Názory k článku Je váš web-hosting bezpečný?

WebDAV: http://www.sweb.cz/

Podle me je nejlepsi metoda pro prenos dat protokol rsync
nad SSH, pokud mozno pouze s RSA autentizaci a chrootovanym
prostredim. Pokud vam _fakt_ zalezi na bezpecnosti hostingove
sluzby, lze toto udelat i tak, ze rsync urciteho adresare
se bude spoustet na serveru a spojovat se na pocitac klienta.
Dalsi mozne reseni je pouzit jedno heslo pro FTP prenos
na pomocny stroj (nebo do pomocneho adresare) a druhe heslo
pres https jako "commit" na ostry server (nebo adresar).

-Yenya

stunnel umí tunelovat přes SSL téměř cokoli, ale FTP ne, což je psáno i v jeho dokumentaci, viz.
http://www.stunnel.org/faq/troubleshooting.html#ToC1
Tunelování FTP má bohužel určitá specifika, takže popsaný způsob lze snadno aplikovat třeba na POP3, ale FTP dá o něco víc práce. Mě se to povedlo rozběhat třeba přes Zebedee, ale přes stunnel ne...

Na nasich serverech v ramci webhostingu podporujeme Secure FTP, a to jak na Linuxech, tak na Windows 2000.

Máte pravdu, díky za upozornění. S stunnelem jsem tuneloval už téměř cokoliv, ale FTP ještě ne. Když jsem psal článek, nějak mi nedošlo, že FTP používá dva porty najednou, a že to nebude tak jednoduché.

mozna off topic, ale jste zacal psat pro Lupu?:-) ze nebylo nikde ani nejake upozorneni nebo zvyrazneni (nebo bylo?) - nemyslim to nijak spatne, naopak se mi zatim od vas libily vsechny knizky (4 kousky) a beru vas jako jednoho z nejlepsich odborniku a cloveka co vi o cem pise:-)

Zvažoval jsem umístění několika billboardů v okolí dálnic (Mattoni je levně odprodávalo). Nakonec mi to mé marketingové oddělení rozmluvilo. ;)

Pane Kosek, muzete mi zodpovedet nasledujici dotaz?

Pisete, ze k pateri pristup moc lidi nema (souhlas), nainstalovat sniffer na router, navic vzdalene je temer nemozne. Takze od "hackeru" nebezpeci nehrozi. Kolega z kancelare by nemel mit duvod nam hackovat web ci odposlouchavat. Takze, kde hrozi to popisovane nebezpeci? Z tohoto pohledu, se zda FTP vyhovujici. Samozrejme ze SSH nebo jiny protokol co umi sifrovat je lepsi, ale neni to zbytecny strasak pro obycejne uzivatele?

Sniffing je dle meho nebezpecny v prostredi univezit a skol, ale tam zase az o tolik najde. Spis bych rekl, ze je dulezitejsi aby hostingove firmy meli nainstalovane vsechny posledni patche a hot-fixy... ala .printer

A pane Kosek, doplnim dotaz, vy sam jste opravdu schopen (umite) snifnout heslo? :-))

Nic ve zlem, clanek je docela dobry, ale vzdy pri cteni "hesla jsou prenasena v ciste textove podobe" se velmi bavim! Vetsinou ten autor si to nekde precetl a pak pise a pise a pise (a nevi o cem)...

Myslim by to chtelo osvetu v tom smyslu, ze 100x nebezpecnejsi jsou spatna login/hesla (a jako ze jsou, spustit robota na hledani kont na tom ftp muze opravdu kdokoliv, na rozdil od sniffingu! Stejne tak patche a nastaveni zabezpeceni.

Shrnu to: 1. politika hesel, kont, 2. bezpecnostni konfigurace, 3. patche .... dlouhodlouho nic a az nekde na konci je sniffing.

Vzdyt i admini od ISP se prihlasuji k paternim routerum pres normalni telnet :-))

Ten, kdo dela s kritickymi daty asi vi, co dela a podle toho to dela, ale vazne kdyz ctu tu poucku viz vyse, tak .... Kolega z prace :-))) Ten to heslo ziska i snadneji.

Novy WS FTP klient a i server umi SSL, nemam s tim ale zkusenost - pokud nekdo ano, napiste.

Vy jste se na pateri napr. v drevnich dobach v prostorach CVUT v Praze nepohyboval, ze? Je skoro verejnym tajemstvim, ze tam sniffing velice uspesne bezel...:-( A jak v tuto chvili chtete mit jistotu, ze Ti sami administratori, kteri se z CESNETu rekrutovali do vselijakych nadnarodnich ISP nebudou mit nyni stejne praktiky...

tak bych se asi nebal robotu na zkouseni hesel.. nebo nejde nastavit omezeni typu 5x behem 10 minut, nebo po 10 spatnych pokusech zablokovani?:-)
a co se tyce dostani na routery apod.. meli jsme nedavno vyucovani ohledne SNMP a ta bezpecnost tam neni opravdu silna:-) hlavne kdyz nekteri experti poslou mailem jmeno komunity ))))

pripadne na ne pustit stroje na odchycovani co? )) kdyby to zverejnili tak ty servery asi dlouho nevydrzi v provozu:-) ( i kdyz pro profika to asi nebude problem zjistit:-)

Kolega s kanceláře by neměl mít důvod, ale často má. Většina průniků do IS firmy je podle statistik právě zevnitř.

Navíc je mnoho situací, kdy jste na jednom segmentu sítě i s lidmi z jiných firem - velké administrativní budovy, kde si pronajímáte kancelář, internetové kavárny, internet přes kabelovou televizi

Telnet pouzivaji temer urcite vsichni, kdo maji routery Cisco. Ty totiz nic jineho neumi.

-Yenya

Uz se objevuji i verze IOS, ktere SSH umi (verzi 1).

Ani jsem se vás nesnažil přesvědčit. Reálně je určitě větší problém než sniffing špatné heslo, protože na něj může zaútočit v podstatě kdokoliv odkudkoliv. V článku pouze píši, že FTP protokol není zdaleka bezpečný. Nikde neříkám, že je to menší nebo větší bezpečností riziko než špatně zabezpečený server nebo špatně volená hesla. Cílem článku bylo upozornit na to, že bezpečnost (ať už z jakéhokoliv hlediska) je dnes spíše podceňována.

Nevim jak pro pana Koska, ale pro me odposlech neni problem. Jedina vaznejsi prekazka je nutnost rozhazet packety podle TCP spojeni, ale i na to existuji tooly. Prakticky zadny problem. A sniffovat treba hesla k webum je uplne bez problemu - ty jdou v jednom packetu najednou, jmeno i heslo jsou u sebe a staci pouze vhodny filtr.

Cimz ale nechci snizovat nebezpecnost spatnych hesel. Souhlasim, ze opravdu vice neopravnenych vniknuti je uskutecneno uhodnutim hesla nez jeho odsnifnutim.

A jeste jedna vec - nemohl byste jmenovat ISP, kde administratori pouzivaji pro loginy na stroje telnet, abych vedel, komu se mam zarucene vyhnout, protoze to jsou totalni amateri? :-)

Politika hesel, konfigurace serveru a bezpečnostní díry v něm jsou samozřejmě větší problém, ale o tom článek nebyl. Článek byl o bezpečnosti přenosu dat. S tím, jak má váš provider nakonfigurovaný server moc neuděláte, chtít po něm něco jiného než FTP přístup však můžete.

Ad hesla přenášená v odkryté podobě. Vzhledem k tomu, že byly časy, kdy jsem občas poštu z POP serveru četl příkazem

telnet example.com 110

si dle mého názoru dovedu celkem přesně představit, jak putuje heslo v odkryté podobě. Zkrátka putuje v čisté textové podobě - žádné kódování, žádný hash, žádné šifrování.

Ano, vetsina pruniku je zevnitr,dokonce pres 70%. Ale ani jeden z nich neni za ucelem zmeneny (hacknuti) stranek!!!
Pane Kosek, to uz je michani jablek a hrusek. Ty pruniky zevnitr jsou za ucelem ziskani dat (vetsinou), pripadne pripravenim back door, az dotycneho firma vyleje. Ale hacknuti, vzdyt to by bylo pridelavani prace a ubirani penizku zvlastni vyplaty. To by fakt musel byt dotycny "debil".
A velke budovy. Pokud jste na stejnem segmentu site, tak tedy uprimnou soustrast. Ja napriklad pracuji v budove, ktera ma 44 pater. Na nekterem z nich je i 5 a vice firem a ani jedna nema spolecny segment. Navic v dnesni dobe, kdy se pouzivaji switche misto hubu nemate ani tam sanci, pokud nemate pristup primo na dany switch a nastavite tam mirroring portu. Jinak se muzete divat tak akorat na vase packety.
Diky za odpoved, ale stale jste mne nepresvedcil. Spatny management hesel, pocet znaku, doba mezi zmenami, ANO to je problem. Sniffing. NE.

Pane Chytrý poučte mě, jak si to nastavím třeba v mailu na Seznamu, nebo email.cz apod?

Tohle jde pokud vím ve Windows NT a pokud by to šlo ve veřejné síti typu Internet, tak by nebyl problém kohokoliv odříznout (zablokovat).

nejsem expert na Cisco (vlastně jsem to ani nikdy neviděl), ale ony ty drahé IOSy (co stojí stejně jako Router - už je jasné, proč Cisco a Microsoft byly TOP na světě v kapitalizaci), co jsou v tom ani neumějí Web (SSL) administraci?

Co je to pak Managed Router apod.? Snad ne všechno na Ciscu řádkovým telnetem na portu 23 :-)

"telnet example.com 110"

no vidíte a kdyby to tak jednoduché nebylo, poštu byste nepřečet, SSL POP3 je na portu 995, ale zřejmě jen Exchange to pořádně podporuje...

Ví tu nějaký expert, jak stáhnu obdobně jako WGETem (tedy ne InetExplorerem probůh!) soubor, ale ze zdroje SSL (wget https://server/data.dat nejde a ani http://server:443/data.dat)... To je ta hloupá bezpečnost:

Znám firmu, která má ceník za takovýmto https:// - ovšem ten může stáhnout kdokoliv, kdo zná URL! No hlavně, že ho stáhne bezpečně, uff.

Tak zrovna na problém s wgetem a https můžete použít stunnel.

Já chci stáhnout WGETem nebo něčím jiným (v dávce!) věc schovanou na https://server.blbec.cz/tahloupavec.zip

Na nejakou "bezpecnost" prenosu kaslu - chapete?

Wget pro W32 to asi neumi, mam verzi 1.6.

Co to kecate? POP3 postu pres SSL muze podporovat _UPLNE KAZDY_ postovni software, staci zakladni podpora na serveru a klienta mate snad pro kazde prostredi, staci jen nastavit... nemohu za to, ze skoro vsichni s POP3 komunikuji ala telnet <server> 110, je to ciste jejich problem, ze jim nekdo nevysvetlil (nebo nemaji o tyto informace zajem) jak 'bezpecne' to je... - zajimave, ze hodne takovych firem ma pevne linky (fakt je problem presmerovat MX zaznam, ze?)...

Takze prosim nejprve premyslejte, zjistete si pravy stav veci a pak informujte...

1) ano, (lidé jsou podlí a podlejší) ale ten kolega, když bude tak chytrý aby to dokázal, tak to v 80% případů udělá jinak, než takto složitě, ostatně možná si pamatujete na případ tak před 5-6 lety, jedna ostravská firma s počítači, šlo tuším o podvod za x milionů, zneužití konta kolegy - pamatujete )ale ono to myslím nikdy nebylo zveřejněno)?

Nevěřím, že to snifoval. Navíc tam v té době měli IS na FOXce.

2) Něco tak snadného jako ve Windows 2000 a tunelování - už to snad nemůže být snadnější.

Ale opravte mě, jestli se pletu - pokud tam mají SWITCh (a ne HUB) a kroucenou dvoulinku, datagramy i na stejném segmentu sítě přece běží od počítače rovnou na router a ne už do ostatních počítačů (pokud jim nejsou určeny) a žádný jiný uživatel k nim přece nemůže! SWITCH (např. OfficeConnect) je už dnes levnější než HUB.

Nějak jsem nepochopil, co napadáte, ale klidně se nechám poučit.

1) Jak zprovozním SSL se svou schránkou na seznamu? Případně s dalšími.
2) Jaký free poštovní server pro WIN platformu mohu použít s podporou SSL POP3 a SMTP

To jsem zvědav, co poradíte.

stunnel -c -d 80 -r server.blbec.cz:443

wget http://localhost/tahloupavec.zip

Na web administraci se vam kazdy muze tak maximalne ****.

Nic lepsiho nez radkovy commandline neni :-) Jinak managed router obvykle znamena, ze je mozne jej spravovat na dalku treba pres telnet, ssh, nebo i ten vas web. A samozrejme SNMP. Kdyz mate pred sebou v konfiguracnim souboru vsechny prikazy, tak v nem vetsinou nic neprehlednete, na rozdil od nejakeho menu v html strance.

Jinak cisco samozrejme umi web management, se ssl patrne ne, ale ma zase jine prostredky jak dosahnout bezpecneho spojeni (IPSec).

Ja osobne web konfiguraci nikdy nezapinam.

... nebo pouzit wget 1.7 zkompilovany s --with-ssl
jak proste...

nezapomente na OOB equipment :-)

Pokud mohu pouzivat SSH - a dost dobre si nedovedu predstavit, ze bych treba kvuli oprave jednoho pismena vzdy musel prenaset celou stranku pomoci FTP (a davat jeste pozor na kod cestiny) - tak vyuzivam FTP jen na opacnou stranu, mgetem z nejakeho bezvyznamneho mista, kde je mi jedno, ze by mi nekdo mohl (spise teoreticky) odposlechnout heslo.
A zaroven mi toto "treti" misto muze slouzit napriklad jako archivni kopie (anebo jako misto k ladeni).
Takto to prece musel J.Kosek uz delat v "metodach" na Alfe, kde je prave pouzivani FTP omezeno!

Strasne ste sa pustili do nadavania adminom, ktori cisco manazuju cez telnet, ked predsa existuje IOS s ssh podporou. Za prve - tieto IOSy nemaju tu plnu funckionalitu. Za druhe - je to SSH1, ktory aj tak vsetci, co vedia o security svoje, nepouzivaju.

Kazdy normalny ISP nepusti na siet, ktorou sa manazuju smerovace vsetkych svojich zamestnancov, ale len svojich sietovych adminov. A ti predsa nebudu sniffovat vlastne hesla.

Ak ide o pristup na FTP odchytenim hesla, vsetko je predsa logovane [aj source IP] - logujete dufam, nie ??? A ak som spravca ftp servra, kde tie logy su a mohol by som ich eventualne odmazat, tak sa nebudem otravovat FTP pristupom, ked pouzijem prikaz "cd" ...:-))))))

Stava sa sice [viem konkretneho providera - byvaleho], kde sa chodili kamosi operatorov bavit priamo na konzoly servrov, ale o takych ISP sa to velmi rychlo rozkriklo ...

Je pravda, ze CISCO oficialne pouziva (tedy doporucuje) WhatsUp GOLD (www.WhatsUpGOLD.com) na administraci svych zarizeni?

To je ono! A kde to prosím seženu, ten stunnel pod W32? Nebo neseženu?

To musím používat OS nakažený rakovinou nebo čím, abych to mohl použít? :-))
Ale vážně, pokud to existuje, pod Win32, tak mi poraďte, kde to vezmu. Na řešení typu "zkompiluj si sám" nemám ani čas, ani podmínky.

V zivote jsem o tom neslysel, ale ja se zas s ciscem az zas tak duverne nekamaradim. Cisco ma svuj vlastni system pro spravu zarizeni - CiscoWorks, ktery funguje take jako nadstavba nad network management software typu HP openview.

Ciscoworks je samozrejme pouze jedna soucast systemu sledovani.

Na adrese uvedené v článku:

http://www.stunnel.org/

tak to je mi lito, na hledani wgetu pro win32 zase nemam cas ja.

Tak dnes ráno jsem si v MfDnes přečetl, jak se včera vybouralo auto před barrandovským tunelem. Dvakrát měli v pražské příloze tunel. O jaký tunel se jedná, nevím. To si asi autor (fre) popletl jižní dálniční spojku se železniční spojkou. Na ní je tunel v Malé Chuchli. Asi onen novinář si už nepamatuje, zda jel kdysi do Chuchle autem nebo drezínou.
Potom jsem si přečetl o tunelu FTP přes SSL, ještě že už někdo napsal, že to tak snadno nejde. Autor si asi také nepamatoval, zda tehdy používal FTP nebo POP.
A teď mi někdo řekněte, zda a kterým věcem od Jirky lze věřit. Kdybych si již tolikrát to, co Jirka Kosek někde napsal (nebo řekl) nemusel ověřovat v RFC-dokumentech nebo na W3.ORG, a přitom v polovině případů tam bylo napsáno něco jinak anebo alespoň tam byly uvedeny určité podmínky, za nichž by to tak pak možná mohlo být. Naposledy takto někde neobjektivně psal něco o bezpečnosti a rychlosti PHP ve srovnání s jinými prostředky. Stejně mé názory nikdo nebral oproti Jirkovi vážně, dokud jsem to nenašel na www.php.net .

Ale přece všude mají nějakého redaktora, editora, recenzenta. A ten se musí zeptat, opravdu jste jeli do Chuchle drezínou - nebo to bylo IRC ? Když náhodou nějaký český autor napíše něco, co nepřevzal odjinud, tak se tomu potom, bohužel, nedá hned věřit. A takovíto lidé svým novinářským přístupem (jako nedávno jiný známý český autor, který už zapomněl, zda tu programovou fintu sám kdysi vymyslel nebo opsal) znevěrohodňují veškerou českou odbornou literaturu o Internetu.

P.S.
Ještě rada pro začínající hackery. Takto jak píše Jirka, že se dají mazat stránky, to nedělejte. To by Vás chytli už po prvním pokusu!