Beantwortet WMS Mobile Server im Internet betreiben - Authentifizierung zu schwach?

John

Sehr aktives Mitglied
3. März 2012
1.821
278
Berlin
Hi,

ich habe mit WMS allgemein bisher wenig bis gar nichts zu tun. Aber ein Kunde von mir ist gestern mit seiner im Netz gehosteten Wawi DB auf einen anderen managed Server umgezogen, also mußte ich mir das im Rahmen der Nachbetreuung des Umzugs mit anschauen.
Der WMS Mobile Server lief bisher zusammen mit dem SQL Server auf einem VServer, der aus dem Netz erreichbar ist. Das ganze wurde durch eine durchaus renomierte Agentur so eingerichtet.

Während für die SQL Verbindung einer Wawi neben IP und Port des Servers das sa Passwort bekannt sein muß und die JTL POS Kasse eine gegeseitige Authentifizierung per Token vornimmt, reichte bei WMS Mobile die IP, der Port und ein Wawi Benutzer samt Passwort.
Das scheint mit nicht besonders sicher, zumal viele Benutzer zur Anmeldung in der Praxis bei admin/pass oder etwas Einfachem bleiben.

Im Guide (der veraltet erscheint) wird nicht explizit auf ein Sicherheitsrisiko bei öffentlichem Betrieb hingewiesen.
https://guide.jtl-software.de/jtl-wms/jtl-wms-mobile/jtl-wms-mobile-einrichten/

Übersehe ich da einen relevante Sicherheitsmaßnahme, weil ich das System beim Kunden nur umkonfiguriert und nicht neu eingerichtet habe? Oder ist WMS Mobile Server für Betrieb im Internet ein no-go?

Vielen Dank für Eure Einschätzung...

John
 

Verkäuferlein

Sehr aktives Mitglied
29. April 2012
1.173
322
Hallo,

bin zwar kein Experte für die Thematik, bei mir würden dann aber bei allen 3 Themen Fragezeichen und Ausrufezeichen aufploppen.

1.) Findet die Kommunikation denn wenigstens verschlüsselt statt (SSL/TLS), sowohl zum SQL, als auch zum WMS-Mobile-Server?
2.) Was spricht dagegen, die Verbindung per RDP oder besser per VPN abzusichern?
3.) Ist die Firewall so konfiguriert, dass nur die festen IP-Adressen der anzubindenden Standorte durchgelassen werden?

Vielleicht bin ich da zu vorsichtig, aber wenn's irgend geht, würde ich jeden ungewollten Zugriff von außen umgehen / vermeiden und mir wäre da die allgemeine Erreichbarkeit von außen schon etwas zu heikel bzw. mit zu vielen möglichen Angriffspunkten verbunden.

Gruß
Verkäuferlein
 

Shopworker.de

Offizieller Servicepartner
SPBanner
4. Januar 2011
3.981
496
Arnsberg, Sauerland
Ich würde den WMS Mobile-Server immer lokal, sprich im Lager starten.
Der Vorteil: Falls dieser neu gestartet werden muss kann das Lagerpersonal dies selbstständig machen.

Zu den Sicherheitsaspekten kann vermutlich JTL am ehesten etwas sagen.
 

John

Sehr aktives Mitglied
3. März 2012
1.821
278
Berlin
...hier scheint von alleine nichts von JTL zu kommen. Ich melde den Thread mal einem Moderator, weil ich das Thema doch für allgemein sicherheitsrelevant halte...
 

Stephan Handke

Moderator
Mitarbeiter
2. Juli 2009
4.681
513
Hürth
JTL- WMS Mobile überträgt keine sicherheitsrelevanten Daten. Keine Preise, keine Kundendaten etc. - vor allem deshalb wird für JTL-WMS Mobile bis einschl. Version 1.5 wird keine Verschlüsselung o.ä. mehr kommen.


Ab JTL-Wawi 1.6 und der neuen WMS Mobile App lässt sich eine verschlüsselte Verbindung mit Authentifizierung / Token zwischen Server und Mobile App herstellen - Funktionsweise ist der JTL-POS sehr ähnlich, mit QR-Code abscannen etc..




Selbes gilt im übrigen für die neue JTL-Wawi App: https://www.jtl-software.de/blog/loesungen-von-jtl/e-commerce-to-go (Thema "Server + Sicherheit" relativ weit unten auf der Seite)
 

John

Sehr aktives Mitglied
3. März 2012
1.821
278
Berlin
@Stephan Handke danke für die Aufklärung. Es würde mich freuen, wenn das deutlich auch so im Rahmen des Guide kommuniziert würde.

Ich finde es krass, wenn auch eine wirklich renomierte JTL Agentur einen WMS Mobile Server im Netz für einen Kunden aufsetzt, ohne sich anscheinend des Problems bewußt zu sein.
 

Stephan Handke

Moderator
Mitarbeiter
2. Juli 2009
4.681
513
Hürth
Es bleibt die Frage, ob man darin ein Problem erkennen möchte, weil die aktuelle Stable Version keinerlei relevante Daten übermitteln. Ein gelangweilter Spaßvogel kann euch Picklisten anlegen oder im schlimmsten Fall einen Lagerbestand ausbuchen.

Hier sollte man zumindest die Benutzerpasswörter entsprechend komplex gestalten und nicht "Marie" / "pass". Damit wäre schon ein enormes Maß an Sicherheit erreicht.

in 8 Jahren JTL- WMS Mobile ist mir kein Fall des Missbrauchs bekannt geworden auch ohne die neue Verschlüsselung, die ab Version 1.6 zur Verfügung steht.

Über die Wahl von Firewalls, Ports, VPN etc. dürfte sich die Verbindung auch auf Kundenwunsch mit der aktuellen Version so sicher gestalten, dass ein Zugriff von außen dennoch unterbunden werden kann - das wiederrum hat allerdings weniger mit JTL zutun, sondern folgt gewöhnlichen Netzwerkstandards.
 

JTL_fwenzl

WMS Entwickler
Mitarbeiter
15. Dezember 2017
320
107
Hürth
Hallo zusammen,

ein Dienst wie der WMS Mobile Server muss auf jeden Fall gegen Zugriffe aus dem öffentlichen Netz abgesichert werden!
Der WMS Mobile Server sollte nicht "im Internet" betrieben werden.

Gleiches gilt auch für den SQL Server, POS Server und andere firmeninterne Dienste.
Jeder öffentlich erreichbare offene Port ist ein potentielles Sicherheitsrisiko.

Die Zugriffsbeschränkungen sind allerdings nicht die Aufgabe des jeweiligen Dienstes, sondern müssen durch die Netzwerk- / Serverkonfiguration gewährleistet sein.

Eine http Verschlüsselung schützt lediglich gegen das unbefugte Auslesen der übertragenen Daten.
Das WAWI Benutzerpasswort komplexer zu gestalten ist auch nur eine unzureichende Maßnahme und wäre nur eine Notlösung, wenn keine anderen Maßnahmen umsetzbar sind.

Wie Stephan schon angedeutet hat, liegt die Netzwerksicherheit im Verantwortungsbereich des Kunden, der die Serverinfrastruktur betreibt.
Zur Absicherung gibt es viele Möglichkeiten, aber wir (JTL) können hier keine konkreten Empfehlungen geben.

Kommt aber auch alles darauf an, welches Sicherheitslevel angestrebt wird.

Gruss,
Frank
 

Shopworker.de

Offizieller Servicepartner
SPBanner
4. Januar 2011
3.981
496
Arnsberg, Sauerland
Server sollte nicht "im Internet" betrieben werden.

Gleiches gilt auch für den SQL Server, POS Server und andere firmeninterne Dienste.
Jeder öffentlich erreichbare offene Port ist ein potentielles Sicherheitsrisiko.
Hallo Frank,

wie ist das denn mit den ganzen "gehosteten" Wawi-Datenbanken?
Diese sind doch auch "im Internet" und über offene Ports erreichbar. Oder sehe ich das falsch?
 

John

Sehr aktives Mitglied
3. März 2012
1.821
278
Berlin
ein Dienst wie der WMS Mobile Server muss auf jeden Fall gegen Zugriffe aus dem öffentlichen Netz abgesichert werden!
Der WMS Mobile Server sollte nicht "im Internet" betrieben werden.

...dann gehört das aber auch so an entscheidender Stelle kommuniziert.

Wenn hier ambitionierte User anhand des Guides in die Lage versetzt werdne, Dienste einzurichten ist das toll. Sie gehören aber auch über die Risiken und die Maßnahmen aufgeklärt. Alles andere ist fahrlässig.
Das betrifft wohl auch die JTL Agentur, die meinen Kunden vorher betreut hat. Ob man es da nicht besser wußte oder hingenommen hat, weiß ich nicht.

Ich würde mir wünschen, daß dem Thema etwas Aufmerksamkeit im Guide gewidmet wird.
 

JTL_fwenzl

WMS Entwickler
Mitarbeiter
15. Dezember 2017
320
107
Hürth
@shopworker Im Prinzip wäre das korrekt, aber ein gehosteter Server hängt normalerweise schon vom Hoster aus hinter diversen Sicherheitsmaßnahmen und sollte in irgendeiner Form vorkonfiguriert sein. Inwieweit das ausreichend ist, hängt wie schon gesagt vom individuellen Sicherheitsbedürfnis ab.

Für den SQL-Server sollte auf jeden Fall ein SSL-Zertifikat vorhanden sein und man sollte den Anbieter mal nach den Maßnahmen gegen DOS Attacken Fragen.

Sicherheit ist aber auch eine Frage der Überwachung/Monitoring, regelmäßige Updates usw. Bei gehosten Servern ist das ja in der Regel alles gegeben.

Gruss,
Frank
 
  • Gefällt mir
Reaktionen: Shopworker.de

JTL_fwenzl

WMS Entwickler
Mitarbeiter
15. Dezember 2017
320
107
Hürth
@John Im Guide wird grundsätzlich von einer lokalen Installation ausgegangen. Ich kann gerne einmal anregen, das im Guide ein entsprechender Hinweis hinterlegt wird.

Es ist ja auch gar nicht gesagt, das die oben erwähnte Installation unsicher ist.
Ich wollte hauptsächlich sagen, das das Problem der Sicherheit meist unterschätzt wird. Ist an einem Server ein Dienst öffentlich, kann man diese von aussen auslesen und diese Information entsprechen nutzen.

Gruss,
Frank
 
Ähnliche Themen
Titel Forum Antworten Datum
Beantwortet JTL WMS Mobile Server Data eCom Installation von JTL-WMS / JTL-Packtisch+ 1
Beantwortet Packtisch mit WMS-Mobile App Lizenz erforderlich? JTL-Wawi 1.6 1
Beantwortet Picken ohne WMS Mobile Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 3
Beantwortet Automatische Zusatzposition im WMS Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 5
Neu Retouren > nur angemeldete anzeigen im WMS Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 0
Beantwortet Betrieb von JTL-WMS komplett ohne JTL-Wawi möglich? Installation von JTL-WMS / JTL-Packtisch+ 2
Beantwortet Teillieferung JTL WMS V 1.5.52.0 Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 1
Beantwortet Waagenanbindung WMS 1.6.38.0 Installation von JTL-WMS / JTL-Packtisch+ 4
Neu Wie handhabt ihr das Ausliefern von Artikeln (WMS Lager) aus verschiedenen Lägern? Arbeitsabläufe in JTL-Wawi 0
Neu Produktbilder automatisch auch für WMS/Packtisch zuordnen User helfen Usern - Fragen zu JTL-Wawi 1
Neu Lagerverwaltung Standartlager/WMS User helfen Usern - Fragen zu JTL-Wawi 6
Neu Stücklisten & Komponenten Attribut zur individuellen Ausgabe in WMS und Packtisch JTL-WMS / JTL-Packtisch+ - Ideen, Lob und Kritik 0
Beantwortet Inventur Standardlager WMS-APP WaWi 1.6 Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 1
Issue angelegt WMS Wareneingang Sichtbarkeit von Lieferantenbestellungen [WAWI-56167,WAWI-54787] JTL-WMS / JTL-Packtisch+ - Ideen, Lob und Kritik 4
Beantwortet Lagerplatz im WMS Lager als belegt kennzeichnen JTL-WMS / JTL-Packtisch+ - Ideen, Lob und Kritik 4
Beantwortet Bestellung aus Standardlager und WMS Lager zusammen abarbeiten - mit einer Rechnung Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 6
Gelöst JTL POS erzeugt Aufträge für WMS Allgemeine Fragen zu JTL-POS 5
Verwiesen an Support WMS 1.6 GS1-128 EAN-128 Übertragung des FNC1 Befehls funktioniert nicht sauber JTL-WMS / JTL-Packtisch+ - Fehler und Bugs 5
Beantwortet WMS Lagerplatz Menge begrenzen Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 6
In Diskussion Workflow - Picklisten -> Pick -> gepickt mit mobile App JTL-Workflows - Ideen, Lob und Kritik 0
Neu Skript in mobile Anzeige einbinden Technische Fragen zu Plugins und Templates 0
Neu Trusted Shops Produktbewertungen - keine Rich-Suchergebnisse - keine mobile Darstellung Plugins für JTL-Shop 0
In Bearbeitung Mobile Hardware für gelegentliche Verkäufe auf dem Markt gesucht JTL-POS - Fragen zu Hardware 4
JTL Shop 5 Mobile Logo größe ändern Einrichtung JTL-Shop5 3
Neu Mobile Navigation (burger-menu) für alle Auflösungen Templates für JTL-Shop 0
Neu Extrahierungsfehler SQL Server User helfen Usern - Fragen zu JTL-Wawi 2
Neu Eigene Felder bei SQL Server User helfen Usern - Fragen zu JTL-Wawi 2
Neu Nach Umzug auf anderer Server kein Abgleich mehr möglich Shopware-Connector 0
Neu Probleme beim Verbinden mit SQL Server von Arbeitsplatzrechner Installation von JTL-Wawi 8
Neu SQL Server auomatisches Backup mit eigenen Zielen User helfen Usern - Fragen zu JTL-Wawi 13
Neu Warum benötigt man eine Installation der JTL-Software auf dem Server? Installation von JTL-Wawi 10
Neu JTL Datenbank auf eigenem Server User helfen Usern - Fragen zu JTL-Wawi 4
Neu Keine Verbindung zum SQL Server User helfen Usern - Fragen zu JTL-Wawi 4
Neu Zusätzlichen Benutzer SQL-Server hinzufügen Installation von JTL-Wawi 2
Neu SQL Server 2022 läuft mit JTL-Datenbank? Installation von JTL-Wawi 1
Neu Installation auf Windows Server 2022 Installation von JTL-Wawi 7
Neu JTL-Wawi Sql-Server Verbindung wird unregelmäßig extrem langsam User helfen Usern - Fragen zu JTL-Wawi 9
Neu SQL Server mit Always on Cluster in der Cloud Installation von JTL-Wawi 0
Neu Unbekannter Server-Fehler Export wurde NICHT in die Importqueue des Servers geschrieben. JTL-Search 2
Neu JTL-Shop5 auf Windows Server 2019 mit Plesk JTL-Shop - Fehler und Bugs 4
Neu Fehler bei Anmeldung am SQL Server Installation von JTL-Wawi 4
Neu Installation SQL Server Express aber Wo ? Installation von JTL-Wawi 11

Ähnliche Themen