 |
|
|
|
| Autor |
Nachricht |
Michael008
Anmeldungsdatum: 14.01.2005
Beiträge: 325
Wohnort: Stuttgart
|
 Verfasst am:
So 20 Aug, 2006 23:55 |
  |
|
Hallo Experten,
kann mir jemand sagen wie ich einen bestimmten Port, in diesem Fall (3306) temporär öffne.
Ich stelle mir das so vor:
1)
Man wählt sich über https auf den Router ein und (geht natürlich schon)
2a)
kann dann dort als sehr eingeschränkter Benutzer (welche Benutzerrechte?)
2b)
eine Regel aktivieren, (Regel müsste teilweise schon vorhanden sein, angepasst und aktiviert werden)
3)
die die aktuelle Client-IP für 30Min auf den Port durchlässt.
(eine Aktion, aber mit welchem Triger und welchem Befehl?)
Router: 1711 (FW 6.12).
Danke, ich bin gespannt auf euere Antworten.
---------------------------------------------------------
@ADMIN, thread ist leider in der falschen Kategorie,
bitte in Kategorie Firewall verschieben. - Danke |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
Michael008
Anmeldungsdatum: 14.01.2005
Beiträge: 325
Wohnort: Stuttgart
|
| Verfasst am:
Di 29 Aug, 2006 13:29 |
|
|
Sry, wenn ich hier nochmal nachfrage,
geht das Vorhaben überhaupt nicht?
An was scheitert es?
Danke für Antworten. |
|
|
|
|
Drachenlady
Anmeldungsdatum: 29.06.2006
Beiträge: 82
|
| Verfasst am:
Di 29 Aug, 2006 14:11 |
|
|
1) Im Router kann nur der Routeradmin die Regeln ändern. Sonst köönnte ja jeder das ganze (Firmen)netzt verdrehen.
2) Eine Regel, die nach Triggern nur 30 Minuten gilt? Ähmm. Geht wohl kaum. Firewalls haben feste Regeln.
3) Warum verwendest du keine Benutzerverwaltung in MySQL? |
_________________
Lancom 1821 Wireless ADSL (Annex B) Rev. E - LCOS 7.58.0045 MOD-E6.WI2 (KW50/05) -
ADSL 448/96 (T-Com) - DSLAM Infineon - Leitgsc. 6.26b/E74.02.54 - Leitgm. G.992.1
Win7 |
|
|
|
Michael008
Anmeldungsdatum: 14.01.2005
Beiträge: 325
Wohnort: Stuttgart
|
| Verfasst am:
Di 29 Aug, 2006 16:30 |
|
|
Danke für die Antwort/Frage
| Drachenlady hat folgendes geschrieben:
|
|
1) Im Router kann nur der Routeradmin die Regeln ändern. Sonst könnte ja jeder das ganze (Firmen)netzt verdrehen.
|
Wenn ich das richtig im Kopf habe kann man sogar die Defaultroute bzw. die Defaultverbindung als Benutzer ändern, warum also keine Firewallregen aktivieren, die bereits existiert.
| Drachenlady hat folgendes geschrieben:
|
|
2) Eine Regel, die nach Triggern nur 30 Minuten gilt? Ähmm. Geht wohl kaum. Firewalls haben feste Regeln.
|
Da gibt es meiner Meinung nach 2 Ansatzpunkte, Cron und Aktionslisten. Wenn man eine Cronregel erstellt, die die entsprechende Firewallregel wieder zurücksetzt könnte es gehen. [aktuelleZeit+30Min][FWregel deaktivieren]
| Drachenlady hat folgendes geschrieben:
|
|
3) Warum verwendest du keine Benutzerverwaltung in MySQL?
|
Ich möchte eigentlich noch mehr Ports öffnen, außerdem ist ein unerreichbarer Dienst, meiner Meinung nach, besser geschützt, als einer mit Benutzerverwaltung.(Es gibt immer wieder Sicherheitlücken) Mysql sollte dauerhaft nur vom Apache Computerintern abgerufen werden. Diese ganze Konstellation ist gedacht, dass sich die Entwickler "einwählen" können.
Ist die ganze Idee eurer Meinung nach eher idiotisch oder genial?
Danke für Antworten |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Di 29 Aug, 2006 17:41 |
|
|
Hi Michael008
| Zitat:
|
|
Wenn ich das richtig im Kopf habe kann man sogar die Defaultroute bzw. die Defaultverbindung als Benutzer ändern, warum also keine Firewallregen aktivieren, die bereits existiert.
|
nein, als einsgeschränkter User darfst du nur Wizards laufen lassen - und auch nur die, die der Admin dir erlaubt hat...
| Zitat:
|
|
Da gibt es meiner Meinung nach 2 Ansatzpunkte, Cron und Aktionslisten. Wenn man eine Cronregel erstellt, die die entsprechende Firewallregel wieder zurücksetzt könnte es gehen. [aktuelleZeit+30Min][FWregel deaktivieren]
|
das geht in der Form leider nicht...
| Zitat:
|
|
Ich möchte eigentlich noch mehr Ports öffnen, außerdem ist ein unerreichbarer Dienst, meiner Meinung nach, besser geschützt, als einer mit Benutzerverwaltung
|
das macht hier doch keinen Unterschied: Du hast die Userverwaltung nur in das LANCOM verlagert. Wenn da ein Angreifer drauf kommt, dann kann er noch viel mehr Schaden anrichten als auf der Datenbank...
| Zitat:
|
|
Diese ganze Konstellation ist gedacht, dass sich die Entwickler "einwählen" können.
|
warum richtest du den Entwicklern nicht einfach VPN-Zugänge ein und schaltest in der Firewall den Zugang zum SQL-Server (und nur den) nur für diese Zugänge frei. Den Entwicklern gibst du dann noch ein Zertifikat für die VPN-Einwahl, so daß das Username/Paßwort-Problem gar nicht erst gegeben ist.
Ach ja: und nicht vergessen, die Konfiguration des LANCOMs über das WAN zu verbieten...
| Zitat:
|
|
Ist die ganze Idee eurer Meinung nach eher idiotisch oder genial?
|
willst du eine ehrliche oder eine nette Antwort auif diese Frage?
Gruß
Backslash |
|
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Di 29 Aug, 2006 18:03 |
|
|
Hallo Michael,
Ich habe erstmal die Meinung eines Lancom´ers abgewartet, da ich mir auch nicht sicher war, ob da was möglich ist.
Aber backslash hat es ja jetzt verneint.
Ich habe einen anderen Punkt, außer die sicherlich eleganteste Lösung - VPN, zum ansetzen...
Nutzt ihr eine Mail-Server, der direkt per SMTP empfängt, oder nur POP3?
Der Gedanke...
Mit Outlook lassen sich über VBA-Macros Scripte oder Programme starten, wenn eine email, mit bestimmten Betreff reinkommt.
So die Idee...
Du könntest tftp-Scripting für die Lancom-Konfig nutzen und die Teilkonfiguration für diese, von dir oder den Entwicklern benötigten Ports auslagern.
Beim Eintreffen der email wird ein Script(oder Batch) gestartet, was zuerst das erste tftp-Script startet, welches die Ports freischaltet, dann eine Pause in der Abarbeitung von 30 Minuten(oder wie auch immer) macht, danach ein zweites tftp-Script startet, welches die Änderungen wieder rückgängig macht.
Funktionieren würde das, habs bei mir ähnlich, aber nicht mit email und Outlook.
Da ich aber auch noch nicht viel mit VBA gemacht habe, kann ich dir nichts direkt auf dem Tablett liefern. Aber Google wird helfen.
Zum Scripting mit Lancoms, siehe auch hier:
http://www2.lancom.de/kb.nsf/fe78f8220e112...enDocument |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
Drachenlady
Anmeldungsdatum: 29.06.2006
Beiträge: 82
|
| Verfasst am:
Di 29 Aug, 2006 18:41 |
|
|
Ich würde VPN vorziehen.
Oder machen bei euch die Entwickler so viel Unsinn miteinander und auf dem Server, dass sie auf 30 Minuten begrenzt werden müssen? |
_________________
Lancom 1821 Wireless ADSL (Annex B) Rev. E - LCOS 7.58.0045 MOD-E6.WI2 (KW50/05) -
ADSL 448/96 (T-Com) - DSLAM Infineon - Leitgsc. 6.26b/E74.02.54 - Leitgm. G.992.1
Win7 |
|
|
|
|
|
|
|
| |
|
|
