mludwig 10 Geschrieben 28. August 2009 Melden Teilen Geschrieben 28. August 2009 Hallo Leute, da uns in letzter Zeit dieses Thema immer wieder einholt und es uns einfach *tierisch* nervt, möchte ich Euch diese Frage stellen. :::::::: Stellen Portfreigaben auf Routerebene auf jegliche Zielsysteme und jegliche Ports (z.B. ständig diverse Freigaben auf VNC-Ports, UltraVNC, TightVNC usw.ff.) für Euch überhaupt kein Problem da? Wie verhaltet Ihr Euch bei solchen Geschichten? Wir sehen im gesamten Bereich der Portfreigaben immense Sicherheitsprobleme und weigern uns grundsätzlich, Portfreigaben einzurichten. Die ganzen Sicherheitslücken, die man sich damit aufreisst, bekommt man doch im Leben nie wieder dicht. Von Passwortattacken auf Std-Ports, Bruteforce etc.pp. Wie verhaltet Ihr Euch, wenn es um solche Geschichten geht? Ist das für Euch ebenfalls ein Sicherheitstechnisches Problem? Michael Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 28. August 2009 Melden Teilen Geschrieben 28. August 2009 Ein schwieriges Thema, das man von Fall zu Fall entscheiden muss. Ein grundsätzliches No-Go übers Internet sind in meinen Augen unverschlüsselte Protokolle wie VNC. Auf der anderen Seite sind in den typischen SBS Setups SMTP, OWA und TSGW Portforwardings, ohne ISA dazwischen. Zitieren Link zu diesem Kommentar
mludwig 10 Geschrieben 28. August 2009 Autor Melden Teilen Geschrieben 28. August 2009 Ein grundsätzliches No-Go übers Internet sind in meinen Augen unverschlüsselte Protokolle wie VNC. Gerade um diese Thematik geht es mir. Es gibt bei unseren Kunden immer wieder die Bestrebungen, stumpf unverschlüsselte Protokolle freischalten zu wollen. Dagegen wehren wir uns beständig. Und genau das wird uns von den Kunden dann auch noch nachgetragen, mit der Aussage, dass andere Mitbewerber keine Probleme bei solchen Praktikten haben. Michael Zitieren Link zu diesem Kommentar
Windowsbetatest 10 Geschrieben 28. August 2009 Melden Teilen Geschrieben 28. August 2009 Gerade um diese Thematik geht es mir. Es gibt bei unseren Kunden immer wieder die Bestrebungen, stumpf unverschlüsselte Protokolle freischalten zu wollen.Dagegen wehren wir uns beständig. Und genau das wird uns von den Kunden dann auch noch nachgetragen, mit der Aussage, dass andere Mitbewerber keine Probleme bei solchen Praktikten haben. Michael Hallo, das ist das Problem, sieh dir mal das neue Datenschutzgesetz an, vor allem die Strafen. So kannst du sicherlich einige Chefs "überzeugen" solchen Unsinn zu lassen. Ich halte es immer so, wenn es möglich ist, werden die Freigaben nur für bestimmte externe IPs erlaubt (z.B. die IP deines Arbeitgebers für Fernwartung). Außerdem verschiebe ich den Port irgendwo > 20000. Somit kriegt man nicht sofort raus, welcher Dienst dahinter läuft bzw. ein Stadardangriff auf z.B. Port 22 (ssh) schläg erstmal fehl. Ansonsten sollte man eventl. über ein VPN nachdenken. mfg Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 28. August 2009 Melden Teilen Geschrieben 28. August 2009 Somit kriegt man nicht sofort raus, welcher Dienst dahinter läuft bzw. ein Stadardangriff auf z.B. Port 22 (ssh) schläg erstmal fehl. nmap -sV kann das prima automatisch machen. Dienste auf Non-Standard Ports legen mag zwar die Anzahl der automatisierten Brute-Force Angriffe beschränken, aber gegen einen Angreifer bringen sie nichts. Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 28. August 2009 Melden Teilen Geschrieben 28. August 2009 Ansonsten sollte man eventl. über ein VPN nachdenken. Nicht nur drüber nachdenken. RRAS kann man auch ruhig nutzen. ;) Selbst die MS-Client-Betriebssysteme können einen VPN-Tunnel terminieren. Von daher einsetzen falls möglich. Ist dank mancher UMTS-Provider nicht immer möglich, aber für die meisten Anwendungsfälle reicht es. Zitieren Link zu diesem Kommentar
ChrisBerlin82 10 Geschrieben 17. September 2009 Melden Teilen Geschrieben 17. September 2009 Ich mach es meistens so, dass ich nur den Remote Desktop Port öffne und außerdem einschränke welche Clients sich über diesen Port verbinden können. Ansonsten bin ich auch der Meinung, das grundsätzlich keine Ports nach außen offen sein sollten. DNS, Mail Server etc. was natürlich offene Ports benötigt stelle ich grundsätzlich ins Umkreisnetzwerk und nicht ins Büro. Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 20. September 2009 Melden Teilen Geschrieben 20. September 2009 DNS, Mail Server etc. was natürlich offene Ports benötigt stelle ich grundsätzlich ins Umkreisnetzwerk und nicht ins Büro. Das hängt dann aber ebenfalls von den verwendeten Produkten ab. Einen Exchangeserver in die DMZ zu stellen ist auch nicht unbedingt sicherer. ;) Bye Norbert Ps: Wenn ich jetzt mal den Edge ausklammere. Zitieren Link zu diesem Kommentar
VirtualMachine 10 Geschrieben 21. September 2009 Melden Teilen Geschrieben 21. September 2009 Global offene Ports werden von uns strikt verweigert Wenn offene Ports dann nur zielgerichtet auf Host wie z.B. auf den Webserver , Mailserver etc pp und die nach Möglichkeit in eigenen VLANs stehen so dass ein erfolgreicher Angriffsversuch nur den entsprechenden Server betrifft und der Angreifer nicht das ganze Netz zerstören kann... zumindest solange die Firewalls der Router nicht geknackt werden. Andere Dienste sind grundsätzlich nur über ein VPN zu erreichen. Und da wo es möglich ist werden nur feste "Aussen"-IPs für den Aufbau des VPN zugelassen mfg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.