Beantwortet WMS Mobile Server im Internet betreiben - Authentifizierung zu schwach?

John

Sehr aktives Mitglied
3. März 2012
2.592
496
Berlin
Hi,

ich habe mit WMS allgemein bisher wenig bis gar nichts zu tun. Aber ein Kunde von mir ist gestern mit seiner im Netz gehosteten Wawi DB auf einen anderen managed Server umgezogen, also mußte ich mir das im Rahmen der Nachbetreuung des Umzugs mit anschauen.
Der WMS Mobile Server lief bisher zusammen mit dem SQL Server auf einem VServer, der aus dem Netz erreichbar ist. Das ganze wurde durch eine durchaus renomierte Agentur so eingerichtet.

Während für die SQL Verbindung einer Wawi neben IP und Port des Servers das sa Passwort bekannt sein muß und die JTL POS Kasse eine gegeseitige Authentifizierung per Token vornimmt, reichte bei WMS Mobile die IP, der Port und ein Wawi Benutzer samt Passwort.
Das scheint mit nicht besonders sicher, zumal viele Benutzer zur Anmeldung in der Praxis bei admin/pass oder etwas Einfachem bleiben.

Im Guide (der veraltet erscheint) wird nicht explizit auf ein Sicherheitsrisiko bei öffentlichem Betrieb hingewiesen.
https://guide.jtl-software.de/jtl-wms/jtl-wms-mobile/jtl-wms-mobile-einrichten/

Übersehe ich da einen relevante Sicherheitsmaßnahme, weil ich das System beim Kunden nur umkonfiguriert und nicht neu eingerichtet habe? Oder ist WMS Mobile Server für Betrieb im Internet ein no-go?

Vielen Dank für Eure Einschätzung...

John
 

Verkäuferlein

Sehr aktives Mitglied
29. April 2012
2.343
838
Hallo,

bin zwar kein Experte für die Thematik, bei mir würden dann aber bei allen 3 Themen Fragezeichen und Ausrufezeichen aufploppen.

1.) Findet die Kommunikation denn wenigstens verschlüsselt statt (SSL/TLS), sowohl zum SQL, als auch zum WMS-Mobile-Server?
2.) Was spricht dagegen, die Verbindung per RDP oder besser per VPN abzusichern?
3.) Ist die Firewall so konfiguriert, dass nur die festen IP-Adressen der anzubindenden Standorte durchgelassen werden?

Vielleicht bin ich da zu vorsichtig, aber wenn's irgend geht, würde ich jeden ungewollten Zugriff von außen umgehen / vermeiden und mir wäre da die allgemeine Erreichbarkeit von außen schon etwas zu heikel bzw. mit zu vielen möglichen Angriffspunkten verbunden.

Gruß
Verkäuferlein
 

Shopworker.de

Offizieller Servicepartner
SPBanner
4. Januar 2011
4.114
542
Arnsberg, Sauerland
Ich würde den WMS Mobile-Server immer lokal, sprich im Lager starten.
Der Vorteil: Falls dieser neu gestartet werden muss kann das Lagerpersonal dies selbstständig machen.

Zu den Sicherheitsaspekten kann vermutlich JTL am ehesten etwas sagen.
 

John

Sehr aktives Mitglied
3. März 2012
2.592
496
Berlin
...hier scheint von alleine nichts von JTL zu kommen. Ich melde den Thread mal einem Moderator, weil ich das Thema doch für allgemein sicherheitsrelevant halte...
 

Stetto

Sehr aktives Mitglied
2. Juli 2009
4.806
575
JTL- WMS Mobile überträgt keine sicherheitsrelevanten Daten. Keine Preise, keine Kundendaten etc. - vor allem deshalb wird für JTL-WMS Mobile bis einschl. Version 1.5 wird keine Verschlüsselung o.ä. mehr kommen.


Ab JTL-Wawi 1.6 und der neuen WMS Mobile App lässt sich eine verschlüsselte Verbindung mit Authentifizierung / Token zwischen Server und Mobile App herstellen - Funktionsweise ist der JTL-POS sehr ähnlich, mit QR-Code abscannen etc..




Selbes gilt im übrigen für die neue JTL-Wawi App: https://www.jtl-software.de/blog/loesungen-von-jtl/e-commerce-to-go (Thema "Server + Sicherheit" relativ weit unten auf der Seite)
 

John

Sehr aktives Mitglied
3. März 2012
2.592
496
Berlin
@Stephan Handke danke für die Aufklärung. Es würde mich freuen, wenn das deutlich auch so im Rahmen des Guide kommuniziert würde.

Ich finde es krass, wenn auch eine wirklich renomierte JTL Agentur einen WMS Mobile Server im Netz für einen Kunden aufsetzt, ohne sich anscheinend des Problems bewußt zu sein.
 

Stetto

Sehr aktives Mitglied
2. Juli 2009
4.806
575
Es bleibt die Frage, ob man darin ein Problem erkennen möchte, weil die aktuelle Stable Version keinerlei relevante Daten übermitteln. Ein gelangweilter Spaßvogel kann euch Picklisten anlegen oder im schlimmsten Fall einen Lagerbestand ausbuchen.

Hier sollte man zumindest die Benutzerpasswörter entsprechend komplex gestalten und nicht "Marie" / "pass". Damit wäre schon ein enormes Maß an Sicherheit erreicht.

in 8 Jahren JTL- WMS Mobile ist mir kein Fall des Missbrauchs bekannt geworden auch ohne die neue Verschlüsselung, die ab Version 1.6 zur Verfügung steht.

Über die Wahl von Firewalls, Ports, VPN etc. dürfte sich die Verbindung auch auf Kundenwunsch mit der aktuellen Version so sicher gestalten, dass ein Zugriff von außen dennoch unterbunden werden kann - das wiederrum hat allerdings weniger mit JTL zutun, sondern folgt gewöhnlichen Netzwerkstandards.
 

JTL_fwenzl

WMS Entwickler
Mitarbeiter
15. Dezember 2017
561
181
Hürth
Hallo zusammen,

ein Dienst wie der WMS Mobile Server muss auf jeden Fall gegen Zugriffe aus dem öffentlichen Netz abgesichert werden!
Der WMS Mobile Server sollte nicht "im Internet" betrieben werden.

Gleiches gilt auch für den SQL Server, POS Server und andere firmeninterne Dienste.
Jeder öffentlich erreichbare offene Port ist ein potentielles Sicherheitsrisiko.

Die Zugriffsbeschränkungen sind allerdings nicht die Aufgabe des jeweiligen Dienstes, sondern müssen durch die Netzwerk- / Serverkonfiguration gewährleistet sein.

Eine http Verschlüsselung schützt lediglich gegen das unbefugte Auslesen der übertragenen Daten.
Das WAWI Benutzerpasswort komplexer zu gestalten ist auch nur eine unzureichende Maßnahme und wäre nur eine Notlösung, wenn keine anderen Maßnahmen umsetzbar sind.

Wie Stephan schon angedeutet hat, liegt die Netzwerksicherheit im Verantwortungsbereich des Kunden, der die Serverinfrastruktur betreibt.
Zur Absicherung gibt es viele Möglichkeiten, aber wir (JTL) können hier keine konkreten Empfehlungen geben.

Kommt aber auch alles darauf an, welches Sicherheitslevel angestrebt wird.

Gruss,
Frank
 

Shopworker.de

Offizieller Servicepartner
SPBanner
4. Januar 2011
4.114
542
Arnsberg, Sauerland
Server sollte nicht "im Internet" betrieben werden.

Gleiches gilt auch für den SQL Server, POS Server und andere firmeninterne Dienste.
Jeder öffentlich erreichbare offene Port ist ein potentielles Sicherheitsrisiko.
Hallo Frank,

wie ist das denn mit den ganzen "gehosteten" Wawi-Datenbanken?
Diese sind doch auch "im Internet" und über offene Ports erreichbar. Oder sehe ich das falsch?
 

John

Sehr aktives Mitglied
3. März 2012
2.592
496
Berlin
ein Dienst wie der WMS Mobile Server muss auf jeden Fall gegen Zugriffe aus dem öffentlichen Netz abgesichert werden!
Der WMS Mobile Server sollte nicht "im Internet" betrieben werden.

...dann gehört das aber auch so an entscheidender Stelle kommuniziert.

Wenn hier ambitionierte User anhand des Guides in die Lage versetzt werdne, Dienste einzurichten ist das toll. Sie gehören aber auch über die Risiken und die Maßnahmen aufgeklärt. Alles andere ist fahrlässig.
Das betrifft wohl auch die JTL Agentur, die meinen Kunden vorher betreut hat. Ob man es da nicht besser wußte oder hingenommen hat, weiß ich nicht.

Ich würde mir wünschen, daß dem Thema etwas Aufmerksamkeit im Guide gewidmet wird.
 

JTL_fwenzl

WMS Entwickler
Mitarbeiter
15. Dezember 2017
561
181
Hürth
@shopworker Im Prinzip wäre das korrekt, aber ein gehosteter Server hängt normalerweise schon vom Hoster aus hinter diversen Sicherheitsmaßnahmen und sollte in irgendeiner Form vorkonfiguriert sein. Inwieweit das ausreichend ist, hängt wie schon gesagt vom individuellen Sicherheitsbedürfnis ab.

Für den SQL-Server sollte auf jeden Fall ein SSL-Zertifikat vorhanden sein und man sollte den Anbieter mal nach den Maßnahmen gegen DOS Attacken Fragen.

Sicherheit ist aber auch eine Frage der Überwachung/Monitoring, regelmäßige Updates usw. Bei gehosten Servern ist das ja in der Regel alles gegeben.

Gruss,
Frank
 
  • Gefällt mir
Reaktionen: Shopworker.de

JTL_fwenzl

WMS Entwickler
Mitarbeiter
15. Dezember 2017
561
181
Hürth
@John Im Guide wird grundsätzlich von einer lokalen Installation ausgegangen. Ich kann gerne einmal anregen, das im Guide ein entsprechender Hinweis hinterlegt wird.

Es ist ja auch gar nicht gesagt, das die oben erwähnte Installation unsicher ist.
Ich wollte hauptsächlich sagen, das das Problem der Sicherheit meist unterschätzt wird. Ist an einem Server ein Dienst öffentlich, kann man diese von aussen auslesen und diese Information entsprechen nutzen.

Gruss,
Frank
 
Ähnliche Themen
Titel Forum Antworten Datum
Neu Ärger mit WMS mobile - Scan bestätigt nicht zuverlässig die Eingabe Gelöste Themen - JTL-WMS / JTL-Packtisch+ 4
Neu Pickliste für Standardlager - Sortierung in WMS Mobile Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 0
WMS Mobile App kein Benutzer wählbar JTL-Wawi App 1
Neu wir brauchen dringend Hilfe bei WMS-Mobile, Benutzeranmeldung User helfen Usern - Fragen zu JTL-Wawi 3
Neu Service-Bestellungen / Dienstleistungen mit WMS abbilden Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 0
Neu Nach Umstellung auf WMS Probleme mit der JTL Ameise Installation von JTL-WMS / JTL-Packtisch+ 0
Gelöst WMS 1.8.11.2 friert beim Starten ein JTL-WMS / JTL-Packtisch+ - Fehler und Bugs 5
Artikel wurden über Weclapp über FFN-Connect an JTL FFN übermittelt jedoch leider nicht an Wawi & WMS JTL-Wawi 1.8 0
Auftrag bezahlt und freigegeben - erscheint aber nicht in WMS JTL-Wawi 1.7 4
Neu Deinstallation WMS: WMS Lager zu Standard Lager funktioniert nicht Installation von JTL-WMS / JTL-Packtisch+ 0
Neu JTL WMS 1.5.16 - Inventur - gezählte Positionen können nicht eingetragen werdenm Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 2
Hilfe - 1.8.10.0 JTL-WMS Waage Typ ADE EHR/EHQ geht nicht mehr JTL-Wawi 1.8 22
Neu SQL Abfrage über ODBC für Bewegunghistorie (WMS) Eigene Übersichten in der JTL-Wawi 4
JTL-WMS und JTL-Packtisch+ Es können nun einzelne Artikel im Versand gewogen werden Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 0
Gelöst Artikel fehlt auf Pickliste des WMS JTL-WMS / JTL-Packtisch+ - Fehler und Bugs 2
Neu Artikelname für WMS über Ameise importieren JTL-Ameise - Fehler und Bugs 6
Neu Verbindung Mobile Server fehlgeschlagen, falsche Datenbankversion JTL-WMS / JTL-Packtisch+ - Fehler und Bugs 0
Wichtig 👉 Wichtiger Hinweis: JTL-eazyAuction Server Downtime am Dienstag, 02.04.2024 News, Events und Umfragen 0
Workflow Manuell HTML Request wie Server Antwort verarbeiten JTL-Wawi 1.7 0
Neu Eigener (Home-) Server mit Windows UND Linux Starten mit JTL: Projektabwicklung & Migration 23
Wichtig 👉 Wichtiger Hinweis: JTL-eazyAuction Server Downtime am Dienstag, 12.03.2024 News, Events und Umfragen 0
Neu MS SQL Server 2022 oder MS SQL Server 2022 Express? Installation von JTL-Wawi 8
Neu JTL-POS-Server als Dienst/Autostart starten (WinServer2022) Einrichtung / Updates von JTL-POS 2
Neu Nach Installation eines neuen SQL Servers klappt die Verbindung vom Benutzer-PC zum Server-PC nicht mehr. Installation von JTL-Wawi 5
Neu Server zu verkaufen Business Jungle 6
Neu Einstellung: "Bilder des Vaterartikels un der folgenden Variationswerte übernehmen" und der Shopware Server "explodiert" Shopware-Connector 10
Upgrade von SQL Server 2014 auf höhere Version JTL-Wawi 1.8 4
Neu ecoDMS auf Ubuntu Server OS Installation: unknown user ecodms und keine Clientverbindung möglich User helfen Usern 1
Neu SQL Server Express 2017 auf 2022 Update Installation von JTL-Wawi 10
Neu Nach SQL Server neuinstallation Benutzer gelöscht? JTL-Wawi - Fehler und Bugs 3
Wichtig 👉 Wichtiger Hinweis: Abkündigungsfristen JTL-Wawi 1.5 / MSQL-Server 2014 / JTL-POS für Android 7 / JTL-Connector für Shopware 5 News, Events und Umfragen 2
Datenbankimport nach Server-Umzug klappt nicht JTL-Wawi 1.8 3
Wo ist der JTL Worker bei der 1.8.10.0 wird nicht installiert Crash Windwos Server. Bestellungen werden nicht abgeholt JTL-Wawi 1.8 41

Ähnliche Themen