Waarom mogen we geen webserver draaien?

[Goendi]

Daar doelde ik niet op deze keer ;) Ik denk dat in het algemeen elke PC die misruikt kan worden voor dergelijke dingen, er een te veel is, en dat als dat vermeden kan worden voor een pc, dat er toch al een minder is ;) En dat vind ik een goeie zaak...

[deej]

Daar doelde ik niet op deze keer Ik denk dat in het algemeen elke PC die misruikt kan worden voor dergelijke dingen, er een te veel is, en dat als dat vermeden kan worden voor een pc, dat er toch al een minder is En dat vind ik een goeie zaak...

Agree. De zwakste schakel in heel het gebeuren is nog altijd het manneke erachter dus qua sensibilisering is er ook nog een hele weg af te leggen. Plus illegale Windows updaten zich alsmaar moeilijker .

[D3bian]

Daar doelde ik niet op deze keer Ik denk dat in het algemeen elke PC die misruikt kan worden voor dergelijke dingen, er een te veel is, en dat als dat vermeden kan worden voor een pc, dat er toch al een minder is En dat vind ik een goeie zaak...

Agree. De zwakste schakel in heel het gebeuren is nog altijd het manneke erachter dus qua sensibilisering is er ook nog een hele weg af te leggen. Plus illegale Windows updaten zich alsmaar moeilijker .

Tsssssssk, illegale Windows? Tsssssk tsssssk. Wie heeft er nu een illegale Windows?

[Goendi]

Edit: wie wil er windows?

[crapiecorn]

95% van alle pc gebruikers ?

[Goendi]

Neen, die gebruiken dat bij gebrek aan alternatieven :P

[The Conquer]

Nu is er al zoveel gezegd over de veiligheid van een server of het al dan niet openzetten van poorten, maar hoe zit het dan met Extern Bureaublad, MSN, Skype en dergelijke? Die zetten toch ook poorten open? Of het nu poort 3306 of poort 80 is, blijft het dan niet even gevaarlijk?

[Goendi]

Nu is er al zoveel gezegd over de veiligheid van een server of het al dan niet openzetten van poorten, maar hoe zit het dan met Extern Bureaublad, MSN, Skype en dergelijke? Die zetten toch ook poorten open? Of het nu poort 3306 of poort 80 is, blijft het dan niet even gevaarlijk?

Die poorten zijn minder exploitable... Via een webserver kun je in de binaries en directory's geraken als die slecht beveiligd is, dat is een pak moeilijker met dingen als skype en msn. Het is wel effectief niet onmogelijk, maar de kans is gewoon veel kleiner.

[deej]

Die poorten zijn minder exploitable... Via een webserver kun je in de binaries en directory's geraken als die slecht beveiligd is, dat is een pak moeilijker met dingen als skype en msn. Het is wel effectief niet onmogelijk, maar de kans is gewoon veel kleiner.

*kuch hoest kuch* net verslikt in mijn ochtendkoffie. Shell access kan je krijgen op eender welk Windows station met een vulnerability op gelijk welke poort. Erger nog, bij Windows geraak je zonder veel poeha rechtstreeks in kernel mode met een goed gemikte buffer overflow.

Jouw "slecht beveiligde webserver" moet dus 1) een site bevatten die een gat bevat die toelaat shell code uit te voeren (wat in een standaard Apache + PHP5 al zeer moeilijk is), 2) met root priviliges draaien (wat Apache by default al niet doet.

De kans dat een gewoon Windows station gehackt wordt op ééndere welke app / poort en dat je er volledige shell access op krijgt (en dus vanalles kan op installeren of mee doen) is vele malen groter dan dat je het op een webserver kan doen.

[Goendi]

Ik spreek ten allen tijde van unix based OS :)

Even verslikt in de 'ok' button. Here goes the rest:

*kuch hoest kuch* net verslikt in mijn ochtendkoffie. Shell access kan je krijgen op eender welk Windows station met een vulnerability op gelijk welke poort. Erger nog, bij Windows geraak je zonder veel poeha rechtstreeks in kernel mode met een goed gemikte buffer overflow.

Jouw "slecht beveiligde webserver" moet dus 1) een site bevatten die een gat bevat die toelaat shell code uit te voeren (wat in een standaard Apache + PHP5 al zeer moeilijk is), 2) met root priviliges draaien (wat Apache by default al niet doet.

De kans dat een gewoon Windows station gehackt wordt op ééndere welke app / poort en dat je er volledige shell access op krijgt (en dus vanalles kan op installeren of mee doen) is vele malen groter dan dat je het op een webserver kan doen.

Even inpikken dus... Over Windows ga ik me hier niet uitspreken, ik denk dat dat voldoende bekend is hoe je daar de gaten aanpakt... Echter ga ik totaal niet akkoord met je kansberekening. Ik sprak dacht ik ook nergens van volledige shell access of user priveleges, maar van het gebruik maken van bepaalde misconfiguraties in die rechten om toegang tot lokaties van derden op de server te krijgen waarna je met gemak aanpassingen kan doen aan andere lokaties op de server. Als je spreekt over de kansen op volledige shell access, of user priveleges, dan is het uieraard simpeler op een windows station dan een webserver.

Wat betreft die webserver... Dit: "wat in een standaard Apache + PHP5 al zeer moeilijk is" is verre van moeilijk: een slecht opgebouwde website en je bent binnen. Standaard staan in de .ini van php5 bepaalde variabalen aan die het mogelijk maken via een exploit in één site andere veilige sites alsnog te misbruiken. Een standaard configuratie kan er dus toe leiden dat één slecht beveiligde website de mogelijkheid biedt aan een indringer om gevoelige goed beveiligde code op andere sites aan te wenden en zo alsnog de command line triggered via de daartoe voorziene commando's in php. Ik nodig je uit om het met mij eens te testen :) Ik wil gerust een standaard configuratie op een testdoos opzetten om mijn punt kracht bij te zetten...

[deej]

Ik spreek ten allen tijde van unix based OS

Welke *nix draait MSN & Skype ?

Trouwens, voor de geïnteresseerden, dit is een goed verhaal over Blue Security en hun avonturen met DDoS (was al langer bekend maar nu opgepikt door Wired Magazine).

[Goendi]

Welke *nix draait MSN & Skype ?

Ik had me dus ook verslikt :P Ik gebruik kwasi enkel unix systemen, en refereer dan naar gelijkaardige toepassingen voor dat platform :)

FF dat artikel lezen...

[D3bian]

Ik spreek ten allen tijde van unix based OS

Welke *nix draait MSN & Skype ?

Trouwens, voor de geïnteresseerden, dit is een goed verhaal over Blue Security en hun avonturen met DDoS (was al langer bekend maar nu opgepikt door Wired Magazine).

Uhm, ik heb op mijn FC4 MSN en Skype draaien hoor. MSN via Trillian variant voor Nix.

[deej]

MSN via Trillian variant voor Nix.

Da's geen echte MSN hé . Ik bedoelde de Microsoft versies die kwetsbaar zijn voor MSN wormen e.d.

[Torpens]

Is er reeds meer informatie ivm het draaien van een webserver voor persoonlijke doeleinden?

Poort 80 is zoals voorheen nog steeds toe en ik verwacht niet dat ze deze zullen open zetten aangezien ze deze gebruiken om op de Speedtouch 706 inteloggen.

Ik heb de indruk dat onlangs poort 443 ook dicht getimmerd werd.

Kan iemand dit bevestigen?

[filipi]

Hey gifdiefje

[Goendi]

Niets belet je een poort boven 1024 bvb te gebruiken?

[Jelle]

Niets belet je een poort boven 1024 bvb te gebruiken?

Scholen en/of bedrijven die enkel bepaalde poorten (21, 80, ...) openlaten beletten je deze poorten te gebruiken.

[Poedelbrein]

Waarom zou je als niet-systeem beheerder een website op het netwerk van een school/bedrijf willen draaien?

[Mr.T]

My guess ... Jelle is een student en zou graag vanop school aan zijn webserver aankunnen

[Poedelbrein]

Ha ja, was't van de verkeerde kant aan't bezien. Als Tele2 de poorten blokkeert, kan het niet op school zijn, want wie, behalve systeem-beheerders (en zelfs dan) weet welke ISP de school heeft? Mijn fout, sorry.

[crapiecorn]

Ha ja, was't van de verkeerde kant aan't bezien. Als Tele2 de poorten blokkeert, kan het niet op school zijn, want wie, behalve systeem-beheerders (en zelfs dan) weet welke ISP de school heeft? Mijn fout, sorry.

Iedereen die surftt op dat netwerk kan toch perfect provider afleiden. Als was het maar door een ub speedtest te doen.

[Torpens]

Niets belet je een poort boven 1024 bvb te gebruiken?

Inderdaad, maar ik wil geen kat en muis spelletje spelen om die poort steeds te veranderen aangezien
er in de algemene voorwaarden geen beperking bestaat, maar toch worden de poorten gesloten.
Graag had ik duidelijkheid ...

Zielig in geen geval, je bent geacht de algemene voorwaarden gelezen te hebben en hierin staat duidelijk vermeld dat servers draaien op de aangeboden producten Always ADSL, Free ADSL, Tele2AllIn niet toegelaten is.

Voor zover ik kan lezen, staat dit NIET in de algemene voorwaarden.

'k Heb voor de zekerhied maar snel de voorwaarden gedownload voordat ze deze wijzigen (zou niet de eerste keer zijn)
In bijlage dus de voorwaarden. Voor het gemak heb ik het woordje server gemarkeerd. Komt er toch maar twee keer in voor.
http://www.userbase.be/forum/download.php?id=2004

Hello,
Blijkt inderdaad te kloppen, heb mij nog gebaseerd op de vroegere algemene voorwaarden, mijn excuses hiervoor.

Ik ga er zelf niet meer op ingaan om te vermijden dat ik dingen ga zeggen die niet kloppen (ben geen legal specialist en zal me dus ook niet op dat pad begeven).

Ik zou zeggen, schrijf een briefje tav de verantwoordelijke van de klantendienst met deze opmerking. Ikzelf zal de opmerking hier gemaakt zeker ook overmaken aan mijn verantwoordelijke.

Nogmaals mijn excuses voor de foutieve informatie.
Mvg,

[z0rk]

Ik ben zelf ook al een tijdje bezig met het configureren van een webserver en dergelijken, en in het begin wil je dat zo rap mogelijk online zien. Daarom dat ISP's dit ook graag blocken, om (zoals The One en anderen al vaak genoeg aangehaald hebben) de ISP te beschermen tegen mensen die zonder veel achtergrondkennis een server willen draaien. Als dit fout afloopt (zware DoS attack, webserver wordt gebruikt door derden als spammer, noem maar op...) komt dit meestal op de kap van de ISP terecht, terwijl de klant in het ergste geval de rest van de maand op smallband staat (en daar waarschijnlijk dan nog over gaat klagen bij de ISP). Leer eerst eens locaal een webservertje draaien, wees leergierig, niet alleen op gebied van de services die je draait (zoals apache, php, mysql enzovoort) maar vooral op gebied van veiligheid, en je gaat merken dat het allemaal nog niet zo evident is. Linux/Unix/BSD zijn prachtige OS's, en worden bestempeld als de veiligere, maar om 99% veilig te zijn vergen ze nog heeeeeeeel wat configuratie. Naargelang je alles wat onder de knie hebt, ga je ook merken dat het blokkeren van poort 80 door je ISP, geen beperking meer zou mogen bieden om een webserver up and running te krijgen. Dus naar mijn mening zijn de meeste klagers hierover, vooral mensen die gewoon nog niet klaar zijn om een webserver deftig te doen draaien. Apache installeren kan iedereen mits een goeie handleiding...

Over andere poorten (zoals 22 en 23 bijvoorbeeld) kan je natuurlijk wel gaan klagen dat ze toe steken, maar langs de andere kant, als je dan toch per sé van thuis uit een server wil draaien (om whatever welke reden) dan wil dit ook zeggen dat deze pc ook effectief bij je thuis staat. Wat is dan het probleem om dan via je interne netwerk over deze poorten je nodige dingen te doen??? Mij ga je niet vertellen dat je op school of op het werk (of waar je ook zit) ineens levensbelangrijke dingen aan je server moet gaan wijzigen dat niet kan wachten tot je thuis bent! En anders ben je verkeerd bezig imo...

Ach ja, deze topic zal een eindeloze discussie blijven zeker?

[z0rk]

Voor diegenen die een voorbeeldje willen zien: http://planetzork.homelinux.com:8080
Je kan je webserver laten draaien over poort 8080, bij mij loopt dan de ftp over 8081, enkel voor ssh heb ik nog geen oplossing gevonden om dit naar een andere poort te forwarden. Alles is dus zeker mogelijk, en eigenlijk zeer simpel te omzeilen.
En als je Tele2 of Telenet klant bent, krijg je een dynamisch IP-adres. Via www.dyndns.org kan je dan een url gebruiken ipv je ip, het enige nadeel aan poort 8080 gebruiken, is dat je dat natuurlijk altijd nog achter je url moet bijzetten...

[Torpens]

het enige nadeel aan poort 8080 gebruiken, is dat je dat natuurlijk altijd nog achter je url moet bijzetten...

En dat is dan weer optelossen via cloaking bij zoneedit.

Maar dat is helemaal niet waar ik het over had. Ik wou
een duidelijk standpunt van Tele2. Worden poorten afgesloten indien er een service op draait of worden de poorten die momenteel gesloten zijn niet meer uitgebreid en dus het draaien van een persoonlijke server toegelaten. Ik wil gewoon geen kat en muis spel. Gewoon duidelijkheid.


Ik denk dat we mogen aangezien er speciaal een user tele2 werd aangemaakt om dit in je modem te beheren.

via internetexplorer ga je naar http://speedtouch.lan en dan kan je inloggen met username tele2 en wachtwoord tele2.
Daar ga je dan in een interface komen waar je poorten kan open zetten etc.

Mvg

[master-magic]

kan ik nog een poort openzetten of niet en hoe doe ik dat in die speedtouch 706 modem/router want ken die niet al te goed,
zitten veel dingen weggestoken

[Jelle]

Je kan gerust poorten openzetten, behalve poort 80.

Openzetten kan via de webinterface van de speedtouch bij Toolbox / Game & Application Sharing.

[320i]

kan zeker nog altijd

IE openen: speedtouch.lan in adres bar, tele2 + tele2 als login, toolbox, assign ...

zoals ook aangegeven door Jelle

[The Conquer]

Dan wel IE6 of Firefox gebruiken. In IE7 werkt de login niet...

[KaiZas]

Wow, nog steeds niet?

Probleem is allang verholpen met de nieuwe firmwares van Thompson hoor. Ik draai momenteel

Product Name: ST706

Software Release: 6.2.29.2

en die laat zich gewoon benaderen door IE7. (Net even getest, ik ben ook een 100% FireFox man sinds enkele jaren)

Tijd om van je luie reet te komen, Tele2. De feestdagen zijn voorbij, terug aan de slag!