title image


Smiley Re: Zonealarm: Apache Server freigeben?
>>der Apache ist rein zu Testwecken installiert und dass es sich ab und an jemand mal über die dynalias adresse anschaut<<



dagegen spricht auch nichts wenn der nicht 24/7 verfügbar ist. Nur die Spielregeln sind für alle Webserver die selben.



Ich seh nur ständig Herrschaften die sich eine serverapplikation per "plug & play" installieren und sich der Risken nicht mal ansatzweise bewusst sind.



Da wird munter ein webserver installiert vielleicht noch als WAMPP wobei das OS weiterhin als Produktivumgebung dient, oder wenn man schon so schlau ist das zumindest zu trennen dann steht das Prachtstück im eigenen LAN anstatt eine DMZ einzurichten, von der Konfig mal abgesehen. Das Regelwerk, das in Unternehmensnetzwerken nicht grundlos einzug gehalten hat wird im homeuserbereich viel zu sehr auf die leichte Schulter genommen.



>>erst seit ich wollte dass es auf meinem normalen PC läuft hab ich das Prob mit Zonealarm.<<



Im Gegensatz zum PC den man gegen den Zugriff von aussen sehr gut absichern kann ist und bleibt ein Server eine unsichere Komponente solange der Dienste wie in deinem Fall HTTP ins WAN anbietet, was ureigentlich seine Kernaufgabe darstellt;O)



>>Klar ist es die free Version, verstehe nur nicht, warum ich z.B. auch problemlos meine Rechner im lokalen Netzwerk (unterhalb des Routers) mit dem Name komplett freigeben kann<<



weil das LAN segment hier entweder automatisch als sicher eingestuft wird oder es einer vertrauenswürdigen Zone zuordnen kannst. Für das WAN gilt dies ja nicht wirklich. Jeder vernünftige Paketfilter verwirft unaufgeforderde Anfragen aus dem WAN und solange dir nicht ermöglicht wird, definitiv eine Regel für WANseitige Port80 anfragen zu erstellen wirst du mit ZA nicht glücklich. Ich will auch nicht gänzlich eine inkompatibilität zwischen ZA und dyndns auschliessen, nur ist zumindest mir nichts darüber zu ohren gekommen.



>>die dann sogar von anderen Internet Rechnern erreichbar sind (die nfreigegeben Ordner) aber eben die dynalias Adresse des Servers nicht...<<



auf denen läuft aber deiner Beschreibung nach ZA nicht, oder hab ich das was falsch verstanden?



Zum eigentlichen Thema weil du offensichtlich Paketfilter falsch einschätzt, was glaubst du welchen Schutz dir dieser noch bietest wenn er alle eingehenden port80 anfragen passieren lassen muss. übrigens das gilt für alle etwaigen weiteren dahinter geschaltenen genauso. Sofern du eine serveranwendung exponierst schützt dich vor den vorherrschenden Gefahren bestenfalls die stets gepatchte serverarchitektur, ZA interessiert sich beispielsweise für cross side scripting Attacken herzlich wenig. Auf die Angriffsvektoren wie den markeding gag IDS von ZA &d Co will ich jetzt gar nicht wirklich eingehen



Und genau das ist der grund warum man Webserver gar nicht gut genug schützen kann und man die nicht blindlinks im LAN integriert und WANzugriff darauf gewährt.



härten, patchen, gegebenenfalls von der "trusted zone" (LAN) physisch (DMZ) abschotten. ZA und alle anderen Paketfilter sind dir bei diesen Massnahmen keine effektive Hilfe vorallem dann nicht wenn sie sich auf dem selben OS wie die serverapplikation befinden.





geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: