Ik ben geen DirectAdmin administrator... maar lijkt dus puur een licensing beperking te zijn (zo kan je er dus ook nooit mee spelen/experimenteren op je eigen LANTim.Bracquez schreef:En directadmin kan je niet eens hosten op een intern IP(dus je uitleg klopt niet)
).
Da's een licentie beperking van DirectAdmin... da's hun keuze.Tim.Bracquez schreef:@r2504: Het gaat nog altijd niet, je licentie doet raar en om de week mag je dit terug fixen omdat hij geen licentie kan getten
Ik ken geen enkel bedrijf waar men security ernstig neemt dat een kritische applicatie (beheer van accounts, DNS infrastructuur, ... ed.) zomaar publiek op internet beschikbaar maakt. De algemene gang van zaken is dat het veilig achter een firewall staat en dat administrators het desnoods extern kunnen bereiken door eerst een VPN op te starten.Tim.Bracquez schreef:Ik denk dat jij beetje gek bent van security waar niet nodig is
Ubuntu?krisken schreef:Bvb mijn avatar die hier links staat, komt van deze webserver.
Voila, simpel.VOiD schreef:Ik volg r2504 hierin toch wel. Wat niet publiek moet zijn maak je ook niet publiek toegankelijk. Waarom extra security risico's nemen als het niet nodig is ?
Volgens de regels van de kunst wel... maar ik denk dat je het hier vooral over kleine bedrijven en websites hebt die niet kristisch zijn (en dan is het aan hun om af te wegen hoe ver men hierin moet gaan). Er bestaan trouwens nog andere alternatieven zoals een SSL client certificaat verplichten (zo loop je al niet het risico dat je gewoon met wat gokken of social engineering toegang krijgt tot die dingen).Mathy schreef:Dus volgens jullie moet een hostingbedrijf zijn controle-paneel achter een VPN steken en de klanten vragen om via die VPN in te loggen vooraleer in het controle-paneel te raken?
Wil wel even een VPS opzetten als jullie jullie willen botvieren hooreternum schreef:Voila, simpel.VOiD schreef:Ik volg r2504 hierin toch wel. Wat niet publiek moet zijn maak je ook niet publiek toegankelijk. Waarom extra security risico's nemen als het niet nodig is ?
Misschien moeten we eens een kleine penetration test doen van krisken zijn lijntje.
Fee: 500 euro per security hole?
Dus... Belgacom moet al zijn klanten verplichten om via een VPN of een SSL Client Certificaat in te loggen? Ah ja, want in e-services kan ik een domeinnaam en webhosting beheren... Ik kan mij de helpdesk-chaos nu al levendig voorstellenr2504 schreef:Volgens de regels van de kunst wel... maar ik denk dat je het hier vooral over kleine bedrijven en websites hebt die niet kristisch zijn (en dan is het aan hun om af te wegen hoe ver men hierin moet gaan). Er bestaan trouwens nog andere alternatieven zoals een SSL client certificaat verplichten (zo loop je al niet het risico dat je gewoon met wat gokken of social engineering toegang krijgt tot die dingen).
Klopt, die mensen gaan ook niet op een shared host staan uiteraard en hebben graag alles in eigen beheer, eigen hardware.Mathy schreef:Mensen die een grotere waarde hechten aan security gaan vanzelf andere stappen ondernemen om hun noden af te vangen.
Code: Selecteer alles
Microsoft Windows [versie 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Alle rechten voorbehouden.
C:\Users\game>ping www.krisken.be
Pingen naar www.krisken.be [85.234.197.11] met 32 bytes aan gegevens:
Antwoord van 85.234.197.11: bytes=32 tijd=44 ms TTL=54
Antwoord van 85.234.197.11: bytes=32 tijd=44 ms TTL=54
Antwoord van 85.234.197.11: bytes=32 tijd=44 ms TTL=54
Antwoord van 85.234.197.11: bytes=32 tijd=44 ms TTL=54
Ping-statistieken voor 85.234.197.11:
Pakketten: verzonden = 4, ontvangen = 4, verloren = 0
(0% verlies).
De gemiddelde tijd voor het uitvoeren van één bewerking in milliseconden:
Minimum = 44ms, Maximum = 44ms, Gemiddelde = 44ms
C:\Users\game>Inderdaad... daarom dat ik ook sprak over bedrijven die hun security ernstig nemen. Nu persoonlijk tracht ik gewoon ook die regels te volgen (en ik was hier trouwens het duiveltje aan het spelen in deze discussie)... ik zal dus bv. geen RDP van m'n server of managements interface van m'n router extern beschikbaar maken... wil ik er remote aan dan start ik gewoon eerst een VPN.Mathy schreef:Zoals je zelf zegt is het een afweging hoe ver je hierin wil gaan en een afweging van kost/baten.
Ik ben het er mee eens dat hoe minder services publiek beschikbaar hoe beter maar geef daar wel altijd de bedenking bij dat VPN-toestanden ook niet altijd onfeilbaar zijn. Er zijn reeds genoeg vulnerabilities in OpenVPN en consoorten gevonden en men moet opletten dat er geen "false sense of security" heerst omdat men VPN-software gebruikt, het blijft een mogelijke attack vector en vaak wordt er achter de VPN lakser met security omgesprongen omdat men daar toch "beschermd" is.Mooi gezegdMathy schreef:Er zijn reeds genoeg vulnerabilities in OpenVPN en consoorten gevonden en men moet opletten dat er geen "false sense of security" heerst omdat men VPN-software gebruikt, het blijft een mogelijke attack vector en vaak wordt er achter de VPN lakser met security omgesprongen omdat men daar toch "beschermd" is.
Eerst alles afschermen, patchen, beveiligen en dan pas aan VPN denken om die er voor te gooien voor management dingen. Als je als netwerkbeheerder er tegenop ziet om al die software-pakketten te volgen mbt security issues dan moet je een andere job zoeken.
