingen vanaf
Internet toe te staan.
mvg,
Guus
Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
GH Snijders
2009-05-16 20:04:54 UTC
Permalink
Post by Paul van der Vlis
Post by GH Snijders
[uitgaand verkeer filteren]
[ webserver beperken tot alleen http(s)]
Post by Paul van der Vlis
Post by GH Snijders
Op zich zit er wel wat in om het versturen van mail via een aparte
machine te doen; als die ook DNS doet, kun je je verkeer van de
webserver vrij gemakkelijk filteren.
Ik snap je logica niet helemaal.
Ok, ik was idd wat kort door de bocht.
Mijn gedachtengang was een beetje als volgt;
Jij wilde het uitgaand verkeer (connecties) van je webserver beperken tot
noodzakelijke. Mijn idee was toen dat je DNS en SMTP op een aparte
machine of machines kunt draaien, verkeer voor die services kun je dan
beperken tot een of enkele adressen.
Post by Paul van der Vlis
Het filteren wordt inderdaad wat gemakkelijker, maar een hacker zou nog
steeds kunnen spammen, lijkt me, alleen loopt de mail nu via die aparte
machine.
Klopt, alleen heb je dan wel het voordeel dat je op die machine alsnog
kunt filteren (bijvoorbeeld spamassasing ofzo). Als de inbreker(s) die
filtering willen omzeilen of uitschakelen, moeten ze eerst die machine
ook overnemen.
Aangezien je op die machine de inkomende verbindingen kunt beperken tot
de hoogst noodzakelijke (geen SSH vanaf de webserver bijvoorbeeld), wordt
dat toch een stuk lastiger.

Het grote voordeel is dan dat je webserver weliswaar is overgenomen, maar
de schade blijft dan ook beperkt tot die ene server.


HTH.


mvg,
Guus

richard lucassen
2009-05-13 19:17:47 UTC
Permalink
On Tue, 12 May 2009 15:30:20 +0200
Post by Paul van der Vlis
Ik overweeg ook het uitgaande verkeer van een webserver te gaan
filteren via een aparte firewall machine. Daarom laat ik het verkeer
[..]
Post by Paul van der Vlis
Iemand tips?
Een openbare server hoort in een DMZ te staan. Als die bak wordt geroot
is het feest. In een DMZ krijg jij netjes een mail of sms als vreemde
activiteiten plaatsvinden op die machine. Bovendien kun je dan alles
regelen wat die machine mag.

Stel je simpelweg maar eens voor wat er gebeurt als die bak geroot
wordt. Als-ie niet in een DMZ hangt hebben ze vrij spel.

R.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Paul van der Vlis
2009-05-13 19:54:33 UTC
Permalink
Post by richard lucassen
On Tue, 12 May 2009 15:30:20 +0200
Post by Paul van der Vlis
Ik overweeg ook het uitgaande verkeer van een webserver te gaan
filteren via een aparte firewall machine. Daarom laat ik het verkeer
[..]
Post by Paul van der Vlis
Iemand tips?
Een openbare server hoort in een DMZ te staan. Als die bak wordt geroot
is het feest. In een DMZ krijg jij netjes een mail of sms als vreemde
activiteiten plaatsvinden op die machine.
Dat ligt maar aan de firewall...
Post by richard lucassen
Bovendien kun je dan alles regelen wat die machine mag.
Stel je simpelweg maar eens voor wat er gebeurt als die bak geroot
wordt. Als-ie niet in een DMZ hangt hebben ze vrij spel.
Hij hangt in een DMZ zoals je hebt kunnen lezen. Dus ook dan kunnen er
dingen mis gaan ;-) Hij is niet geroot maar een hacker heeft wel ongein
kunnen uithalen als user www-data.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
richard lucassen
2009-05-13 20:17:11 UTC
Permalink
On Wed, 13 May 2009 21:54:33 +0200
Post by Paul van der Vlis
Post by richard lucassen
Een openbare server hoort in een DMZ te staan. Als die bak wordt
geroot is het feest. In een DMZ krijg jij netjes een mail of sms als
vreemde activiteiten plaatsvinden op die machine.
Dat ligt maar aan de firewall...
Die firewall is een aparte machine. Als men binnenzit als root is je
zorgvuldig opgezette OUTPUT chain firewalletje met een "iptables -F
OUTPUT ; iptapbles -P OUTPUT ACCEPT" zo weg.
Post by Paul van der Vlis
Post by richard lucassen
Bovendien kun je dan alles regelen wat die machine mag.
Stel je simpelweg maar eens voor wat er gebeurt als die bak geroot
wordt. Als-ie niet in een DMZ hangt hebben ze vrij spel.
Hij hangt in een DMZ zoals je hebt kunnen lezen.
Nee, je overweegt het ;-)
Post by Paul van der Vlis
Dus ook dan kunnen er
dingen mis gaan ;-) Hij is niet geroot maar een hacker heeft wel
ongein kunnen uithalen als user www-data.
Ok, hij kan de hut defacen, ok, maar in een net opgezette DMZ geen mail
versturen, er een shell server op draaien, er een ping tunnel op zetten
of er een warez ftp van maken en een vaag IRC servertje op draaien
zonder dat jij het weet ;-)

En draait er trouwens SELinux op?

R.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Paul van der Vlis
2009-05-14 08:55:23 UTC
Permalink
Post by richard lucassen
On Wed, 13 May 2009 21:54:33 +0200
Post by Paul van der Vlis
Post by richard lucassen
Een openbare server hoort in een DMZ te staan. Als die bak wordt
geroot is het feest. In een DMZ krijg jij netjes een mail of sms als
vreemde activiteiten plaatsvinden op die machine.
Dat ligt maar aan de firewall...
Die firewall is een aparte machine. Als men binnenzit als root is je
zorgvuldig opgezette OUTPUT chain firewalletje met een "iptables -F
OUTPUT ; iptapbles -P OUTPUT ACCEPT" zo weg.
Post by Paul van der Vlis
Post by richard lucassen
Bovendien kun je dan alles regelen wat die machine mag.
Stel je simpelweg maar eens voor wat er gebeurt als die bak geroot
wordt. Als-ie niet in een DMZ hangt hebben ze vrij spel.
Hij hangt in een DMZ zoals je hebt kunnen lezen.
Nee, je overweegt het ;-)
Die is er echt al jaren.
Post by richard lucassen
Post by Paul van der Vlis
Dus ook dan kunnen er
dingen mis gaan ;-) Hij is niet geroot maar een hacker heeft wel
ongein kunnen uithalen als user www-data.
Ok, hij kan de hut defacen, ok, maar in een net opgezette DMZ geen mail
versturen, er een shell server op draaien, er een ping tunnel op zetten
of er een warez ftp van maken en een vaag IRC servertje op draaien
zonder dat jij het weet ;-)
En draait er trouwens SELinux op?
Nee, het is niet zo'n intelligente firewall als die jij maakt ;-)

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
richard lucassen
2009-05-14 11:03:49 UTC
Permalink
On Thu, 14 May 2009 10:55:23 +0200
Post by Paul van der Vlis
Post by richard lucassen
Nee, je overweegt het ;-)
Die is er echt al jaren.
"Ik overweeg ook het uitgaande verkeer van een webserver te gaan
filteren via een aparte firewall machine."

Dat lees ik toch echt in de OP ;-)
Post by Paul van der Vlis
Post by richard lucassen
En draait er trouwens SELinux op?
Nee, het is niet zo'n intelligente firewall als die jij maakt ;-)
Op die Apache machine bedoel ik....
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Paul van der Vlis
2009-05-14 13:01:36 UTC
Permalink
Post by richard lucassen
On Thu, 14 May 2009 10:55:23 +0200
Post by Paul van der Vlis
Post by richard lucassen
Nee, je overweegt het ;-)
Die is er echt al jaren.
"Ik overweeg ook het uitgaande verkeer van een webserver te gaan
filteren via een aparte firewall machine."
Nu wordt alleen het inkomende verkeer gefilterd door die aparte firewall
machine, forwarding van het uitgaand verkeer staat open.

Misschien inderdaad onduidelijk gesteld.
Post by richard lucassen
Dat lees ik toch echt in de OP ;-)
Post by Paul van der Vlis
Post by richard lucassen
En draait er trouwens SELinux op?
Nee, het is niet zo'n intelligente firewall als die jij maakt ;-)
Op die Apache machine bedoel ik....
Nee, ik doe niks met SElinux en weet ook niet echt goed wat ermee kan.

Ben wel nieuwsgierig of ik daarmee bijvoorbeeld het verzenden van mail
kan beperken tot bepaalde users.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
richard lucassen
2009-05-14 15:57:58 UTC
Permalink
On Thu, 14 May 2009 15:01:36 +0200
Post by Paul van der Vlis
Post by richard lucassen
"Ik overweeg ook het uitgaande verkeer van een webserver te gaan
filteren via een aparte firewall machine."
Nu wordt alleen het inkomende verkeer gefilterd door die aparte
firewall machine, forwarding van het uitgaand verkeer staat open.
Misschien inderdaad onduidelijk gesteld.
ok, maar dan is-ie al jaren niet goed geconfigd ;-)
Post by Paul van der Vlis
Post by richard lucassen
Op die Apache machine bedoel ik....
Nee, ik doe niks met SElinux en weet ook niet echt goed wat ermee kan.
Nou, dan ding harder maken en de user www-data helemaal dichtzetten met
wat die mag en niet mag.
Post by Paul van der Vlis
Ben wel nieuwsgierig of ik daarmee bijvoorbeeld het verzenden van mail
kan beperken tot bepaalde users.
Dan kan ongetwijfeld met Postfix. En, om een spamrun te vermijden, zet
een rule in je firewall die bijvoorbeeld maar 1 mail per minuut mag
versturen (met een burst van 10, zie "man iptables":

iptables -A FORWARD -m state --state NEW -s a.b.c.d -m limit \
--limit 1/minute --limit-burst 10 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -m state --state NEW -s a.b.c.d -p tcp \
--dport 25 -j LOG_REJECT

LOG_REJECT is een user defined chain met:

iptables -A LOG_REJECT -j ULOG
iptables -A LOG_REJECT -p tcp -j REJECT --reject-with tcp-reset
iptables -A LOG_REJECT -j REJECT

Moet er wel een smtp ding op die webserver draaien die een queue heeft
die netjes leegloopt (zoals Postfix of nullmailer)

Of, beter nog, je laat die webserver via een postfix versturen die
elders staat. Kun je ook nog eens eisen dat het From: adres altijd
***@domain.tld is.

Tegen die tijd heeft de spammer jouw bak alweer verlaten en is-ie op
zoek naar een server die lekker open aan het net hangt. Zoals die van
jou ;-)

R.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Paul van der Vlis
2009-05-15 07:46:26 UTC
Permalink
Post by richard lucassen
On Thu, 14 May 2009 15:01:36 +0200
Post by Paul van der Vlis
Post by richard lucassen
"Ik overweeg ook het uitgaande verkeer van een webserver te gaan
filteren via een aparte firewall machine."
Nu wordt alleen het inkomende verkeer gefilterd door die aparte
firewall machine, forwarding van het uitgaand verkeer staat open.
Misschien inderdaad onduidelijk gesteld.
ok, maar dan is-ie al jaren niet goed geconfigd ;-)
Post by Paul van der Vlis
Post by richard lucassen
Op die Apache machine bedoel ik....
Nee, ik doe niks met SElinux en weet ook niet echt goed wat ermee kan.
Nou, dan ding harder maken en de user www-data helemaal dichtzetten met
wat die mag en niet mag.
Post by Paul van der Vlis
Ben wel nieuwsgierig of ik daarmee bijvoorbeeld het verzenden van mail
kan beperken tot bepaalde users.
Dan kan ongetwijfeld met Postfix.
Nooit van gehoord, behalve dan als je het over SMTP authenticatie hebt,
wat veel applicaties niet ondersteunen.

Ik bedoel dus systeemusers iets toestaan of verbieden. Misschien kan
zoiets met selinux.
Post by richard lucassen
En, om een spamrun te vermijden, zet
een rule in je firewall die bijvoorbeeld maar 1 mail per minuut mag
iptables -A FORWARD -m state --state NEW -s a.b.c.d -m limit \
--limit 1/minute --limit-burst 10 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -m state --state NEW -s a.b.c.d -p tcp \
--dport 25 -j LOG_REJECT
iptables -A LOG_REJECT -j ULOG
iptables -A LOG_REJECT -p tcp -j REJECT --reject-with tcp-reset
iptables -A LOG_REJECT -j REJECT
Moet er wel een smtp ding op die webserver draaien die een queue heeft
die netjes leegloopt (zoals Postfix of nullmailer)
Lijkt me niet bruikbaar, omdat er soms veel mailtjes verstuurd worden
door een applicatie.
Post by richard lucassen
Of, beter nog, je laat die webserver via een postfix versturen die
elders staat. Kun je ook nog eens eisen dat het From: adres altijd
Ook dat brengt beperkingen die afgewogen moeten worden.
Post by richard lucassen
Tegen die tijd heeft de spammer jouw bak alweer verlaten en is-ie op
zoek naar een server die lekker open aan het net hangt. Zoals die van
jou ;-)
Pas "open" nadat je hebt kunnen inbreken, overigens.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
richard lucassen
2009-05-15 07:54:20 UTC
Permalink
On Fri, 15 May 2009 09:46:26 +0200
Post by Paul van der Vlis
Post by richard lucassen
Dan kan ongetwijfeld met Postfix.
Nooit van gehoord, behalve dan als je het over SMTP authenticatie
hebt, wat veel applicaties niet ondersteunen.
Postfix kun je de vremdste dingen laten uitvreten, dus een access list
met

***@domain.tld reject
***@domain.tld ok

Of iets in die richting.
Post by Paul van der Vlis
Ik bedoel dus systeemusers iets toestaan of verbieden. Misschien kan
zoiets met selinux.
Daar is het voor.
Post by Paul van der Vlis
Post by richard lucassen
En, om een spamrun te vermijden, zet
een rule in je firewall die bijvoorbeeld maar 1 mail per minuut mag
iptables -A FORWARD -m state --state NEW -s a.b.c.d -m limit \
--limit 1/minute --limit-burst 10 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -m state --state NEW -s a.b.c.d -p tcp \
--dport 25 -j LOG_REJECT
iptables -A LOG_REJECT -j ULOG
iptables -A LOG_REJECT -p tcp -j REJECT --reject-with tcp-reset
iptables -A LOG_REJECT -j REJECT
Moet er wel een smtp ding op die webserver draaien die een queue
heeft die netjes leegloopt (zoals Postfix of nullmailer)
Lijkt me niet bruikbaar, omdat er soms veel mailtjes verstuurd worden
door een applicatie.
--limit-burst 1000 dan?
Post by Paul van der Vlis
Post by richard lucassen
Of, beter nog, je laat die webserver via een postfix versturen die
elders staat. Kun je ook nog eens eisen dat het From: adres altijd
Ook dat brengt beperkingen die afgewogen moeten worden.
Post by richard lucassen
Tegen die tijd heeft de spammer jouw bak alweer verlaten en is-ie op
zoek naar een server die lekker open aan het net hangt. Zoals die
van jou ;-)
Pas "open" nadat je hebt kunnen inbreken, overigens.
kunnen inbreken == open

R.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Paul van der Vlis
2009-05-15 12:52:26 UTC
Permalink
Post by richard lucassen
On Fri, 15 May 2009 09:46:26 +0200
Post by Paul van der Vlis
Post by richard lucassen
Dan kan ongetwijfeld met Postfix.
Nooit van gehoord, behalve dan als je het over SMTP authenticatie
hebt, wat veel applicaties niet ondersteunen.
Postfix kun je de vremdste dingen laten uitvreten, dus een access list
met
Of iets in die richting.
Voor zover mij bekend kijkt Postfix alleen naar e-mail adressen en
hosts, en niet naar welke systeemuser iets doet.

Alhoewel, ik zie in de headers van een bericht wel het userid genoemd
worden. Jammer alleen dat ik dit userid niet in de logs terugvind.
Post by richard lucassen
Post by Paul van der Vlis
Ik bedoel dus systeemusers iets toestaan of verbieden. Misschien kan
zoiets met selinux.
Daar is het voor.
Dat is interessant. Nu nog een goede inleiding vinden.
Post by richard lucassen
Post by Paul van der Vlis
Post by richard lucassen
En, om een spamrun te vermijden, zet
een rule in je firewall die bijvoorbeeld maar 1 mail per minuut mag
iptables -A FORWARD -m state --state NEW -s a.b.c.d -m limit \
--limit 1/minute --limit-burst 10 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -m state --state NEW -s a.b.c.d -p tcp \
--dport 25 -j LOG_REJECT
iptables -A LOG_REJECT -j ULOG
iptables -A LOG_REJECT -p tcp -j REJECT --reject-with tcp-reset
iptables -A LOG_REJECT -j REJECT
Moet er wel een smtp ding op die webserver draaien die een queue
heeft die netjes leegloopt (zoals Postfix of nullmailer)
Lijkt me niet bruikbaar, omdat er soms veel mailtjes verstuurd worden
door een applicatie.
--limit-burst 1000 dan?
Met ruime marges valt er misschien wel wat te doen.
Post by richard lucassen
Post by Paul van der Vlis
Post by richard lucassen
Of, beter nog, je laat die webserver via een postfix versturen die
elders staat. Kun je ook nog eens eisen dat het From: adres altijd
Ook dat brengt beperkingen die afgewogen moeten worden.
Nee, hij geeft een From: van degene die iets verstuurd, dus bijvoorbeeld
***@domein.tld. En sommige mensen wijzigen hun afzender adres in
een adres waarin geen @domein.tld voorkomt. Denk aan leraren die een
bericht sturen aan al hun leerlingen van een bepaald vak.
Post by richard lucassen
Post by Paul van der Vlis
Post by richard lucassen
Tegen die tijd heeft de spammer jouw bak alweer verlaten en is-ie op
zoek naar een server die lekker open aan het net hangt. Zoals die
van jou ;-)
Pas "open" nadat je hebt kunnen inbreken, overigens.
kunnen inbreken == open
Nee, je hebt vast wel eens gehoord van "lagen".
Verder is het maar de vraag of hij nu nog eens kan inbreken.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Bas Janssen
2009-05-14 10:40:20 UTC
Permalink
Post by Paul van der Vlis
Post by richard lucassen
On Tue, 12 May 2009 15:30:20 +0200
Post by Paul van der Vlis
Ik overweeg ook het uitgaande verkeer van een webserver te gaan
filteren via een aparte firewall machine. Daarom laat ik het verkeer
[..]
Post by Paul van der Vlis
Iemand tips?
Een openbare server hoort in een DMZ te staan. Als die bak wordt geroot
is het feest. In een DMZ krijg jij netjes een mail of sms als vreemde
activiteiten plaatsvinden op die machine.
Dat ligt maar aan de firewall...
Post by richard lucassen
Bovendien kun je dan alles regelen wat die machine mag.
Stel je simpelweg maar eens voor wat er gebeurt als die bak geroot
wordt. Als-ie niet in een DMZ hangt hebben ze vrij spel.
Hij hangt in een DMZ zoals je hebt kunnen lezen. Dus ook dan kunnen er
dingen mis gaan ;-) Hij is niet geroot maar een hacker heeft wel ongein
kunnen uithalen als user www-data.
Goed leesvoer:

http://www.sans.org/reading_room/papers/32/1294.pdf
en
http://searchenterpriselinux.techtarget.com/searchOpenSource/Downloads/Hardening_Apache.pdf


-- Bas Janssen /. ***@dds.nl /. www.dds.nl /. PGP#0x22FA2C9F

Gates' Law: Every 18 months, the speed of software halves.
Loading...