Waarom mogen we geen webserver draaien?

Goendi
Elite Poster
Elite Poster
Berichten: 1621
Lid geworden op: 30 mei 2006, 13:20
Twitter: goendi
Locatie: Antwerpen
Bedankt: 2 keer
Contacteer:

Daar doelde ik niet op deze keer ;) Ik denk dat in het algemeen elke PC die misruikt kan worden voor dergelijke dingen, er een te veel is, en dat als dat vermeden kan worden voor een pc, dat er toch al een minder is ;) En dat vind ik een goeie zaak...
Gebruikersavatar
deej
Elite Poster
Elite Poster
Berichten: 3322
Lid geworden op: 09 dec 2002, 21:14
Locatie: Een boerengat nu met VDSL2!
Uitgedeelde bedankjes: 19 keer
Bedankt: 4 keer

Goendi schreef:Daar doelde ik niet op deze keer ;) Ik denk dat in het algemeen elke PC die misruikt kan worden voor dergelijke dingen, er een te veel is, en dat als dat vermeden kan worden voor een pc, dat er toch al een minder is ;) En dat vind ik een goeie zaak...


Agree. De zwakste schakel in heel het gebeuren is nog altijd het manneke erachter dus qua sensibilisering is er ook nog een hele weg af te leggen. Plus illegale Windows updaten zich alsmaar moeilijker ;-).
Gebruikersavatar
D3bian
Elite Poster
Elite Poster
Berichten: 1256
Lid geworden op: 29 jun 2006, 10:43
Locatie: Zemst
Uitgedeelde bedankjes: 95 keer
Bedankt: 25 keer

Deej_1977 schreef:
Goendi schreef:Daar doelde ik niet op deze keer ;) Ik denk dat in het algemeen elke PC die misruikt kan worden voor dergelijke dingen, er een te veel is, en dat als dat vermeden kan worden voor een pc, dat er toch al een minder is ;) En dat vind ik een goeie zaak...


Agree. De zwakste schakel in heel het gebeuren is nog altijd het manneke erachter dus qua sensibilisering is er ook nog een hele weg af te leggen. Plus illegale Windows updaten zich alsmaar moeilijker ;-).


Tsssssssk, illegale Windows? Tsssssk tsssssk. Wie heeft er nu een illegale Windows? :P
Afbeelding
Goendi
Elite Poster
Elite Poster
Berichten: 1621
Lid geworden op: 30 mei 2006, 13:20
Twitter: goendi
Locatie: Antwerpen
Bedankt: 2 keer
Contacteer:

Edit: wie wil er windows?
crapiecorn
Elite Poster
Elite Poster
Berichten: 2149
Lid geworden op: 01 feb 2003, 11:58
Uitgedeelde bedankjes: 44 keer
Bedankt: 12 keer

95% van alle pc gebruikers ?
Goendi
Elite Poster
Elite Poster
Berichten: 1621
Lid geworden op: 30 mei 2006, 13:20
Twitter: goendi
Locatie: Antwerpen
Bedankt: 2 keer
Contacteer:

Neen, die gebruiken dat bij gebrek aan alternatieven :P
The Conquer
Plus Member
Plus Member
Berichten: 198
Lid geworden op: 10 jan 2006, 13:25
Locatie: Roeselare
Contacteer:

Nu is er al zoveel gezegd over de veiligheid van een server of het al dan niet openzetten van poorten, maar hoe zit het dan met Extern Bureaublad, MSN, Skype en dergelijke? Die zetten toch ook poorten open? Of het nu poort 3306 of poort 80 is, blijft het dan niet even gevaarlijk?
Goendi
Elite Poster
Elite Poster
Berichten: 1621
Lid geworden op: 30 mei 2006, 13:20
Twitter: goendi
Locatie: Antwerpen
Bedankt: 2 keer
Contacteer:

Nu is er al zoveel gezegd over de veiligheid van een server of het al dan niet openzetten van poorten, maar hoe zit het dan met Extern Bureaublad, MSN, Skype en dergelijke? Die zetten toch ook poorten open? Of het nu poort 3306 of poort 80 is, blijft het dan niet even gevaarlijk?


Die poorten zijn minder exploitable... Via een webserver kun je in de binaries en directory's geraken als die slecht beveiligd is, dat is een pak moeilijker met dingen als skype en msn. Het is wel effectief niet onmogelijk, maar de kans is gewoon veel kleiner.
Gebruikersavatar
deej
Elite Poster
Elite Poster
Berichten: 3322
Lid geworden op: 09 dec 2002, 21:14
Locatie: Een boerengat nu met VDSL2!
Uitgedeelde bedankjes: 19 keer
Bedankt: 4 keer

Goendi schreef:Die poorten zijn minder exploitable... Via een webserver kun je in de binaries en directory's geraken als die slecht beveiligd is, dat is een pak moeilijker met dingen als skype en msn. Het is wel effectief niet onmogelijk, maar de kans is gewoon veel kleiner.


*kuch hoest kuch* net verslikt in mijn ochtendkoffie. Shell access kan je krijgen op eender welk Windows station met een vulnerability op gelijk welke poort. Erger nog, bij Windows geraak je zonder veel poeha rechtstreeks in kernel mode met een goed gemikte buffer overflow.

Jouw "slecht beveiligde webserver" moet dus 1) een site bevatten die een gat bevat die toelaat shell code uit te voeren (wat in een standaard Apache + PHP5 al zeer moeilijk is), 2) met root priviliges draaien (wat Apache by default al niet doet.

De kans dat een gewoon Windows station gehackt wordt op ééndere welke app / poort en dat je er volledige shell access op krijgt (en dus vanalles kan op installeren of mee doen) is vele malen groter dan dat je het op een webserver kan doen.
Goendi
Elite Poster
Elite Poster
Berichten: 1621
Lid geworden op: 30 mei 2006, 13:20
Twitter: goendi
Locatie: Antwerpen
Bedankt: 2 keer
Contacteer:

Ik spreek ten allen tijde van unix based OS :)

Even verslikt in de 'ok' button. Here goes the rest:

*kuch hoest kuch* net verslikt in mijn ochtendkoffie. Shell access kan je krijgen op eender welk Windows station met een vulnerability op gelijk welke poort. Erger nog, bij Windows geraak je zonder veel poeha rechtstreeks in kernel mode met een goed gemikte buffer overflow.

Jouw "slecht beveiligde webserver" moet dus 1) een site bevatten die een gat bevat die toelaat shell code uit te voeren (wat in een standaard Apache + PHP5 al zeer moeilijk is), 2) met root priviliges draaien (wat Apache by default al niet doet.

De kans dat een gewoon Windows station gehackt wordt op ééndere welke app / poort en dat je er volledige shell access op krijgt (en dus vanalles kan op installeren of mee doen) is vele malen groter dan dat je het op een webserver kan doen.


Even inpikken dus... Over Windows ga ik me hier niet uitspreken, ik denk dat dat voldoende bekend is hoe je daar de gaten aanpakt... Echter ga ik totaal niet akkoord met je kansberekening. Ik sprak dacht ik ook nergens van volledige shell access of user priveleges, maar van het gebruik maken van bepaalde misconfiguraties in die rechten om toegang tot lokaties van derden op de server te krijgen waarna je met gemak aanpassingen kan doen aan andere lokaties op de server. Als je spreekt over de kansen op volledige shell access, of user priveleges, dan is het uieraard simpeler op een windows station dan een webserver.

Wat betreft die webserver... Dit: "wat in een standaard Apache + PHP5 al zeer moeilijk is" is verre van moeilijk: een slecht opgebouwde website en je bent binnen. Standaard staan in de .ini van php5 bepaalde variabalen aan die het mogelijk maken via een exploit in één site andere veilige sites alsnog te misbruiken. Een standaard configuratie kan er dus toe leiden dat één slecht beveiligde website de mogelijkheid biedt aan een indringer om gevoelige goed beveiligde code op andere sites aan te wenden en zo alsnog de command line triggered via de daartoe voorziene commando's in php. Ik nodig je uit om het met mij eens te testen :) Ik wil gerust een standaard configuratie op een testdoos opzetten om mijn punt kracht bij te zetten...
Laatst gewijzigd door Goendi 01 nov 2006, 11:58, in totaal 1 gewijzigd.
Gebruikersavatar
deej
Elite Poster
Elite Poster
Berichten: 3322
Lid geworden op: 09 dec 2002, 21:14
Locatie: Een boerengat nu met VDSL2!
Uitgedeelde bedankjes: 19 keer
Bedankt: 4 keer

Goendi schreef:Ik spreek ten allen tijde van unix based OS :)


Welke *nix draait MSN & Skype ;)?

Trouwens, voor de geïnteresseerden, dit is een goed verhaal over Blue Security en hun avonturen met DDoS (was al langer bekend maar nu opgepikt door Wired Magazine).
Goendi
Elite Poster
Elite Poster
Berichten: 1621
Lid geworden op: 30 mei 2006, 13:20
Twitter: goendi
Locatie: Antwerpen
Bedankt: 2 keer
Contacteer:

Welke *nix draait MSN & Skype ?


Ik had me dus ook verslikt :P Ik gebruik kwasi enkel unix systemen, en refereer dan naar gelijkaardige toepassingen voor dat platform :)

FF dat artikel lezen...
Gebruikersavatar
D3bian
Elite Poster
Elite Poster
Berichten: 1256
Lid geworden op: 29 jun 2006, 10:43
Locatie: Zemst
Uitgedeelde bedankjes: 95 keer
Bedankt: 25 keer

Deej_1977 schreef:
Goendi schreef:Ik spreek ten allen tijde van unix based OS :)


Welke *nix draait MSN & Skype ;)?

Trouwens, voor de geïnteresseerden, dit is een goed verhaal over Blue Security en hun avonturen met DDoS (was al langer bekend maar nu opgepikt door Wired Magazine).


Uhm, ik heb op mijn FC4 MSN en Skype draaien hoor. MSN via Trillian variant voor Nix.
Afbeelding
Gebruikersavatar
deej
Elite Poster
Elite Poster
Berichten: 3322
Lid geworden op: 09 dec 2002, 21:14
Locatie: Een boerengat nu met VDSL2!
Uitgedeelde bedankjes: 19 keer
Bedankt: 4 keer

The_One schreef:MSN via Trillian variant voor Nix.


Da's geen echte MSN hé 8). Ik bedoelde de Microsoft versies die kwetsbaar zijn voor MSN wormen e.d.
Gebruikersavatar
Torpens
Member
Member
Berichten: 74
Lid geworden op: 03 jan 2006, 08:39

Is er reeds meer informatie ivm het draaien van een webserver voor persoonlijke doeleinden?

Poort 80 is zoals voorheen nog steeds toe en ik verwacht niet dat ze deze zullen open zetten aangezien ze deze gebruiken om op de Speedtouch 706 inteloggen.

Ik heb de indruk dat onlangs poort 443 ook dicht getimmerd werd.

Kan iemand dit bevestigen?
Gebruikersavatar
filipi
Pro Member
Pro Member
Berichten: 306
Lid geworden op: 16 okt 2005, 08:06
Uitgedeelde bedankjes: 2 keer
Bedankt: 4 keer

Torpens schreef:


Hey gifdiefje :wink:
Goendi
Elite Poster
Elite Poster
Berichten: 1621
Lid geworden op: 30 mei 2006, 13:20
Twitter: goendi
Locatie: Antwerpen
Bedankt: 2 keer
Contacteer:

Niets belet je een poort boven 1024 bvb te gebruiken?
Jelle
Member
Member
Berichten: 63
Lid geworden op: 20 jan 2007, 13:58

Goendi schreef:Niets belet je een poort boven 1024 bvb te gebruiken?
Scholen en/of bedrijven die enkel bepaalde poorten (21, 80, ...) openlaten beletten je deze poorten te gebruiken.
Poedelbrein
Plus Member
Plus Member
Berichten: 109
Lid geworden op: 22 feb 2007, 18:46

Waarom zou je als niet-systeem beheerder een website op het netwerk van een school/bedrijf willen draaien? :?
Mr.T
Elite Poster
Elite Poster
Berichten: 835
Lid geworden op: 05 aug 2006, 18:36
Bedankt: 13 keer

My guess ... Jelle is een student en zou graag vanop school aan zijn webserver aankunnen
Poedelbrein
Plus Member
Plus Member
Berichten: 109
Lid geworden op: 22 feb 2007, 18:46

Ha ja, was't van de verkeerde kant aan't bezien. Als Tele2 de poorten blokkeert, kan het niet op school zijn, want wie, behalve systeem-beheerders (en zelfs dan) weet welke ISP de school heeft? Mijn fout, sorry.
crapiecorn
Elite Poster
Elite Poster
Berichten: 2149
Lid geworden op: 01 feb 2003, 11:58
Uitgedeelde bedankjes: 44 keer
Bedankt: 12 keer

Poedelbrein schreef:Ha ja, was't van de verkeerde kant aan't bezien. Als Tele2 de poorten blokkeert, kan het niet op school zijn, want wie, behalve systeem-beheerders (en zelfs dan) weet welke ISP de school heeft? Mijn fout, sorry.


Iedereen die surftt op dat netwerk kan toch perfect provider afleiden. Als was het maar door een ub speedtest te doen.
Gebruikersavatar
Torpens
Member
Member
Berichten: 74
Lid geworden op: 03 jan 2006, 08:39

Goendi schreef:Niets belet je een poort boven 1024 bvb te gebruiken?

Inderdaad, maar ik wil geen kat en muis spelletje spelen om die poort steeds te veranderen aangezien
er in de algemene voorwaarden geen beperking bestaat, maar toch worden de poorten gesloten.
Graag had ik duidelijkheid ...
poekie68 schreef:
Zielig in geen geval, je bent geacht de algemene voorwaarden gelezen te hebben en hierin staat duidelijk vermeld dat servers draaien op de aangeboden producten Always ADSL, Free ADSL, Tele2AllIn niet toegelaten is.

Voor zover ik kan lezen, staat dit NIET in de algemene voorwaarden.

The Conquer schreef:'k Heb voor de zekerhied maar snel de voorwaarden gedownload voordat ze deze wijzigen (zou niet de eerste keer zijn)
In bijlage dus de voorwaarden. Voor het gemak heb ik het woordje server gemarkeerd. Komt er toch maar twee keer in voor.
http://www.userbase.be/forum/download.php?id=2004

The_One schreef:Hello,
Blijkt inderdaad te kloppen, heb mij nog gebaseerd op de vroegere algemene voorwaarden, mijn excuses hiervoor.

Ik ga er zelf niet meer op ingaan om te vermijden dat ik dingen ga zeggen die niet kloppen (ben geen legal specialist en zal me dus ook niet op dat pad begeven).

Ik zou zeggen, schrijf een briefje tav de verantwoordelijke van de klantendienst met deze opmerking. Ikzelf zal de opmerking hier gemaakt zeker ook overmaken aan mijn verantwoordelijke.

Nogmaals mijn excuses voor de foutieve informatie.
Mvg,
z0rk
Starter
Starter
Berichten: 2
Lid geworden op: 26 maa 2007, 16:17

Ik ben zelf ook al een tijdje bezig met het configureren van een webserver en dergelijken, en in het begin wil je dat zo rap mogelijk online zien. Daarom dat ISP's dit ook graag blocken, om (zoals The One en anderen al vaak genoeg aangehaald hebben) de ISP te beschermen tegen mensen die zonder veel achtergrondkennis een server willen draaien. Als dit fout afloopt (zware DoS attack, webserver wordt gebruikt door derden als spammer, noem maar op...) komt dit meestal op de kap van de ISP terecht, terwijl de klant in het ergste geval de rest van de maand op smallband staat (en daar waarschijnlijk dan nog over gaat klagen bij de ISP). Leer eerst eens locaal een webservertje draaien, wees leergierig, niet alleen op gebied van de services die je draait (zoals apache, php, mysql enzovoort) maar vooral op gebied van veiligheid, en je gaat merken dat het allemaal nog niet zo evident is. Linux/Unix/BSD zijn prachtige OS's, en worden bestempeld als de veiligere, maar om 99% veilig te zijn vergen ze nog heeeeeeeel wat configuratie. Naargelang je alles wat onder de knie hebt, ga je ook merken dat het blokkeren van poort 80 door je ISP, geen beperking meer zou mogen bieden om een webserver up and running te krijgen. Dus naar mijn mening zijn de meeste klagers hierover, vooral mensen die gewoon nog niet klaar zijn om een webserver deftig te doen draaien. Apache installeren kan iedereen mits een goeie handleiding...

Over andere poorten (zoals 22 en 23 bijvoorbeeld) kan je natuurlijk wel gaan klagen dat ze toe steken, maar langs de andere kant, als je dan toch per sé van thuis uit een server wil draaien (om whatever welke reden) dan wil dit ook zeggen dat deze pc ook effectief bij je thuis staat. Wat is dan het probleem om dan via je interne netwerk over deze poorten je nodige dingen te doen??? Mij ga je niet vertellen dat je op school of op het werk (of waar je ook zit) ineens levensbelangrijke dingen aan je server moet gaan wijzigen dat niet kan wachten tot je thuis bent! En anders ben je verkeerd bezig imo...

Ach ja, deze topic zal een eindeloze discussie blijven zeker? :p
z0rk
Starter
Starter
Berichten: 2
Lid geworden op: 26 maa 2007, 16:17

Voor diegenen die een voorbeeldje willen zien: http://planetzork.homelinux.com:8080
Je kan je webserver laten draaien over poort 8080, bij mij loopt dan de ftp over 8081, enkel voor ssh heb ik nog geen oplossing gevonden om dit naar een andere poort te forwarden. Alles is dus zeker mogelijk, en eigenlijk zeer simpel te omzeilen.
En als je Tele2 of Telenet klant bent, krijg je een dynamisch IP-adres. Via www.dyndns.org kan je dan een url gebruiken ipv je ip, het enige nadeel aan poort 8080 gebruiken, is dat je dat natuurlijk altijd nog achter je url moet bijzetten...
Gebruikersavatar
Torpens
Member
Member
Berichten: 74
Lid geworden op: 03 jan 2006, 08:39

z0rk schreef: het enige nadeel aan poort 8080 gebruiken, is dat je dat natuurlijk altijd nog achter je url moet bijzetten...

En dat is dan weer optelossen via cloaking bij zoneedit.

Maar dat is helemaal niet waar ik het over had. Ik wou
een duidelijk standpunt van Tele2. Worden poorten afgesloten indien er een service op draait of worden de poorten die momenteel gesloten zijn niet meer uitgebreid en dus het draaien van een persoonlijke server toegelaten. Ik wil gewoon geen kat en muis spel. Gewoon duidelijkheid.


Ik denk dat we mogen aangezien er speciaal een user tele2 werd aangemaakt om dit in je modem te beheren.
320i schreef:via internetexplorer ga je naar http://speedtouch.lan en dan kan je inloggen met username tele2 en wachtwoord tele2.
Daar ga je dan in een interface komen waar je poorten kan open zetten etc.


Mvg
master-magic
Pro Member
Pro Member
Berichten: 323
Lid geworden op: 03 dec 2005, 12:44
Uitgedeelde bedankjes: 15 keer
Bedankt: 13 keer
Contacteer:

kan ik nog een poort openzetten of niet en hoe doe ik dat in die speedtouch 706 modem/router want ken die niet al te goed,
zitten veel dingen weggestoken ;-)
Jelle
Member
Member
Berichten: 63
Lid geworden op: 20 jan 2007, 13:58

Je kan gerust poorten openzetten, behalve poort 80.

Openzetten kan via de webinterface van de speedtouch bij Toolbox / Game & Application Sharing.
320i
Elite Poster
Elite Poster
Berichten: 760
Lid geworden op: 23 aug 2006, 10:35

kan zeker nog altijd

IE openen: speedtouch.lan in adres bar, tele2 + tele2 als login, toolbox, assign ...

zoals ook aangegeven door Jelle :-)
The Conquer
Plus Member
Plus Member
Berichten: 198
Lid geworden op: 10 jan 2006, 13:25
Locatie: Roeselare
Contacteer:

Dan wel IE6 of Firefox gebruiken. In IE7 werkt de login niet...
Afbeelding Afbeelding Afbeelding Afbeelding Afbeelding
Gebruikersavatar
KaiZas
Pro Member
Pro Member
Berichten: 305
Lid geworden op: 23 maa 2004, 10:17
Uitgedeelde bedankjes: 3 keer
Bedankt: 2 keer

Wow, nog steeds niet?

Probleem is allang verholpen met de nieuwe firmwares van Thompson hoor. Ik draai momenteel
Product Name: ST706

Software Release: 6.2.29.2
en die laat zich gewoon benaderen door IE7. (Net even getest, ik ben ook een 100% FireFox man sinds enkele jaren)

Tijd om van je luie reet te komen, Tele2. De feestdagen zijn voorbij, terug aan de slag!
Plaats reactie

Terug naar “BASE (Tele2, Versatel)”