---

Man møder ofte argumentet at Linux er eminent og et bedre operativ-system
til en firewall. Nu er jeg bare lidt nysgerrig.......... hvorfor er Linux
egentlig bedre, hvad angår sikkerhed og Firewall ?

Mange hilsner fra
Carsten

e-mail:
cajuth(remove_***_this)@worldonline.dk
cajuth(fjern_dette_i_parantes)@worldonline.dk

---

"cajuth@worldonline.dk" <cajuth(remove_this***)@worldonline.dk> writes:

> Man møder ofte argumentet at Linux er eminent og et bedre operativ-system
> til en firewall. Nu er jeg bare lidt nysgerrig.......... hvorfor er Linux
> egentlig bedre, hvad angår sikkerhed og Firewall ?

Bedre end hvad?

Linux har en fordel som Windows traditionelt har haft svært ved at leve
op til: Det kan køre uendeligt. Der er ingen problem med at have en
linux maskine kørende flere år i træk, ud over at man lige som alle
andre steder skal holde den opdateret med sikkerheds-patches.
Det er dog ikke en fordel ved linux så meget som en svaghed ved windows.
{Free,Open,Net}BSD kører lige så godt, og det er kun sammenligning af
operativsystemer der kører på samme hardware.

Linux (lige som de fleste andre Unix-varianter) har indbygget
netværks-faciliteter som f.eks. pakke-filtre of forwarding (ip-firewall,
ip-chains, whatever det hedder i 2.4 kernen, ip-filter i BSD).
Der findes også RIGTIGT MANGE gratis sikkerheds-produkter.

Og man kan godt køre en effektiv firewall på en 486-maskine med 4Mb ram :)
/L
--
Lasse Reichstein Nielsen - lrn@daimi.au.dk
This message may be reproduced freely for non-commercial purposes.
"... but where do you want to go tomorrow?"

---

>
> Og man kan godt køre en effektiv firewall på en 486-maskine med 4Mb ram :)

Jeg har tænkt på at sætte en linux firewall op, men ved ikke hvilken. Kan I
hjælpe med en liste over software der skal bruges (styresystem og firewall)?

Hilsen
Henrik M. Pedersen
HMP@HMP.DK

P.s. jeg er ikke enig i din statement om at Windows ikke kan køre længe. På
arbejde havde vi en NT4 boks som kørte i 3 år uden fejl, eneste grund til at
den skulle lukkes ned, var en flytning.

---

"Henrik Pedersen" <HMP@HMP.DK> wrote in message
news:3be4467f$0$214$edfadb0f@dspool01.news.tele.dk...
> P.s. jeg er ikke enig i din statement om at Windows ikke kan køre længe.
På
> arbejde havde vi en NT4 boks som kørte i 3 år uden fejl, eneste grund til
at
> den skulle lukkes ned, var en flytning.

Jep, det kan sagtens lade sig gøre, hvis man undlader at opdatere den. Men
en webserver eller andet der står på internettet er jo nødvendig at
sikkerhedsopdatere, om det så er en MS eller *nix box. Men fordelen med
f.eks. linux er jo at man kan opdatere det mens den køre - dvs der kræves
ikke genstart, i modsætning til en NT der skal genstartes bare man rør
den...

Mvh
Jacob

---

"jacob" <j@homogen.dk> skrev i en meddelelse
news:3be45b56$0$57648$edfadb0f@dspool01.news.tele.dk...
> "Henrik Pedersen" <HMP@HMP.DK> wrote in message
> news:3be4467f$0$214$edfadb0f@dspool01.news.tele.dk...
> > P.s. jeg er ikke enig i din statement om at Windows ikke kan
køre længe.
> På
> > arbejde havde vi en NT4 boks som kørte i 3 år uden fejl,
eneste grund til
> at
> > den skulle lukkes ned, var en flytning.
>
> Jep, det kan sagtens lade sig gøre, hvis man undlader at
opdatere den. Men
> en webserver eller andet der står på internettet er jo
nødvendig at
> sikkerhedsopdatere, om det så er en MS eller *nix box. Men
fordelen med
> f.eks. linux er jo at man kan opdatere det mens den køre - dvs
der kræves
> ikke genstart, i modsætning til en NT der skal genstartes bare
man rør
> den...


NT skal sikkert genstartes i højere grad end Linux eller Windows
2000 server, men hvad så? Det tager ganske få sekunder og kan
ikke siges at være en alvorlig indvending mod Windows-servere i
al almindelighed.

--
ahw

---

"Arne H. Wilstrup" <arne.h.wilstrup@mail.tele.dk> wrote in message
news:3be596c5$0$57674$edfadb0f@dspool01.news.tele.dk

> NT skal sikkert genstartes i højere grad end Linux eller Windows
> 2000 server, men hvad så? Det tager ganske få sekunder og kan
> ikke siges at være en alvorlig indvending mod Windows-servere i
> al almindelighed.

Prøv at sætte dig en en helpdesk hvor du lige har bootet firewalle eller en
central server og se hvor mange kald du får.

Samt de fleste server tager det minutter at boote ikke sekunder.

Nogle ideer til en fut ?

---

"Arne H. Wilstrup" <arne.h.wilstrup@mail.tele.dk> wrote in news:3be596c5$0
$57674$edfadb0f@dspool01.news.tele.dk:


> NT skal sikkert genstartes i højere grad end Linux eller Windows
> 2000 server, men hvad så? Det tager ganske få sekunder og kan
> ikke siges at være en alvorlig indvending mod Windows-servere i
> al almindelighed.

Det kan det da i aller højeste grad. Min NT eller 2000 tager _mindst_ et
minut at genstarte (nok nærmere 2 eller 3) og det er da lang tid der ikke er
nogen servicering af kunder. Ud over det kræver det at JEG gør det. Det vil
jeg helst undgå at bruge tid på. Samt hvornår går den ned? Skal jeg sidde og
kigge på den 24 i døgnet for at se om den kører? Næ tak så foretrækker jeg
driftsikkerhed. Så jeg mener ikke dit argument holder.

Derimod mener jeg heller ikke argumentet med at NT går ned hele tiden
holder. Jeg har en NT-maskine (www-server og print-server) kørende som kun
stoppes når der er strømafbrydelser i bygningen. Den går _ikke_ ned af sig
selv.

Derimod skal min kontor-PC med Win ME genstartes mindst en gang i døgnet.
Selv når jeg ikke bruger den.

--
Henning

---

"Henning Birch" <henning_birch@spamfælde.yahoo.com> skrev i en
meddelelse
news:Xns9150818C31039henningbirchyahoocom@212.242.40.196...
> "Arne H. Wilstrup" <arne.h.wilstrup@mail.tele.dk> wrote in
news:3be596c5$0
> $57674$edfadb0f@dspool01.news.tele.dk:
>
>
> > NT skal sikkert genstartes i højere grad end Linux eller
Windows
> > 2000 server, men hvad så? Det tager ganske få sekunder og
kan
> > ikke siges at være en alvorlig indvending mod
Windows-servere i
> > al almindelighed.
>
> Det kan det da i aller højeste grad. Min NT eller 2000 tager
_mindst_ et
> minut at genstarte (nok nærmere 2 eller 3) og det er da lang
tid der ikke er
> nogen servicering af kunder. Ud over det kræver det at JEG gør
det. Det vil
> jeg helst undgå at bruge tid på. Samt hvornår går den ned?
Skal jeg sidde og
> kigge på den 24 i døgnet for at se om den kører? Næ tak så
foretrækker jeg
> driftsikkerhed. Så jeg mener ikke dit argument holder.

Næ, det har du nok ret i - jeg har ikke nogen statistik at holde
mig til udover, hvad man har oplyst om driftssikkerheden på
Windows 2000 server. Her skulle oppetiden være oppe på mindst 99
% , men tal er jo taknemmelige.
Hvad angår Windows Me, så lyder det yderst sandsynligt.

Det var såmænd heller ikke for at starte endnu en lang "krig"
omkring hvilket styresystem, der er bedst - jeg har hørt om en
server, der "blev væk". Det viste sig at den var blevet muret
inde - og der havde den stået i flere år.

Der findes f.eks. Novell-servere, der har stået i årevis uden at
blive genstartet - men hvis en server bliver brugt meget, vil
den efterhånden "sande til" -der findes jo ingen perfekte
programmer -især ikke operativsystemer, så da servere benyttes
forskelligt og til forskellige formål, vil oppetiden altså være
meget afhængig af dette.

Hvis man stiller to forskellige servere op, der skal foretage
akkurat det samme, vil man måske kunne foretage målinger af det,
men det er jo ikke sikkert at man kan sige noget præcist om
tingene.
F.eks. findes linux også i mange afskygninger - man kan jo ikke
udelukke at nogen linux-systemer er mere stabile end andre.

Det er måske korrekt, at Linux ikke skal genstartes så ofte som
andre operativsystemer, herunder Windows NT eller 2000, men så
sker det jo på bekostning af andre ting: Linux befinder sig jo
på et "lavere" niveau, hvor man skal gøre det meste selv - WinNT
og 2000 består af en masse forskellige programmer, der skal gøre
det nemt for brugerne at håndtere tingene - hvad angår Linux,
skal man altså selv gøre en hel masse for at systemet bliver sat
korrekt op i modsætning til Win NT - så alt i alt: det er ganske
vanskeligt at sige noget generelt om tingene.

Hver "lejr" er jo lykkelig for sine produkter. Linux er "gratis"
skriver man f.eks., men det er jo en sandhed med mange
modifikationer: man skal først og fremmest kende til de
forskellige systemer af Linux for at kunne finde det korrekte og
mest stabile af dem, man skal ofre en hel masse tid på nettet
for at finde de nyeste opdateringer, man skal vide mere /være
mere "nørdet" for at benytte det effektivt = længer
oplæringstid, mere tidsforbrug = større omkostninger = dyrere
produkt.

Med andre ord: Linux' gratis tilbud er ikke så gratis at det gør
noget.

Jeg synes man skal være fair, når man forsøger at sammenligne
produkterne -men det synes jeg også du forsøger på at være, så
det er da helt fint. Vi skal jo helst ikke ind i den sædvanlige
skyttegravskrig omkring diverse styresystemers fordele og
ulemper, om afskyen for Bill Gates etc. Det er temmelig
trættende.
--
ahw

---

On Mon, 5 Nov 2001 23:38:30 +0100, "Arne H. Wilstrup"
<arne.h.wilstrup@mail.tele.dk> wrote:

> Næ, det har du nok ret i - jeg har ikke nogen statistik at holde
> mig til udover, hvad man har oplyst om driftssikkerheden på
> Windows 2000 server. Her skulle oppetiden være oppe på mindst 99
> % , men tal er jo taknemmelige.

99% oppetid betyder, at serveren er *nede* mere end 3,5 dag på et
år. Der er masser af anvendelser, hvor 3,5 hele dages nedetid er
temmelig langt fra Godt Nok(TM).

-A
--
http://www.hojmark.org/

---

Hej Asbjorn Hojmark <Asbjorn@Hojmark.ORG>

>99% oppetid betyder, at serveren er *nede* mere end 3,5 dag på et
>år. Der er masser af anvendelser, hvor 3,5 hele dages nedetid er
>temmelig langt fra Godt Nok(TM).

Ja, sådan ca. de fleste steder. Til gengæld vil jeg sige at både nt4
og w2k let har bedre oppetider, de største problemer er med dårligt
hardware, og det er sådan set os-uafhængigt. Det betyder dog at man er
nødt til at købe oppetid i form af redundans, men det er jo ikke så
forskelligt fra så meget andet (læs: f.eks. netværk).

--
Lars Kim Lund
http://www.net-faq.dk/

---

On Tue, 06 Nov 2001 06:53:31 +0100, Lars Kim Lund
<larskim@mail.com> wrote:

>> 99% oppetid betyder, at serveren er *nede* mere end 3,5 dag på et
>> år. Der er masser af anvendelser, hvor 3,5 hele dages nedetid er
>> temmelig langt fra Godt Nok(TM).

> Ja, sådan ca. de fleste steder. Til gengæld vil jeg sige at både nt4
> og w2k let har bedre oppetider

Nu var det jo ikke mig, der kom ind på de 99%. Det var et svar på
et af AHWs sædvalige indlæg, hvor han fabler om Netware, Windows
og Linux. (Jeg går ud fra du har filter på, siden du ikke svarede
ham selv).

> de største problemer er med dårligt hardware, og det er sådan set
> os-uafhængigt.

Ja, dårligt og underdimensioneret hardware. Jeg synes, det ofte
er servere, der i forvejen er helt i knæ med belastning, der
laver de virkelig mærkelige fejl.

Og der mener jeg, man kan argumentere for at nogle OS'er
håndterer belastning bedre end andre. (Jeg skal indrømme, det er
en fuldstændig subjektiv vurdering, og jeg ikke har noge stati-
stik, der underbygger det).

-A
--
http://www.hojmark.org/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:qq1futodt30evqkalv4kdavtngr0dv2ekc@news.worldonline.dk...
>
> Nu var det jo ikke mig, der kom ind på de 99%. Det var et svar
på
> et af AHWs sædvalige indlæg, hvor han fabler om Netware,
Windows
> og Linux. (Jeg går ud fra du har filter på, siden du ikke
svarede
> ham selv).

ak, ja -så er hr. Højrøv igen på mærkerne - på trods af mit
særdeles sobre og forsigtige indlæg, som oven i købet er blevet
til gennem en nærmest ord for ord-manuduktion af en
forhåndenværende professionel edb-mand, der lever af netop at
arbejde med netværk og servere, så fremturer du igen med dine
højrøvede og flabede bemærkninger .

Det skulle glæde mig om du en dag ville forholde dig lige så
sobert til mine indlæg, som det normalt burde være kotume hos
veloprdragne mennesker i stedet for at fremture med din idelige
personfnidder omkring min person.
Det kan nemlig godt være, at jeg tidligere har udtalt mig
skråsikkert om en række ting, men jeg har faktisk bestræbt mig
på at svare sobert og redeligt, give udtryk for mine synspunkter
uden polemisk indhold, og jeg synes det er lykkedes ganske godt.
Men naturligvis ikke i dette indlæg, hvor jeg bliver nødt til at
besvare dine flabetheder på lignende facon.

Men fortvivl ikke, der skal nok være en del, der går i rette med
mig for at kalde dig for hr. Højrøv, vel glemmende hvad der
giver anledning til netop dette indlæg -men det får være.

At du ikke kan skelne mellem et professionelt indlæg og så et
indlæg fra en amatør viser jo hvor langt du er fra
virkelighedens verden, og det kan jeg kun beklage.
--
med sur hilsen
ahw

---

Arne H. Wilstrup <arne.h.wilstrup@mail.tele.dk> wrote:
> ak, ja -så er hr. Højrøv igen på mærkerne - på trods af mit
> særdeles sobre og forsigtige indlæg, som oven i købet er blevet
> til gennem en nærmest ord for ord-manuduktion af en
> forhåndenværende professionel edb-mand, der lever af netop at
> arbejde med netværk og servere, så fremturer du igen med dine
> højrøvede og flabede bemærkninger .

Ja, for vi ved jo alle, at Asbjorn hvertfald ikke lever af sit arbejde med
netvaerk.

Arne laenge leve.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> skrev i en meddelelse
news:slrn9ug3hp.28ri.a@C-Tower.Area51.DK...
> Arne H. Wilstrup <arne.h.wilstrup@mail.tele.dk> wrote:
> > ak, ja -så er hr. Højrøv igen på mærkerne - på trods af mit
> > særdeles sobre og forsigtige indlæg, som oven i købet er
blevet
> > til gennem en nærmest ord for ord-manuduktion af en
> > forhåndenværende professionel edb-mand, der lever af netop
at
> > arbejde med netværk og servere, så fremturer du igen med
dine
> > højrøvede og flabede bemærkninger .
>
> Ja, for vi ved jo alle, at Asbjorn hvertfald ikke lever af sit
arbejde med
> netvaerk.
>
> Arne laenge leve.

Jeg har faktisk glemt alt om Asbjørn Højmarks metier - og det er
mig underordnet i denne sammenhæng -jeg har blot ikke lyst til
at blive skoset af bemeldte herre på baggrund af udtalelser som
hverken er skrevet eller ment som et polemisk indlæg, men blot
en kommentar, sagt i al forsigtighed og fredsommelighed.

Som jeg har svaret Brodersen, så har jeg begået fejl og skrevet
ting, jeg ved nærmere eftertanke nok skulle have undladt -jeg
har erkendt flere gange, at jeg har været for hurtig på
aftrækkeren - det er desværre en alt for sent erkendelse, så det
nytter ikke noget at jeg piber over disse ting -det er helt min
egen skyld og det erkender jeg blankt. Men at man stadig generer
mig uanset, hvad jeg skriver, uanset hvor forsigtig jeg forsøger
at beskrive tingene, det generer mig faktisk en smule.

Man kunne i det mindste forsøge at kommentere, hvad jeg skriver
i stedet for at kommentere hvad jeg engang har skrevet eller
hvad man tror, jeg mener.

Hvis folk er grove over for mig, får de fortsat svar på tiltale,
men ellers er jeg såmænd "blid som et lam".

--
ahw

---

Hej "Arne H. Wilstrup" <arne.h.wilstrup@mail.tele.dk>

>Jeg har faktisk glemt alt om Asbjørn Højmarks metier

Det har vi ikke. Den gode hr. Højmark har hjulpet flere mennesker end
du har generet, og det er ingen beskeden bedrift.

>Som jeg har svaret Brodersen, så har jeg begået fejl

Åbenbart har du ikke gjort dig fortjent til at tilgivelse endnu. Måske
om et par år eller fem.

--
Lars Kim Lund
http://www.net-faq.dk/

---

"Lars Kim Lund" <larskim@mail.com> skrev i en meddelelse
news:r3bgutgrosrmgsc7mmdh06358mgl851nja@news.tele.dk...
> Hej "Arne H. Wilstrup" <arne.h.wilstrup@mail.tele.dk>
>
> >Jeg har faktisk glemt alt om Asbjørn Højmarks metier
>
> Det har vi ikke. Den gode hr. Højmark har hjulpet flere
mennesker end
> du har generet, og det er ingen beskeden bedrift.

Jeg har ikke generet nogen, der ikke har generet mig, men jeg
har formastet mig til at svare en af guruerne igen -og det er
som bekendt ikke "gratis". Jeg synes ikke at det hr. Højmark har
gjort er nogen særlig bedrift, men det bliver vi næppe enige om.
>
> >Som jeg har svaret Brodersen, så har jeg begået fejl
>
> Åbenbart har du ikke gjort dig fortjent til at tilgivelse
endnu. Måske
> om et par år eller fem.

Du tager helt fejl -jeg anker ikke efter tilgivelse. Jeg er
faktisk temmelig ligeglad med om jeg bliver "tilgivet" - det,
der er kernen i mit indlæg er, at man ser på, hvad der faktisk
står i et indlæg fremfor at inddrage gamle historier. Hvis man
ikke er i stand til at erkende, at nu er det tid til at komme op
af sandkassen og forsøge at forholde sig til virkeligheden som
den er, så synes jeg at det er uendelig trist.
Hvis Højmark føler sig blodigt fornærmet af mine indlæg, så har
det været ganske tilsigtet. Det vil jeg ikke undskylde eller
beklage -jeg har blot givet stymperen svar på tiltale, og jeg er
fuldkommen ligeglad med om han er sur på mig eller ej.
Det, jeg imidlertid mener er, at jeg fuldtud erkender, at jeg
har begået nogle fejltagelser - en lidt for skråsikker holdning
til tingene -jeg er blevet klogere på det edb-mæssige område, og
forsøger at undgå at være alt for kategorisk i mine udtalelser
fremover - men jeg vil da fortsat give højmarker og andre tørt
på, hvis de igen ymter ting, der har til formål at genere mig
som person.

Du har i denne omgang ikke generet mig, og derfor ser jeg ingen
grund til at genere dig. Hvis du udtaler dig om edb-mæssige
forhold, vil jeg da forsøge at vurdere disse ting og så komme
med mine synspunkter på en forhåbentlig mere konstruktiv og
ordentlig måde end hidtil. Men tilgivelse for fortidens syndere?
Aldrig! Det er ikke ment som jammer, det jeg skriver. Vær vis på
det.

--
ahw

---

Kære Arne!

Hvis du er så sur på Lars Kim Lund og Asbjørn Højmark, kunne du så ikke tage
at
bruge en anden Nyheds-gruppe!

Nu er jeg ny i gruppen... jeg aner ikke hvordan man FUT'er dig, da jeg
aldrig har følt behov for det! Men her begynder jeg efterhånden at føle at
man bør FUT'te dig!


--
/appendix123
appendix123@hotmail.com

---

On Tue, 6 Nov 2001 16:44:02 +0100, Arne H. Wilstrup wrote:

> ak, ja -så er hr. Højrøv igen på mærkerne - på trods af mit
> særdeles sobre og forsigtige indlæg, som oven i købet er blevet
> til gennem en nærmest ord for ord-manuduktion af en
> forhåndenværende professionel edb-mand, der lever af netop at
> arbejde med netværk og servere, så fremturer du igen med dine
> højrøvede og flabede bemærkninger .

Sjovt som du altid fremturer med dine kompetente venner.
Iøvrigt, hvis han lever af det, er han vel stadig professionel?

> Men fortvivl ikke, der skal nok være en del, der går i rette med
> mig for at kalde dig for hr. Højrøv, vel glemmende hvad der
> giver anledning til netop dette indlæg -men det får være.

Ja, hvorfor mon?

Tåbe.
--
/Sonny - #include <std.disclaimer.h>

"I don't have an attitude problem, you have a perception problem."

---

"Sonny T. Larsen" <sonny@unix.dk> skrev i en meddelelse
news:slrn9ug6vm.1m10.sonny@bofh.nerdheaven.dk...
> On Tue, 6 Nov 2001 16:44:02 +0100, Arne H. Wilstrup wrote:
>
> Ja, hvorfor mon?
>

Ja, det var jo som forudset: et par "ædle" våbendragere er
straks parat til at drage i felten for at man ikke ustraffet
skal kaste smuds på guruen over alle guruer, Asbjørn Højmark.
Denne må - akkurat som i middelalderen - naturligvis gøre hvad-
som-helst over for de uvidende bønder, men ve den formastelige,
der tillader sig blot at ymte en enkelt kritisk bemærkning om
"adelsmanden". Han skal nok få kærligheden at føle.

> Tåbe.
Tænk, det er faktisk ikke nødvendigt at du præsenterer dig. Jeg
er faktisk helst foruden.

--
ahw

---

On Tue, 6 Nov 2001 18:45:14 +0100, Arne H. Wilstrup wrote:

> Denne må - akkurat som i middelalderen - naturligvis gøre hvad-
> som-helst over for de uvidende bønder, men ve den formastelige,
> der tillader sig blot at ymte en enkelt kritisk bemærkning om
> "adelsmanden". Han skal nok få kærligheden at føle.

En skam, du ikke kan lægges på hjul & stejle.

--
/Sonny - #include <std.disclaimer.h>

"I don't have an attitude problem, you have a perception problem."

---

"Sonny T. Larsen" <sonny@unix.dk> skrev i en meddelelse
news:slrn9ugahp.1m10.sonny@bofh.nerdheaven.dk...
> On Tue, 6 Nov 2001 18:45:14 +0100, Arne H. Wilstrup wrote:
>
> > Denne må - akkurat som i middelalderen - naturligvis gøre
hvad-
> > som-helst over for de uvidende bønder, men ve den
formastelige,
> > der tillader sig blot at ymte en enkelt kritisk bemærkning
om
> > "adelsmanden". Han skal nok få kærligheden at føle.
>
> En skam, du ikke kan lægges på hjul & stejle.
>

Det tvivler jeg ikke på, du mener - og det viser jo også din
primitive tankegang!

Begavelse kan der nemlig ikke være tale om - kun tåbesnak!

--
ahw

---

er i snart færdige? fut dk.snak.mudderkastning .. det er ved at være
trættende at se på.

---

On Tue, 6 Nov 2001 16:44:02 +0100, "Arne H. Wilstrup"
<arne.h.wilstrup@mail.tele.dk> wrote:

>på trods af mit
>særdeles sobre og forsigtige indlæg, som oven i købet er blevet
>til gennem en nærmest ord for ord-manuduktion af en
>forhåndenværende professionel edb-mand, der lever af netop at
>arbejde med netværk og servere,

Umiddelbart forekommer det mig, at det ville være langt mere praktisk,
hvis han diskuterede herinde, i stedet for at lade information gå
gennem tredjepart med risiko for at blive misforstået.

Det er unægteligt en lidt klodset diskussionsmetode, hvis du skal
taste info fra ham ind her, og give info fra fx Asbjørn til ham (for
jeg håber da, at der er tale om dialog, og du tilsvarende giver indlæg
tilbage til ham, som han kan reflektere på).

Den umiddelbare holdning med "Jamen, han er professionel" kan jo også
bruges om andre debattører i denne nyhedsgruppe. Og i sidstnævnte
tilfælde er der i højere grad mulighed for at udøve kildekritik, idet
længere tids skriblerier giver en fornemmelse om hvorvidt, debattøren
hælder vand ud af ørerne, eller rent faktisk plejer at vide noget om
et relevant emne.

Så helt grundlæggende: Det er problematisk at diskutere med et
"fantom" via stedfortræder. Det kan kun give misforståelser, specielt
hvis stedfortræderen drager konklusioner undervejs. Så er det lettere
at debattere direkte med personen. Så oprigtigt ment: Kan han ikke
overtales til at deltage i nyhedsgrupper?


("... i øvrigt har jeg en professionel bekendt, som ikke vil snakke
med andre end mig, der ved at Atari er det bedste til at køre servere
på, så I tager alle sammen fejl, at I ved det - I er bare fanatiske
PC-brugere, der klamrer sig til Windows og linux allesammen, og han
har faktisk arbejdet med det i mange år, så det kan kun være jer, der
tager fejl, og der er kun én sandhed, og den kender han, så I taler
bevidst mod bedre vidende")

--
- Peter Brodersen

---

"Peter Brodersen" <professionel@nerd.dk> skrev i en meddelelse
news:ybVF7.8567$Ip2.523493@news010.worldonline.dk...
> Så helt grundlæggende: Det er problematisk at diskutere med
et
> "fantom" via stedfortræder. Det kan kun give misforståelser,
specielt
> hvis stedfortræderen drager konklusioner undervejs. Så er det
lettere
> at debattere direkte med personen. Så oprigtigt ment: Kan han
ikke
> overtales til at deltage i nyhedsgrupper?

Jeg er helt enig med dig - og det ville også være velgørende at
man kunne overtale ham, men det har jeg forsøgt -forgæves. Han
siger blot, at han ikke gider de hundeslagsmål omkring
styresystemer og alskens "reklamegøgl" for det ene eller andet
systems mere eller mindre fortræffeligeheder, og selvom han af
og til giver sin mening til kende privat, så har han ikke spor
lyst til at geråde i idelige diskussion med folk, som allerede
"har set lyset".

Jeg har desværre en gang for alle begået en række fejl omkring
debatten her - det erkender jeg. Efterhånden som jeg er blevet
mere "vidende" har jeg også måttet erkende, at en vis ydmyghed
nok ville have været på sin plads - det forsøger jeg så at rette
op på, men nu da skaden er sket, og når folk tilsyneladende har
let ved at bære nag, så er det nok nat med det, med mindre jeg
skriver under andet navn -og det vil nok være temmelig søgt.

Så derfor, Brodersen: jeg må erkende at der ikke er nogen vej
tilbage for mig, udover at jeg fremover må forsøge at skrive i
lidt mere afdæmpet tonefald og være mere "lyttende" - men derfor
kan det da godt irritere mig, at jeg stadig må høre for ting,
jeg måtte have udtrykt og misforstået - når jeg nu synes at jeg
er blevet klogere på de punkter.

Men sådan er livet en gang imellem - jeg kan ikke hulke over
det, kun ærgre mig over forspildte muligheder -men det er s'gu'
hårdt nok.

--
ahw

---

"Arne H. Wilstrup" <arne.h.wilstrup@mail.tele.dk> writes:

> Jeg har desværre en gang for alle begået en række fejl omkring
> debatten her - det erkender jeg. Efterhånden som jeg er blevet
> mere "vidende" har jeg også måttet erkende, at en vis ydmyghed
> nok ville have været på sin plads - det forsøger jeg så at rette
> op på, men nu da skaden er sket, og når folk tilsyneladende har
> let ved at bære nag, så er det nok nat med det, med mindre jeg
> skriver under andet navn -og det vil nok være temmelig søgt.

Hvis du har skrevet noget du fortryder, så ville offentlige dementier
og/eller undskyldninger formentlig oprette en del af den mistede
goodwill. Det virker nok bedst hvis det gøres som direkte opfølgning
til det indlæg du ikke er tilfreds med.

--
Thorbjørn Ravn Andersen "...plus...Tubular Bells!"
http://bigfoot.com/~thunderbear

---

"Thorbjørn Ravn Andersen" <thunderbear@bigfoot.com> skrev i en
meddelelse news:m2zo5y28wh.fsf@thunderbear.dyndns.dk...
>
> Hvis du har skrevet noget du fortryder, så ville offentlige
dementier
> og/eller undskyldninger formentlig oprette en del af den
mistede
> goodwill. Det virker nok bedst hvis det gøres som direkte
opfølgning
> til det indlæg du ikke er tilfreds med.
>
Javist - problemet er bare, at det er længe siden - så længe
siden at jeg ikke mere har de berørte indlæg, men eftersom jeg
er stødt ind i indlæg, hvoraf jeg set i bagklogskabens ulidelige
klare lys har måttet erkende, at jeg dengang var for hurtig ude,
så kan jeg kun give en generel beklagelse, vel at mærke en
beklagelse af visse ting, men ikke alle.

Nå, men lad os i al fredsommelighed slutte denne tærsken
langhalm på disse forhold - det fører ikke til noget videre
udover at jeg i hvert fald nu har offentligt givet til kende, at
jeg mener at være blevet klogere med min måde at formulere mig
på omkring visse ting: edb-tekniske forhold -men at jeg ikke har
tænkt mig at undlade at give svar på tiltale, hvis jeg fremover
bliver personlig chikaneret. Det er derfor jeg langede ud efter
A.H. - men lad det nu ligge.

--
ahw

---

"Arne H. Wilstrup" <arne.h.wilstrup@mail.tele.dk> writes:

> Javist - problemet er bare, at det er længe siden - så længe
> siden at jeg ikke mere har de berørte indlæg, men eftersom jeg

Her er groups.google.com din ven. Den kan det godt betale sig at lære
at kende. Specielt hvis du har en Msgid på det pågældende indlæg,
eller et svar derpå.

For at hjælpe dig igang er her et link til dine egne indlæg:

http://groups.google.com/groups?as_uauthors=arne.h.wilstrup%40mail.tele.dk&as_scoring=d

Herefter kan View Thread give dig en god oversigt over hele tråden du
har svaret på.

Så, hvis du virkelig mener det, er der stadig mulighed for at gøre det.

> så kan jeg kun give en generel beklagelse, vel at mærke en
> beklagelse af visse ting, men ikke alle.

Hvilke ting?

--
Thorbjørn Ravn Andersen "...plus...Tubular Bells!"
http://bigfoot.com/~thunderbear

---

"Thorbjørn Ravn Andersen" <thunderbear@bigfoot.com> skrev i en
meddelelse news:m2r8racr8h.fsf@thunderbear.dyndns.dk...
> Her er groups.google.com din ven. Den kan det godt betale
sig at lære
> at kende. Specielt hvis du har en Msgid på det pågældende
indlæg,
> eller et svar derpå.

Jeg kender godt google, men jeg har valgt ikke at beskæftige mig
mere med den sag -derfor - men tak for tippet.
>
> For at hjælpe dig igang er her et link til dine egne indlæg:
>
>
http://groups.google.com/groups?as_uauthors=arne.h.wilstrup%40ma
il.tele.dk&as_scoring=d
>
> Herefter kan View Thread give dig en god oversigt over hele
tråden du
> har svaret på.
>
> Så, hvis du virkelig mener det, er der stadig mulighed for at
gøre det.

Jf. ovenover.
>
> > så kan jeg kun give en generel beklagelse, vel at mærke en
> > beklagelse af visse ting, men ikke alle.
>
> Hvilke ting?

Jeg vil ikke beklage at jeg har givet f.eks. A.H. svar på
tiltale, når han/de har generet mig personligt -men jeg vil godt
beklage nogle tidligere skråsikre meninger omkring styresystemer
og netværk.

Tak for et sobert og hjælpsomt indlæg, men jeg tror ikke der kan
koges mere suppe på den pølsepind, så jeg lader det ligge nu.

Med venlig hilsen
Arne H. Wilstrup

---

Peter Brodersen wrote:

> ("... i øvrigt har jeg en professionel bekendt, som ikke vil snakke
> med andre end mig, der ved at Atari er det bedste til at køre servere
> på, så I tager alle sammen fejl, at I ved det - I er bare fanatiske
> PC-brugere, der klamrer sig til Windows og linux allesammen, og han
> har faktisk arbejdet med det i mange år, så det kan kun være jer, der
> tager fejl, og der er kun én sandhed, og den kender han, så I taler
> bevidst mod bedre vidende")

Du ironiserer vist mod bedre vidende:

   http://www.netbsd.org/Ports/atari/
--
Thorbjørn Ravn Andersen "...plus... Tubular Bells!"
http://bigfoot.com/~thunderbear

---

"Arne H. Wilstrup" wrote:

> ak, ja -så er hr. Højrøv igen på mærkerne - på trods af mit
> særdeles sobre og forsigtige indlæg, som oven i købet er blevet
> til gennem en nærmest ord for ord-manuduktion af en
> forhåndenværende professionel edb-mand, der lever af netop at
> arbejde med netværk og servere, så fremturer du igen med dine
> højrøvede og flabede bemærkninger .

> --
> med sur hilsen
> ahw

Skal der ikke andet til end ordet "flabet" førend du reagerer sådan?
Jeg skulle mene det er totalt ude af proprotioner, og at Anders er endog
mere berettiget til at tænke som du gør, end du.



--
Thorbjørn Ravn Andersen "...plus... Tubular Bells!"
http://bigfoot.com/~thunderbear

---

Thorbjørn Ravn Andersen wrote:

> Skal der ikke andet til end ordet "flabet" førend du reagerer sådan?
> Jeg skulle mene det er totalt ude af proprotioner, og at Anders er endog
> mere berettiget til at tænke som du gør, end du.

Jeg havde vist glemt hovedet. Jeg mente Asbjørn.
--
Thorbjørn Ravn Andersen "...plus... Tubular Bells!"
http://bigfoot.com/~thunderbear

---

Hej Thorbjørn Ravn Andersen <thunderbear@bigfoot.com>

>Skal der ikke andet til end ordet "flabet" førend du reagerer sådan?

"Fabler". Altså. Lær nu at læse. Og i øvrigt er Windows andet end pæne
grafiske brugerflader. Hvorfor har jeg ellers siddet de sidste par
timer og hacket registry pga. et obskurt møgproblem? Ja, jeg spø'r
bare. Fed måde at bruge sin tirsdag aften på.

Fik jeg nævnt at at EDB er noget lort?

FUT!

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund wrote:
>
> Hej Thorbjørn Ravn Andersen <thunderbear@bigfoot.com>
>
> >Skal der ikke andet til end ordet "flabet" førend du reagerer sådan?
>
> "Fabler". Altså. Lær nu at læse. Og i øvrigt er Windows andet end pæne
> grafiske brugerflader. Hvorfor har jeg ellers siddet de sidste par
> timer og hacket registry pga. et obskurt møgproblem? Ja, jeg spø'r
> bare. Fed måde at bruge sin tirsdag aften på.

Du er heldig. Du går ikke i gulvet når brugerfladerne ikke rækker
længere. Er det ikke dejligt at være ekspert?

Hvor sikkert er det iøvrigt at rode rundt i registry?

(Lykke er at se "regedit" i Start->Kør på en offentlig maskine)...
--
Thorbjørn Ravn Andersen "...plus... Tubular Bells!"
http://bigfoot.com/~thunderbear

---

Hej Thorbjørn Ravn Andersen <thunderbear@bigfoot.com>

>Hvor sikkert er det iøvrigt at rode rundt i registry?

Sikkert? Der er intet sikkerhedsnet, så hvis du skriver dumme ting
eller kommer til at slette noget forkert så risikerer du at kvadre
maskinen.

>(Lykke er at se "regedit" i Start->Kør på en offentlig maskine)...

Lykke er at bruge group policies.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Hej Asbjorn Hojmark <Asbjorn@Hojmark.ORG>

>> Ja, sådan ca. de fleste steder. Til gengæld vil jeg sige at både nt4
>> og w2k let har bedre oppetider
>
>Nu var det jo ikke mig, der kom ind på de 99%. Det var et svar på
>et af AHWs sædvalige indlæg, hvor han fabler om Netware, Windows
>og Linux. (Jeg går ud fra du har filter på, siden du ikke svarede
>ham selv).

Nøh. Jeg bekræfter bare dit udsagn, selvom det måske var så utydeligt
at du opfattede som at jeg ikke var enig med dig.

>> de største problemer er med dårligt hardware, og det er sådan set
>> os-uafhængigt.
>
>Ja, dårligt og underdimensioneret hardware. Jeg synes, det ofte
>er servere, der i forvejen er helt i knæ med belastning, der
>laver de virkelig mærkelige fejl.

Det er ikke min erfaring. Isoleret set fra "min" installation nærmere
det modsatte.

--
Lars Kim Lund
http://www.net-faq.dk/

---

"Lars Kim Lund" skrev

> >Hej Asbjorn Hojmark
> >Ja, dårligt og underdimensioneret hardware. Jeg synes, det ofte
> >er servere, der i forvejen er helt i knæ med belastning, der
> >laver de virkelig mærkelige fejl.

> Det er ikke min erfaring. Isoleret set fra "min" installation nærmere
> det modsatte.

Har du ikke fået afinstalleret Quake-server-softwaren endnu?

Fut til munkeklosteret.

---

"Lars Kim Lund" <larskim@mail.com> skrev i en meddelelse
news:qgueutkl96k5hpjij9qietdnd6qkkvoqqv@news.tele.dk...
> Hej Asbjorn Hojmark <Asbjorn@Hojmark.ORG>
>
> >99% oppetid betyder, at serveren er *nede* mere end 3,5 dag
på et
> >år. Der er masser af anvendelser, hvor 3,5 hele dages nedetid
er
> >temmelig langt fra Godt Nok(TM).
>
> Ja, sådan ca. de fleste steder. Til gengæld vil jeg sige at
både nt4
> og w2k let har bedre oppetider, de største problemer er med
dårligt
> hardware, og det er sådan set os-uafhængigt. Det betyder dog
at man er
> nødt til at købe oppetid i form af redundans, men det er jo
ikke så
> forskelligt fra så meget andet (læs: f.eks. netværk).
>

Det tror jeg at du har ret i - men hvordan kan man så hævde at
det ene system er bedre end det andet, hvis der er så mange
faktorer, der spiller ind netop på dette område? Hvordan kan man
i det hele taget mene at Linux er bedre end Windows, når man
ikke kender præmisserne for sammenligningerne?

--
ahw

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> writes:

> > Næ, det har du nok ret i - jeg har ikke nogen statistik at holde
> > mig til udover, hvad man har oplyst om driftssikkerheden på
> > Windows 2000 server. Her skulle oppetiden være oppe på mindst 99
> > % , men tal er jo taknemmelige.
>
> 99% oppetid betyder, at serveren er *nede* mere end 3,5 dag på et
> år. Der er masser af anvendelser, hvor 3,5 hele dages nedetid er
> temmelig langt fra Godt Nok(TM).

Slashdot havde en interessant artikel om hurtig genstart af en
Linuxmaskine.

http://slashdot.org/article.pl?sid=01/08/27/1419238&mode=thread

--
Thorbjørn Ravn Andersen "...plus...Tubular Bells!"
http://bigfoot.com/~thunderbear

---

"Arne H. Wilstrup" wrote:

> Det er måske korrekt, at Linux ikke skal genstartes så ofte som
> andre operativsystemer, herunder Windows NT eller 2000, men så
> sker det jo på bekostning af andre ting: Linux befinder sig jo
> på et "lavere" niveau, hvor man skal gøre det meste selv - WinNT
> og 2000 består af en masse forskellige programmer, der skal gøre
> det nemt for brugerne at håndtere tingene - hvad angår Linux,
> skal man altså selv gøre en hel masse for at systemet bliver sat
> korrekt op i modsætning til Win NT - så alt i alt: det er ganske
> vanskeligt at sige noget generelt om tingene.

Jeg har forsøgt at argumentere for hvorfor ovenstående er en _fordel_
for Unixfolk på Message-ID: <m2vghwatq3.fsf@thunderbear.dyndns.dk>.

--
Thorbjørn Ravn Andersen "...plus... Tubular Bells!"
http://bigfoot.com/~thunderbear

---

"Henrik Pedersen" <HMP@HMP.DK> skrev i
news:3be4467f$0$214$edfadb0f@dspool01.news.tele.dk:

> Jeg har tænkt på at sætte en linux firewall op, men ved ikke
> hvilken. Kan I hjælpe med en liste over software der skal
> bruges (styresystem og firewall)?

<www.smoothwall.org>

Den fylder omkring 19 MB (CD.ISO-fil), kan benytte 2 eller 3
netkort (så du kan lave en DMZ) og tager 10-15 minutter at sætte
op.

Det er en komplet firewall med styresystem (Linux) og hele
molevitten, den har gode logfaciliteter, transparent proxy (hvis
det ønskes) - og den er OpenSource (og gratis).

Works like a charm!

--
B-)
Købes: Originalt (gratis) analog-kort til DR2 & TV2-Zulu
Ting til salg: http://www.go.to/salg
Stop den urimelige afgift på IT-udstyr! http://www.stopcopydan.dk

---

Tak, den prøver jeg.
HP


"Bjørn Løndahl" <bear@flirt.dk> wrote in message
news:cl13s9.nba.ln@news.4952.dk...
> "Henrik Pedersen" <HMP@HMP.DK> skrev i
> news:3be4467f$0$214$edfadb0f@dspool01.news.tele.dk:
>
> > Jeg har tænkt på at sætte en linux firewall op, men ved ikke
> > hvilken. Kan I hjælpe med en liste over software der skal
> > bruges (styresystem og firewall)?
>
> <www.smoothwall.org>
>
> Den fylder omkring 19 MB (CD.ISO-fil), kan benytte 2 eller 3
> netkort (så du kan lave en DMZ) og tager 10-15 minutter at sætte
> op.
>
> Det er en komplet firewall med styresystem (Linux) og hele
> molevitten, den har gode logfaciliteter, transparent proxy (hvis
> det ønskes) - og den er OpenSource (og gratis).
>
> Works like a charm!
>
> --
> B-)
> Købes: Originalt (gratis) analog-kort til DR2 & TV2-Zulu
> Ting til salg: http://www.go.to/salg
> Stop den urimelige afgift på IT-udstyr! http://www.stopcopydan.dk

---

"cajuth@worldonline.dk" <cajuth(remove_this***)@worldonline.dk> wrote
> Man møder ofte argumentet at Linux er eminent og et bedre operativ-system
> til en firewall. Nu er jeg bare lidt nysgerrig.......... hvorfor er Linux
> egentlig bedre, hvad angår sikkerhed og Firewall ?

Er den det?

Jeg kan selv lide Linux, fordi:

1. Den fylder lidt (kan placeres på en floppy).

2. Kan kører på næsten alt (i dag fik jeg den fx til at kører på en cisco
2500).

3. Har 3 Firewall implementationer.

4. En del projekter (fx statefull inspection).

5. En del producenter bruger den (Symantec;Axent, Checkpoint, Nokia;de små
bokse, intrusion.com) således kan man få support fra sikkerhedsleverandører.

5. Linux er billig i licenser.

6. Tvinger typisk administeratoren til at sætte sig ind i tingene.

7. Bugs bliver hurtigt rettet.

8. Simpelt.

Dog findes der ikke en god gratis applikations firewall til Linux. (Jeg er
usikker på delegate, squid har vist sine sårbarheder).

Stærk brugervaliding i applikationslaget har jeg heller ikke set.

---

"Christian E. Lysel" <chlys@wmdata.com> skrev i en meddelelse
news:9shufg$gom$1@sunsite.dk...

> Jeg kan selv lide Linux, fordi:
>
> 1. Den fylder lidt (kan placeres på en floppy).
>
> 2. Kan kører på næsten alt (i dag fik jeg den fx til at kører
på en cisco
> 2500).
>
> 3. Har 3 Firewall implementationer.
>
> 4. En del projekter (fx statefull inspection).
>
> 5. En del producenter bruger den (Symantec;Axent, Checkpoint,
Nokia;de små
> bokse, intrusion.com) således kan man få support fra
sikkerhedsleverandører.
>
> 5. Linux er billig i licenser.
>
> 6. Tvinger typisk administeratoren til at sætte sig ind i
tingene.
>
> 7. Bugs bliver hurtigt rettet.
>
> 8. Simpelt.
>
> Dog findes der ikke en god gratis applikations firewall til
Linux. (Jeg er
> usikker på delegate, squid har vist sine sårbarheder).
>
> Stærk brugervaliding i applikationslaget har jeg heller ikke
set.

Det er de korteste og bedste argumenter, jeg har set længe.
Ingen "religionskrig", blot en tør konstatering af grunden til
ens præferencer - flot klaret!

--
ahw

---

Christian E. Lysel <chlys@wmdata.com> wrote:
> 4. En del projekter (fx statefull inspection).

Stateful inspection boer vaere en feature, ikke et projekt :)

> Stærk brugervaliding i applikationslaget har jeg heller ikke set.

Hvad har du brug for?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> wrote
> > Stærk brugervaliding i applikationslaget har jeg heller ikke set.
> Hvad har du brug for?

Radius på en Linux applikationsfirewall (både IN-Band-authentication og
out-of-band-authentication) ville da være fint, har blot ikke fundet det
endnu.

ANSI X.9 er understøttet, således virker både safeword og cryptocard fint.

---

Christian E. Lysel <chlys@wmdata.com> wrote:
> "Alex Holst" <a@area51.dk> wrote
>> > Stærk brugervaliding i applikationslaget har jeg heller ikke set.
>> Hvad har du brug for?
>
> Radius på en Linux applikationsfirewall (både IN-Band-authentication og
> out-of-band-authentication) ville da være fint, har blot ikke fundet det
> endnu.

Hvem skal du authenticate, er det brugere af web browsere (eller whatever)
eller en admin med shell adgang? Er det virkeligt vigtigt at jeres
applikationsfirewall er oppe, hvis jeres authentication system ikke er
tilgaengelig? Find selv paa flere spoergsmaal. Hvis jeg skal komme med et
forslag skal jeg vide lidt mere.

> ANSI X.9 er understøttet, således virker både safeword og cryptocard fint.

Du bruger disse i oejeblikket?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk>
> > Radius på en Linux applikationsfirewall (både IN-Band-authentication og
> > out-of-band-authentication) ville da være fint, har blot ikke fundet det
> > endnu.
>
> Hvem skal du authenticate, er det brugere af web browsere (eller whatever)

In-band-auth, kan være http, telnet, ftp, pop3, imap, nntp, osv.

Out-of-band-auth, kan være ovenstående plus ikke bruger orienteret, fx ping,
traceroute, sqlnet, realaudio, dns, ectetera.

Jeg er faldet over solsoft-nsm fra http://www.solsoft.org og www.tunix.nl.


Men ren http brugervalidering kan nok klarer de flest jobs.

> eller en admin med shell adgang? Er det virkeligt vigtigt at jeres
> applikationsfirewall er oppe, hvis jeres authentication system ikke er
> tilgaengelig? Find selv paa flere spoergsmaal. Hvis jeg skal komme med et
> forslag skal jeg vide lidt mere.

Du må da gerne liste et par gode applikationsfirewalls til Linux der ikke er
kommicielle.
Du får det til at lyde som der er masser af software til Linux. Er det GPL?

---

Christian E. Lysel <chlys@wmdata.com> wrote:
> "Alex Holst" <a@area51.dk>
>> Hvem skal du authenticate, er det brugere af web browsere (eller whatever)
>
> In-band-auth, kan være http, telnet, ftp, pop3, imap, nntp, osv.
>
> Out-of-band-auth, kan være ovenstående plus ikke bruger orienteret, fx ping,
> traceroute, sqlnet, realaudio, dns, ectetera.

Kerberos kan bruges af de fleste af ovenstaaende in-band, men jeg kan ikke
umiddelbart finde information om Kerberos authentication imod en NNTP
service.

Maaske jeg har stadigt ikke en fuldstaendig forstaaelse af hvad du leder
efter. Vil du authenticate folk paa jeres gateway/proxy, og derefter bruge
profiler til at finde ud af hvor hver person har lov til at bede om
forskellige typer trafik fra?

Du har kun fortalt mig hvilken teknologi du kigger paa, ikke hvilket problem
forsoeger at loese.

> Jeg er faldet over solsoft-nsm fra http://www.solsoft.org og www.tunix.nl.

Jeg kender ikke nogle af dem, men det er funktionalitet jeg aldrig har haft
brug for. Hvor det har vaeret noedvendigt at lave denne slags begraesninger
er det sket paa TCP laget hvor der f.eks. kun er givet adgang til port 80,
og klient maskinerne har vaeret under fuldstaendig kontrol. I nogle
tilfaelde har det endda vist sig, at det ikke var et krav for den beroerte
afdeling at have Internet adgang.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk>
> Kerberos kan bruges af de fleste af ovenstaaende in-band, men jeg kan ikke
> umiddelbart finde information om Kerberos authentication imod en NNTP
> service.

Er det ikke "kun" muligt at bruge på client/server siden, og ikke på en
firewall, som udviklerne selv skriver på
http://web.mit.edu/kerberos/www/#what_is

Endvidere virker det som den har haft for mange buffer overflows, både i
version 4 og 5.

Desuden skal klienten selvfølgelig understøtte kerberos.

> Maaske jeg har stadigt ikke en fuldstaendig forstaaelse af hvad du leder
> efter. Vil du authenticate folk paa jeres gateway/proxy, og derefter bruge
> profiler til at finde ud af hvor hver person har lov til at bede om
> forskellige typer trafik fra?

Ja, out-band authentikation virker dog ikke sikkert i de implementationer
jeg til dags dato har set. Når brugeren er valideret, skelnes mellem
brugerne ved at bruge deres IP adresse.

Så det jeg kikker efter er in-band.

Primært auth. af http in-band.

Internet
|
firewall
|
proxy
|
firewall
|
webserver

Brugeren sidder på Internet, etablere en session til proxy. På proxyen skal
brugeren valideres, fx via stærkbrugervalidering, fx ANSI x.9.
Når valideringen er fuldført har brugeren kun adgang til en fast defineret
liste af url'er (gældene for den gruppe brugeren er medlem af, eller noget
ligende), og proxyen vil etablere en session til webserveren.

Dette giver webserveren en god beskyttelse af eksterne brugere.


Lidt af som multisecure; www.ubizen.com, eller e-mobilizer;
www.e-mobilizer.com eller fw-1 eller raptors in-band authentication.


> Du har kun fortalt mig hvilken teknologi du kigger paa, ikke hvilket
problem
> forsoeger at loese.
>
> > Jeg er faldet over solsoft-nsm fra http://www.solsoft.org og
www.tunix.nl.
>
> Jeg kender ikke nogle af dem, men det er funktionalitet jeg aldrig har
haft
> brug for. Hvor det har vaeret noedvendigt at lave denne slags
begraesninger
> er det sket paa TCP laget hvor der f.eks. kun er givet adgang til port 80,

Pakke filter på port 80?

> og klient maskinerne har vaeret under fuldstaendig kontrol. I nogle
> tilfaelde har det endda vist sig, at det ikke var et krav for den beroerte
> afdeling at have Internet adgang.

---

Christian E. Lysel <chlys@wmdata.com> wrote:
> "Alex Holst" <a@area51.dk>
>> Kerberos kan bruges af de fleste af ovenstaaende in-band, men jeg kan ikke
>> umiddelbart finde information om Kerberos authentication imod en NNTP
>> service.
>
> Er det ikke "kun" muligt at bruge på client/server siden, og ikke på en
> firewall, som udviklerne selv skriver på
> http://web.mit.edu/kerberos/www/#what_is

Du kunne skrive din egen service som folk skulle authenticate imod, og naar
det var sket, kunne den opdatere en permissions database som de andre
services kunne tale med. Men se laengere nede for et bedre forslag.

> Endvidere virker det som den har haft for mange buffer overflows, både i
> version 4 og 5.

Du behoever ikke bruge MIT's udgave. Du kan evt. bruge Heimdal hvilket er
den KerberosV som bliver hevet ind i BSD'erne.

> Desuden skal klienten selvfølgelig understøtte kerberos.

Hvis sikkerheden er vigtigt er dette vel dit mindste problem? Hvertfald i
FreeBSD og OpenBSD er der fremragende support for Kerberos. Jeg har ikke
brugt Linux i aarevis saa jeg aner ikke hvor langt det efterhaanden er bagud
med (for mig) absolutte kraevede features.

> Internet
>|
> firewall
>|
> proxy
>|
> firewall
>|
> webserver

Det virker meget omstaendigt. Hvad med dette:

Bruger med VPN software
|
Internet
|
Firewall/VPN Concentrator
|
Webserver

Alt er pakket i et IPsec VPN evt. authenticated med CrytoCard tokens. Du kan
saa noejes med brugernavne og passwords over HTTP og andet. Eller du kan
kigge paa mod_kerberos og lign.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> wrote
> Hvis sikkerheden er vigtigt er dette vel dit mindste problem? Hvertfald i
> FreeBSD og OpenBSD er der fremragende support for Kerberos. Jeg har ikke
> brugt Linux i aarevis saa jeg aner ikke hvor langt det efterhaanden er
bagud
> med (for mig) absolutte kraevede features.

Nu er Linux jo ikke en distro :)

> Alt er pakket i et IPsec VPN evt. authenticated med CrytoCard tokens. Du
kan
> saa noejes med brugernavne og passwords over HTTP og andet. Eller du kan
> kigge paa mod_kerberos og lign.

Det er jo det nemmeste, men ikke ligefrem in-band authentificering.

Jeg er selv kommet frem til en stunnel løsning med både server og klient
certifikater, herefter vil jeg udfører brugervalideringen i http in-band.
Minder om dit forslag, blot er SSL implementeret i de fleste browser.


Har du forresten kikke på Zorp, http://www.balabit.hu/en/products/ZorpPro/

Han er den samme som skrev syslog-ng.

---

Christian E. Lysel <chlys@wmdata.com> wrote:
>> Alt er pakket i et IPsec VPN evt. authenticated med CrytoCard tokens. Du
> kan
>> saa noejes med brugernavne og passwords over HTTP og andet. Eller du kan
>> kigge paa mod_kerberos og lign.
>
> Det er jo det nemmeste, men ikke ligefrem in-band authentificering.

Jeg laeste dit tidligere indlaeg som du ville begraense adgang til
webserveren udefra, i tilfaelde af fejl i webserver softwaren. Et VPN er
fortraeffeligt til dette og du kan efterfoelgende stole langt mere paa
diverse in-band authentication metoder.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk>
> Jeg laeste dit tidligere indlaeg som du ville begraense adgang til
> webserveren udefra, i tilfaelde af fejl i webserver softwaren. Et VPN er

Ja.

VPN eller SSL.

Jeg mener blot at sætte en VPN op er en stor operation man ikke lige giver
sig i kast med, endvidere kan andre problemer opstå, fx routning hvis
klienten bliver NAT'et, en eller flere gange.

Og ja, Cisco's concentrator løser manger problemer, men er "kun næsten
gratis" :)

En SSL løsning med godkente klient certifikater kan derimod implementeres på
næste alle klienter uden problemer.

> fortraeffeligt til dette og du kan efterfoelgende stole langt mere paa
> diverse in-band authentication metoder.

out-band authentikationen i en VPN connectivity bør man da også kunne stole
på, eller?

---

In article <9slr0u$8k$1@sunsite.dk>, Christian E. Lysel wrote:

> Jeg mener blot at sætte en VPN op er en stor operation man ikke lige giver
> sig i kast med, endvidere kan andre problemer opstå, fx routning hvis
> klienten bliver NAT'et, en eller flere gange.
>
> Og ja, Cisco's concentrator løser manger problemer, men er "kun næsten
> gratis" :)

NAT traversal er mig bekendt et IETF draft, og ihvertfald Netscreen har
sagt at de kommer med en implementation der kan klare det "real soon
now" <tm>

--
Andreas Plesner Jacobsen | Bounders get bound when they are caught bounding.
|    -- Ralph Lewin

---

"Andreas Plesner Jacobsen" <apj@daarligstil.dk>
> > Jeg mener blot at sætte en VPN op er en stor operation man ikke lige
giver
> > sig i kast med, endvidere kan andre problemer opstå, fx routning hvis
> > klienten bliver NAT'et, en eller flere gange.
> >
> > Og ja, Cisco's concentrator løser manger problemer, men er "kun næsten
> > gratis" :)
>
> NAT traversal er mig bekendt et IETF draft, og ihvertfald Netscreen har
> sagt at de kommer med en implementation der kan klare det "real soon
> now" <tm>

Netscreen er ej gratis og ej "kun næste gratis" :)

Axent Raptor/Symantec Enterprise Firewall har ikke haft disse kedelige
problemer, da hver klient kan tildeles deres egen IKE Phase ID 1, og
ligeledes med Firewallen.
Således virker det fint, selvom både firewall og klienten sidder bag NAT
enheder og de ikke kan se hinanden direkte (selvfølge skal der være en 1-1
NAT i NAT enheden ved firewallen)
Men Axent's/Symantec's kan ej kaldes gratis.

Andre producenter understøtter det også, men det koster jo.

Alex, hvad med OpenBSD's VPN, understøtter den noget af ovennævnte?

---

In article <9slsag$3v5$1@sunsite.dk>, Christian E. Lysel wrote:
>
>> > Jeg mener blot at sætte en VPN op er en stor operation man ikke
>> > lige giver sig i kast med, endvidere kan andre problemer opstå, fx
>> > routning hvis klienten bliver NAT'et, en eller flere gange.
>> >
>> > Og ja, Cisco's concentrator løser manger problemer, men er "kun næsten
>> > gratis" :)
>>
>> NAT traversal er mig bekendt et IETF draft, og ihvertfald Netscreen har
>> sagt at de kommer med en implementation der kan klare det "real soon
>> now" <tm>
>
> Netscreen er ej gratis og ej "kun næste gratis" :)

Netscreen er forholdsvist billige IMO, alt efter hvad du leder efter
(deres 5'er er da lækker til små ting), men pointen var ikke producenter
men standardiseringen: Det er et IETF draft, og du kan derfor forvente
at ting begynder at virke rundt omkring.

--
Andreas Plesner Jacobsen | Verba volant, scripta manent!

---

Christian E. Lysel <chlys@wmdata.com> wrote:
> Alex, hvad med OpenBSD's VPN, understøtter den noget af ovennævnte?

Det kan klare VPN gennem NAT ved jeg, men jeg ved ikke med sikkerhed om de
foelger det paagaeldende IETF draft eller har valgt en anden metode. Jeg vil
skyde paa, at de overholder draftet.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Christian E. Lysel <chlys@wmdata.com> wrote:
> "Alex Holst" <a@area51.dk>
>> Jeg laeste dit tidligere indlaeg som du ville begraense adgang til
>> webserveren udefra, i tilfaelde af fejl i webserver softwaren. Et VPN er
>
> Ja.
>
> VPN eller SSL.

Hvordan forhindrer SSL at en angriber udefra smider et nyt exploit i hovedet
paa din IIS server?

> Jeg mener blot at sætte en VPN op er en stor operation man ikke lige giver
> sig i kast med, endvidere kan andre problemer opstå, fx routning hvis
> klienten bliver NAT'et, en eller flere gange.
>
> Og ja, Cisco's concentrator løser manger problemer, men er "kun næsten
> gratis" :)

Det tager tid og/eller penge at bygge noget som holder. Hvis du hverken har
tid eller penge kan du ikke forvente at ende med en god loesning. Den
holdning har jeg med held faaet udbredt til et vist punkt. Det tager tid at
forstaa og analysere alle trusler.

Hvis du kun har tid, og ikke ret mange penge vil jeg anbefale OpenBSD som
VPN concentrator.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> wrote
> Hvordan forhindrer SSL at en angriber udefra smider et nyt exploit i
hovedet
> paa din IIS server?

For det første ville jeg aldrig kører IIS :)

Kik på stunnel.org. En jail-root til stunnel fylder "kun" 1.3 MB.

internet
|
firewall
|
proxy
|
firewall
|
webserver

i ovenstående er proxy en maskiner der kører stunnel. stunnels eneste opgave
er at terminerer brugerens SSL forbindelse og sørge for at kun brugere med
gyldige certifikater må oprette en SSL forbindelse (opnåes med option "-v
3").

Dvs. at man kun bliver forwardet til webserveren hvis man kan initialisere
en SSL forbindelse, og det kan man kun hvis man har et gyldigt certifikat.


> > Jeg mener blot at sætte en VPN op er en stor operation man ikke lige
giver
> > sig i kast med, endvidere kan andre problemer opstå, fx routning hvis
> > klienten bliver NAT'et, en eller flere gange.
> >
> > Og ja, Cisco's concentrator løser manger problemer, men er "kun næsten
> > gratis" :)
>
> Det tager tid og/eller penge at bygge noget som holder. Hvis du hverken
har
> tid eller penge kan du ikke forvente at ende med en god loesning. Den
> holdning har jeg med held faaet udbredt til et vist punkt. Det tager tid
at
> forstaa og analysere alle trusler.

Det samme her, hvis kunden ikke kan indforstå at sikkerhed er besværligt og
dyrt (pris og tid). Regner kunden med at sikkerhed er nemt og billigt, så
glem det, der er jo blot falsk sikkerhed.