Beantwortet WMS Mobile Server im Internet betreiben - Authentifizierung zu schwach?

[John]

Hi,

ich habe mit WMS allgemein bisher wenig bis gar nichts zu tun. Aber ein Kunde von mir ist gestern mit seiner im Netz gehosteten Wawi DB auf einen anderen managed Server umgezogen, also mußte ich mir das im Rahmen der Nachbetreuung des Umzugs mit anschauen.
Der WMS Mobile Server lief bisher zusammen mit dem SQL Server auf einem VServer, der aus dem Netz erreichbar ist. Das ganze wurde durch eine durchaus renomierte Agentur so eingerichtet.

Während für die SQL Verbindung einer Wawi neben IP und Port des Servers das sa Passwort bekannt sein muß und die JTL POS Kasse eine gegeseitige Authentifizierung per Token vornimmt, reichte bei WMS Mobile die IP, der Port und ein Wawi Benutzer samt Passwort.
Das scheint mit nicht besonders sicher, zumal viele Benutzer zur Anmeldung in der Praxis bei admin/pass oder etwas Einfachem bleiben.

Im Guide (der veraltet erscheint) wird nicht explizit auf ein Sicherheitsrisiko bei öffentlichem Betrieb hingewiesen.
https://guide.jtl-software.de/jtl-wms/jtl-wms-mobile/jtl-wms-mobile-einrichten/

Übersehe ich da einen relevante Sicherheitsmaßnahme, weil ich das System beim Kunden nur umkonfiguriert und nicht neu eingerichtet habe? Oder ist WMS Mobile Server für Betrieb im Internet ein no-go?

Vielen Dank für Eure Einschätzung...

John

 

[Verkäuferlein]

Hallo,

bin zwar kein Experte für die Thematik, bei mir würden dann aber bei allen 3 Themen Fragezeichen und Ausrufezeichen aufploppen.

1.) Findet die Kommunikation denn wenigstens verschlüsselt statt (SSL/TLS), sowohl zum SQL, als auch zum WMS-Mobile-Server?
2.) Was spricht dagegen, die Verbindung per RDP oder besser per VPN abzusichern?
3.) Ist die Firewall so konfiguriert, dass nur die festen IP-Adressen der anzubindenden Standorte durchgelassen werden?

Vielleicht bin ich da zu vorsichtig, aber wenn's irgend geht, würde ich jeden ungewollten Zugriff von außen umgehen / vermeiden und mir wäre da die allgemeine Erreichbarkeit von außen schon etwas zu heikel bzw. mit zu vielen möglichen Angriffspunkten verbunden.

Gruß
Verkäuferlein

 

[Shopworker.de]

Ich würde den WMS Mobile-Server immer lokal, sprich im Lager starten.
Der Vorteil: Falls dieser neu gestartet werden muss kann das Lagerpersonal dies selbstständig machen.

Zu den Sicherheitsaspekten kann vermutlich JTL am ehesten etwas sagen.

 

[John]

...hier scheint von alleine nichts von JTL zu kommen. Ich melde den Thread mal einem Moderator, weil ich das Thema doch für allgemein sicherheitsrelevant halte...

 

[Stetto]

JTL- WMS Mobile überträgt keine sicherheitsrelevanten Daten. Keine Preise, keine Kundendaten etc. - vor allem deshalb wird für JTL-WMS Mobile bis einschl. Version 1.5 wird keine Verschlüsselung o.ä. mehr kommen.


Ab JTL-Wawi 1.6 und der neuen WMS Mobile App lässt sich eine verschlüsselte Verbindung mit Authentifizierung / Token zwischen Server und Mobile App herstellen - Funktionsweise ist der JTL-POS sehr ähnlich, mit QR-Code abscannen etc..




Selbes gilt im übrigen für die neue JTL-Wawi App: https://www.jtl-software.de/blog/loesungen-von-jtl/e-commerce-to-go (Thema "Server + Sicherheit" relativ weit unten auf der Seite)

 

[John]

@Stephan Handke danke für die Aufklärung. Es würde mich freuen, wenn das deutlich auch so im Rahmen des Guide kommuniziert würde.

Ich finde es krass, wenn auch eine wirklich renomierte JTL Agentur einen WMS Mobile Server im Netz für einen Kunden aufsetzt, ohne sich anscheinend des Problems bewußt zu sein.

 

[Stetto]

Es bleibt die Frage, ob man darin ein Problem erkennen möchte, weil die aktuelle Stable Version keinerlei relevante Daten übermitteln. Ein gelangweilter Spaßvogel kann euch Picklisten anlegen oder im schlimmsten Fall einen Lagerbestand ausbuchen.

Hier sollte man zumindest die Benutzerpasswörter entsprechend komplex gestalten und nicht "Marie" / "pass". Damit wäre schon ein enormes Maß an Sicherheit erreicht.

in 8 Jahren JTL- WMS Mobile ist mir kein Fall des Missbrauchs bekannt geworden auch ohne die neue Verschlüsselung, die ab Version 1.6 zur Verfügung steht.

Über die Wahl von Firewalls, Ports, VPN etc. dürfte sich die Verbindung auch auf Kundenwunsch mit der aktuellen Version so sicher gestalten, dass ein Zugriff von außen dennoch unterbunden werden kann - das wiederrum hat allerdings weniger mit JTL zutun, sondern folgt gewöhnlichen Netzwerkstandards.

 

[frankw]

Hallo zusammen,

ein Dienst wie der WMS Mobile Server muss auf jeden Fall gegen Zugriffe aus dem öffentlichen Netz abgesichert werden!
Der WMS Mobile Server sollte nicht "im Internet" betrieben werden.

Gleiches gilt auch für den SQL Server, POS Server und andere firmeninterne Dienste.
Jeder öffentlich erreichbare offene Port ist ein potentielles Sicherheitsrisiko.

Die Zugriffsbeschränkungen sind allerdings nicht die Aufgabe des jeweiligen Dienstes, sondern müssen durch die Netzwerk- / Serverkonfiguration gewährleistet sein.

Eine http Verschlüsselung schützt lediglich gegen das unbefugte Auslesen der übertragenen Daten.
Das WAWI Benutzerpasswort komplexer zu gestalten ist auch nur eine unzureichende Maßnahme und wäre nur eine Notlösung, wenn keine anderen Maßnahmen umsetzbar sind.

Wie Stephan schon angedeutet hat, liegt die Netzwerksicherheit im Verantwortungsbereich des Kunden, der die Serverinfrastruktur betreibt.
Zur Absicherung gibt es viele Möglichkeiten, aber wir (JTL) können hier keine konkreten Empfehlungen geben.

Kommt aber auch alles darauf an, welches Sicherheitslevel angestrebt wird.

Gruss,
Frank

 

[Shopworker.de]

Server sollte nicht "im Internet" betrieben werden.

Gleiches gilt auch für den SQL Server, POS Server und andere firmeninterne Dienste.
Jeder öffentlich erreichbare offene Port ist ein potentielles Sicherheitsrisiko.

Hallo Frank,

wie ist das denn mit den ganzen "gehosteten" Wawi-Datenbanken?
Diese sind doch auch "im Internet" und über offene Ports erreichbar. Oder sehe ich das falsch?

 

[John]

ein Dienst wie der WMS Mobile Server muss auf jeden Fall gegen Zugriffe aus dem öffentlichen Netz abgesichert werden!
Der WMS Mobile Server sollte nicht "im Internet" betrieben werden.

...dann gehört das aber auch so an entscheidender Stelle kommuniziert.

Wenn hier ambitionierte User anhand des Guides in die Lage versetzt werdne, Dienste einzurichten ist das toll. Sie gehören aber auch über die Risiken und die Maßnahmen aufgeklärt. Alles andere ist fahrlässig.
Das betrifft wohl auch die JTL Agentur, die meinen Kunden vorher betreut hat. Ob man es da nicht besser wußte oder hingenommen hat, weiß ich nicht.

Ich würde mir wünschen, daß dem Thema etwas Aufmerksamkeit im Guide gewidmet wird.

 

[frankw]

@shopworker Im Prinzip wäre das korrekt, aber ein gehosteter Server hängt normalerweise schon vom Hoster aus hinter diversen Sicherheitsmaßnahmen und sollte in irgendeiner Form vorkonfiguriert sein. Inwieweit das ausreichend ist, hängt wie schon gesagt vom individuellen Sicherheitsbedürfnis ab.

Für den SQL-Server sollte auf jeden Fall ein SSL-Zertifikat vorhanden sein und man sollte den Anbieter mal nach den Maßnahmen gegen DOS Attacken Fragen.

Sicherheit ist aber auch eine Frage der Überwachung/Monitoring, regelmäßige Updates usw. Bei gehosten Servern ist das ja in der Regel alles gegeben.

Gruss,
Frank

 

[frankw]

@John Im Guide wird grundsätzlich von einer lokalen Installation ausgegangen. Ich kann gerne einmal anregen, das im Guide ein entsprechender Hinweis hinterlegt wird.

Es ist ja auch gar nicht gesagt, das die oben erwähnte Installation unsicher ist.
Ich wollte hauptsächlich sagen, das das Problem der Sicherheit meist unterschätzt wird. Ist an einem Server ein Dienst öffentlich, kann man diese von aussen auslesen und diese Information entsprechen nutzen.

Gruss,
Frank