Configurazion web Windows 2000 server e Firewall Cisco

**AlexMajor** · 06-12-2003, 17:31

Ciao a tutti!!! :adhone:

A dire il vero leggendo la maggior parte dei post mi è venuta una tremenda paura per la configurazione del web server : Non tanto nel portarla a termine , ma per la sicurezza del sistema.

Volevo chiedere se pe voi può ritenersi accettabile in termini di sicurezza i seguenti principi di massima :

1) Cisco Pix 501 aperto per la sola porta 80 che colleghi l' IP statico pubblico all' IP del server.

2) Escludere i servizi 2000 Server inutili.

3) Dare solo permesso in lettura a quelli che pascoleranno sul mio sito.

Mi rendo conto che è un discorso immenso... ma è per sapere se devo già cercarmi un altro lavoro.....

Grazie a tutti!!

**seclimar** · 07-12-2003, 13:38

1) e' inutile mettere un firewall per proteggere un pc...se poi al firewall si aprono le porte attacabili

2) se apri una porta sul firewall ... proteggi pure la porta aperta...sul server

3) metti TUTTE le patch di windows update

4) metti PASSWORD SERIE al pc.. non 12345678 o user=password... o la tua data di nascita!

5) togli le cartelle script da wwwroot o inetpub....(se non le usi)

detto questo...
teoricamente il tuo pc e' protetto dappertutto tranne che sulla porta 80... poiche' ... un utente riesce ad arrivare sul server conq uella porta

DEDICATI QUINDI A IMPARARE TUTTI I TRUCCHI PER PROTEGGERE LA PORTA HTTP 80 .. (server web...)

**AlexMajor** · 07-12-2003, 15:33

Grazie Seclimar,

non sono iscritto da molto su questo furum, ma ho visto che sei un pò "l' anima buona della situazione", cioè condividi un pò della tua conoscenza a destra e a manca.

Ti propongo una domanda curiosa :

Setto il firewall in modo tale che chi entra può indirizzarsi solo verso la porta 80 del web server.

Quindi teoricamente potrebbe sforacchiarlo...

Ma se il server in questione non avesse account in giro per altri pc (che sono o NT2000 o NT4),teoricamente il danno sarebbe limitato solo sul web server?O da li potrebbe pascolare indisturbato sull' intera nostra rete?

Se viene forato il sito web, diciamo che basta ripristinare il tutto con un buon back up , ma se da lì vanno in giro per tutta la rete a far danni, il direttore fa a me quello che hanno fatto al web server...

Ti ringrazio.

**Gioba66** · 07-12-2003, 19:53

ipotesi: attraverso la porta 80, sfruttando qualche bug, riesce ad elevare i privilegi dell'utente IIS a quelli di administrator.
a questo punto chiediti: cosa può fare nella tua rete l'utente administrator del webserver?

poi dai un'occhiata a questo
http://www.microsoft.com/technet/tre...ps/iis5chk.asp

**AlexMajor** · 07-12-2003, 20:46

Accidenti quanta roba c'è, ti ringrazio, ne avrò da leggere...Però mi sa di aver capito che con i sistemi della Microsoft l' unica cosa che si può fare benissimo è scolarci la pasta.....

Farò in modo che nessun account presente nel web server abbia accesso su altri computer, così teoricamente il problema dovrebbe rimanere circoscritto.

Ma se per esempio dovessi condividere delle directory$ (nascoste) sul server per fare in modo che dei colleghi ci depositino dei files per aggiornare in modo semplice il sito?

Es.
Dentro una directory download del sito ho dei filmati che voglio far aggiornare dai miei colleghi del commerciale.Devo per forza di cose condividere in rete queste risorse.
Devo poi dire al web server a chi far accedere queste benedette risorse di rete.Questo vuol dire che devo inserire degli accounts.
Inserire account significa inserire nel web server user id e password delle persone che devono accedere alle risorse di rete condivise dal mio web server.

Non è quindi consigliabile inserire sul web server degli account di altri pc che poi su questi hanno livello di amministratore?

Mi spiego meglio : un amministratore su di un server (è quindi il possibile IIS user che si rende amministratore attraverso i bachi di IIS), può risalire alla passwords inserite per gli accounts dei colleghi?

Lo so che sto mettendo carne al fuoco, forse troppa carne, ma mi sto riscaldando :

1) Leverei anche le risorse nascoste di defaut tipo c$ etc
2) Partizionerei l' HD in più parti formattandoli con NTFS
3) Mettiamo questa situazione :
c: System
d: Programmi (Es Winzip etc)
e: PartizioneWeb

Le partizioni c,d posso proteggerle con acrivedirectory.
Ma il mio problema si presenta quando devo far depositare i nuovi files nel sito.
E' pericoloso inserire accounts sul server?Se questi ovviamente viene bucato...
E' possibile fare il contrario, dando al server solo permesso di lettura sulle direcory dei collegi (all' incontrario), ma poi dovrei dirgli di sostituirli automaticamente....

Bah, sono in pieno delirio informatico.

**seclimar** · 08-12-2003, 12:05

Originariamente inviato da AlexMajor

Accidenti quanta roba c'è, ti ringrazio, ne avrò da leggere...Però mi sa di aver capito che con i sistemi della Microsoft l' unica cosa che si può fare benissimo è scolarci la pasta.....

Farò in modo che nessun account presente nel web server abbia accesso su altri computer, così teoricamente il problema dovrebbe rimanere circoscritto.

Ma se per esempio dovessi condividere delle directory$ (nascoste) sul server per fare in modo che dei colleghi ci depositino dei files per aggiornare in modo semplice il sito?

Es.
Dentro una directory download del sito ho dei filmati che voglio far aggiornare dai miei colleghi del commerciale.Devo per forza di cose condividere in rete queste risorse.
Devo poi dire al web server a chi far accedere queste benedette risorse di rete.Questo vuol dire che devo inserire degli accounts.
Inserire account significa inserire nel web server user id e password delle persone che devono accedere alle risorse di rete condivise dal mio web server.

Non è quindi consigliabile inserire sul web server degli account di altri pc che poi su questi hanno livello di amministratore?

Mi spiego meglio : un amministratore su di un server (è quindi il possibile IIS user che si rende amministratore attraverso i bachi di IIS), può risalire alla passwords inserite per gli accounts dei colleghi?

Lo so che sto mettendo carne al fuoco, forse troppa carne, ma mi sto riscaldando :

1) Leverei anche le risorse nascoste di defaut tipo c$ etc
2) Partizionerei l' HD in più parti formattandoli con NTFS
3) Mettiamo questa situazione :
c: System
d: Programmi (Es Winzip etc)
e: PartizioneWeb

Le partizioni c,d posso proteggerle con acrivedirectory.
Ma il mio problema si presenta quando devo far depositare i nuovi files nel sito.
E' pericoloso inserire accounts sul server?Se questi ovviamente viene bucato...
E' possibile fare il contrario, dando al server solo permesso di lettura sulle direcory dei collegi (all' incontrario), ma poi dovrei dirgli di sostituirli automaticamente....

Bah, sono in pieno delirio informatico.

NON CONDIVIDERE MAI le cartelle su internet!!!!!!!!
al limite metti un server FTP con utenze particolari e limitate!

comunque per stare sicuro...
apri SOLO la porta 80
metti tutte le patch di WINDOWS UPDATE (frequentemente)
togli le cartelle degli script ...dentro inetpub e wwwroot!
metti un antivirus...
e usa password SERIE

**AlexMajor** · 08-12-2003, 16:53

Vi chiedo un cosiglio per l' antivirus...

Sul Mailserver (MDaemon) ho fatto installare per le mail, l'antivirus di MDaemon (MDAV), sul server medesimo (senza però funzioni di posta) il Mcafee, e sui client il NAV. Tutti con aggiornamenti automatici.

Diciamo che , se passa un virus, se l' è guadagnato....

Ma per il Web server?

Che antivirus installo?Qualunque antivirus per server mi obbliga ad acquistare un pò di client (le ho appena aggiornate le licenza dei client).

Mentre decido quale scelta fare, posso installare NAV 2001 che girà su stazioni server?Poi si aggiorna automaticamente con Internet.
Se il server lo uso formalemente come stazione "stand alone", è comparabile ad una licenza "workstation" o no?

Voi cosa pensate?

**seclimar** · 09-12-2003, 10:59

ma se nessuno va sul server....
nessuno lo usa per navigare
per scaricare posta...

e la tua rete e' pulita da virus...
e hai messo password serie...

cosa te ne fai di un antivirus sul web server?

**AlexMajor** · 09-12-2003, 11:59

Ogni utente della nostra rete ha installato il NAV con update automatico.
Ma si possono prendere virus tramite la porta 80?

Questa estate c' era la possibilità di beccarsi un virus semplicemente perchè si era attaccati ad internet.

L' antivirus controlla i files che si stanno per eseguire/aprire o anche le comunicazioni via Ethernet?

Tu che faresti?

**seclimar** · 09-12-2003, 12:27

Originariamente inviato da AlexMajor
Ogni utente della nostra rete ha installato il NAV con update automatico.
Ma si possono prendere virus tramite la porta 80?

Questa estate c' era la possibilità di beccarsi un virus semplicemente perchè si era attaccati ad internet.

L' antivirus controlla i files che si stanno per eseguire/aprire o anche le comunicazioni via Ethernet?

Tu che faresti?

l'antivirus non e' un firewall
non controlla le porte..
ma controlla i files su disco e i files in esecuzione in ram!

la porta 80 e' rediretta verso il server web..
quindi gli altri pc... non sono visibili su internet con la porta 80!

ti consiglio di leggere ... approposito delle differenze tra:
VIRUS
SPYWARES
HACKER
ecc...

in modo da mettere la giusta protezione nel punto giusto

esempio stupido:
e' inutile mettere un firewall su un pc sconnesso da internet..
e' inutile mettere un antivirus su un pc che viene usato solo come ROUTER..ecc..

Discussione: Configurazion web Windows 2000 server e Firewall Cisco

Strumenti discussione

Ricerca discussione

Visualizza

Configurazion web Windows 2000 server e Firewall Cisco

Sicurezza

Antivirus

Antivirus

Re: Antivirus

Permessi di invio