Eindwerk - Web Server - Security

[Jefk]

Hey,

Vraag ivm met mijn eindwerk. We hebben geprogrammeerd in LabVIEW. Dit is een visueel programmeerbundel. Het programma is klaar. Nu willen we ons frontpanel van het programma, dit is het deel waar alles wordt gevisualiseerd publiceren op internet.

Labview beschikt over een web server. Als ons programma draait, dan kunnen we dit visualiseren (REAL TIME) mbv van een commanda, nl onder de vorm van: http://internetIPadress/.monitor?programma.vi waarbij die VI ons programma is in LAbview.

Nu op de plaats waar we ons eindwerk doen gebruit men een eicon diva dsl router: http://www.eicon.com/pubs/diva_2430/index.htm maar er zou ook ook nog een server staan die het internet verkeer regelt en die het netwerk ook regelt, maar die server die hebben we nog niet te zien gekregen

Het grote probleem is natuurlijk dat de TCP poort 80 waarschijnlijk nog geblokkerd is met als gevolg dat we ons programma niet kunnen visualiseren op het net.

Het bedrijf staat wantrouwig op het openen van deze poort. MEt als gevolg dat we de mooie ingebouwde web server van ons programma waarschijnlijk niet gaan kunnen gebruiken

Naar mijn weten kan je toch aan port forwarding doen waardoor de poort 80 slechts open staat naar 1 bepaalde computer in hun netwerk, namelijk op de pc waar ons programma op draait. Dit is een superoude computer die nooit nog gebruikt wordt, maar waar we dus wel ons eindwerk op hebben gemaakt.
Nu mijn vragen :

1) Nu als er een aanval is op die poort 80, is is dan het hele netwerk in gevaar of is dan alleen die bepaalde pc (waar prog op draait) in gevaar???

2) Weten jullie andere oplossingen om ons programma dan 'real time' te visualiseren of toch om een refresh te kunen doen na bv 15 minuten?
Het real time gedeellte is net het leuke aan ons eindwerk omdat we iets willen visualiseren dat regelmatig verandert.

Alvast bedankt
Greetz Jef

[meon]

Ik ken de in dit geval gebruikte router niet, maar normaal gezien kan je op een router een port mapping instellen.

Ik geef even een voorbeeld:

De router heeft een internet-ip, fictief bvb. 212.143.24.54.
Via DHCP krijgt jullie servertje met het programma een intern IP-adres, genre 192.168.0.133.
Zonder routing kan je waarschijnlijk enkel via het intern netwerk de webserver bereiken.
Wat je nu kan doen is een port mapping instellen op de router die alle aanvragen op bvb poort 8080 op het internet-ip doorstuurt naar poort 80 op de pc in je subnet.
Je krijgt dan een port mapping van bvb:

tcp:212.143.24.54:8080 -> tcp:192.168.0.133:80

En qua veiligheid... dat gaat zo ver je webserver veilig is... En daar heb ik geen idee van: ingebouwde webserver zijn niet altijd zo veilig...

Mvgr,

--meon

Edit: Ah ja, de reden dat ik 8080 neem is omdat meestal op poort 80 al een andere webserver staat met een website, maar niets houd je tegen om daar ook poort 80 te gebruiken...

[All Your Base]

In de eicon gateway moet je enkel de firewall uitzetten vanop je server, dan wordt alle verkeer naar daar geforward.

[Jef]

Bedankt voor de antwoorden

poort 8080 op het internet-ip doorsturen naar poort 80 op die één bepaalde pc in subnet moet dan wel lukken.

Toch nog de vraag dan: als er een aanval is op die poort, zal dan enkel die bepaalde pc in het netwerk een eventueel gevaar lopen?

Of kan een hacker dan ook het hele netwerk dan bereiken en dus eventueel vernielen?


Greetz

[meon]

Zoals ik zei ken ik de Eicon Diva niet, maar wat je normaal moet doen is je firewall zodanig instellen dat hij alles inkomend blokkeert, behalve in dit geval poort 8080 voor tcp.
Dat is het geval met rules-based firewalls, en dat is meestal zo bij routers (lees: hij blokkeert standaard alles, behalve als je zegt dat er juist iets wél door mag komen). Dus wat je moet doen is in de packet filter (zo heet dat waarschijnlijk) tcp toestaan op poort 8080.

Wat de veiligheid van de rest van het netwerk betreft: als er een exploit (een uitbuitbare fout) in de webserver van je programma is, is het mogelijk dat eventuele hackers daar misbruik van kunnen maken om het netwerk lam te leggen. Ik ben niet vertrouwd met wat je gemaakt hebt, maar je eigen code kan ook heel vaak schuldig zijn aan 'gaatjes'.

Maar ik ben niet zeker of je al zover moet denken... Hoe lang moet dit systeem draaien? Want ik denk niet dat je zo paranoïde moet zijn om te denken dat hackers meteen een heel netwerk gaan willen platleggen...

[Jef]

Het is de bedoeling dat dit toch een hele tijd blijft draaien. Het is een service aan het bedrijf waardoor de mensen een visualisatie kunnen zien op die webpagina.

Het bedrijf staat gewoon wantrouwig ten opzichte van het openen van die bepaalde poort. Ze zeggen dat ze dan extra beveiliging moeten inbouwen enzo. Klopt dit? Ik zoek dus wat argumenten om hen van het tegendeel te bewijzen.

Bv dat enkel die bepaalde pc een eventueel gevaar zal lopen. Nu ja, ik ben in het bedrijf al op de pagina van de router geraakt zonder een of ander paswoord in te geven !

Zo streng beveiligd is dat nu ook weeral niet.

Iemand nog suggesties, argumenten?

Merci
Greetz Jef

[meon]

Uit de handleiding van de Diva:

The 'Log in' page appears. Click 'Log in' to see the main menu. (By default the Diva 2430 has no password.)

Mij lijkt het dat dat ding op standaardinstellingen draait...

Die diva is eigenlijk niet echt een bedrijfsrouter, of ben ik daar mis mee?

Het openen van poorten houdt altijd risico's in, maar het zou me niet verbazen dat de huidige beveiling op zich al 'zo lek is als een mandje' ...

Als het om die bepaalde poort gaat, neem dan iets dat heel weinig gebruikt wordt: dankzij die port mapping kan je dat namelijk zelf kiezen. Ik zeg maar iets als 3422 of zo... Dat ligt veel minder voor de hand dan 8080 en je kan normaal zeggen dat icmp ping request worden gedropt (dus dat poorten niet te pingen zijn).
Bij een poortscan betekent dat dat ook poort 3422 zal 'stealth' zijn en lijkt het alsof er niets achter steekt. Als je effectief een request doet naar die poort reageert die natuurlijk wel. Maar is het de bedoeling dat ook de mensen extern van dat bedrijf die pagina's van de webserver kunnen zien? Of is dit meer zoals een intranet? Want in dat geval hoef je helemaal geen poorten open te zetten...

[Jef]

Ja het is de bedoeling dat de mensen van buitenaf dit kunnen bereiken, intranet of het lokale netwerk volstaat dus niet. Publiceren op het lokale netwerk is uiteraard geen probleem.

Ik veronderstel ook dat die router basis geconfigureerd is.

ICMP ping request, daar ben ik niet vertrouwd mee. Zou dit standaard knn staan in de router of wijzigbaar?

Dus als ik bv poort 4526 op het internet ip forward naar poort 80 op de subnet - pc, dan is dit veiliger!? Met dan eventueel die ICMP ping request die er dan moet voor zorgen dat bij een portscan deze poort als gesloten blijkt.

Maar dus die ICMP begrijp ik wel niet goed.

Hopelijk draait het bedrijf bij en kunnen we ons project afwerken.

[meon]

ICMP is gewoon het protocol waarop pings gebeuren (dat is bvb niet tcp of udp)

Een andere poort kiezen verandert op zich niets aan de kwetsbaarheid, maar verkleint wel de kans dat iemand daar 'per toeval' achter zou komen. Poort 80 of 8080 is voor webservers vaak standaard, dus daar ga je zoeken. Als dat er niet is, geef je al vaak snel op

Maar ik denk dat als je die dingen allemaal in acht neemt toch vrij veilig kan publiceren op het web hoor...
Je kan altijd laten proefdraaien en de access-logs van je webserver doornemen, net zoals de security logs van de router (ik neem aan dat die ook logs maakt). Zo kun je snel ingrijpen indien je merkt dat er mensen actief op zoek zijn naar open poorten.

De meeste poortscanners doen enkel ping-requests en kijken dus over je openstaande poortje heen...
Je kan altijd testen op gaatjes via de Belgacom Security- Check, die gaat vrij veel poort-ranges af ( http://adslscan.turboline.be/cgi-bin/scanner?Lg=NL ). Als daar 0 gedetecteerde kwetsbaarheden staat mag je gerust zijn

[Jef]

oke, mercikes meon voor de nodige uitleg

Kzal laten weten hoe het afloopt

Greetz
Jef