Autor Zpráva
Joan
Profil
Zdravím,
napadlo mě nechat si udělat test bezpečnosti na těchto stránkách. A napsalo mi to, že

80 WWW server Na vašem počítači, popř. serveru, běží veřejný internetový server. Vaše linka do Internetu je sdílena s uživateli vašich stránek. Pokud není webový server dobře nastaven a aktualizován, lze jej napadnout. Je to hackery nejvíc napadaná služba.

Mám nainstalovaný WAMP server a chci ho občas používat, ale nemám představu, jak jej mám zabezpečit, aby port 80 nebyl (trvale?) otevřený a současně aby WAMP server fungoval. A souvisí to spolu? Poradíte mi prosím někdo? Vůbec nevím, kam sáhnout... Díky!
Davex
Profil
Nemáš náhodou nějaké sdílené připojení? Na tvé veřejné IP adrese běží WebProxy a nikoliv WAMP, takže z internetu se na tvůj počítač asi nikdo nedostane. Kdyby byl tvůj počítač zapojený do internetu přímo (některá síťová karta by měla veřejnou IP adresu), tak by se to řešilo zapnutím firewallu.
Joan
Profil
Sdílené připojení určitě žádné nemám, na Win XP Home to snad ani nejde, nebo si to s něčím pletu? Nepoužívám vůbec žádné programy na sdílení dat (torrenty apod.), ani Skype, na portu 80 mi běží jen a pouze WAMP a vlastně připojuji se přes něj do internetu, nic víc. Firewall mám zatím pouze vestavěný Windowsácký, protože Comodo nějak neumím pořádně nastavit... IP adresu mi přiděluje Netbox dynamicky přes DHCP server a síťovou kartu mám myslím jen jednu.
Jaké riziko představuje nezabezpečený port 80 ve vztahu k internetovému bankovnictví?
Davex
Profil
Joan:
Situace se od dopoledne změnila a opravdu ti tam běží WAMP, asi to byl nějaký šum na drátech.

V nastavení firewallu by mělo stačit změnit pro WAMP nastavení IP adres, ze kterých je povoleno připojení. Viz nastavení podle obrázku: http://img828.imageshack.us/i/apachefirewall.gif/

Jaké riziko představuje nezabezpečený port 80 ve vztahu k internetovému bankovnictví?
Kdyby ve WAMPu běžela nějaká děravá aplikace, tak by ti mohl útočník nahrát do počítače třeba trojského koně nebo keylogger.
Joan
Profil
Davex:
V nastavení firewallu by mělo stačit změnit pro WAMP nastavení IP adres, ze kterých je povoleno připojení.
Ty jsi zlatý, test už mi prošel bez jediné chybičky! Mít tak všechny ty znalosti, které bych potřebovala a které sbírám po střípkách...
Moc děkuju, můžu zas klidně spát :)
tomasii
Profil
Ahoj.

Taky se mi objevila stejná hláška na dvou pc, která jsou připojena na internet. Používám port 80 pro port forwarding webových kamer, ke kterým se pak můžu připojit i z internetu. Port forwarding je nastavený na wifi routeru, přes který jsem připojen k poskytovateli připojení.

Je to na závadu, nebo lze port 80 nějak chránit (uzavřít) a přesto mít i nadále možnost monitorování kamerami?

Dík předem za zprávu.
LudekBrno
Profil
tomasii:
Jde to, stačí změnit port z 80 na jiný, třeba 81 a změnit forwarding v routeru a na kamery by ses potom připojoval zadáním IP adresy spolu s portem ve formátu např. "89.155.35.78:81". Záleží ale na tom, jak jsou ty webkamery připojené. Pokud jsou samostatné a připojené přímo do routeru, tak nic nehrozí, protože ten webserver jede přímo v těch kamerách a s počítačem nijak nesouvisí. Pokud jsou kamery připojeny přes USB do počítače a jejich webserver běží na PC pod windows, tak teoretické nebezpečí hrozí.
tomasii
Profil
LudekBrno:
Dík za odpověď.
Kamery jsou samostatné v síti s lokálními adresami 192.168.1.10x a v routeru je nastavený port forwarding formou
Private IP________Private port _______Public port
192.168.1.10x_______80______________800x
kde x je číslo kamery.
Zvenčí se pak připojuji přes http:\\externí_adresa:800x

V kamerách by možná šel přestavit port na 81, nepřestěhoval by se pak problém na port 81?
LudekBrno
Profil
tomasii:
Pokud jsou kamery samostatné, tak žádný problém neexistuje, protože router směruje port 80 přímo na kamery, počítače se to vůbec netýká. A v nich běží samostatný web server, který jen tak nikdo hacknout nemůže a už vůbec nemůže skrze něj napadnout počítač. Takže to nemusíš řešit, žádné nebezpečí to ve tvém případě neznamená. Jen tak mimochodem, pokud máš ty kamery dvě, jak vlastně rozlišuješ, kterou chceš zrovna sledovat? Normálně se to právě řeší tak, že jedna se nechá třeba na portu 80 a druhá na 81 a zadáním IP adresy s portem 80 nebo 81 rozlišuješ, do které tě router přesměruje.
tomasii
Profil
LudekBrno:
Mám celkem 6 kamer s adresami 192.168.1.100 - 192.168.1.106
Doma se na ně dostanu přes tyto adresy, což je jasné.
Zvenčí se dostanu přes adresy http:\\moje_externi_adresa.cz:8000 - http:\\moje_externi_adresa.cz:8006
protože je mám v rooteru přiřazené přes port 80:
192.168.1.100 přes port 80 na externí adresu 8000 (čili na http:\\moje_externi_adresa.cz:8000)

192.168.1.106 přes port 80 na externí adresu 8006 (čili na http:\\moje_externi_adresa.cz:8006)

Port 80 tedy navenek nepoužívám, je použitý jen interně. Proto jsem nepochopil, proč je zvenčí vidět (tedy pokud se nejedná o nějaké přímé přiřazení něčeho jiného k portu 80 - něco jako http:\\moje_externi_adresa.cz:80)
LudekBrno
Profil
To je zvláštní, pokud nemáš port forwarding portu 80, tak by ti tam žádný web server běžet nikde neměl. Zkus to jednoduše, někde zvenčí z internetu (třeba u kamaráda, ne na své domácí síti) zkus zadat svoji vnější IP adresu. Pokud ti nějaký test tvrdí, že ti tam jede web server, mělo by se ti něco objevit. Napadá mě, že tam může viset například administrace tvého routeru, což není moc rozumné.
Davex
Profil
tomasii:
Proto jsem nepochopil, proč je zvenčí vidět (tedy pokud se nejedná o nějaké přímé přiřazení něčeho jiného k portu 80 - něco jako http:\\moje_externi_adresa.cz:80)
Něco tam běží. Stačí se připojit na veřejnou adresu jak píšeš a podívat se.

LudekBrno:
Napadá mě, že tam může viset například administrace tvého routeru
Ano, vypadá to jako administrace WiFi klienta Ubiquity.
tomasii
Profil
Davex a LudekBrno:
Router je skutečně Ubiqiti Nanobridge M5 a mám povolený přístup správce sítě (pod heslem). Nastavení sekce web server:
Web Server: Enable
Secure Connection (HTTPS): Disable
Secure Server Port: 443
Server Port: 80
Session Timeout: 15 minutes

Takže to by mohlo být ono (?)
Davex
Profil
tomasii:
Ano, to je ono.
tomasii
Profil
Tak pánové díky za podporu. S portem 80 tedy nic neudělám, port bych sice mohl zřejmě zavřít, nicméně by mě správce sítě moc nepochválil, protože občas sahá do konfigurace routerů.
Amunak
Profil
tomasii:
Tak se s ním domluv ať alespoň změní port. Přestože má router nejspíš nějaké omezení na počet pokusů o přihlášení, případný útočník má krásnou, otevřenou cestu jak napadnout síť. A prakticky nekonečně času na to zkoušet hesla. Pokud je tam nějaké krátké nebo dlouhé, můžeš mít problém. Přesunutí na jiný port (pokud možno nějaký nestandardní vysoký) by pomohlo, pokud není možnost zavřít to úplně. Z vlastní zkušenosti vím, jak se mi někdo (nějaký robot maskovaný za adresou z ameriky) pokoušel vlézt na router právě když zjisitl že tam je web interface. Povolil jsem si přístup jen z místní sítě a je to vyřešené. Pokud by se tam chtěl dostat můj provider, stačí, když se ozve (přestože jde o jeho router). Nebudu čekat, až to heslo doopravdy někdo uhodne.
LudekBrno
Profil
tomasii:

S portem 80 tedy nic neudělám, port bych sice mohl zřejmě zavřít, nicméně by mě správce sítě moc nepochválil, protože občas sahá do konfigurace routerů.

Ten správce sítě předpokládám asi zásahy nebude provádět z vnějšku, ale vždy z vnitřní sítě. Takže by bylo rozumné vypnout management přes WAN. To nijak možnosti jeho přístupu neovlivní a na vnější IP adrese už nebude viset žádný web server. Pokud však potřebuje pracovat i z domu (konfigurovat router přes internet), tak alespoň ověř dostatečnou sílu přístupového hesla protože to není žádná legrace, kdyby se vám do konfigurace routeru někdo zvenčí dostal.

Vaše odpověď

Mohlo by se hodit

Zvažte, zda se neobrátit na specializované fórum, toto se zabývá především webovou problematikou.

Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: