zolang de code niet secure maakt het niet uit.
er blijven teveel sysops die niet patchen

Typische SSR: Standard Stupid Response

Bugvrije software bestaat niet...

Nee, bugvrije software bestaat niet. Maar laten ze eens een verzoendelijke virusscanner + firewall meeleveren bij de Mikeysoft producten !

SSR = Standaard Stupid Response.

Bij Microsoft wordt niet een gewerkt aan het bug vrij schrijven
van software.

Kijk bijvoorbeeld naar OpenBSD, deze mensen letten op security en hebben de laatste jaren vrij weinig bugs gehad.

software zal nooit bugvrij zijn, maar je kunt het op z'n minst
proberen, en daar ligt dus de fout.

dus...

Rule number 1 bij het installeren van een Internet Information Server:

Als je de IIS server bereikbaar wilt maken voor het internet. Zorg er voor dat hij alleen maar IIS verkeer doorlaat. En zorg er voor dat de machine niet kan internetten. Zo verkom je dat bijvoorbeeld reverse ftp niet mogelijk is.

Slecht begin van Microsoft dus om te zeggen dat ze online moeten updaten :-)

Groetjes,
ScreamOnline
Scream On The Internet!
[email]ScreamOnl@hotmail.com[/email]

Rule number 1 bij het installeren van een Internet Information Server:

Als je de IIServer bereikbaar wilt maken voor het internet. Zorg er voor dat hij alleen maar IIServer verkeer doorlaat. En zorg er voor dat de machine niet kan internetten. Zo verkom je dat bijvoorbeeld reverse ftp niet mogelijk is.

Slecht begin van Microsoft dus om te zeggen dat ze online moeten updaten :-)

Groetjes,
ScreamOnline
Scream On The Internet!
[email]ScreamOnl@hotmail.com[/email]
0622607367

Hahahaha, weer iemand die in de openBSE marketing termen is getrapt.

Met de inetd.conf van OpenBSE is elke *nix veilig.
Sterker nog Linux is nog veiliger dan OpenBSE, omdat je hier niet verplicht een IP adres hoeft te configureren, en hierdoor je per default niet over een netwerk gehacked kan worden.

Verder moet je niet vergeten dat OpenBSE net zoveilig is als het aantal coders dat er gebruik van maakt, aangezien dat verhoudings gewijs met linux een verwaarloosbaar aantal is, kan je op simpel redeneren dat er weinig fouten boven water zullen komen.

Hieruit kun je weer concluderen dat je beter een OS kunt gebruiken waarin veel fouten worden gevonden, en opgelost dan een OS die je een schijnveiligheid geeft, waarvan je niet weet hoeveel fouten er nog niet ontdekt zijn.

Security is een dynamisch proces, des te meer 'vijandigheden' een OS te verduren heeft, des te minder er in de toekomst succesvol zullen zijn.

>> Als je de IIServer bereikbaar wilt maken voor het internet. Zorg er voor dat hij alleen maar IIServer verkeer doorlaat

verder alles OK ?

default.ida is ook IIS....

Ja, en als je een redelijk veilige IIS server wilt hebben dan moet je de netwerkkaart eruit slopen.

oeps :-) verwarring alom :-)

Was niet mijn quote, deze intelligente bijdrage kwam van die schreeuwer, maar je hebt gelijk; IIS is alleen echt veilig op een niet connected box, lol..

Btw, ik draai Apache, al jaren...

Jij weet dus alleen hoe je scriptjes moet draaien.
Met alleen iis verkeer bedoel ik dus http verkeer (port 80). Door alleen verkeer naar de iiserver toe te laten. Daarmee zorg je ervoor dat het volledig internet niet toegangkelijk is op de server.

Er gaat zeker een hele wereld voor je open als ik vertel dat ftp meestal door port 21 gaat? :-) Moet je ff zoeken op packetstorm naar ftp exploits :-)

Waarom ik dit vertelde:
Omdat Microsoft wilt dat je het download van hun server af. En dat je direct achter de server zit waar het aangepast op moet worden. Net als je Internet Explorer wilt installeren. De laatste versie. Eerst download je een update bestand van de Microsoft site. Daarna installeer je IE met de Update bestand. Je staat de hele tijd in verbinding met Microsoft servers. De download server van microsoft: http://www.is-watch.nl/microsoft.txt

Gevolg:
Je zit op de server te internetten wat normaal gesproken niet mogelijk en/of hoort te zijn. Waardoor je nu meer kans maakt op fouten. Door al die Java scripts en active X scripts. Waardoor de server nu onstabiel gaat worden.

Oplossing:
De security cd. Die word ook weggeven. Dat is toch een betere oplossing.

Groetjes,
ScreamOnline
Scream On The Internet!
[email]ScreamOnl@hotmail.com[/email]
0622607367

Oh, wat ben ik plotseling geschrokken; heb ik al die jaren zonder ook maar een keer lastig gevallen te worden mijn (mail/ftp/ssh/http)servers gedraaid , en ik wist alleen maar hoe ik scripts moest draaien..
Stom stom stom..

Luister lullo, ik draai geen IIS, omdat ik jaren geleden als eens met die rommel mocht spelen, en concludeerde dat het alleen handig is al de zut niet aan het net hangt..
Ik draai RHLinux, daar waar mogelijk SElinux, en zelfs 1 NT server die totaal gestript is en Apache draait. zelfs onze script-interpreter hebben we zelf geschreven hebben met het oog op security (ik houd niet van exec() funxies).

En dat hele zootje staat achter een hele fijne firewall/router, omdat ik geen reet snap van security, OK skippy ?

Minder schreeuwen, meer denken...dat helpt :-)

Waarom zeg je dit dan:

---Begin Quote---
Waarom zeg je dan verder alles OK ?

default.ida is ook IIS....
---End Quote---

Een stomme opmerking. Over mijn opmerking.

Even voor de duidelijkheid. Een Microsoft product is absoluut niet slecht. Wat ik altijd zeg:
Bij Linux is het zo dat je sommige functies zelf moet aanzetten. En bij Microsoft is het zo dat je alle functies al aan staan. En dus moet je alles uitzetten.

En als je lid bent bij Sun. Dan krijg je ook gewoon de updates thuis gestuurd. En daar betaal je ook voor.

En als je geen IIS draait. Dan kan je er ook niet over mee praten. Ik ga ook niet dingen vertellen over die linux worm die voor Red Hat was toendertijd. http://www.security.nl/artikel.php3?id=1753

Groetjes,
ScreamOnline
Scream On The Internet!
[email]ScreamOnl@hotmail.com[/email]
0622607367

Scream, je hebt het duidelijk niet begrepen, maar dat verwachtte ik al.
En als je echt denkt dat ik voor m'n nieuws bij security.nl kijk, heb je het ECHT niet begrepen :-) lol

En wat MS crap betreft weet ik zeker dat ik meer inzicht heb in die spaghetti-code dan jij met je grote muil.
Heb ik voor doorgeleerd. Ik ga niet af op wat een ander zegt, ik kijk zelf .

* grinnik *

Bel me dan...dan discuseren we wel verder aan de telefoon. Dan mag jij mij uitleggen waarom Linux beter is terwijl jij geen Microsoft producten gebruikt. En ohja...heb jij de sourcecode van Microsoft Windows 2000? Dan wil ik ook graag hebben....Die is namelijk niet op de markt verkrijgbaar.

Je moet wat minder leren en meer in praktijk door krijgen.

Groetjes,
ScreamOnline
Scream On The Internet!
[email]ScreamOnl@hotmail.com[/email]
0622607367

Nogmaals, jij hebt er geen fuck van begrepen, je kunt alleen maar schreeuwen.

En wat broncode betreft, beetje sneue opmerking. Lijkt me duidelijk dat je nog nooit een regel code gescreven hebt voor MS-platform, anders zou je weten hoe relatief makkelijk het is om een bestaande DLL door te lichten, of 'm te hooken.

* EOT *

Ondanks de vele negatieve berichten ben ik nog steeds van mening dat je met IIS een veilig platform kan opzetten, als je weet wat je doet.

Ik draai al 5 jaar een website op IIS met duizenden bezoekers per dag en ik heb nog nooit een hacker binnen gehad. En dat terwijl m'n Snort logfiles toch bijna 1MB per dag zijn, dus het is niet zo dat niemand het probeert.

Patches direct installeren en goed nadenken over de configuratie en inrichting van je systeem. En een goede firewall natuurlijk...

Een linux+apache+mysql systeem is best leuk, maar voor mij veel te onoverzichtelijk. Ik zou daar niet de controle over hebben zoals bij Windows. Kwestie van (te kort aan) ervaring waarschijnlijk, maar ik ben nu eenmaal opgegroeid met Windows...

cat > jaja.c
// jaja.c
#include <stdio.h>
main()
{
printf("Je hebt gelijk, niets is altijd secure nn");
}
[ctrl]+[d]
gcc -o jaja jaja.c
./jaja

echo #zo maak je elke unix secure > /etc/inetd.conf

Moraal van het verhaal..... als er niets draaid hoef je niets te securen.

Prettig weekend.

Dat is helemaal waar, maar.... doorgaans willen mensen WEL services draaien. En dan kom je dus op het punt wat OpenBSD veilig maakt: niet de standaard inetd.conf, maar de robuuste code.

Atje
PS Het gebruik van C++ style comments in C programma's valt af te raden ;-P

#ifndef ROBUUSTECODE
Robuuste code is naar mijn idee code die weinig (schoonheids)fouten bezit. Hier heb ik het dus over mogelijke bufferoverflows (hoewel deze niet perse te exploiten hoeven zijn), formatstring vulnerabilities, enz. enz..... Ook consistentie is van groot belang, daar dit de leesbaarheid en dus ook het proces van auditten vereenvoudigd. Code die veel geaudit is, is naar mijn idee dus robuust. De OpenBSD kernel wordt al sinds de mid-ninety's geaudit, en dit heeft zeker robuuste code opgeleverd. Naar mijn mening robuustere code dan de linux kernel, daar de developers van die kernel meer de nadruk lijken te leggen op de implementatie van zoveel mogelijk (nieuwe) functionaliteit, dan op het auditten van de eerder geschreven code.
#endif
Het moge duidelijk zijn: code die compiled kan worden hoeft nog geen robuuste code te zijn.

Nogmaals een prettig weekend, bijna 5 uur,
Atje

PS nog een tipje, gebruik voor dingen die je #define'd hoofdletters. Ja, zelfs een compiler uit de jaren 70 kan hier zonder, maar dit valt onder general correctness, hetgeen wederom auditten vermakkeljkt en dus makkelijker goede code oplevert ;-)