Beantwortet WMS Mobile Server im Internet betreiben - Authentifizierung zu schwach?

John

Sehr aktives Mitglied
3. März 2012
3.778
894
Berlin
Hi,

ich habe mit WMS allgemein bisher wenig bis gar nichts zu tun. Aber ein Kunde von mir ist gestern mit seiner im Netz gehosteten Wawi DB auf einen anderen managed Server umgezogen, also mußte ich mir das im Rahmen der Nachbetreuung des Umzugs mit anschauen.
Der WMS Mobile Server lief bisher zusammen mit dem SQL Server auf einem VServer, der aus dem Netz erreichbar ist. Das ganze wurde durch eine durchaus renomierte Agentur so eingerichtet.

Während für die SQL Verbindung einer Wawi neben IP und Port des Servers das sa Passwort bekannt sein muß und die JTL POS Kasse eine gegeseitige Authentifizierung per Token vornimmt, reichte bei WMS Mobile die IP, der Port und ein Wawi Benutzer samt Passwort.
Das scheint mit nicht besonders sicher, zumal viele Benutzer zur Anmeldung in der Praxis bei admin/pass oder etwas Einfachem bleiben.

Im Guide (der veraltet erscheint) wird nicht explizit auf ein Sicherheitsrisiko bei öffentlichem Betrieb hingewiesen.
https://guide.jtl-software.de/jtl-wms/jtl-wms-mobile/jtl-wms-mobile-einrichten/

Übersehe ich da einen relevante Sicherheitsmaßnahme, weil ich das System beim Kunden nur umkonfiguriert und nicht neu eingerichtet habe? Oder ist WMS Mobile Server für Betrieb im Internet ein no-go?

Vielen Dank für Eure Einschätzung...

John
 

Verkäuferlein

Sehr aktives Mitglied
29. April 2012
2.603
1.054
Hallo,

bin zwar kein Experte für die Thematik, bei mir würden dann aber bei allen 3 Themen Fragezeichen und Ausrufezeichen aufploppen.

1.) Findet die Kommunikation denn wenigstens verschlüsselt statt (SSL/TLS), sowohl zum SQL, als auch zum WMS-Mobile-Server?
2.) Was spricht dagegen, die Verbindung per RDP oder besser per VPN abzusichern?
3.) Ist die Firewall so konfiguriert, dass nur die festen IP-Adressen der anzubindenden Standorte durchgelassen werden?

Vielleicht bin ich da zu vorsichtig, aber wenn's irgend geht, würde ich jeden ungewollten Zugriff von außen umgehen / vermeiden und mir wäre da die allgemeine Erreichbarkeit von außen schon etwas zu heikel bzw. mit zu vielen möglichen Angriffspunkten verbunden.

Gruß
Verkäuferlein
 

Shopworker.de

Offizieller Servicepartner
SPBanner
4. Januar 2011
4.130
553
Arnsberg, Sauerland
Ich würde den WMS Mobile-Server immer lokal, sprich im Lager starten.
Der Vorteil: Falls dieser neu gestartet werden muss kann das Lagerpersonal dies selbstständig machen.

Zu den Sicherheitsaspekten kann vermutlich JTL am ehesten etwas sagen.
 

John

Sehr aktives Mitglied
3. März 2012
3.778
894
Berlin
...hier scheint von alleine nichts von JTL zu kommen. Ich melde den Thread mal einem Moderator, weil ich das Thema doch für allgemein sicherheitsrelevant halte...
 

Stetto

Sehr aktives Mitglied
2. Juli 2009
4.811
580
JTL- WMS Mobile überträgt keine sicherheitsrelevanten Daten. Keine Preise, keine Kundendaten etc. - vor allem deshalb wird für JTL-WMS Mobile bis einschl. Version 1.5 wird keine Verschlüsselung o.ä. mehr kommen.


Ab JTL-Wawi 1.6 und der neuen WMS Mobile App lässt sich eine verschlüsselte Verbindung mit Authentifizierung / Token zwischen Server und Mobile App herstellen - Funktionsweise ist der JTL-POS sehr ähnlich, mit QR-Code abscannen etc..




Selbes gilt im übrigen für die neue JTL-Wawi App: https://www.jtl-software.de/blog/loesungen-von-jtl/e-commerce-to-go (Thema "Server + Sicherheit" relativ weit unten auf der Seite)
 

John

Sehr aktives Mitglied
3. März 2012
3.778
894
Berlin
@Stephan Handke danke für die Aufklärung. Es würde mich freuen, wenn das deutlich auch so im Rahmen des Guide kommuniziert würde.

Ich finde es krass, wenn auch eine wirklich renomierte JTL Agentur einen WMS Mobile Server im Netz für einen Kunden aufsetzt, ohne sich anscheinend des Problems bewußt zu sein.
 

Stetto

Sehr aktives Mitglied
2. Juli 2009
4.811
580
Es bleibt die Frage, ob man darin ein Problem erkennen möchte, weil die aktuelle Stable Version keinerlei relevante Daten übermitteln. Ein gelangweilter Spaßvogel kann euch Picklisten anlegen oder im schlimmsten Fall einen Lagerbestand ausbuchen.

Hier sollte man zumindest die Benutzerpasswörter entsprechend komplex gestalten und nicht "Marie" / "pass". Damit wäre schon ein enormes Maß an Sicherheit erreicht.

in 8 Jahren JTL- WMS Mobile ist mir kein Fall des Missbrauchs bekannt geworden auch ohne die neue Verschlüsselung, die ab Version 1.6 zur Verfügung steht.

Über die Wahl von Firewalls, Ports, VPN etc. dürfte sich die Verbindung auch auf Kundenwunsch mit der aktuellen Version so sicher gestalten, dass ein Zugriff von außen dennoch unterbunden werden kann - das wiederrum hat allerdings weniger mit JTL zutun, sondern folgt gewöhnlichen Netzwerkstandards.
 

frankw

Moderator
Mitarbeiter
15. Dezember 2017
652
234
Hürth
Hallo zusammen,

ein Dienst wie der WMS Mobile Server muss auf jeden Fall gegen Zugriffe aus dem öffentlichen Netz abgesichert werden!
Der WMS Mobile Server sollte nicht "im Internet" betrieben werden.

Gleiches gilt auch für den SQL Server, POS Server und andere firmeninterne Dienste.
Jeder öffentlich erreichbare offene Port ist ein potentielles Sicherheitsrisiko.

Die Zugriffsbeschränkungen sind allerdings nicht die Aufgabe des jeweiligen Dienstes, sondern müssen durch die Netzwerk- / Serverkonfiguration gewährleistet sein.

Eine http Verschlüsselung schützt lediglich gegen das unbefugte Auslesen der übertragenen Daten.
Das WAWI Benutzerpasswort komplexer zu gestalten ist auch nur eine unzureichende Maßnahme und wäre nur eine Notlösung, wenn keine anderen Maßnahmen umsetzbar sind.

Wie Stephan schon angedeutet hat, liegt die Netzwerksicherheit im Verantwortungsbereich des Kunden, der die Serverinfrastruktur betreibt.
Zur Absicherung gibt es viele Möglichkeiten, aber wir (JTL) können hier keine konkreten Empfehlungen geben.

Kommt aber auch alles darauf an, welches Sicherheitslevel angestrebt wird.

Gruss,
Frank
 

Shopworker.de

Offizieller Servicepartner
SPBanner
4. Januar 2011
4.130
553
Arnsberg, Sauerland
Server sollte nicht "im Internet" betrieben werden.

Gleiches gilt auch für den SQL Server, POS Server und andere firmeninterne Dienste.
Jeder öffentlich erreichbare offene Port ist ein potentielles Sicherheitsrisiko.
Hallo Frank,

wie ist das denn mit den ganzen "gehosteten" Wawi-Datenbanken?
Diese sind doch auch "im Internet" und über offene Ports erreichbar. Oder sehe ich das falsch?
 

John

Sehr aktives Mitglied
3. März 2012
3.778
894
Berlin
ein Dienst wie der WMS Mobile Server muss auf jeden Fall gegen Zugriffe aus dem öffentlichen Netz abgesichert werden!
Der WMS Mobile Server sollte nicht "im Internet" betrieben werden.

...dann gehört das aber auch so an entscheidender Stelle kommuniziert.

Wenn hier ambitionierte User anhand des Guides in die Lage versetzt werdne, Dienste einzurichten ist das toll. Sie gehören aber auch über die Risiken und die Maßnahmen aufgeklärt. Alles andere ist fahrlässig.
Das betrifft wohl auch die JTL Agentur, die meinen Kunden vorher betreut hat. Ob man es da nicht besser wußte oder hingenommen hat, weiß ich nicht.

Ich würde mir wünschen, daß dem Thema etwas Aufmerksamkeit im Guide gewidmet wird.
 

frankw

Moderator
Mitarbeiter
15. Dezember 2017
652
234
Hürth
@shopworker Im Prinzip wäre das korrekt, aber ein gehosteter Server hängt normalerweise schon vom Hoster aus hinter diversen Sicherheitsmaßnahmen und sollte in irgendeiner Form vorkonfiguriert sein. Inwieweit das ausreichend ist, hängt wie schon gesagt vom individuellen Sicherheitsbedürfnis ab.

Für den SQL-Server sollte auf jeden Fall ein SSL-Zertifikat vorhanden sein und man sollte den Anbieter mal nach den Maßnahmen gegen DOS Attacken Fragen.

Sicherheit ist aber auch eine Frage der Überwachung/Monitoring, regelmäßige Updates usw. Bei gehosten Servern ist das ja in der Regel alles gegeben.

Gruss,
Frank
 
  • Gefällt mir
Reaktionen: Shopworker.de

frankw

Moderator
Mitarbeiter
15. Dezember 2017
652
234
Hürth
@John Im Guide wird grundsätzlich von einer lokalen Installation ausgegangen. Ich kann gerne einmal anregen, das im Guide ein entsprechender Hinweis hinterlegt wird.

Es ist ja auch gar nicht gesagt, das die oben erwähnte Installation unsicher ist.
Ich wollte hauptsächlich sagen, das das Problem der Sicherheit meist unterschätzt wird. Ist an einem Server ein Dienst öffentlich, kann man diese von aussen auslesen und diese Information entsprechen nutzen.

Gruss,
Frank
 
Ähnliche Themen
Titel Forum Antworten Datum
Neu Wareneingang ohne JTL-WMS Mobile: Umständlich?! Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 0
Neu Fehler Sie können aktuell keine Benutzer-Lizenzen für WMS bzw. WMS Mobile buchen Installation von JTL-WMS / JTL-Packtisch+ 9
Neu Nutzung der WMS Mobile APP JTL-WMS / JTL-Packtisch+ - Fehler und Bugs 0
Neu WMS Umlagerungen - Streckenlager - 2. Filiale User helfen Usern - Fragen zu JTL-Wawi 0
Neu doppelt Teilliefern per WMS Arbeitsabläufe in JTL-Wawi 0
Neu Jtl WMs Wareneingang Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 0
Neu Kommentar / Notiz einblenden lassen bei Retoure am WMS? Oder Workflow bei Retoure mit kommentiertem Auftrag? Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 0
Neu feinere WMS Rechte über Benutzergruppen für gängige WMS Vorgänge JTL-WMS / JTL-Packtisch+ - Ideen, Lob und Kritik 0
Neu WMS Amazon Prime 2 Packstücke JTL-WMS / JTL-Packtisch+ - Fehler und Bugs 0
Neu Falsche Benutzerzuordnung am WMS-Packplatz bei Mitarbeiterwechsel (Remote Server) JTL-WMS / JTL-Packtisch+ - Fehler und Bugs 0
Neu JTL-WMS Aufträge lassen sich nicht teilliefern, erst nach Neustart JTL-Wawi - Fehler und Bugs 2
Neu WMS: Pick by voice JTL-WMS / JTL-Packtisch+ - Ideen, Lob und Kritik 3
Neu Probleme mit WMS-Lizenzen seit Update auf Version 1.10.10.4 JTL-WMS / JTL-Packtisch+ - Fehler und Bugs 1
Neu JTL-Connector: Wie kann man Bestände nur von einem Lager (WMS) übertragen? WooCommerce-Connector 3
Neu Versandart auswählen im WMS Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 4
Neu Seriennummern in der WMS / Wawi / Doppelter Scan / Prüfung User helfen Usern 0
WMS Picklistenerstellung im Worker fliegt nach einiger Zeit raus JTL-Wawi 1.10 1
Aufträge in JTL abschließen und in WMS ausliefern JTL-Wawi 1.9 8
Neu JTL WMS Installation, Wahl des richtigen Lagerplatztypen und Ablauf Installation von JTL-WMS / JTL-Packtisch+ 4
Neu Backup auf anderen Server umziehen Allgemeine Fragen zu JTL-Shop 0
Neu Hetzner Managed Server Allgemeine Fragen zu JTL-Shop 2
Neu Shopupdate von 5.4.0 auf 5.5.2 Fehlercode: 500 Internal Server Error Installation / Updates von JTL-Shop 6
Neu Cloud Server Setup Einrichtung JTL-Shop5 2
500 Internal Server Error bei Statistiken/Einstiegsseiten Einrichtung JTL-Shop5 1
Neu Datenbank & Datenspeicher am Server User helfen Usern - Fragen zu JTL-Wawi 6
Neu HILFE - Windows Server 2019 Essentials - Windows 10 Support endet User helfen Usern - Fragen zu JTL-Wawi 4
In Diskussion JTL POS server status bleibt "Läuft" Einrichtung / Updates von JTL-POS 1

Ähnliche Themen