/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
rød,dmz, grøn og mailserver?
Fra : CykelSmeden fra Aalb~


Dato : 25-10-02 23:29

Vi er et par stykker som diskuterer hvordan en rimelig / optimal løsning er
vedr. Firewall og Mailserver.

1. sætte Mailserveren på DMZ med pinholes til rød ben port 25 og 113.
2. sætte mailserveren på grøn ben, en store&Fwd smtp server på DMZ med
pinholes på port 25/113 til rød
3. sætte mailserveren på DMZ med pinhole til en anden store&fwd server på
rød
4. anden metode

for god ordens skyld, er rød selvsagt internet og grøn intern net.
finn

--
--- CykelSmeden.... edb på gadeplan

Hvis intet er anført, taler jeg om RH 7.1
og når jeg spørger, er det bare fordi jeg ved for lidt!



 
 
Alex Holst (25-10-2002)
Kommentar
Fra : Alex Holst


Dato : 25-10-02 23:49

CykelSmeden fra Aalborg <outlook@acnord.slet.dk> wrote:
> Vi er et par stykker som diskuterer hvordan en rimelig / optimal løsning er
> vedr. Firewall og Mailserver.

Det kommer 100% an paa den paagaeldende situation. Jeg kan forestille
mig situationer hvor der slet ikke er nogen firewall involveret, og jeg
kan forestille mig situationer hvor incoming mail smides gennem 2 eller 3
lag af simple SMTP forwarders der er brugt mange penge paa at sikre
korrekt implmentation af, foer mailen rammer en rigtig MTA.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

TVN (26-10-2002)
Kommentar
Fra : TVN


Dato : 26-10-02 09:04

> 1. sætte Mailserveren på DMZ med pinholes til rød ben port 25 og 113.
> 2. sætte mailserveren på grøn ben, en store&Fwd smtp server på DMZ med
> pinholes på port 25/113 til rød
> 3. sætte mailserveren på DMZ med pinhole til en anden store&fwd server på
> rød
> 4. anden metode
>
> for god ordens skyld, er rød selvsagt internet og grøn intern net.
> finn

Jeg vil vælge 2´eren, og så sætte en mailsweeper i DMZ, f.eks en af følgende
http://www.clearswift.com/products/msw/default.asp
Samtidigt med at der ikke åbnes direkte til mail serveren, kan mail´s
scannes igennem for virus, bad scrips og meget andet.
Hvad er grunde til at åbne for 113 ident tap ?

Mvh
Thomas




Christian E. Lysel (26-10-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 26-10-02 11:06

TVN wrote:
> Jeg vil vælge 2´eren, og så sætte en mailsweeper i DMZ, f.eks en af følgende
> http://www.clearswift.com/products/msw/default.asp

Du fattede ikke hvad Alex skrev?

Hvordan kan du vide hvad der er mest optimalt for CykelSmeden, du han
ingen oplysninger om hans forretning eller hvorfor det skal sikres.


--
Christian E. Lysel, http://www.spindelnet.dk/


TVN (26-10-2002)
Kommentar
Fra : TVN


Dato : 26-10-02 15:59

> Du fattede ikke hvad Alex skrev?

Du fatter sgu da hellere ikke noget, hvad kan CykelSmeden bruge dit svar
til, ikke en skid.
Hvis du ikke har noget fornuftigt at sige så hold dog kæft.

Desuden er det en rigtig god løsning jeg skrev om, efter min mening skal så
meget som muligt smides ud i en eller flere DMZ.

Thomas



TVN (26-10-2002)
Kommentar
Fra : TVN


Dato : 26-10-02 16:01

> Desuden er det en rigtig god løsning jeg skrev om, efter min mening skal

> meget som muligt smides ud i en eller flere DMZ.

Ups glemte lige så meget som muligt at offentlige tilgængelige services.

Thomas



Christian E. Lysel (26-10-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 26-10-02 16:42

TVN wrote:
>>Du fattede ikke hvad Alex skrev?
> Du fatter sgu da hellere ikke noget, hvad kan CykelSmeden bruge dit svar
> til, ikke en skid.

Han kan uddybe sin problemstilling, så vi har bedre ved at svare _rigtigt_!

Men fatter du stadigvæk ikke hvad Alex skrev?

> Hvis du ikke har noget fornuftigt at sige så hold dog kæft.

> Desuden er det en rigtig god løsning jeg skrev om, efter min mening skal så
> meget som muligt smides ud i en eller flere DMZ.

Hvem er det en god løsning til? Kender du CykelSmedens behov? Er du
tankelæser?

Hvorfor ignorer du mit andet spørgsmål i tråden? Jeg skal med glæde
gentage det,

....Hvordan kan du vide hvad der er mest optimalt for CykelSmeden, du han
ingen oplysninger om hans forretning eller hvorfor det skal sikres...


I værste fald har du anbefaldet den dårligste løsning for CykelSmeden.

Du anbefalder han skal bruge masser af penge på MIMESweeper, men kører
han et setup der er sårbart for fx virus?

--
Christian E. Lysel, http://www.spindelnet.dk/


TVN (26-10-2002)
Kommentar
Fra : TVN


Dato : 26-10-02 17:49

> Han kan uddybe sin problemstilling, så vi har bedre ved at svare
_rigtigt_!

Som det er meget tydeligt at læse i CykelSmedens indlæg, så drejer det sig
om nogen der sidder og diskutere, det vil sige at der ikke er tale om et
firma, med nogen specielle behov, men efter din mening skal må så åbenbart
ikke spørge om noget hvis man ikke skal bruge det i en konkret sag.

> Hvem er det en god løsning til? Kender du CykelSmedens behov? Er du
> tankelæser?
Ja se ovenstående, men ret mig endelig hvis det er forkert opfattet.
>
> Hvorfor ignorer du mit andet spørgsmål i tråden? Jeg skal med glæde
> gentage det,
>
> ...Hvordan kan du vide hvad der er mest optimalt for CykelSmeden, du han
> ingen oplysninger om hans forretning eller hvorfor det skal sikres...

Se ovenstående, det er meget tydeligt hvad hans behov er.

> I værste fald har du anbefaldet den dårligste løsning for CykelSmeden.
>
Kom med eks.

> Du anbefalder han skal bruge masser af penge på MIMESweeper, men kører
> han et setup der er sårbart for fx virus?

Eller køre han en løsning der er sårbar over for mange andre ting, du har
vist ikke læst ret meget på hvad MIMESweeper kan, siden du kun nævner virus.
I mange tilfælde er det en rigtig god løsning.
Jeg er ikke representant for MIMESweeper, jeg har været ansat i en
virksomhed der havde MIMIESweeper, og vi var meget glade for den.

Thomas



Jesper Louis Anderse~ (26-10-2002)
Kommentar
Fra : Jesper Louis Anderse~


Dato : 26-10-02 19:11

On Sat, 26 Oct 2002 18:49:22 +0200, TVN <tvn@vandsted-fjern_dette.com> wrote:
>
> Eller køre han en løsning der er sårbar over for mange andre ting, du har
> vist ikke læst ret meget på hvad MIMESweeper kan, siden du kun nævner virus.
> I mange tilfælde er det en rigtig god løsning.

Muligvis. I mit er det ikke.

--
Jesper

CykelSmeden fra Aalb~ (26-10-2002)
Kommentar
Fra : CykelSmeden fra Aalb~


Dato : 26-10-02 23:45

Jesper Louis Andersen wrote:
> On Sat, 26 Oct 2002 18:49:22 +0200, TVN <tvn@vandsted-
> fjern_dette.com> wrote:
>>
Så er jeg inde igen , og blev lidt forskrækket over så voldsom en dialog jeg
fik starrtet.
Det var min mening bare at starte en kort seriøs snak om problematikken med
Mailserver og firewall bare for at blive lidt klogere.
Jeg ved man kan ofre formuer på at sikre sig mod forhold kun meget få kommer
ud for, og omvendt kan få midler sikre mod 90% af relevante ricici. Det
gælder altså om af finde ud af hvor man skal ligge på kurven ifh til pris -
behov., og jeg ville gerne se en diskutiom onm disse forhold.

Jeg har en postserver(nt4) for ca 200 brugere, som i 6 år har siddet uden FW
og har aldrig haft problemer. (kan jeg provokere eller hva'?) Det ønsker jeg
heller ikke at få, og derfor har jeg opsat en firewall med dmz og vil så
have flyttet postserveren ind bagve', men bagve' hvad?
Umiddelbart tænkte jeg på dmz ben, da den jo skal kunne tilgås udefra.
så tænkte jeg at dmz jo bliver temmelig åben hvis alle skal sende til den,
så min umiddelbare tanke var så nr. 3, således at smtp kun er åben til dmz
mellem 2 kendte maskiner. Men jeg kan godt forholde mig til Thomas'
forslag.
Alligevel er jeg mest varm på 2, da jeg gerne vil kunne tilgå serveren med
HTTP på port 80. så hvilke uhensigtsmæssigheder får jeg her?

finn




Christian E. Lysel (27-10-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 27-10-02 14:16

TVN wrote:
> Som det er meget tydeligt at læse i CykelSmedens indlæg, så drejer det sig
> om nogen der sidder og diskutere, det vil sige at der ikke er tale om et
> firma, med nogen specielle behov, men efter din mening skal må så åbenbart
> ikke spørge om noget hvis man ikke skal bruge det i en konkret sag.

Du skal lige præsis spørge ind til behovet, før du kan udtale dig om
hvad der er godt.

Men som jeg hele tiden spørger dig om, fatter du stadigvæk ikke hvad
Alex skrev?

>>Hvem er det en god løsning til? Kender du CykelSmedens behov? Er du
>>tankelæser?
>
> Ja se ovenstående, men ret mig endelig hvis det er forkert opfattet.

Du er den føste tankelæser jeg kender, kan du ikke også sige hvilke
farve sokker jeg havde på, da jeg skrev dette?

>>...Hvordan kan du vide hvad der er mest optimalt for CykelSmeden, du han
>>ingen oplysninger om hans forretning eller hvorfor det skal sikres...
> Se ovenstående, det er meget tydeligt hvad hans behov er.

Det eneste der er tydeligt, er at du ikke kender ordet "behov".

>>I værste fald har du anbefaldet den dårligste løsning for CykelSmeden.
> Kom med eks.

Jeg kom med et eksempel der gik på at han måske ikke havde brug for
virus beskyttelse, et andet eksempel kan være at han ikke har brug for
indholdssikkerhed.

>>Du anbefalder han skal bruge masser af penge på MIMESweeper, men kører
>>han et setup der er sårbart for fx virus?
>> Eller køre han en løsning der er sårbar over for mange andre ting, du har
> vist ikke læst ret meget på hvad MIMESweeper kan, siden du kun nævner virus.

Læst?... jeg har kun arbejdet med produktet siden version 2.4_3, i 1996,
da det var Intergralis der havde udviklingen af produktet. Jeg arbejdede
hos den eneste distributør i Danmark af produktet, inden alle andre fik
øjene op for mulighederne. I dag arbejder jeg med produktet som
konsulent og vi har _mange_ MIMEsweeper installationer.

Jeg ved ikke om du læste ordet "fx" i min sætning, "fx" betyder "for
eksempel", og antivirus var blot et eksempel.

> I mange tilfælde er det en rigtig god løsning.
> Jeg er ikke representant for MIMESweeper, jeg har været ansat i en
> virksomhed der havde MIMIESweeper, og vi var meget glade for den.

MIMEsweeper er kun godt til de problemer det kan løse, hvis man ikke har
de behov, er det et skod produkt.

Jeg kan sagtens godt finde problemer med MIMEsweeper, bla. er relay
mekanismen dårligt implementeret, kik fx på hvordan producenten for 6
måneder siden, selv havde implemeneteret deres mailsystem.

--
Christian E. Lysel, http://www.spindelnet.dk/


CykelSmeden fra Aalb~ (27-10-2002)
Kommentar
Fra : CykelSmeden fra Aalb~


Dato : 27-10-02 10:01

Christian Jesper Louis Andersen wrote:
> On Sat, 26 Oct 2002 18:49:22 +0200, TVN <tvn@vandsted-
> fjern_dette.com> wrote:
>>
Så er jeg inde igen , og blev lidt forskrækket over så voldsom en dialog jeg
fik starrtet.
Det var min mening bare at starte en kort seriøs snak om problematikken med
Mailserver og firewall bare for at blive lidt klogere.
Jeg ved man kan ofre formuer på at sikre sig mod forhold kun meget få kommer
ud for, og omvendt kan få midler sikre mod 90% af relevante ricici. Det
gælder altså om af finde ud af hvor man skal ligge på kurven ifh til pris -
behov., og jeg ville gerne se en diskutiom onm disse forhold.

Jeg har en postserver(nt4) for ca 200 brugere, som i 6 år har siddet uden FW
og har aldrig haft problemer. (kan jeg provokere eller hva'?) Det ønsker jeg
heller ikke at få, og derfor har jeg opsat en firewall med dmz og vil så
have flyttet postserveren ind bagve', men bagve' hvad?
Umiddelbart tænkte jeg på dmz ben, da den jo skal kunne tilgås udefra.
så tænkte jeg at dmz jo bliver temmelig åben hvis alle skal sende til den,
så min umiddelbare tanke var så nr. 3, således at smtp kun er åben til dmz
mellem 2 kendte maskiner. Men jeg kan godt forholde mig til Thomas'
forslag.
Alligevel er jeg mest varm på 2, da jeg gerne vil kunne tilgå serveren med
HTTP på port 80. så hvilke uhensigtsmæssigheder får jeg her?

finn



Christian E. Lysel (27-10-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 27-10-02 14:26

CykelSmeden fra Aalborg wrote:
> Det var min mening bare at starte en kort seriøs snak om problematikken med
> Mailserver og firewall bare for at blive lidt klogere.

Så lad os holde på et seriøst plan.

> Jeg ved man kan ofre formuer på at sikre sig mod forhold kun meget få kommer
> ud for, og omvendt kan få midler sikre mod 90% af relevante ricici. Det
> gælder altså om af finde ud af hvor man skal ligge på kurven ifh til pris -
> behov., og jeg ville gerne se en diskutiom onm disse forhold.

Valg af fornuftige systemer på klienten side kan også hjælpe meget, på
at bringe mængden af risici ned.

> Jeg har en postserver(nt4) for ca 200 brugere, som i 6 år har siddet uden FW
> og har aldrig haft problemer. (kan jeg provokere eller hva'?) Det ønsker jeg

Kan du ikke beskrive setup mere grundligt?

> heller ikke at få, og derfor har jeg opsat en firewall med dmz og vil så
> have flyttet postserveren ind bagve', men bagve' hvad?

Hvordan ved du at du ikke har haft problemer, hvilke værktøjer har du
brugt på at være sikker på dette? (nu er det vist mig der provokere :)

> Umiddelbart tænkte jeg på dmz ben, da den jo skal kunne tilgås udefra.
> så tænkte jeg at dmz jo bliver temmelig åben hvis alle skal sende til den,
> så min umiddelbare tanke var så nr. 3, således at smtp kun er åben til dmz
> mellem 2 kendte maskiner. Men jeg kan godt forholde mig til Thomas'
> forslag.

Hvorfor skal eposten ligge på det røde segment?

> Alligevel er jeg mest varm på 2, da jeg gerne vil kunne tilgå serveren med
> HTTP på port 80. så hvilke uhensigtsmæssigheder får jeg her?

Hvorfor skal den kunne tilgåes på port 80?
--
Christian E. Lysel, http://www.spindelnet.dk/


Christian E. Lysel (27-10-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 27-10-02 15:05

Christian E. Lysel wrote:
> Hvorfor skal eposten ligge på det røde segment?

Ups, det var fejl, rød skal rettes til grøn.


--
Christian E. Lysel, http://www.spindelnet.dk/


Asbjorn Hojmark (26-10-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 26-10-02 22:40

On Sat, 26 Oct 2002 16:59:13 +0200, "TVN"
<tvn@vandsted-fjern_dette.com> wrote:

> Du fatter sgu da hellere ikke noget, hvad kan CykelSmeden bruge dit svar
> til, ikke en skid. Hvis du ikke har noget fornuftigt at sige så hold dog
> kæft.

<<plonk.wav>>

-A
--
http://www.hojmark.org/

Anders Lund (27-10-2002)
Kommentar
Fra : Anders Lund


Dato : 27-10-02 09:16

Asbjorn Hojmark <Asbjorn@Hojmark.ORG>, wrote in
<news:4s2mrusllgmrqntk7bqgfjmlvu7bgg4nlq@news.worldonline.dk>:

> <<plonk.wav>>

Kan du sende mig den wave fil?

--
Anders Lund - spam2002q4@andersonline.dk
OE-QuoteFix - Et Outlook Express must - http://flash.to/oe-quotefix


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste