quali problemi nell'aprire la porta 80?

[pietro09]

Per poter far vedere saltuariamente, le mie pagine asp all'esterno, ho aperto la porta 80 del router. Conoscendo l'indirizzo IP (variabile) posso effettivamente collegarmi con IIS del mio computer dall'esterno.
La domanda è: quali problemi di sicurezza ci possono essere?

[Habanero]

Non hai molta scelta... se vuoi pubblicare un servizio devi aprire la porta, non c'è alternativa.

La questione piuttosto è un'altra... non è tanto l'apertura della porta ad essere pericolosa quanto il fatto che il servizio che vi gira dietro sia potenzialmente vulnerabile.
Per questo sincerati:

1) che il tuo sistema sia aggiornato e che lo sia IIS
2) che le tue pagine asp siano ben progettate e che non forniscano vulnerabilità che consentano ad un estraneo di prendere il controllo del sito, del webserver, o peggio ancora, della macchina.

[pietro09]

Originariamente inviato da Habanero
Non hai molta scelta... se vuoi pubblicare un servizio devi aprire la porta, non c'è alternativa.

La questione piuttosto è un'altra... non è tanto l'apertura della porta ad essere pericolosa quanto il fatto che il servizio che vi gira dietro sia potenzialmente vulnerabile.
Per questo sincerati:

1) che il tuo sistema sia aggiornato e che lo sia IIS
2) che le tue pagine asp siano ben progettate e che non forniscano vulnerabilità che consentano ad un estraneo di prendere il controllo del sito, del webserver, o peggio ancora, della macchina.

Ho capito. Porta 80 chiusa a doppia mandata così sono più tranquillo

[Habanero]

ma no, ovviamente ti ho illustrato lo scenario peggiore... non è detto debba avvenire per forza. Volevo solo illustrarti i potenziali pericoli che, nel caso il sistema sia aggiornato, possono venire principalmente da errori di programmazioni delle pagine dinamiche.

Se vuoi sperimentare ti consiglio comunque di farlo!

[pietro09]

In effetti, per fare esperimenti, la cosa funziona. Direi comunque che è meglio lasciare questa porta chiusa e aprirla solo quando sia necessario.

[pietro09]

:master: spero di non abusare. Non è che puoi accennare alle cose da non fare assolutamente per garantirsi un minimo di sicurezza?

[Habanero]

intendi per la programmazione lato server?
l'argomento è decisamente troppo vasto per essere trattato in una discussione... ti cito solo alcuni nomi che magari ti possono indurre ad approfondimenti...

-SQL injection (se usi un database)
-Cross site scripting (XSS)
-Cross-site request forgery (CSRF)
-Directory Traversal
-Remote inclusion


Queste sono solo alcune delle possibili vulnerabilità. Quasi tutte possono essere risolte con una stretta validazione di tutti i dati che arrivano dal browser (form, querystring etc...).

Ti posto alcuni link che possono esserti utili:
Top Ten OWASP
Una trattazione in italiano sul sito sicurezza.html.it del precedente articolo.

SQL Injection:
http://sicurezza.html.it/articoli/le...sql-injection/
http://it.wikipedia.org/wiki/Sql_injection

XSS:
http://sicurezza.html.it/articoli/le...ite-scripting/
http://en.wikipedia.org/wiki/Xss

CSRF:
http://en.wikipedia.org/wiki/Cross_site_request_forgery


sono solo alcuni spunti...

[pietro09]

Bene. Ti ringrazio per gli utili link che studierò presto. Ciao

[billiejoex]

Direi comunque che è meglio lasciare questa porta chiusa e aprirla solo quando sia necessario.

A tal proposito potresti informarti riguardo le possibilità offerte dal port knocking (googla a riguardo).
Nel caso ti possa tornare utile potresti anche valutare l'eventualità di usare quello che ho riportato in firma.

[pietro09]

Originariamente inviato da billiejoex
Nel caso ti possa tornare utile potresti anche valutare l'eventualità di usare quello che ho riportato in firma.

Grazie; gli darò un'occhiata