Al een tijd lang kan ik vanuit huis inloggen via bestandsdeling op de server van de (mijn) zaak. Dat doe ik via Appeltje-K, extern IP-adres van de server en accountnaam + wachtwoord invoeren en ik kan bij mijn bestanden. (Uiteraard heb ik wel de afp-poort (ik dacht 548) geforward naar de server).

Maar: ik heb gelezen dat dit een heel onveilige manier van werken is. Klopt dat, en zo ja, wat is het beste alternatief?

Dank,
evdb

(Bewerkt door evdb om 14:31, 25-12-2009)

Ik doe dat ook maar op een andere manier. Ik moest van onze systeembeheerder een bepaald programma downloaden. Dat klik ik aan, vul mijn naam en wachtwoord in en ik kan erop.
vWorkspace client heet dat programma maar dat is voor Windows. Als ik inlog moet ik kiezen voor client of java. Ik moet dan Java kiezen.

Dat is zeker zeer onveilig aangezien bij de door jou gebruikte manier alle inlognamen en wachtwoorden zonder enige vorm van beveiliging over internet gaan. Dit kan je het beste oplossen door een VPN verbinding te maken. Misschien moet je aan je systeembeheerder vragen hoe je dit kan realiseren.

@bbal,

dat is ook wel zo, maar uit ervaring kan ik je zeggen dat er ook nog van die space junky's zijn die er alleen maar op uit zijn om zo veel mogelijk schade aan te richten. Wij hebben het meegemaakt dat 's ochtens de server dus gewoon geheel leeg is door een inbraak via internet. (niet onze eigen server gelukkig)

als het louter om bestanden gaat kan je een WEBDAV service opstellen via https.. wel zelf een certificaat genereren.

evdb om 14:26, 25-12-2009
Al een tijd lang kan ik vanuit huis inloggen via bestandsdeling op de server van de (mijn) zaak. Dat doe ik via Appeltje-K, extern IP-adres van de server en accountnaam + wachtwoord invoeren en ik kan bij mijn bestanden. (Uiteraard heb ik wel de afp-poort (ik dacht 548) geforward naar de server).

Maar: ik heb gelezen dat dit een heel onveilige manier van werken is. Klopt dat, en zo ja, wat is het beste alternatief?

Als er ook maar -iets- belangrijks op die server staat ben je zo ongelooflijk de Sjaak. Hoe is dit uberhaupt bij je/jullie opgekomen?  

Daarnaast maken dit soort stomme trucs het ook mogelijk dat kwaadwillenden toegang krijgen tot andere delen van je systeem, zodat zij hun eigen serversoftware op jouw server gaan draaien. Hallo spambot / malware / (kinder)porno. Wat Bbal ook zegt of denkt, dit is exact waar slecht beveiligde servers op het Internet voor worden gebruikt.

Me dunkt dat je A) je server eens goed moet dicht timmeren en B) je server(s) eens heel goed moet controleren op onverwachtte "extraatjes".

(Bewerkt door Cailin Coilleach om 22:48, 25-12-2009)

     

Ik ben kennelijk heel dom geweest. Bedankt voor jullie adviezen.

@Cailin: Hoe zou jij het gaan aanpakken? VPN? Of anders?

VPN of SSH met tunnels is inderdaad een heel goed idee.

Mocht je iemand nodig hebben voor een audit op die bakken dan houd ik me aanbevolen.

EDIT:
Zoals we in je andere thread zien is het al te laat. Gefeliciteerd, je bent gehacked.

(Bewerkt door Cailin Coilleach om 7:20, 26-12-2009)

Ehm..ben je niet een beetje overtrokken aan het reageren, Cailin?

Wat betreft het openzetten van poort 548: dat is niet de meest aanbevolen manier van filesharen, maar als je een beetje recente versie van OS X hebt, wordt de authenticatie encrypted gedaan. Je wachtwoorden worden dus niet via het internet verstuurd. Alleen hele oude OS X versies doen dit volgens mij in sommige gevallen nog via cleartext passwords.

Als het openzetten van poort 548 zo onveilig zou zijn, dan zou elke Mac die rechtstreeks aan het internet hangt met bestandsdeling aan, volgens jou zonder problemen te hacken zijn.
Als dat het geval zou zijn, zou Apple hier uitgebreid voor waarschuwen, want iedereen die met een usb-dongle verbinding maakt, zit bijvoorbeeld al rechtstreeks op internet.

Los daarvan biedt het gebruik van VPN wel voordelen, omdat je dan ook andere services op je server kan benaderen, en bijvoorbeeld kunt printen naar printers op je kantoor.

Van VPN en SHH weet ik helemaal niks, behalve dat het bestaat. Ik ga mijn nieuwe systeembeheerder inschakelen om alles op de schop te gooien. Ik krijg er angstdromen van.

Dank en Cailin, als ik er niet uitkom, neem ik graag contact met je op.
Dank!
evdb

Goed bezig in het andere draadje evdb.   Succes er mee en laat je ons weten wat die systeembeheerder uiteindelijk voor je gaat bouwen? *gokt op VPN, wat redelijk makkelijk is met Mac OS X*

Je bedoelt het toch niet cynisch Cailin?

Natuurlijk breng ik hier verslag uit van de resultaten. Mijn systeembeheerder heb ik al een uitgebreide mail gestuurd met wat er aan de hand is. Het bedrijf zal morgen - na de kerstdagen - ongetwijfeld reageren. Tot later en nogmaals dank voor de wijze raad.

evdb

Zeker niet cynisch, anders had ik een andere smily gebruikt

Ik had beloofd nog te laten weten hoe het allemaal aangepakt zou worden door mijn systeembeheerder. Nou, vorige week is er een nieuwe server geinstalleerd (MacMini Server). Er is een VPN-verbinding opgezet, zodat ik vanuit huis kan inloggen op de server die op de zaak staat. VPN dus...

Dank voor alle hulp!

Groeten,
evdb