Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Vraag over Apache voor Windows en Host file

31-08-2011, 18:03 door rayvanb, 12 reacties
Ik zit eigenlijk met het volgende in mijn maag: Spybot S&D heeft er een mooi Host bestand van gemaakt, en ik heb er zef ook een aantal regels toegevoegd. Maar ik gebruik ook XAMPP (apache, mysql en php voor windows), en apache gebruikt localhost. Ik kreeg laatst een waarschuwing over het certificaat abnamro.2o7.net omdat dit domein in het hosts bestand had gezet, en apache stond dus aan.

Ik ben geen expert, maar dit lijkt me geen veilige situatie. Wat kan ik het beste doen?
Reacties (12)
31-08-2011, 18:10 door SirDice
Ik kreeg laatst een waarschuwing over het certificaat abnamro.2o7.net omdat dit domein in het hosts bestand had gezet, en apache stond dus aan.
Waardoor er dus een connectie werd gemaakt naar jouw lokale webserver en niet naar abnamro.2o7.net. Het certificaat wat je dan te zien krijgt is waarschijnlijk het standaard (self-signed) "Snake Oil" certificaat van apache.

Wat zou er niet veilig aan de situatie zijn?
31-08-2011, 18:59 door rayvanb
Door SirDice: Wat zou er niet veilig aan de situatie zijn?
Dat er in dit geval http requests naar mijn lokale server worden gestuurd die dus geblokkeerd hadden moeten worden.
31-08-2011, 21:04 door Anoniem
Door rayvanb:
Door SirDice: Wat zou er niet veilig aan de situatie zijn?
Dat er in dit geval http requests naar mijn lokale server worden gestuurd die dus geblokkeerd hadden moeten worden.
Het Hosts bestand meot eigenlijk ook niet gebruikt worden om dingen te blokkeren. Het is wel zo dat de access van jou computer naar zulke sites geblokkeerd wordt, maar neit omdat het IP ontoeganklijk is, maar omdta slechts het domein wordt gereroute naar jou localhost.
01-09-2011, 09:09 door SirDice
Door rayvanb:
Door SirDice: Wat zou er niet veilig aan de situatie zijn?
Dat er in dit geval http requests naar mijn lokale server worden gestuurd die dus geblokkeerd hadden moeten worden.
Je gebruikt een hosts file niet om iets te blokkeren, daar heb je een firewall voor. Het doet exact wat je ingesteld hebt.

Een DNS request wordt eerst opgezocht in de hosts file, indien het daar niet in staat wordt er een DNS request gedaan. In jouw geval staat er iets in hosts wat verwijst naar 127.0.0.1. Vervolgens maakt jouw browser netjes een verbinding met 127.0.0.1. Als apache niet draait zal dat mislukken waardoor het lijkt dat het verzoek geblokkeerd is.
01-09-2011, 11:30 door Anoniem
Door SirDice:
Door rayvanb:
Door SirDice: Wat zou er niet veilig aan de situatie zijn?
Dat er in dit geval http requests naar mijn lokale server worden gestuurd die dus geblokkeerd hadden moeten worden.
Je gebruikt een hosts file niet om iets te blokkeren, daar heb je een firewall voor. Het doet exact wat je ingesteld hebt.

Een DNS request wordt eerst opgezocht in de hosts file, indien het daar niet in staat wordt er een DNS request gedaan. In jouw geval staat er iets in hosts wat verwijst naar 127.0.0.1. Vervolgens maakt jouw browser netjes een verbinding met 127.0.0.1. Als apache niet draait zal dat mislukken waardoor het lijkt dat het verzoek geblokkeerd is.
SirDice heeft helemaal gelijk.
Dus als je niet wil dat je lokale apache dit verzoek afvangt, en de melding dus niet meer krijgt, zul je in de host een verwijzing moeten maken naar een niet bestaand/gebruikt ip binnen een van de 3 prive ranges (10.0.0.0/8, 192.168.0.0/16 of 172.16.0.0/12)
01-09-2011, 13:26 door Anoniem
ik zie hier het probleem niet. Je kunt een hosts file prima gebruiken om een hele boel troep te blokkeren. Ik doe het zelf al jaren, zonder enige problemen.
01-09-2011, 14:09 door SirDice
Door Anoniem: ik zie hier het probleem niet. Je kunt een hosts file prima gebruiken om een hele boel troep te blokkeren. Ik doe het zelf al jaren, zonder enige problemen.
Zucht, nogmaals, het blokkeert niks! Het enige wat je doet is een hostnaam resolven naar 127.0.0.1. Dat daar normaal gespoken niets draait zorgt er voor dat het lijkt alsof het geblokkeerd wordt.

Wat de OP overigens zou kunnen doen is de entry in de hosts file niet naar 127.0.0.1 om te leggen maar naar 127.0.0.2 ofzo. Beetje afhankelijk hoe apache geconfigureerd is maar dikke kans dat dat werkt.
01-09-2011, 15:08 door Anoniem
Misschien is het een goed idee om gebruik te gaan maken van open DNS (http://www.opendns.com) ipv in je hosts-file te rommelen.

Ik zou het tevens handiger vinden om je webserver niet op je gebruikersmachine te draaien, maar in een virtuele machine (vmware, virtualbox, virtualpc etc.) te draaien.
03-09-2011, 13:06 door rayvanb
Bedankt voor de reacties. Als ik het nu goed begrijp na de uitleg van Sirdice, bekijkt windows bij een http request dus eerst het host bestand, en als daar geen match in staat met de domein die je opvraagt, dan gaat het de DNS resolven. Je blokkeert dus niet het http request, maar je zou kunnen zeggen dat je het resolven van de DNS blokkeert. Betekent dit dat er in mijn situatie slechts geprobeert wordt om een DNS te resolven via mijn lokale webserver? Dan snap ik nog niet waarom ik een waarchuwing kreeg over een certificaat. Er stond ook iets bij van http://localhost.

Ik ga in ieder geval alle regels in het host bestand aanpassen zodat ze naar 127.0.0.2 verwijzen.
03-09-2011, 15:08 door Anoniem
Door rayvanb: ... Je blokkeert dus niet het http request, maar je zou kunnen zeggen dat je het resolven van de DNS blokkeert.
Dat bedoelde ik dus.
05-09-2011, 14:22 door SirDice
Door rayvanb: Bedankt voor de reacties. Als ik het nu goed begrijp na de uitleg van Sirdice, bekijkt windows bij een http request dus eerst het host bestand, en als daar geen match in staat met de domein die je opvraagt, dan gaat het de DNS resolven. Je blokkeert dus niet het http request, maar je zou kunnen zeggen dat je het resolven van de DNS blokkeert.
Je blokkeert het niet, je resolved alleen naar iets anders dan het werkelijke IP adres.

Betekent dit dat er in mijn situatie slechts geprobeert wordt om een DNS te resolven via mijn lokale webserver?
Een webserver resolved helemaal niets, het ziet alleen een connectie op een bepaald IP adres.

Dan snap ik nog niet waarom ik een waarchuwing kreeg over een certificaat. Er stond ook iets bij van http://localhost.
Het self-signed "Snake Oil" certificaat van Apache komt niet overeen met de naam de je gebruikte om de connectie op te zetten (abnamro.2o7.net) waardoor het certificaat dus niet geldig is.
06-09-2011, 16:35 door musiman
Ik gebruik de hosts file alleen om bepaalde registratie servers van >ahum< zekere softwaremakers naar 127.0.0.1 te sturen.
En vroegah ook weleens gebruikt met een tooltje dat mijn hosts file megabytes groot maakte, vol met url's van ongewenste sites. Maar daar werd mijn dns resolving TRAAG door..... Daarom gebruik ik voor de laptops en desktops van de kinderen bij het filteren van ongewenste dns namen gewoon een bepaalde DNS server die kindvriendelijke namen wel en ongepaste zaken niet resolvet :).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.