Domino 9 und frühere Versionen > ND6: Administration & Userprobleme
iNotes Web Access: Sicherheit bzw. absichern
m3:
--- Zitat von: Moaddin am 04.04.07 - 10:38:47 ---
5. Öffentlichen Port ungleich Standardport 443(https)
Hier ist die Frage, ob die Änderung des nach Außen geöffneten Ports auf einen Port größer 1024 effektive Sicherheitsvorteile bringt, denn die Frage ist, wenn ein Hacker den offenen Port findet, ob er dann schnell und einfach herausfinden kann, dass es sich um einen HTTPS Dienst im Hintergrund handelt. Ein normaler Portscanner zeigt ja einfach nur die offenen Ports an.
--- Ende Zitat ---
Sicherheit, die ausschließlich auf der Geheimhaltung von Informationen beruht, hat sich oft als ungenügend herausgestellt.
http://de.wikipedia.org/wiki/Security_through_obscurity
Security by obscurity: it doesn't work, and it's a royal pain to recover when it fails.
mcilly:
Hmmm, den Standardport 443 zu ändern halte ich für keine gute Idee.
Verwenden die Browser nicht standardmäßig den 443er Port für https Anfragen? Wenn du den Port am Server dann änderst, müsste man dem User ja dann sagen, dass er den speziellen Port mitschicken soll. Und ob das dann auch von der externen Stelle (inetcafe z.b.) erlaubt ist, stell ich in Frage.
Du könntest aber in der notes.ini deines Webservers noch die SMTPgreetings eintragen. Dann sieht ein Angreifer beim direkten Connect auf Port 25 nicht sofort, dass es ein Domino Server ist. Dort schreib am besten exim oder MS Exchange rein, lol ;D
Übrigens, diesen Teil aus dem Wiki Beitrag find ich geil.
--- Zitat ---Eine gelungene Umsetzung wäre dagegen das Anbringen eines weiteren, unbenutzten Schlosses an der Tür.
--- Ende Zitat ---
Moaddin:
Gute Links m3,
besonders gut zu wissen ist folgender Satz:
Einen Dienst, z. B. SSH-Server nicht auf dem Standardport 22, sondern auf einem anderen Port laufen lassen. Gegen einen guten Portscanner ist dies aber KEIN Schutz; dieser findet den anderen Port leicht.
Ich hätte mich jetzt normalerweise dazu durchgerungen den Standardport aus Prinzip trotzdem zu ändern, aber die Anmerkung von Roman gibt mir dann doch zu denken bezüglich Standorte, an denen evtl. keine Ports außer die für´s Internet freigeschaltet sind, also HTTP(80) und HTTPS(443), so wie bei uns :o
Die SMTPgreetings brauche ich nicht eintragen, da unsere Firewall einen SMTP Proxy hat und daher keine Auskünfte über das dahinter liegende Mailsystem ausspuckt. Wenn dem nicht so wäre, dann fände ich das allerdings eine sehr gute Sache.
mcilly:
Na dann ist ja alles bestens. Nur das mit dem 22er SSH Port kann ich nicht bestätigen. Ein Portscanner würde den schon leicht finden, aber nicht jeder Hacker scannt alle 65000 Ports, sondern hört nach 1024 auf, weil
1.) es sonst zu lange dauert
2.) der Provider seine Verbindung kappt, weil er davon Wind bekommt
Also denke ich, würde z.B. der SSH Port auf 5800 schon Sinn machen. Was wiederum auch den Nachteil hätte, dass man nicht von überall dann auf seine Kiste kommt, wenn das LAN das nicht erlaubt. Ich persönlich hab den 22er gelassen, dafür aber die hosts.allow und hosts.deny konfiguriert. Aber das ist eine andere (Linux) Geschichte.
Moaddin:
Du hast natürlich völlig Recht Roman, allerdings könnten wir ja mal von dem Szenario ausgehen, dass jemand gezielt in unsere Firma eindringen möchte und sich daher die Zeit nimmt alle 65536 Ports abzuscannen. Dass der Provider die Verbindung irgendwann kappt, kann ich mir nicht vorstellen, da das glaube ich zu aufwendig wäre, dann müsste ja auf allen Routern des Providers eine Intrusion Detection laufen...
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln