Security Professionals - ipfw add deny all from eindgebruikers to any

Windows Small Business Servere

05-12-2012, 07:49 door Anoniem, 15 reacties
Beste lezer,

Ik had een vraag over Windows Small Business Server waarbij het mogelijk is om via een website toegang te krijgen tot de mappen en files binnen het netwerk.

Ik twijfel er aan of dit wel veilig is?
zelf ben ik er niet echt mee op gegroeid en is me ook geleerd dat VPN de enige veilige oplossing is om dit te doen.
Het zelfde geld voor de webversie van exchange.

Mijn vraag aan jullie is of mijn twijfel terecht?

Ben benieuwd hoe jullie hier over denken.

Met vriendelijke groet,
Security.nl lezer
Reacties (15)
05-12-2012, 12:52 door Anoniem
Je hebt een domein account nodig om de website te benaderen.

In principe is dus de security gelijk aan de security die je voor het domein hebt geconfigureerd.
05-12-2012, 21:59 door Anoniem
Het feit dat er weinig mensen reageren komt voornamelijk omdat het niet duidelijk is wat je wilt.

Hoe wil je wat waar en waarvandaan precies benaderen?
VPN gaat enkel over de verbinding en heeft niets te maken met de veiligheid van de website, de client of de host.
06-12-2012, 13:43 door Anoniem
Bedoel je misschien zoiets als WEBDAV?

Je vraag is inderdaad nog niet helemaal compleet.
06-12-2012, 14:06 door Anoniem
Inderdaad je SBS 2003 server kun je met bijv: https://je server ip/remote op afstand benaderen. Hierna wordt een soort termonal sessie geopend met je server De protocol is 443 dus https://

Op je vraag of het veilig is. JA en NEE

JA, als je een paar anderen maatregelen hiervoor heb geregeld.

1. aanleg eerst een VPN met je server en vervolgens https://local IP van je server/remote.
2. Open de VPN in je Router/Firewall alleen voor bekende WAN IP “ dit zijn je betrouwbare/bekende netwerken dat je vanaf in je server wil inloggen.
3. de laptop of PC waar van je wil in je server inloggen moet af van alle junk software mot up to date en goede Anti Virus pakket.
4. gebruikt bij het VPN melden niet de gebruiker administrator maar maak een aparte gebruiker zonder te veel rechten aan.
5. het liefst een IPSEC VPN maar als je dit niet heb dan PPTP met MS CHAP v2
6. Ook het is zeer van belang dat bijvoorbeeld ’s nacht deze protocollen in je server dicht staan. Want uit mijn ervaring meeste Nederlandse server worden ’s nacht aangevallen. Dus
7. Probeer een keer per maand de wachtwoord van je VPN gebruiker wijzigen. Kies ook voor een Complex wachtwoord.
8. je kan natuurlijk voor Zyxel ssl met One Time Password of VASCO, maar dit kost je wel meer geld. Bij OTP Token krijg per keer een unieke wachtwoord.
9. Voor je SBS zou ik zeggen zorg dat je SBS server mag alleen Microsoft updates Servers en Antivirus op de port 80 en 443 aanspreken vvor de rest DICHT.

En Nee als je de veiligheid van je server/netwerk niet goed hebt geregeld

Succes


Fraidon
06-12-2012, 21:16 door Anoniem
Bedankt voor je reactie, dit bedoelde ik inderdaad :)
07-12-2012, 08:30 door Anoniem
Aanvullend aan mij reactie van boven nog:

Ook je mail op een SBS 2003 via https://je server IP/exchange en vanaf 2008 en hoger met https://je server IP/owa “OWA staat voor Online Web Access” lezen. Daar geld ook het volgenden: zorg dat je een goede wachtwoord heb en log aub niet via een public PC/onveilig draadloos netwerk. Want eenmaal je wachtwoord is achterhaald, dan kunnen SPAMMERS via je server SPAM berichten sturen en dat eindigt slecht op je naam en blokkade van domein op zwarte lijst.

Als je https:// je server IP/exchange opent, dan krijg ook een SSL certificaat fout “onveilige Certificaat” wil je dit niet hebben, dan voor 10 of 12 euro per jaar een ssl certificate van een bekende SSL uitgevaar op je server installeren. Voorbeeld zijn Comodo, Geotrust, of via godaddy.

SBS2003 installeert een ssl certificaat met 1024bit en als je eentje koop zoals Comodo ssl dan heb je 2048bit.

Succes

Fraidon

Laat even ons weten of hiermee je vraag is beantw.
07-12-2012, 15:18 door AdVratPatat
Door Anoniem: of via godaddy.
+1 op alles, behalve Go Daddy, die zou ik juist specifiek afraden.
Comodo, Geo Trust, Global Sign, Thawte en optioneel Symantec (gemengde verhalen over gehoord) voor SSL zijn de enige die nog echt serieus genomen worden.
07-12-2012, 15:24 door Anoniem
Comodo goed? Is dat veranderd dan? Dat is er toch zo een die met resellers werkt die niet geaudit worden?
07-12-2012, 16:26 door Anoniem
Heeft iemand zich al afgevraagd waarom je nou geld geeft aan zo'n certificaatverstrekker? In het bijzonder in dit geval.

Wat heb jij er nou voor je eigen servert aan dat een derde partij naar een ranzig kopietje paspoort gekeken heeft en geconcludeerd dat de naam in dat kopietje overeenkomt met de naam in de aanvraag? Daar word je dus niet inherent veiliger van, maar je lekt er wel informatie mee naar derde partijen die verder niets met het hele gedoe van doen hebben. Hun commercieele identiteitsintermediairfunctie heeft hier op zijn hoogst nul meerwaarde.

Als het vorige niet te moeilijk was, dan dit: Aangezien je in deze situatie zelf beide kanten van de verbinding in beheer hebt, kun je heel goed je eigen "root CA" klussen, die aan beide kanten aan de collectie geaccepteerde root CAs toevoegen, en dan certificaten met zoveel bits als je wilt gebruiken die gesigneerd zijn door dat eigen root CA certificate.

En dan kun je ook clientcertificaten gebruiken die door diezelfde root CA gesigneerd zijn. Kun je zelfs wachtwoorden verder achterwege laten, mocht je dat willen, en je kan de toegang vanaf bijvoorbeeld gestolen laptops selectief blokkeren door certificaten terug te trekken. Aangezien je met een eigen root CA dat alles in eigen hand hebt, kan dat.
07-12-2012, 16:34 door Anoniem
@Fraidon
Zekers ik ben helemaal voorzien van de info die ik zocht. Ik moet ook eerlijk zijn dat ik hiernaar zocht om tevens ook bevestiging te krijgen op me eigen mening en moet zeggen dat ik zeker ook extra kennis heb op gedaan.

Enorm bedankt voor de moeite! top :)
07-12-2012, 17:15 door AdVratPatat
Door Anoniem: Comodo goed? Is dat veranderd dan? Dat is er toch zo een die met resellers werkt die niet geaudit worden?
2008 / 2009 hebben die inderdaad een serieuze klap gehad, sinds 2009 hebben ze dat onder controle door 2-way-auth. met de RA. Audit was niet zozeer het issue.

@Anon 16:26: Dat is afhankelijk van wat je wil bereiken. Zodra je (optioneel) apparatuur van derden wil kunnen gebruiken heb je toch een hele goede verklaring nodig als je zelf even hebt zitten "knutselen."

@OP: Tof dat je nog even feedback geeft.
07-12-2012, 20:16 door Anoniem
Graag gedaan.

Gr,

Fraidon
07-12-2012, 23:53 door Anoniem
Vpn protocol (pptp) van de sbs2003 is niet meer veilig. Alternatief is bijvoorbeeld een openvpn remote client connectie maken met een pfsense firewall die staat opgesteld tussen de wan en lan (AD) van de sbs2003. Deze verbinding kun je op verschillende manieren beveiligen. O.a. via user accounts en usercertificaten. Tevens kun je met pfsense outlook anywhere (rpc) gebruikers via reversed proxy beschikbaar stellen voor de remote clients. Uiteraard alleen de noodzakelijke poorten in de pfsense firewall openzetten.
08-12-2012, 09:28 door Anoniem
Als je weet wat je doet is je verklaring duidelijk: Dit is ons root certificate, en alle apparatuur in ons netwerk moet daar mee kunnen werken. Als niet, zoek maar een andere klant. Of bedoel je wat anders? Je weet dat er meer dan 600 "identity providers" hun root certificate in jouw computertje hebben? Die allemaal voor de door hun uitgegeven certificaten instaan, heus? Jouw verhaal is heel duidelijk: Die certificaten staan wij voor in. Klaar. Dat is een beter verhaal dan de commercieelen hebben: Die certificaten hebben wij verkocht. Waarmee ze jou beschermen tegen iedereen waar ze geen geld van aannnemen. Tsja. Als je daar moeilijk over gaat doen dan snap je zelf dat hele PKI niet genoeg om er mee te kunnen werken.
09-12-2012, 15:08 door AdVratPatat
Door Anoniem: Als je weet wat je doet is je verklaring duidelijk: Dit is ons root certificate, en alle apparatuur in ons netwerk moet daar mee kunnen werken. Als niet, zoek maar een andere klant. Of bedoel je wat anders? Je weet dat er meer dan 600 "identity providers" hun root certificate in jouw computertje hebben? Die allemaal voor de door hun uitgegeven certificaten instaan, heus? Jouw verhaal is heel duidelijk: Die certificaten staan wij voor in. Klaar. Dat is een beter verhaal dan de commercieelen hebben: Die certificaten hebben wij verkocht. Waarmee ze jou beschermen tegen iedereen waar ze geen geld van aannnemen. Tsja. Als je daar moeilijk over gaat doen dan snap je zelf dat hele PKI niet genoeg om er mee te kunnen werken.
Grapjas, wat jij intern doet moet je lekker zelf weten, prima, maar iedereen die ook maar een klein beetje verstand heeft van "security" kijkt op z'n minst erg vreemd op als je je eigen knutsel-certificaat op een client van een derde partij wil installeren, met of zonder jouw "uitleg" daarover (Klant / leverancier / website / etc.)
Dat je daarnaast blijkbaar niet begrijpt dat een paar euro per jaar niet opweegt tegen het nutteloze bruto-uurloon dat jij aan "als gevaarlijk te interpreteren knutsel-projecten" verspilt, zegt helaas al genoeg op zich.

Serieus, verschrikkelijk slecht advies, beetje jammer..........
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.