החלטתי לעשות לי היום ניסוי קטן באבטחת מידע...

לראות מה שווה הפטנט שמיקרוסופט מוכרת כ"משפר אבטחת מידע"...

לצורך העניין הרמתי LAN והרמתי DMZ, כאשר ב DMZ התקנתי Exchange (הגירסא היא 2003 אם זה משנה), ועבדתי לפי המסמך הבא: http://technet.microsoft.com/en-us/...b452da82ad.aspx

יש לשים לב שחלק מהמסך הזה דרש לפתוח את כל טווח הפורטים 1024-65535 TCP (מטורף לחלוטין בתור דרישת ברירת מחדל למוצר שטוען לאבטחה, לדעתי, אבל מה אני מבין - זרמתי עם זה...)

או-אז, ניסיתי להתחבר סתם ב RDP מתוך ה LAN לשרת שב DMZ (יש לציין שיש כלל שמותר לפתוח חיבורי TCP חופשי מה LAN ל DMZ, וגם שפאקטים מחיבורים כאלה שנוצרו, בנתיב החזור, מאושרים) - ואז...

מה שקרה אז, הוא שבשלב ה Login ל RDP דברים התחילו להתקע, וכמו כן הגיעו כל מיני שגיאות של חיבור ל WWW service וגם אזהרות ממנגון ה DEP (אולי כי הרצתי על 2003R2? חדש מדי? באמת הייתה אזהרה בהתקנה של Exchange שהוא לא מתאים לגירסת מערכת ההפעלה שלי. מעניין למה Exchange 2003 מתאים אם לא לחלונות 2003 סרבר. למי הפתרונים - אתם בוודאי יודעים...). אז הרצתי סניפר על הפיירוול, ואז גיליתי שהמכונה מנסה לעשות כל מיני דברים כמו: לגשת לפורט TCP 445 (לא מופיע ברשימה של מיקרוסופט), לשלוח פינגים לשרת ה backend (למה??? לא ייתכן שזה שבשביל לבדוק שהוא פועל, כי עובדה שאחרי שלא התקבל כל מענה [בגלל הפיירוול] - הוא המשיך לנסות סוגי חיבורים אחרים) - המשך בפורט 139 הידוע לשמצה, ועוד ועוד.

אולי אני לא ניגש לבדיקת אבטחת המידע שלי מהכיוון הנכון. ייתכן שהכלל הנכון בפיירוול עבור חיבור בין שרת front end לשרת back end הוא בפשטות.... permit any any ?

נמאס לכם לזכור סיסמאות? לחצו כאן!

הפורטים הלא מוכרים (445, 139) הם בגלל ה netbios, תבטל אותו (אם אין לך סביבה מרובת דומיינים בחלונות 2003 זה לא אמור ליצור בעיות)
http://www.petri.co.il/disable_netb...w2k_xp_2003.htm

טווח הפורטים הענק (1024+) הוא בגלל צורת העבודה של הRPC, כדי שלא יוכלו להסניף לך לרשת, נפתחת בקשה לRPC דרך פורט 135, ואז הוא בוחר פורט אקראי בטווח הנ"ל.
אם אתה לא חושש מבחירת פורט סטאטי, אתה יכול לקבוע אחד, או לפחות להקטין את הטווח...
http://support.microsoft.com/kb/154596

לגבי גירסת מערכת ההפעלה, נשמע מוזר, אבל אני לא ניסיתי להתקין EX2003 על R2... למרות שלא אמורה להיות בעיה, כי בסופו של דבר עד כמה שאני ראיתי, זו אותה מערכת הפעלה עם תוספות שלקוחות של מיקרוסופט כתבו...

אני יודע מה הם הפורטים האלה; אני לא מבין למה המסמך של מיקרוסופט לא מדבר עליהם או לכל הפחות לא אומר לי לבטל אותם. למה אני צריך לשמוע את זה ממך?

כל פעם שאני עושה משהו שקשור אליהם, יש לי כמה אמרות בראש ואלו הן:

1. זה אמור להיות למטומטמים; כל אדיוט אמור להיות מסוגל להפעיל את זה בכמה קליקים, כך הרי נוצרים "פאבים" באינטרנט...
2. ביל גייטס הכריז על Trustworthy Computing - זה אומר שעשו צעדים בכיוון האבטחה
3. ה TCO של זה נמוך יותר משל לינוקס!!! לעשות את אותו דבר בלינוקס היה הרבה יותר יקר!

וכל פעם מחדש, וגם הפעם, אני מגלה ש:
1. לא רק שזה לא פועל על פי "חוש המישוש", גם המסמך הרשמי של היצרן, כתובות בו שטויות (ואני אתן לך לנחש לבד כמה זמן לוקח להרים סביבה דומה עם מוצרים לא שלהם...)
2. אני צריך לפתוח, במוצר שהומצא כדי להגדיל את האבטחה, לא פחות מ 64,520 פורטים (TCP ו UDP) בין DMZ לבין LAN. יש לשים לב, שאם לא היה השרת הזה, היה אפשר לפתוח מהאינטרנט רק את פורט 443 ולהגיע לאותו סוג של שירות, וכנראה בדיוק אותה רמת אבטחת מידע (?)
3. המוצר דורש עוד רשיון למערכת הפעלה, לשרת דואר, והמון זמן כדי להפעיל אותו, אפילו שעושים לפי ההוראות...

ואתה רוצה שאני לא אהיה מתוסכל?

נ.ב. למטרה המקורית של האשכול לא ענית לי: אני מעוניין ברשימת הדברים הנכונה של מה שצריך להיות פתוח בפיירוול... הספיקו לי השעות של הניסוי והתעיה... (לפחות הפיירוול הוא לינוקס ולא צ'קפויינט, אחרת לגמרי הייתי משתגע כאן מרוב Install Policy-ים )

נמאס לכם לזכור סיסמאות? לחצו כאן!

אבל אתה צריך לזכור שמיקרוסופט דואגים שמוצרים שלה יעבדו טוב בעיקר עם מוצרים של עצמה...
אז מה שאתה צריך למצוא זה מוצר דומה לfirewall שלך מבית מיקרוסופט (ISA) ולראות את ההוראות שם.
http://www.microsoft.com/technet/is...xchage2003.mspx

זה נראה מספיק (חוץ מנושא ה netbios שגם פה לא מופיע, אבל גם-ככה הוא לא אמור להוות הפרעה כי אם יש לך הפרדה ברמה של פיירוול מהלקוחות לשרת, אתה בטח לא רוצה שברודקסטים יעברו אליו)

לגבי התסכול - אני שותף להרגשה שלך... אבל בזכות רגעים כאלו מעריכים את מנהלי הרשת שיודעים קצת יותר מ:
"???next --> next --> finish --> omfg why isn't it working"

שכחתי לעדכן שמצאתי מה הבעייה.

מסתבר שאקסצ'יינג' המקורי פשוט לא מסוגל לעבוד על 2003R2. צריך SP. אני לא בטוח אם 1 או 2. שניסיתי להתקין את 2, זה נכשל. למה זה נכשל? כי צריך להתקין את 1 קודם. הוא אומר את זה? לא, לא ממש. הוא פשוט קורס, ומשאיר בלוג הודעה קריפטית למדי, שלא מעלה שום תוצאה שקשורה ל SP-ים בגוגל.

ההוראות שעקבתי אחריהן, הגעתי אליהן מהדף שמדבר על ISA. זה לא קשור למיקרוסופט. זה קשור לטעויות בתיעוד שלהם לגבי תמיכה בגירסאות. במקרה ביליתי ב Technet במהלך כל הנסיונות האלה, והם נתנו לי למלא סקר. אז מילאתי אותו. הסברתי להם שהמוצר שלהם והמידע שכתוב ב Technet צריכים להסכים אחד עם השני, לא להתווכח אחד עם השני (הייתי גם נותן להם את הפתרון, אבל טרם מצאתי אותו כשיצאתי מה Technet...) - אבל כנראה שהמידע השגוי יישאר שם. לא ביקשו ממני אימייל על מנת ליצור קשר, כך שאני משער שהמידע שנאסף שם הוא לצורך סטטיסטיקת Marketing בלבד...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אתה גם-ככה עושה אותו דבר, פחות טכנולוגיה וכנראה פחות עצבים