Waarom mogen we geen webserver draaien?

[Goendi]

Hmm nevermind... Nu zie ik ze wel. Toch es cache bezien.

[The Conquer]

Mij gaat het vooral over onze vrijheid. Als ik betaal voor internet dan wil ik dat ook ten volle kunnen gebruiken. Als ik hiermee een server wil opzetten om een zeer groot fotoalbum te delen met vrienden en familie, dan vind ik dat ik daar recht op heb. Of dat nu veilig is of niet voor mijn pc maakt mij niet uit. Die dient toch enkel daarvoor.

Hiermee dus nogmaals de vraag naar Tele2: geef de interface van de router een andere poort, en maak poort 80 vrij voor degenen die dit vragen.

[D3bian]

Terzijde... Ik die die post van 'deej_1977' niet? Heb wel een mail gekregen van de reactie, maar krijg ze niet te zien als ik er op klik. Oorzaak?

Between chair and keyboard?

Nah, geen idee, was maar voor te lachen

[Goendi]

Mij gaat het vooral over onze vrijheid. Als ik betaal voor internet dan wil ik dat ook ten volle kunnen gebruiken. Als ik hiermee een server wil opzetten om een zeer groot fotoalbum te delen met vrienden en familie, dan vind ik dat ik daar recht op heb. Of dat nu veilig is of niet voor mijn pc maakt mij niet uit. Die dient toch enkel daarvoor.

En omdat poort 80 geblokkeerd wordt is dat niet mogelijk? Ik kan met gemak een deftige apache web applicatie opzetten die via mod_ssl, mod_mysql & mod_auth op een beveiligde niet-standaard poort via ge-encrypteerde gegevens een extranet ter beschikking stelt.

Bovendien beperkt Tele2 de vrijheid niet, het zorgt er gewoon voor dat applicaties waar de modale klant totaal geen kennis van weet ook niet onbewust gebruikt kunnen worden om iemand zijn bandbreedte op te souperen.

En tot slot... De vrijheid op het internet is nu net té groot. Over gans de wereld zijn er massa's slecht beveiligde web servers of gehackte pc's waar een web server op is gezet, die misbruikt worden om derden via oa ddos enorme financiele schade te berokkenen. Als je echt die discussie over vrijheid wilt voortzetten, be my guest. Kan u garanderen dat je geen poot hebt om op te staan. Ik vind dat ISP's best meer mogen blokkeren en nog pro-actiever optreden tegen enkele cybercowboys die onder het motto vrijheid een slecht beveiligde webserver opzetten om vervolgens niet te weten dat deze misbruikt wordt tegen derden.

[deej]

Terzijde... Ik die die post van 'deej_1977' niet? Heb wel een mail gekregen van de reactie, maar krijg ze niet te zien als ik er op klik. Oorzaak?

Je hebt me op je negeerlijst gezet zeker ?

[Goendi]

Hehe :) Stel u voor :)

Nee nee ;)

[The Conquer]

Tele2 speelt blijkbaar een smerig spelletje, ze geven toe dat er niks van in hun voorwaarden staat en toch blijven ze meer en meer poorten van mij blokkeren. Als iemand mij kan helpen hoe ik dit kan omzeilen, graag een PB.

Dank

[splinterbyte]

In het begin was port 80 (en andere) gewoon open.

Vanaf het moment dat het legendarische login/password (Administrator/Sudnilet!) bekend geraakte - en je gewoon op andermans "tele2box" op kon. Ja, zelfs vanaf buiten het tele2/versatel netwerk - denk ik dat ze dan beginnen te blocken zijn en nog een tijd later beginnen "patchen" zijn met nieuwere firmwares enzo...

Nu denk ik - omdat nog niet elke modem geupgrade is door het nogal blijkbaar slecht gemaakt upgradesysteem met nadelige/onveilige (WiFi-)gevolgen enz - dat ze deze (mischien voorlopig??) toe houden...

Maar jah, als je toch een httpd server wilt opzetten kun je dat op een andere poort en dan eventueel forwarden met dynamic dns forwarding fzo...

grtz

[Goendi]

Tele2 speelt blijkbaar een smerig spelletje, ze geven toe dat er niks van in hun voorwaarden staat en toch blijven ze meer en meer poorten van mij blokkeren. Als iemand mij kan helpen hoe ik dit kan omzeilen, graag een PB.

Vraag is of ze dat dan moeten? Je kunt surfen, gamen, chatten, streams bekijken, ... En dat is waar een internetverbinding in eerste instantie voor dient. Nog niet eens een klein percentage ligt er wakker van dat ze geen webserver kunnen draaien.

En terzijde, als je hier moet vragen hoe je het moet omzeilen... Wees dan aub zo snugger om het gewoon zo te laten. Je stelt je PC bloot aan talloze misbruiken, aangezien je vermoedelijk ook niet zult weten hoe je PC te beveiligen tegen inbraken. Je bespaart je de problemen die je ondervind als blijkt dat jou IP betrokken is bij illegale activiteiten, ook al ben je er zelf niet van op de hoogte. Want dat is namelijk wat er gebeurd met een slecht beveiligde webserver: ze wordt gehacked, en vervolgens misbruikt voor spam, illegale downloads, ddos, ...

[poekie68]

Al bij al wil elke provider vermijden dat het netwerk negatief wordt beïnvloed.

Elke serieuse provider beschouwt zijn klanten niet als potentieel gevaarlijk.

Ik heb de indruk dat men bij Tele2 weinig afweet van security. Bij het installeren van de nieuwe firmware op mijn router stond de firewall uit! En dan maar in de voorwaarden zetten dat de klant zelf verantwoordelijk is voor de beveiliging van zijn toestellen. Dat is wat al te gemakkelijk...

Volgens mij staan die poorten dicht om te voorkomen dat iemand van buiten het Tele2 netwerk aan de tele2 boxen kan. Is natuurlijk een gemakkelijkheidsoplossing.

[Goendi]

Elke serieuse provider beschouwt zijn klanten niet als potentieel gevaarlijk

Das pure zever. Loodgieters die thuis een webserver opzetten zijn per definitie een gevaar. No offence to loodgieters, ik wil enkel benadrukken dat dat niet iets is dat eender wie zomaar deftig kan. Als google zelfs al gehacked wordt, wat gaat de huisvrouw haar netwerk dan veilig kunnen maken?

Ik heb de indruk dat men bij Tele2 weinig afweet van security. Bij het installeren van de nieuwe firmware op mijn router stond de firewall uit! En dan maar in de voorwaarden zetten dat de klant zelf verantwoordelijk is voor de beveiliging van zijn toestellen. Dat is wat al te gemakkelijk...

Dat staat los van webservers, dat is gewoon een bug. Bij mij is die er al even uit blijkbaar (geen problemen meer gekend met de meest recente firmware upgrades). Ben er van overtuigd dat the_one bvb dat bij u ook wel kan fiksen.

Volgens mij staan die poorten dicht om te voorkomen dat iemand van buiten het Tele2 netwerk aan de tele2 boxen kan. Is natuurlijk een gemakkelijkheidsoplossing.

Gemakkelijk? Ik draai zelf twee firewalls. Een firewall houdt poorten dicht, en weigert connecties van bepaalde lokaties. Ik kan je zeggen dat dat niet de gemakkelijke oplossing is, dat is de logica zelve. Het is namelijk de beste manier om iets te beveiligen, omdat je nu eenmaal die bekende poorten niet noodzakelijk nodig hebt.

[poekie68]

Hallo, is er hier nog iemand die niet bij Tele2 werkt???

[Goendi]

Ja ik? Of dacht je dat het leuk is dat er enkelen zijn die denken dat ze een slecht beveiligde webserver moeten mogen runnen, om vervolgens ongewild derden te belasten met ddos en hackpogingen?

[karelg]

belachelijk dat sommigen het opzetten van een webserver gevaarlijk beschouwen en daarom verbieden. als je weet hoe je deze zo optimaal kunt beveiligen, dan heb je zeker het recht om dit te doen, en geen enkele provider moet zich daar mee moeien, ik betaal elke maand voor volledig vrij internetgebruik (behalve downloadlimiet dan) in al zn facetten
en wie niet weet hoe zn pc deftig te beveiligen voor de gevaren van het internet, moet maar tv kijken ipv te kakken op anderen wanneer ie door zn eigen domme schuld weer een virus op zn pc aangetrokken heeft

[D3bian]

karelg,

Gelieve wel op je taal te letten aub, het is niet omdat er enkele enkelingen zijn zoals wij die WEL weten hoe het moet dat de rest dommerikken zijn. Internet is er voor iedereen, en daarom word er ook meer beveiliging ingevoerd. Als jij je daarbij niet kan neerleggen, dat is je volste recht. Echter ik vind persoonlijk dat internetverbindingen voor thuisgebruik de mogelijkheid tot webserver niet moeten bevatten. Als ik dat wil, neem ik wel een business verbinding omdat je hierop gewoon alles hebt openstaan EN je er garanties op hebt.

Ik vind het schrijnend hoe mensen andere mensen uitmaken voor vanalles en nogwat omdat men verschilt. Ik vond je comment zeker ongepast.

Dit bovenste is een persoonlijke mening, en staat volledig los van mijn werkgever.

Mvg,

[Blue-Sky]

Als je provider dit niet toelaat (een server draaien) moet je deze persoonlijk daarover een vraag stellen. (heeft dus waarschijnlijk weinig zin, denk ik)

Of je neemt een hosting bedrijf welke dit tegen betaling wel toelaat, velen willen voor weinig geld heel veel service.

Erratum: The_One was me juist voor !

[320i]

ik ben het volledig eens met the one en Blue-Sky. Veel willen voor weinig geld... en sorry maar tv kijken omdat je geen beveiliging hebt? WTF? Ik durf eerlijkheidshalve zeggen dat ik geen enkele firewall, antivirus, antispam of wat dan ook draai en dit al jaren zonder enig probleem... Maar wat ik mij wel afvraag, is het echt nodig om te blijve "zeuren" over iets dat niet mag?

sorry hé, maar zo bekijk ik het... Is toch ook niet zo dat je 180 in bebouwde kom mag rijden en dan zeggen: zeg ik betaal wel verzekering en tax elk jaar hé!

[brooklyn]

Ik zie nie echt het nut in van een eigen webserver, geen upload snelheid en een datalimiet, je PC moet dag en nacht aanstaan.
Er zijn reeds zeer goedkope webhosting pakketen voor een paar euro
ga je over zee naar us hosting krijg je voor 5-6 euro een webspace van 50 giga en unlimited datatransfer, php,sql,ftp,subdomeinen etc.....

[Blue-Sky]

belachelijk dat sommigen het opzetten van een webserver gevaarlijk beschouwen en daarom verbieden.

Je kunt deze thread altijd eens doorlopen.

[Goendi]

Uhu. In Europa is het iets duurder, maar het kan evengoed. Maarja, het zal nooit goed genoeg zijn.

belachelijk dat sommigen het opzetten van een webserver gevaarlijk beschouwen en daarom verbieden. als je weet hoe je deze zo optimaal kunt beveiligen, dan heb je zeker het recht om dit te doen, en geen enkele provider moet zich daar mee moeien, ik betaal elke maand voor volledig vrij internetgebruik (behalve downloadlimiet dan) in al zn facetten

Overigens als ik dit stuk lees dan heb ik zo mijn bedenkingen. Spreken over 'recht van webservers' getuigd al van niet veel marktkennis, laat staan dat U weet wat beveiliging inhoudt. Het staat U vrij mij van het tegendeel te overtuigen. Zelf ben ik voorstander van meer 'gemoei' door ISP's, en overigens hebben ze groot gelijk: het is hun naam die bezoedeld is als ze om de haverklap klachten krijgen omdat hun klanten onbeveiligde gehackte webservers hebben. Zij komen dan nl op lijsten te staan die problemen geven bij het ontvangen/verzenden van emails naar derden enzovoort, NIET de klant.

[ubremoved_2964]

dit is louter een commerciele beslissing
lame als ze zelf SSH blocken

nu ja telenet doet dat ook dus ...

oplossing is een ISP die niks blocked
evonet, realdsl & edpnet enkele oorbeelden

[deej]

Uhu. In Europa is het iets duurder, maar het kan evengoed. Maarja, het zal nooit goed genoeg zijn.

Toch niet hoor, in Duitsland is het nog een pak goedkoper dan in de USA .

[crapiecorn]

Ik zie nie echt het nut in van een eigen webserver, geen upload snelheid en een datalimiet, je PC moet dag en nacht aanstaan.
Er zijn reeds zeer goedkope webhosting pakketen voor een paar euro
ga je over zee naar us hosting krijg je voor 5-6 euro een webspace van 50 giga en unlimited datatransfer, php,sql,ftp,subdomeinen etc.....

Op hoeveel van deze mag(kan) je je php.ini/httpd.conf aanpassen? / mysql shell toegang ipv phpmyadmin etc....

[meon]

Mja, als ge een VPS-package neemt kan dat normaal gezien wél, en die zijn tegenwoordig ook best betaalbaar.
In België:
http://www.combell.com/nl/resellers/lin ... osting.asp (da's trouwens niet zo uniek als zij daar doen uitschijnen)
Of in de VSA: http://www.dreamhost.com/hosting.html

[crapiecorn]

Voor een persoonlijke website is zo een VPS account toch wat zwaar. Zelf heb ik nie te klagen bij skynet maar ik snap wel waarom sommige mensen dit absurd vinden.

Als je vergelijkt

mijn config :
- kale linux base install
- alleen daemons die nodig zijn
- up2date paketten
- alleen poort 80 open via iptables
- ...

config van jan met de pet :
win 98, alle poorten open.

Ik denk zelfs dat een slecht beveiligde webserver veel minder risico loopt dan jan's config

[The Conquer]

Volledig mee akkoord.
Het is niet meer dan normaal dat ze voor Jan met de pet deze poorten blokkeren. Ik vraag alleen maar dat ze uitzonderingen maken voor diegenen die dit wensen.

[brooklyn]

Ik zie nie echt het nut in van een eigen webserver, geen upload snelheid en een datalimiet, je PC moet dag en nacht aanstaan.
Er zijn reeds zeer goedkope webhosting pakketen voor een paar euro
ga je over zee naar us hosting krijg je voor 5-6 euro een webspace van 50 giga en unlimited datatransfer, php,sql,ftp,subdomeinen etc.....

Op hoeveel van deze mag(kan) je je php.ini/httpd.conf aanpassen? / mysql shell toegang ipv phpmyadmin etc....

Host UNLIMITED Domains!!
Unlimited Pop/Imap Email Accounts
SSH Access (Secure Shell)
999 Gigs of Transfer
CGI, Ruby (RoR), Perl, PHP, MYSQL
SSL, FTP, Stats
Free Domain Forever
Free Site Builder
Free e-Commerce Shopping Cart/Scripts
Front Page Extensions
Subdomeinen 3 / 999
Geparkeerde Domeinen 0 / 999
Toegevoegde Domeinen 0 / 999
Mysql Database 3 / 100
Postgresql Databases 0 / 100
Disk gebruik 3940.19 Megabytes
SQL Disk gebruik 2.73 Megabytes
Disk ruimte over 46059.81 Megabytes
Dataverkeer gebruik (deze maand) 51556.29 Megabytes
Email gebruikers: 1 / 5000
Email Doorsturen 0
Automatische Beantwoorders 0
Mailing lijsten: 0 / 999
Email filters 0
FTP accounts 2 / 9999
99.9% Uptime Guarantee
om shell access toegang te krijgen voor u account, is het verplicht om dit te versturen via fax of post met een kopie van u rijbewijs, paspoort of identieteitskaart en dit te versturen naar klanten service.

4.95 dollar per maand per 2 jaarlijkse inschrijving
5.95 per jaarlijkse komt op 56 euro per jaar
( 12 TB data verkeer per jaar)

[crapiecorn]

Ik zie nie echt het nut in van een eigen webserver, geen upload snelheid en een datalimiet, je PC moet dag en nacht aanstaan.
Er zijn reeds zeer goedkope webhosting pakketen voor een paar euro
ga je over zee naar us hosting krijg je voor 5-6 euro een webspace van 50 giga en unlimited datatransfer, php,sql,ftp,subdomeinen etc.....

Op hoeveel van deze mag(kan) je je php.ini/httpd.conf aanpassen? / mysql shell toegang ipv phpmyadmin etc....

Host UNLIMITED Domains!!
Unlimited Pop/Imap Email Accounts
SSH Access (Secure Shell)
999 Gigs of Transfer
CGI, Ruby (RoR), Perl, PHP, MYSQL
SSL, FTP, Stats
Free Domain Forever
Free Site Builder
Free e-Commerce Shopping Cart/Scripts
Front Page Extensions
Subdomeinen 3 / 999
Geparkeerde Domeinen 0 / 999
Toegevoegde Domeinen 0 / 999
Mysql Database 3 / 100
Postgresql Databases 0 / 100
Disk gebruik 3940.19 Megabytes
SQL Disk gebruik 2.73 Megabytes
Disk ruimte over 46059.81 Megabytes
Dataverkeer gebruik (deze maand) 51556.29 Megabytes
Email gebruikers: 1 / 5000
Email Doorsturen 0
Automatische Beantwoorders 0
Mailing lijsten: 0 / 999
Email filters 0
FTP accounts 2 / 9999
99.9% Uptime Guarantee
om shell access toegang te krijgen voor u account, is het verplicht om dit te versturen via fax of post met een kopie van u rijbewijs, paspoort of identieteitskaart en dit te versturen naar klanten service.

4.95 dollar per maand per 2 jaarlijkse inschrijving
5.95 per jaarlijkse komt op 56 euro per jaar
( 12 TB data verkeer per jaar)

Lijkt me nog altijd shared hosting waar je met je pooten van die dingen moet afblijven.

[brooklyn]

dedicated server zul je niet krijgen voor die prijs

[deej]

dedicated server zul je niet krijgen voor die prijs

Je hebt natuurlijk ook geen 100Mbit upload naar het Internet en 1 TB transfer op je home ADSL lijntje.

[crapiecorn]

dedicated server zul je niet krijgen voor die prijs

Dat is juist mijn point, de meeste thuisservers zijn wel dedicated en daar doe je mee wat je wil.

dedicated server zul je niet krijgen voor die prijs

Je hebt natuurlijk ook geen 100Mbit upload naar het Internet en 1 TB transfer op je home ADSL lijntje.

Welke persoonlijke website (die je bijna alleen zelf bezoekt ) heeft dat nodig ? Als je zelf zoveel mogelijk wilt instellen en leren uit dat proces is het zelf opzetten van een kleine server toch the way to go en dan ben je niets met hosting packetten met een meerprijs of dedicated hosting met een nog grotere meerprijs.

[deej]

Welke persoonlijke website (die je bijna alleen zelf bezoekt ) heeft dat nodig ? Als je zelf zoveel mogelijk wilt instellen en leren uit dat proces is het zelf opzetten van een kleine server toch the way to go en dan ben je niets met hosting packetten met een meerprijs of dedicated hosting met een nog grotere meerprijs.

Daar heb je inderdaad een punt, was nog bezig met de prijs van de hosting.

[Goendi]

Tijd om nog eens te reageren :p

Voor een persoonlijke website is zo een VPS account toch wat zwaar. Zelf heb ik nie te klagen bij skynet maar ik snap wel waarom sommige mensen dit absurd vinden.

Dit is helemaal geen overdaad als je ...

Op hoeveel van deze mag(kan) je je php.ini/httpd.conf aanpassen? / mysql shell toegang ipv phpmyadmin etc....

DAT wil doen. Geen enkele webhost zal je even de httpd.conf laten aanpassen als je een shell huurt... php.ini zal eveneens geweigerd worden. Van verwachtingen gesproken... Tegenwoordig wil iedereen alles kunnen zonder dat ze in hun portemonnee moeten gaan tasten. Waarom? Omdat dit veiligheidsrisico's zijn. Een slechte configuratie maakt je namelijk heel kwetsbaar voor mysql injections of andere exploits. Waarom dan geen webserver @ home? Simpel:

config van jan met de pet :
win 98, alle poorten open.

Ik denk zelfs dat een slecht beveiligde webserver veel minder risico loopt dan jan's config

Ik had het dus NIET op jan met de pet (sorry maar deze stelling is ronduit belachelijk). Ik had het op dit:

mijn config :
- kale linux base install
- alleen daemons die nodig zijn
- up2date paketten
- alleen poort 80 open via iptables
- ...

En nu ben je veilig dacht je? Ik garandeer je dat als je je httpd.conf niet deftig hebt aangepast, je een standaard php.ini file gebruikt en de OS configuratie niet is gecorrigeerd, dat je server enorm kwetsbaar is. Linux mag dan betrouwbaarder zijn als windows, als jij je os opzet met de gedachte 'ik ben niet jan met de pet' en 'ff linux opzetten, dat volstaat wel', dan zit je verkeerd. Ook linux staat of valt met de gebruiker. Ik twijfel niet dat er velen zijn die het kunnen, maar ze zijn nog geen fractie van een percentage van diegenen die het NIET kunnen... En dan heb ik liever dat een ISP poorten dichtgooid zodat de buitenwereld geen last heeft van dergelijke laksheden, dan dat die laksheden misbruikt worden om mijn serverpark te bestoken met hopen udp/tcp paketten.

Mijn config:
- OS: FreeBSD
- bash scripts, read/write local rights in shell
- apache webserver met additionele perl scripts
- dubbele firewall op poort 80 (en NATUURLIJK staan alle andere poorten dicht op de public interface)
- standaard php.ini volledig aangepast (allow_globals etcetera OFF)
- continue controle via enkele zelf geschreven perl files op security risks in de sites

Wat is nu mijn punt? Wel...

Welke persoonlijke website (die je bijna alleen zelf bezoekt ) heeft dat nodig ? Als je zelf zoveel mogelijk wilt instellen en leren uit dat proces is het zelf opzetten van een kleine server toch the way to go en dan ben je niets met hosting packetten met een meerprijs of dedicated hosting met een nog grotere meerprijs.

Als DIT je reden is voor te klagen over poort 80... Waarom zet je hem dan niet op een lokaal IP op poort 80? Kun je evengoed mee leren instellen. Ik zet ook geen test server in mijn productiepark ze...

[crapiecorn]

En nu ben je veilig dacht je? Ik garandeer je dat als je je httpd.conf niet deftig hebt aangepast, je een standaard php.ini file gebruikt en de OS configuratie niet is gecorrigeerd,

Als je kijkt naar basic configs van een recente RHEL4/(centOS),debian. Dan ga je opmerken dat je verdacht weinig gaat moeten aanpassen. Mischien wat overbodige modules verwijderen maar daar blijft het dan ook bij. Ik weet dat je dan even goed op localhost kan testen maar daar gaat het hier niet echt om. Uiteindelijk is er niet veel aan voor apache op een hogere poort te draaien of pagina's laten serven via ssl etc... deze vormen dan een even groot risico op die poort als op poort 80. Dus zou je eigenlijk volgens jou theorie alle uitgaande poorten moeten sluiten

[devastator]

En nu ben je veilig dacht je? Ik garandeer je dat als je je httpd.conf niet deftig hebt aangepast, je een standaard php.ini file gebruikt en de OS configuratie niet is gecorrigeerd,

Als je kijkt naar basic configs van een recente RHEL4/(centOS),debian. Dan ga je opmerken dat je verdacht weinig gaat moeten aanpassen. Mischien wat overbodige modules verwijderen maar daar blijft het dan ook bij. Ik weet dat je dan even goed op localhost kan testen maar daar gaat het hier niet echt om. Uiteindelijk is er niet veel aan voor apache op een hogere poort te draaien of pagina's laten serven via ssl etc... deze vormen dan een even groot risico op die poort als op poort 80. Dus zou je eigenlijk volgens jou theorie alle uitgaande poorten moeten sluiten

Touché !

Lig toch niet te neuten over de gevaren van een 'open webserver'.
Iemand die msn heeft draaien, loopt veel meer kans op een zombie te
worden dan een doordeweekse webserver.

Dit zijn nu eenmaal de gevolgen van de Point-'n-Click generatie

[deej]

En nu ben je veilig dacht je? Ik garandeer je dat als je je httpd.conf niet deftig hebt aangepast, je een standaard php.ini file gebruikt en de OS configuratie niet is gecorrigeerd, dat je server enorm kwetsbaar is. Linux mag dan betrouwbaarder zijn als windows, als jij je os opzet met de gedachte 'ik ben niet jan met de pet' en 'ff linux opzetten, dat volstaat wel', dan zit je verkeerd. Ook linux staat of valt met de gebruiker. Ik twijfel niet dat er velen zijn die het kunnen, maar ze zijn nog geen fractie van een percentage van diegenen die het NIET kunnen... En dan heb ik liever dat een ISP poorten dichtgooid zodat de buitenwereld geen last heeft van dergelijke laksheden, dan dat die laksheden misbruikt worden om mijn serverpark te bestoken met hopen udp/tcp paketten.

Toch effe nuanceren.

1) Proportioneel gezien komt 90% van de echte spam (dus niet gebruikers die vinden dat een newsletter spam is) en 99% van de DoS attacks van geïnfecteerde zombies, PC's van Jan-met-de-pet. DoS aanvallen (als het echte floods zijn of syn-ack attacks) gebeuren trouwens op alle poorten, hoog / laag, maakt niet uit, zolang het de lijn of de servers maar vol trekt.

2) Out-of-the-box zijn zoals door anderen reeds vermeld de nieuwste Linux distro's pretty securely configured met niet teveel services geconfigureerd. Als je dus geen website daarop draait die je zelf heel crappy schrijft of echt idiote frivoliteiten uithaalt zal je doosje niet te snel gehackt kunnen worden.

Als je de verhouding gehackte webservers / geïnfecteerde PCs uittekent zit je op een verhouding enkele tienduizenden, enkele miljoenen. Vandaar dat het voor een ISP interessanter is poort 25 te blokkeren en iedereen te verplichten de mailrelay van de provider te gebruiken, dan poort 80 te blokkeren. Zo blokkeer je spammende zombies. DoS'ende zombies blokkeren is een taak van een heel ander kaliber.

[Goendi]

Touché !

Lig toch niet te neuten over de gevaren van een 'open webserver'.
Iemand die msn heeft draaien, loopt veel meer kans op een zombie te
worden dan een doordeweekse webserver.

Dit zijn nu eenmaal de gevolgen van de Point-'n-Click generatie

Niks touché... hoeveel hacked webservers wil je? Ik kan je op 123 enkele duizenden IP's bezorgen. Je mag ze allemaal nazien! En guess what... Die draaien vaak apache, en niet met een standaard config. Of dacht je dat een open webserver impliceert dat je een standaard webserver applicatie runt?

1) Proportioneel gezien komt 90% van de echte spam (dus niet gebruikers die vinden dat een newsletter spam is) en 99% van de DoS attacks van geïnfecteerde zombies, PC's van Jan-met-de-pet. DoS aanvallen (als het echte floods zijn of syn-ack attacks) gebeuren trouwens op alle poorten, hoog / laag, maakt niet uit, zolang het de lijn of de servers maar vol trekt.

Hoe een DoS gebeurd weet ik zo naderhand al... Ik doelde op de lokaties waar die dos vandaan komt. En ja raad eens, dat zijn ds vaak onbeveiligde of slecht beveiligde webservers die gehacked werden en vervolgens via enkele scriptjes simultaan paketjes gaan sturen op één target (bvb).

2) Out-of-the-box zijn zoals door anderen reeds vermeld de nieuwste Linux distro's pretty securely configured met niet teveel services geconfigureerd. Als je dus geen website daarop draait die je zelf heel crappy schrijft of echt idiote frivoliteiten uithaalt zal je doosje niet te snel gehackt kunnen worden.

Tuurlijk... Dat betwist ik ook niet. En mensen die er dagdagelijks mee bezig zijn weten zo'n dingen, en beschikken over de nodige expertise om die achterpoortjes die er nog bestaan dicht te smijten. Maar het is niet omdat je linux op een servertje gooit, dat je daarom ineens bekwaam bent om er mee te werken...

Als je de verhouding gehackte webservers / geïnfecteerde PCs uittekent zit je op een verhouding enkele tienduizenden, enkele miljoenen. Vandaar dat het voor een ISP interessanter is poort 25 te blokkeren en iedereen te verplichten de mailrelay van de provider te gebruiken, dan poort 80 te blokkeren. Zo blokkeer je spammende zombies. DoS'ende zombies blokkeren is een taak van een heel ander kaliber.

Ook correct. Dit zal effectief spam grotendeels tegenhouden vanop je eigen netwerk. Het verhinderd echter niet dat iemand via poort 80 op je pc een eigen MTA installeert op een andere poort dan de standaard en alsnog spam gaat versturen... Of dacht je dat die spam proggies mail gaan versturen via poort 25? :)

Duo: ik zeg niet dat het blocken van poort 80 dos tegenhoud. Ik zeg dat het blocken van poort 80 verhinderd dat een slecht geconfigureerde webserver gebruikt wordt om attacks te versturen. Zo zijn er effectief al ettelijke voorbeelden overigens.

Als je kijkt naar basic configs van een recente RHEL4/(centOS),debian. Dan ga je opmerken dat je verdacht weinig gaat moeten aanpassen. Mischien wat overbodige modules verwijderen maar daar blijft het dan ook bij. Ik weet dat je dan even goed op localhost kan testen maar daar gaat het hier niet echt om. Uiteindelijk is er niet veel aan voor apache op een hogere poort te draaien of pagina's laten serven via ssl etc... deze vormen dan een even groot risico op die poort als op poort 80. Dus zou je eigenlijk volgens jou theorie alle uitgaande poorten moeten sluiten

Neen, in mijn theorie verhindert dit dat die newbies die klagen over poort 80 en dat ze geen webserver mogen draaien, een standaard webserver op poort 80 gooien zonder de configuratie er van aan te passen. Lijkt me ook aardig te lukken, scroll even terug: je vind direct iemand die vraagt hoe hij dan een webserver op een andere poort moet zetten. Bijgevolg is hij wel verplicht zich er op toe te leggen, wat toch altijd een betere zaak zal zijn dan even een webserver opzetten waarvan je enkel weet dat die webpagina's toegankelijk maakt... Get the point?

[deej]

Hoe een DoS gebeurd weet ik zo naderhand al... Ik doelde op de lokaties waar die dos vandaan komt. En ja raad eens, dat zijn ds vaak onbeveiligde of slecht beveiligde webservers die gehacked werden en vervolgens via enkele scriptjes simultaan paketjes gaan sturen op één target (bvb).

Da's echt maar een kleine script kiddie DoS hoor.

Wil je een echte >Gbit DoS zien, dan moet je naar de zombie netwerken kijken. We hebben al enkele klanten in de hosting moeten depanneren die zwaar aangevallen werden en als je dan in de logs duikt dan zie allemaal ip adressen die met reverse DNS terugleiden tot PCs op een ADSL/Kabel verbinding. De ergste die ik gezien heb was eentje met meer dan 30 000 pc's, en da's dan och god maar tegen een onbekende Belgische klant. Ik ken de mannen die eBay mee beveiligen tegen DoS attacks, dat is het echte werk, daar spreek je van 100 000'en PCs.

Dus een webservertje draaien op een ADSL verbinding is naar mijn mening nog altijd veel minder gevaarlijk dan een ongepatchde Windows vol spyware. En laat het nu net die laatsten zijn die de meerderheid van de shit veroorzaken.

[Goendi]

Dan spreek je al van grote schaal... Maar hoe ontstaan die zombie pc's dacht je? :)

[deej]

Dan spreek je al van grote schaal... Maar hoe ontstaan die zombie pc's dacht je?

Niet door slecht geconfigureerde webservers .