/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Hvilken firewall?
Fra : Michael Grønbech Lar~


Dato : 01-12-01 13:17

Hej!
Jeg er sikker på, spørgsmålet har været oppe før, men har ikke kunnet finde
en svar, jeg kunne bruge.

Jeg står for en installation bestående af mailserver, FTP-server og
web-server. Alt sammen koblet på en ADSL-linie. Jeg skal have sat en
Firewall op, men hvilken? Skal det være en hardware eller en software?

På forhånd tak!

Grønbech



 
 
Asbjorn Hojmark (01-12-2001)
Kommentar
Fra : Asbjorn Hojmark


Dato : 01-12-01 14:54

On Sat, 1 Dec 2001 13:17:02 +0100, "Michael Grønbech Larsen"
<g@g-web.dk> wrote:

> Jeg står for en installation bestående af mailserver, FTP-server og
> web-server. Alt sammen koblet på en ADSL-linie. Jeg skal have sat en
> Firewall op, men hvilken? Skal det være en hardware eller en software?

Du starter efter min mening i den forkerte ende af opgaven,
nemlig ved at se efter en løsning, uden først at tage stilling
til, hvad opgaven er.

Find ud af, hvilken funktionalitet og hvilket sikkerhedsniveau du
ønsker. Når du har gjort det, så se på, hvilke applikationer du
kan anvende til at give funktionaliteten, og hvordan deres sik-
kerhedsniveau er (og kan bringes til at være med patches og kon-
figurationsændringer).

Derefter kan du se på, hvilke sikkerhedsprodukter, der kan hjælpe
dig med at opnå den sikkerhed, som du ikke ellers kan opnå. Det
kan vise sig at være en (hardware- eller software-) firewall der
skal til, men det kan også vise sig ikke at være nødvendigt.

-A
--
http://www.hojmark.org/

Alex Holst (01-12-2001)
Kommentar
Fra : Alex Holst


Dato : 01-12-01 15:25

Michael Grønbech Larsen <g@g-web.dk> wrote:
> Jeg står for en installation bestående af mailserver, FTP-server og
> web-server. Alt sammen koblet på en ADSL-linie. Jeg skal have sat en
> Firewall op, men hvilken? Skal det være en hardware eller en software?

Hvorfor skal du have en firewall op? Du maa have overset foelgende afsnit i
OSS'en da du laeste den igennem:

http://a.area51.dk/sikkerhed/ordforklaring#firewalls
http://a.area51.dk/sikkerhed/hjemme_pc#firewall

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Michael Grønbech Lar~ (01-12-2001)
Kommentar
Fra : Michael Grønbech Lar~


Dato : 01-12-01 15:44

Jeg skal have en firewall op for, så vidt muligt at begrænse adgangen til
mit LAN som ud over de nævnte servere også har filservere og klienter med
delte data.

> Hvorfor skal du have en firewall op? Du maa have overset foelgende afsnit
i
> OSS'en da du laeste den igennem:
>
> http://a.area51.dk/sikkerhed/ordforklaring#firewalls
> http://a.area51.dk/sikkerhed/hjemme_pc#firewall




Zikterion (07-12-2001)
Kommentar
Fra : Zikterion


Dato : 07-12-01 00:47

igen hvorfor vil du have en firewall op?

tænk lidt over statistik: hvad gør at en eller anden lige netup skulle
cracke dig?

Zikterion


"Michael Grønbech Larsen" <g@g-web.dk> wrote in message
news:3c08ec28$0$89816$edfadb0f@dspool01.news.tele.dk...
> Jeg skal have en firewall op for, så vidt muligt at begrænse adgangen til
> mit LAN som ud over de nævnte servere også har filservere og klienter med
> delte data.
>
> > Hvorfor skal du have en firewall op? Du maa have overset foelgende
afsnit
> i
> > OSS'en da du laeste den igennem:
> >
> > http://a.area51.dk/sikkerhed/ordforklaring#firewalls
> > http://a.area51.dk/sikkerhed/hjemme_pc#firewall
>
>
>



Kasper Dupont (07-12-2001)
Kommentar
Fra : Kasper Dupont


Dato : 07-12-01 04:27

Zikterion wrote:
>
> igen hvorfor vil du have en firewall op?
>
> tænk lidt over statistik: hvad gør at en eller anden lige netup skulle
> cracke dig?

Kan du komme med nogen pålidelig statistik der viser at man ingen
grund har til at beskytte sig? Folk kunne have adskillige grunde
til at cracke en tilfældig computer på nettet, f.eks. for at bruge
den til at angribe videre. Desuden beskytter en firewall også mod
andet. En firewall kan f.eks. også beskytte mod nogle ormeangreb.
Prøv at overveje hvad en firewall kunne have gjort for de mange
computere der kører IIS udelukkende for at levere dokumenter til
lokale klienter. En firewall kan fungere som ekstra sikring mod
nogle ukendte sikkerhedshuller.

--
Kasper Dupont

Alex Holst (07-12-2001)
Kommentar
Fra : Alex Holst


Dato : 07-12-01 05:28

Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Desuden beskytter en firewall også mod andet. En firewall kan f.eks. også
> beskytte mod nogle ormeangreb. Prøv at overveje hvad en firewall kunne
> have gjort for de mange computere der kører IIS udelukkende for at levere
> dokumenter til lokale klienter.

Jeg har ingen ide om hvor udbredt det er, at have IIS koerende blot for at
den lokale bruger har adgang til nogle HTML dokumenter eller lignende. Jeg
vil gaette paa, at antallet af installationer der koerer IIS fordi brugeren
ikke ved at den koerer, er mange gange stoerre end antallet af
installationer der koerer IIS fordi brugeren skal have adgang til lokalt web
funktionalitet.

Loesningen er ikke at bruge CPU kraft paa at koere en firewall. Loesningen
er at lukke de services som ikke skal bruges til noget, evt. lukke dem fra
producentens side. Guderne maa vide hvornaar det sker. Jeg kunne godt
taenke mig at laese Microsoft's interne risk assessment dokumenter omkring
IIS. Jeg faar lidt indtrykket, at de stoler ret meget paa den, eftersom hver
eneste installation stadigt har den koerende som standard.

> En firewall kan fungere som ekstra sikring mod nogle ukendte
> sikkerhedshuller.

Lidt nitpicking: jeg bryder mig ikke om, at firewalls bliver beskrevet paa
denne maade da folk som ikke forstaar en firewalls's begraesninger hopper i
med begge ben.

De skynder sig at hente eller koebe en firewall og tror at det goer dem
"sikker", hvilket ikke noedvendigvis er tilfaeldet. Der er adskellige trin
som boer komme foer installation af en firewall, blandt andet lukning af
ubenyttede programmer, staerk brugervalidering, system integritets analyse,
analyse af logfiler, etc. Selv paa arbejdsstationer er det vigtigere at
lukke ubrugte programmer end det er at installere et personligt firewall
produkt.

OSS'en forsoeger at forklare hvornaar der kan vaere brug for et firewall
produkt, men afsnittet kunne godt traenge til at blive uddybet lidt.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Peder Vendelbo Mikke~ (10-12-2001)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 10-12-01 22:48

"Alex Holst" skrev

> IIS. Jeg faar lidt indtrykket, at de stoler ret meget paa den,
> eftersom hver eneste installation stadigt har den koerende som
> standard.

I de sidste par måneder er MS blevet en lille smule mindre arrogant:

"Installing and Securing a New Windows® 2000 System" (der er en lignen-
de artikel om "gamle" upatchede W2K installationer)

<URL: http://www.microsoft.com/technet/security/tools/w2knew.asp >

"Install Windows 2000 while not connected to a network. Typically this
is done using a CD. It is recommended to integrate the service pack to
create a Windows 2000 Service Pack 2 installation CD. Follow the
Service Pack Installation and Deployment Guide to create an integrated
installation and burn the installation share to a CD. The base install
of Internet Information Server (IIS) is vulnerable to security attacks
and should remain disabled or disconnected from the network until both
the Windows 2000 Service Pack 2 and the IIS Security Roll-up package
are installed.

Install Windows 2000 using an unattend.txt file with entries to disable
IIS. For more information on how to use an unattend.txt file while
installing Windows 2000, read Chapter 13 of the Deployment Planning
Guide."

Men ok, det er nok sjældent at den typiske W2K bruger kigger på
<URL: http://microsoft.com/technet/security/ > og opdager at den slags
dokumenter findes på MSs websider.

I resten af artiklen bliver det ofte nævnt, at IIS kører som standard
og at man bør slå den fra med mindre man har sikret den efter opskrif-
ten.

Et af problemerne med ovennævnte artikel, er at det tager et stykke
tid at finde den, i alt fald hvis man er dårlig til at huske URLs (MS
gør det ikke ligefrem nemmere ved at redesigne siderne hver 14. dag og
ved at have lange grimme URLs).

IIS i XP og fremefter skulle være deaktiveret fra start (3. oktober,
passer det ikke meget godt med Gartners kritik?), hvis jeg forstår
denne del af en anden artikel:

"Microsoft Aligns Company Resources to Ensure Secure Customer Networks"

<URL: http://www.microsoft.com/presspass/Press/2001/Oct01/10-03ImproveCNSecurityPR.asp >

"A second, longer-term phase of the program, Stay Secure, will provide
customers with the tools, technologies and resources they need to stay
secure. As part of the Stay Secure phase, Microsoft will deliver the
next version of IIS locked down by default, providing customers with an
automated tool to customize and secure IIS to meet their individual
business computing needs."

Det jeg egentlig forsøger at sige, er at det ser ud til at noget af
kritikken er ved at trænge ind. Een ting er sikkert, den tilgængelige
dokumentation på MS websider er blevet markant bedre i det sidste år.

Med venlig hilsen

Peder


Bertel Lund Hansen (07-12-2001)
Kommentar
Fra : Bertel Lund Hansen


Dato : 07-12-01 07:24

Kasper Dupont skrev:

>den til at angribe videre. Desuden beskytter en firewall også mod
>andet.

Så er der slækket på kravene til den som firewall. Man kan ikke
få både i pose og sæk.

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste