Re: [FUG-BR] pfSense - acesso sem senha ao lightsquid e phpsysinfo
Welkson Renny de Medeiros escreveu: Senhores, Não sei se já perceberam isso... para acessar a página de configuração do pfsense o mesmo pede senha... mas se tentar acessar diretamente a página do phpsysinfo ou lightsquid a senha não é solicitada. Ao meu ver, uma grave falha de segurança.. já que expõe bastante informação sobre o servidor e o acesso a site dos clientes. Já perceberam esse detalhe? na versão beta também ocorre isso? eu testei na stable 1.2. Acho que um .htaccess talvez resolva o problema... se bem que no lighthttpd não sei se pode usar htaccess =) Estive vendo isso no começo do ano porém o que fiz é permitir que apenas a rede interna acesse tal conteudo, embora fica exposto para a rede interna, quem de fato poderia se beneficiar desses dados que é o acesso externo está bloqueado. eu no caso boquiei a porta 8080 do pfsense para a wan. Alguma sugestão seria interessante.. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] pfSense - acesso sem senha ao lightsquid e phpsysinfo
Paulo Henrique escreveu: Welkson Renny de Medeiros escreveu: Senhores, Não sei se já perceberam isso... para acessar a página de configuração do pfsense o mesmo pede senha... mas se tentar acessar diretamente a página do phpsysinfo ou lightsquid a senha não é solicitada. Ao meu ver, uma grave falha de segurança.. já que expõe bastante informação sobre o servidor e o acesso a site dos clientes. Já perceberam esse detalhe? na versão beta também ocorre isso? eu testei na stable 1.2. Acho que um .htaccess talvez resolva o problema... se bem que no lighthttpd não sei se pode usar htaccess =) Estive vendo isso no começo do ano porém o que fiz é permitir que apenas a rede interna acesse tal conteudo, embora fica exposto para a rede interna, quem de fato poderia se beneficiar desses dados que é o acesso externo está bloqueado. eu no caso boquiei a porta 8080 do pfsense para a wan. Alguma sugestão seria interessante.. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Dei uma olhada no conf do lighthttpd, ao meu ver o mod_auth vem desativado por padrão... fiz um teste com htaccess/htpasswd e não funcionou (http://redmine.lighttpd.net/projects/lighttpd/wiki/Docs:ModAuth) O http já vem desativado na wan por default, mas geralmente eu habilito, facilita para ver algumas broncas (claro que troca a senha default, e altero para HTTPS). Habilitar o mod_auth no conf do lighthttpd provavelmente não vai resolver, já que o pfsense ler o XML e grava tudo em tempo de execução. Bem complicado mesmo =) -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes welk...@focusautomacao.com.br Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] pfSense - acesso sem senha ao lightsquid e phpsysinfo
Abre um bug lá no projeto, vai ver eles podem resolver http://cvstrac.pfsense.org/tktnew Abs[] 2009/4/6 Welkson Renny de Medeiros welk...@focusautomacao.com.br: Paulo Henrique escreveu: Welkson Renny de Medeiros escreveu: Senhores, Não sei se já perceberam isso... para acessar a página de configuração do pfsense o mesmo pede senha... mas se tentar acessar diretamente a página do phpsysinfo ou lightsquid a senha não é solicitada. Ao meu ver, uma grave falha de segurança.. já que expõe bastante informação sobre o servidor e o acesso a site dos clientes. Já perceberam esse detalhe? na versão beta também ocorre isso? eu testei na stable 1.2. Acho que um .htaccess talvez resolva o problema... se bem que no lighthttpd não sei se pode usar htaccess =) Estive vendo isso no começo do ano porém o que fiz é permitir que apenas a rede interna acesse tal conteudo, embora fica exposto para a rede interna, quem de fato poderia se beneficiar desses dados que é o acesso externo está bloqueado. eu no caso boquiei a porta 8080 do pfsense para a wan. Alguma sugestão seria interessante.. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Dei uma olhada no conf do lighthttpd, ao meu ver o mod_auth vem desativado por padrão... fiz um teste com htaccess/htpasswd e não funcionou (http://redmine.lighttpd.net/projects/lighttpd/wiki/Docs:ModAuth) O http já vem desativado na wan por default, mas geralmente eu habilito, facilita para ver algumas broncas (claro que troca a senha default, e altero para HTTPS). Habilitar o mod_auth no conf do lighthttpd provavelmente não vai resolver, já que o pfsense ler o XML e grava tudo em tempo de execução. Bem complicado mesmo =) -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes welk...@focusautomacao.com.br Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- http://www.augustoferronato.net/blog FreeBSD: The Freedom to Perform! http://www.spreadbsd.org/aff/40/1 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] pfSense - acesso sem senha ao lightsquid e phpsysinfo
Augusto Ferronato escreveu: Abre um bug lá no projeto, vai ver eles podem resolver http://cvstrac.pfsense.org/tktnew Abs[] 2009/4/6 Welkson Renny de Medeiros welk...@focusautomacao.com.br: Paulo Henrique escreveu: Welkson Renny de Medeiros escreveu: Senhores, Não sei se já perceberam isso... para acessar a página de configuração do pfsense o mesmo pede senha... mas se tentar acessar diretamente a página do phpsysinfo ou lightsquid a senha não é solicitada. Ao meu ver, uma grave falha de segurança.. já que expõe bastante informação sobre o servidor e o acesso a site dos clientes. Já perceberam esse detalhe? na versão beta também ocorre isso? eu testei na stable 1.2. Acho que um .htaccess talvez resolva o problema... se bem que no lighthttpd não sei se pode usar htaccess =) Estive vendo isso no começo do ano porém o que fiz é permitir que apenas a rede interna acesse tal conteudo, embora fica exposto para a rede interna, quem de fato poderia se beneficiar desses dados que é o acesso externo está bloqueado. eu no caso boquiei a porta 8080 do pfsense para a wan. Alguma sugestão seria interessante.. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Dei uma olhada no conf do lighthttpd, ao meu ver o mod_auth vem desativado por padrão... fiz um teste com htaccess/htpasswd e não funcionou (http://redmine.lighttpd.net/projects/lighttpd/wiki/Docs:ModAuth) O http já vem desativado na wan por default, mas geralmente eu habilito, facilita para ver algumas broncas (claro que troca a senha default, e altero para HTTPS). Habilitar o mod_auth no conf do lighthttpd provavelmente não vai resolver, já que o pfsense ler o XML e grava tudo em tempo de execução. Bem complicado mesmo =) -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes welk...@focusautomacao.com.br Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Acabei de fazer... criei o ticket, o sistema não avisou nada.. fiz novamente... não avisou nada... quando fui olhar no histórico o sistema criou dois tickets... =) -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes welk...@focusautomacao.com.br Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] pfSense - acesso sem senha ao lightsquid e phpsysinfo
Senhores, Não sei se já perceberam isso... para acessar a página de configuração do pfsense o mesmo pede senha... mas se tentar acessar diretamente a página do phpsysinfo ou lightsquid a senha não é solicitada. Ao meu ver, uma grave falha de segurança.. já que expõe bastante informação sobre o servidor e o acesso a site dos clientes. Já perceberam esse detalhe? na versão beta também ocorre isso? eu testei na stable 1.2. Acho que um .htaccess talvez resolva o problema... se bem que no lighthttpd não sei se pode usar htaccess =) -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes welk...@focusautomacao.com.br Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd