|
| SSO om Firewalls Fra : Philip Dahlstrøm |
Dato : 24-01-05 21:56 |
|
Goddag.
Dette er mit første post i en nyhedsgruppe i mange år. Sidst jeg var
herinde fik jeg virkelig god hjælp. Det håber jeg på at kunne igen denne
gang.
Mit "problem" er at jeg sidder med en Større Skriftlig Opgave på 3. år
HHX i IT Niveau A om IT Sikkerhed. Jeg har valgt at fokusere primært på
firewalls, da jeg maksimalt kan skrive 15 sider og ellers ville mene at
det blev for bredt.
Grunden til at jeg så kontakter jer, eksperterne på området, er at jeg
mener jeg har lidt problemer med at få hoved og hale på emnet. Jeg skal
både komme med noget beskrivende, redegørende, analyserende. Jeg har
tænkt mig at beskrive hvilke forskellige firewalls der findes, hvad
formålet med en firewall er, osv., men hvordan kommer jeg ud over det
7-8 tal som udelukkende beskrivelse giver mig? Jeg ved godt at dette er
at sætte skalaen lidt på spidsen, men jeg har ikke rigtig nogen ide om
hvordan jeg kommer videre herfra.
Dernæst vil jeg høre om nogen af jer kender nogle gode bøger omkring emnet.
På forhånd tak.
Med venlig hilsen
Philip Dahlstrøm
| |
Christian Andersen (24-01-2005)
| Kommentar Fra : Christian Andersen |
Dato : 24-01-05 22:15 |
|
Philip Dahlstrøm wrote:
> Jeg har
> tænkt mig at beskrive hvilke forskellige firewalls der findes, hvad
> formålet med en firewall er, osv., men hvordan kommer jeg ud over det
> 7-8 tal som udelukkende beskrivelse giver mig?
Udover selvfølgelig at beskrive hvad en firewall grundlæggende er, kan
du prøve at overveje/beskrive om en personlig firewall (Zonealarm osv)
er det rigtige valg for privatpersoner med en enkeltstående computer.
Hvorfor/hvorfor ikke?
Herunder kan du også komme ind på myter om firewalls. Hvad er grunden
til at disse myter er opstået? Kan der være økonomiske interesser?
> Dernæst vil jeg høre om nogen af jer kender nogle gode bøger omkring emnet.
O'Reilly har skrevet nogle gode bøger.
http://www.oreilly.com/
Prøv også at søge tilbage i denne gruppe via Google Groups, der er nogle
gange gode ting gemt mellem alt mudderet :)
En hurtig Google-søgning:
http://www.interhack.net/pubs/fwfaq/
http://www.howstuffworks.com/firewall.htm
http://www.faqs.org/faqs/firewalls-faq/
Held og lykke med opgaven!
--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!
| |
Philip Dahlstrøm (24-01-2005)
| Kommentar Fra : Philip Dahlstrøm |
Dato : 24-01-05 23:05 |
|
Christian Andersen wrote:
> Philip Dahlstrøm wrote:
>
>> Jeg har tænkt mig at beskrive hvilke forskellige firewalls der findes,
>> hvad formålet med en firewall er, osv., men hvordan kommer jeg ud over
>> det 7-8 tal som udelukkende beskrivelse giver mig?
>
>
> Udover selvfølgelig at beskrive hvad en firewall grundlæggende er, kan
> du prøve at overveje/beskrive om en personlig firewall (Zonealarm osv)
> er det rigtige valg for privatpersoner med en enkeltstående computer.
> Hvorfor/hvorfor ikke?
Har du nogle links til dette specifikt?
>
> Herunder kan du også komme ind på myter om firewalls. Hvad er grunden
> til at disse myter er opstået? Kan der være økonomiske interesser?
>
Hvilke myter mener du?
>> Dernæst vil jeg høre om nogen af jer kender nogle gode bøger omkring
>> emnet.
>
>
> O'Reilly har skrevet nogle gode bøger.
>
> http://www.oreilly.com/
>
> Prøv også at søge tilbage i denne gruppe via Google Groups, der er nogle
> gange gode ting gemt mellem alt mudderet :)
>
> En hurtig Google-søgning:
>
> http://www.interhack.net/pubs/fwfaq/
>
> http://www.howstuffworks.com/firewall.htm
>
> http://www.faqs.org/faqs/firewalls-faq/
>
> Held og lykke med opgaven!
>
Tak skal du have ;)
| |
Michael Knudsen (25-01-2005)
| Kommentar Fra : Michael Knudsen |
Dato : 25-01-05 03:57 |
|
On 2005-01-24, Philip Dahlstrøm <philip@fcknet.dk> wrote:
>> Udover selvfølgelig at beskrive hvad en firewall grundlæggende er, kan
>> du prøve at overveje/beskrive om en personlig firewall (Zonealarm osv)
>> er det rigtige valg for privatpersoner med en enkeltstående computer.
>> Hvorfor/hvorfor ikke?
> Har du nogle links til dette specifikt?
Gruppens OSS behandler emnet, og du kan sikkert finde mere relevant
information, som du kan bruge som baggrundsstof:
http://sikkerhed-faq.dk/hjemme_pc#firewall
http://sikkerhed-faq.dk/hjemme_pc#fwbehov
http://sikkerhed-faq.dk/personlig-fw-eval
Det sidste link indeholder en bunke henvisninger til sikkerhedsfejl i
personlige firewalls. Det burde ogsaa vaere en klar indikator af, at
firewalls er software som alt andet og er derfor i lige saa hoej grad
fejlbehaeftet.
>> Herunder kan du også komme ind på myter om firewalls. Hvad er grunden
>> til at disse myter er opstået? Kan der være økonomiske interesser?
>>
> Hvilke myter mener du?
Det er en udbredt misforstaaelse, at installerer man en firewall paa sin
maskine, behoever man ikke taenke over, hvad man laver. En firewall
filtrerer netvaerkstrafik -- det er ikke en magisk dimmer, der kan
skelne ond fra god trafik.
Desvaerre har TDC, Norton, Cybercity og en masse andre haft travlt med
at bilde folk andet ind. Sjovt nok har de i samme ombaering alle
lanceret diverse ``sikkerhedsprodukter''.
Hvis du vil skrive noget om dette, er det maaske ogsaa vaerd at skrive
noget om kompleksiteten i opsaetningen en firewall og overveje, om man
kan forvente at hr. og fru Danmark har teknisk forstaaelse til at goere
dette forsvarligt.
God fornoejelse samt held og lykke med skriveriet.
Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)
| |
me (25-01-2005)
| Kommentar Fra : me |
Dato : 25-01-05 19:57 |
|
"Michael Knudsen" <e@mongers.org> skrev i en meddelelse
news:slrncvbdb5.1mc.e@miracle.mongers.org...
>
> http://sikkerhed-faq.dk/hjemme_pc#firewall
> http://sikkerhed-faq.dk/hjemme_pc#fwbehov
> http://sikkerhed-faq.dk/personlig-fw-eval
>
> Det sidste link indeholder en bunke henvisninger til sikkerhedsfejl i
> personlige firewalls. Det burde ogsaa vaere en klar indikator af, at
> firewalls er software som alt andet og er derfor i lige saa hoej grad
> fejlbehaeftet.
>
Nu har jeg kigget på det sidste link. Særligt omkring Zone Alarm.
Det påviser ganske rigtigt nogle brister.
Men testene er udført i 2000-2002
Der er vel sket noget med Zone Alarm siden 2002 ?
Det er der jo selvfølgelig også med hackerværktøjer,men alligevel.
me
| |
Michael Knudsen (25-01-2005)
| Kommentar Fra : Michael Knudsen |
Dato : 25-01-05 20:23 |
|
On 2005-01-25, me <xx@ .com> wrote:
> Nu har jeg kigget på det sidste link. Særligt omkring Zone Alarm.
> Det påviser ganske rigtigt nogle brister.
> Men testene er udført i 2000-2002
> Der er vel sket noget med Zone Alarm siden 2002 ?
Givetvis, jeg bruger det ikke. Linket viser to ting:
1. Der kan vaere (er!) fejl i firewalls, og naar der er, saenker
det sikkerhedsniveauet.
2. Flere af fejlene er buffer overflow-fejl eller andre klassiske
fejl. Man maa forlange, at en producent af firewalls kender til
disse fejl, men det lader ikke til det med saa mange tilfaelde
paa saa kort tid. Derfor vil jeg generelt vaere meget kritisk af
kvaliteten af disse programmer.
Jeg vil egentlig ikke blive overrasket, at den stoerste udvikling i ZA,
siden jeg proevede det omkring 2000, er paa brugergraensefladen samt paa
den del, der bilder brugerne ind, at de har brug for at koere det.
> Det er der jo selvfølgelig også med hackerværktøjer,men alligevel.
Jeg tror, du blander tingene lidt sammen her. Hvad mener du? Portscannere?
Enumeration-vaerktoejer? Exploits? Ingen af disse har haft nogen
naevnevaerdig udvikling i de senere aar, hvad jeg har hoert om.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)
| |
me (25-01-2005)
| Kommentar Fra : me |
Dato : 25-01-05 21:06 |
|
"Michael Knudsen" <e@mongers.org> skrev i en meddelelse
news:slrncvd75e.b13.e@miracle.mongers.org...
>
> Jeg tror, du blander tingene lidt sammen her. Hvad mener du? Portscannere?
> Enumeration-vaerktoejer? Exploits? Ingen af disse har haft nogen
> naevnevaerdig udvikling i de senere aar, hvad jeg har hoert om.
Tjaa jeg ved ikke hvilke djævelskaber de unge mennesker bruger til deres
ugerninger.
Jeg har følt mig rimelig tryg bag min Zone Alarm.
Indtil nu (?)
me
| |
Philip Dahlstrøm (25-01-2005)
| Kommentar Fra : Philip Dahlstrøm |
Dato : 25-01-05 16:26 |
|
Jeg har i løbet af de sidste par uger læst en del om firewalls.
Specielt synes jeg at bogen "Firewalls And Internet Security - Second
Edition" udgivet af Addison Wesley skrevet af Cheswich, Bellovin og
Rubin har givet mig en god viden. Dog er der en ting jeg er i tvivl om.
Hvis man har en router med indbygget firewall (vil så givetvis være en
packet filter firewall). Denne router er fx. sat op til at lade trafik
komme igennem på port 80 (web) til 192.168.1.6. Serveren som er placeret
på 192.168.1.6 er desuden udstyret med en applikations-firewall med
"speciale" i webservere. I mine øjne ville dette være den optimale
sikring, da man lukker for alt undtagen det man skal bruge hvorefter der
opsættes den bedste sikkerheds-metode man har, hvis man da ikke skulle
lukke helt af.
Er jeg helt på et sidespring eller hvorledes?
Mvh.
Philip Dahlstrøm
Christian Andersen wrote:
> Philip Dahlstrøm wrote:
>
>> Jeg har tænkt mig at beskrive hvilke forskellige firewalls der findes,
>> hvad formålet med en firewall er, osv., men hvordan kommer jeg ud over
>> det 7-8 tal som udelukkende beskrivelse giver mig?
>
>
> Udover selvfølgelig at beskrive hvad en firewall grundlæggende er, kan
> du prøve at overveje/beskrive om en personlig firewall (Zonealarm osv)
> er det rigtige valg for privatpersoner med en enkeltstående computer.
> Hvorfor/hvorfor ikke?
>
> Herunder kan du også komme ind på myter om firewalls. Hvad er grunden
> til at disse myter er opstået? Kan der være økonomiske interesser?
>
>> Dernæst vil jeg høre om nogen af jer kender nogle gode bøger omkring
>> emnet.
>
>
> O'Reilly har skrevet nogle gode bøger.
>
> http://www.oreilly.com/
>
> Prøv også at søge tilbage i denne gruppe via Google Groups, der er nogle
> gange gode ting gemt mellem alt mudderet :)
>
> En hurtig Google-søgning:
>
> http://www.interhack.net/pubs/fwfaq/
>
> http://www.howstuffworks.com/firewall.htm
>
> http://www.faqs.org/faqs/firewalls-faq/
>
> Held og lykke med opgaven!
>
| |
Michael Knudsen (25-01-2005)
| Kommentar Fra : Michael Knudsen |
Dato : 25-01-05 18:29 |
|
On 2005-01-25, Philip Dahlstrøm <philip@fcknet.dk> wrote:
> Er jeg helt på et sidespring eller hvorledes?
Du ville kunne lave den samme restriktion direkte i webserveren og udelade
applikationsfirewallen/proxyen. Det kan maaske vaere simplere at konfigurere
de to ting hver for sig, men til gengaeld har man langt mere kode koerende.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)
| |
Christian Andersen (25-01-2005)
| Kommentar Fra : Christian Andersen |
Dato : 25-01-05 20:07 |
|
Philip Dahlstrøm wrote:
> Er jeg helt på et sidespring eller hvorledes?
Som Michael Knudsen også er inde på, vil det være lidt overkill.
Pointen er at en firewall er god til én ting og det er at holde to
netværk adskilt. Hvis man begynder at beskytte enkeltstående maskiner
med den, udvander man lidt det hele.
Det er i hvert fald *min* mening. Du skal selvfølgelig komme til din egen.
--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!
| |
Philip Dahlstrøm (25-01-2005)
| Kommentar Fra : Philip Dahlstrøm |
Dato : 25-01-05 20:21 |
|
Christian Andersen wrote:
> Philip Dahlstrøm wrote:
>
>> Er jeg helt på et sidespring eller hvorledes?
>
>
> Som Michael Knudsen også er inde på, vil det være lidt overkill.
>
> Pointen er at en firewall er god til én ting og det er at holde to
> netværk adskilt. Hvis man begynder at beskytte enkeltstående maskiner
> med den, udvander man lidt det hele.
>
> Det er i hvert fald *min* mening. Du skal selvfølgelig komme til din egen.
>
Men i princippet er det vel også sådan at hvis et angreb først er kommet
indenfor så er der frit spil, hvis der ikke er nogen beskyttelse af
klienterne? Dette er naturligvis betinget af at netværket er opbygget på
en sådan måde at serveren ikke kan kontrollere trafik fra klient til
klient indeni netværket, men kun trafik udefra og ind / omvendt.
| |
Michael Knudsen (25-01-2005)
| Kommentar Fra : Michael Knudsen |
Dato : 25-01-05 20:45 |
|
On 2005-01-25, Philip Dahlstrøm <philip@fcknet.dk> wrote:
> Men i princippet er det vel også sådan at hvis et angreb først er kommet
> indenfor så er der frit spil, hvis der ikke er nogen beskyttelse af
> klienterne? Dette er naturligvis betinget af at netværket er opbygget på
> en sådan måde at serveren ikke kan kontrollere trafik fra klient til
> klient indeni netværket, men kun trafik udefra og ind / omvendt.
Som Christian skriver, bruges en firewall til at adskille to netvaerk.
Derfor: Ja, hvis man er kommet ind, har man fri adgang. Derfor laver man
ofte en opdeling af sit netvaerk, saa man holder e.g. servere paa et
seperat netvaerk (populaert kaldet DMZ) fra arbejdsstationer, og dette
netvaerk kan ikke kommunikere med netvaerket med arbejdsstationer
(populaert kaldet LAN).
Man kan godt beynde at udstyre alle maskiner med firewalls for at
undgaa en indtraegning, men det er mere at vedligeholde og dermed
stoerre sandsynlighed for at fejle. Desuden er det en reaktiv handling;
skaden er sket.
Man forsoeger (boer!) i stedet at mindske angrebsfladen[1] paa sit
netvaerk og de enkelte maskiner paa det ved kun at koere de noedvendige
netvaerkstjenester paa de netvaerk, hvor de skal bruges. Eksempelvis
kunne man soerge for, at webserveren, der koerer firmaets intranet, kun
kan tilgaas internt i firmaet.
[1] Det kaldes ``attack surface reduction'', naar man snakker med sin
chef.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)
| |
Kasper Dupont (28-01-2005)
| Kommentar Fra : Kasper Dupont |
Dato : 28-01-05 10:19 |
|
Michael Knudsen wrote:
>
> Derfor: Ja, hvis man er kommet ind, har man fri adgang. Derfor laver man
> ofte en opdeling af sit netvaerk, saa man holder e.g. servere paa et
> seperat netvaerk (populaert kaldet DMZ) fra arbejdsstationer, og dette
> netvaerk kan ikke kommunikere med netvaerket med arbejdsstationer
> (populaert kaldet LAN).
Her går jeg udfra, at du mener servere, der skal kunne nås
udefra. Servere, som kun skal kunne nås indefra ville jeg
ikke placere i DMZ. F.eks. ville jeg ikke placere en
filserver med vigtige filer i en DMZ zone.
Det vil også give mening at være meget restriktiv med hvad
man tillader af udgående forbindelser fra en DMZ zone.
Selv om man i princippet har tabt hvis en angriber slipper
ind i DMZ zonen, så synes jeg alligevel godt man kan sikre
sig, at den ikke efterfølgende bliver brugt som springbræt
til at angribe andre systemer. Og hvis der ikke kan
oprettes udgående forbindelser fra DMZ zonen er der meget
mindre risiko for, at ens servere f.eks. bliver brugt til
relaying af spam eller spredning af orme.
I stedet for en firewall med tre ben kunne man bruge tre
firewalls med to ben hver, og forbinde dem i et lille
netværk. Den enkelte firewall opnår derved en simplere
konfiguration og mindre risiko for fejl. Til gengæld
kræver det flere resourcer at opsætte dem, og test bliver
vanskeliggjort.
>
> [1] Det kaldes ``attack surface reduction'', naar man snakker med sin
> chef.
Udfra princippet om, at hvis det har et engelsk navn, så
må det være fornuftigt?
--
Kasper Dupont
| |
Michael Knudsen (29-01-2005)
| Kommentar Fra : Michael Knudsen |
Dato : 29-01-05 15:22 |
|
On 2005-01-28, Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Her går jeg udfra, at du mener servere, der skal kunne nås
> udefra. Servere, som kun skal kunne nås indefra ville jeg
> ikke placere i DMZ. F.eks. ville jeg ikke placere en
> filserver med vigtige filer i en DMZ zone.
Jep.
> I stedet for en firewall med tre ben kunne man bruge tre
> firewalls med to ben hver, og forbinde dem i et lille
> netværk. Den enkelte firewall opnår derved en simplere
> konfiguration og mindre risiko for fejl. Til gengæld
> kræver det flere resourcer at opsætte dem, og test bliver
> vanskeliggjort.
Jeg ville nok foretraekke en enkelt med tre ben i stedet, men det er
nok en smagssag. Jeg vil tro, at risikoen for fejl ved at vedligeholde
to regelsaet og to maskiner stiger mere, end den falder ved simplere
konfiguration.
>> [1] Det kaldes ``attack surface reduction'', naar man snakker med sin
>> chef.
>
> Udfra princippet om, at hvis det har et engelsk navn, så
> må det være fornuftigt?
Det faar lidt klang af at vaere et produkt.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)
| |
Philip Dahlstrøm (30-01-2005)
| Kommentar Fra : Philip Dahlstrøm |
Dato : 30-01-05 15:46 |
|
Michael Knudsen wrote:
>>I stedet for en firewall med tre ben kunne man bruge tre
>>firewalls med to ben hver, og forbinde dem i et lille
>>netværk. Den enkelte firewall opnår derved en simplere
>>konfiguration og mindre risiko for fejl. Til gengæld
>>kræver det flere resourcer at opsætte dem, og test bliver
>>vanskeliggjort.
>
>
> Jeg ville nok foretraekke en enkelt med tre ben i stedet, men det er
> nok en smagssag. Jeg vil tro, at risikoen for fejl ved at vedligeholde
> to regelsaet og to maskiner stiger mere, end den falder ved simplere
> konfiguration.
Jeg er ikke helt med på hvad I mener med at en firewall har 3 eller 2
"ben" ?
Mvh
| |
Kent Friis (30-01-2005)
| Kommentar Fra : Kent Friis |
Dato : 30-01-05 15:53 |
|
Den Sun, 30 Jan 2005 15:45:34 +0100 skrev Philip Dahlstrøm:
> Michael Knudsen wrote:
>>>I stedet for en firewall med tre ben kunne man bruge tre
>>>firewalls med to ben hver, og forbinde dem i et lille
>>>netværk. Den enkelte firewall opnår derved en simplere
>>>konfiguration og mindre risiko for fejl. Til gengæld
>>>kræver det flere resourcer at opsætte dem, og test bliver
>>>vanskeliggjort.
>>
>>
>> Jeg ville nok foretraekke en enkelt med tre ben i stedet, men det er
>> nok en smagssag. Jeg vil tro, at risikoen for fejl ved at vedligeholde
>> to regelsaet og to maskiner stiger mere, end den falder ved simplere
>> konfiguration.
>
> Jeg er ikke helt med på hvad I mener med at en firewall har 3 eller 2
> "ben" ?
Netkort. Interfaces.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Philip Dahlstrøm (30-01-2005)
| Kommentar Fra : Philip Dahlstrøm |
Dato : 30-01-05 16:32 |
|
Kent Friis wrote:
> Den Sun, 30 Jan 2005 15:45:34 +0100 skrev Philip Dahlstrøm:
>
>>Michael Knudsen wrote:
>>
>>>>I stedet for en firewall med tre ben kunne man bruge tre
>>>>firewalls med to ben hver, og forbinde dem i et lille
>>>>netværk. Den enkelte firewall opnår derved en simplere
>>>>konfiguration og mindre risiko for fejl. Til gengæld
>>>>kræver det flere resourcer at opsætte dem, og test bliver
>>>>vanskeliggjort.
>>>
>>>
>>>Jeg ville nok foretraekke en enkelt med tre ben i stedet, men det er
>>>nok en smagssag. Jeg vil tro, at risikoen for fejl ved at vedligeholde
>>>to regelsaet og to maskiner stiger mere, end den falder ved simplere
>>>konfiguration.
>>
>>Jeg er ikke helt med på hvad I mener med at en firewall har 3 eller 2
>>"ben" ?
>
>
> Netkort. Interfaces.
>
> Mvh
> Kent
Hvad er så forskellen på 3 og 2 ben?
| |
Kent Friis (30-01-2005)
| Kommentar Fra : Kent Friis |
Dato : 30-01-05 16:37 |
|
Den Sun, 30 Jan 2005 16:31:46 +0100 skrev Philip Dahlstrøm:
> Kent Friis wrote:
>> Den Sun, 30 Jan 2005 15:45:34 +0100 skrev Philip Dahlstrøm:
>>
>>>Michael Knudsen wrote:
>>>
>>>>>I stedet for en firewall med tre ben kunne man bruge tre
>>>>>firewalls med to ben hver, og forbinde dem i et lille
>>>>>netværk. Den enkelte firewall opnår derved en simplere
>>>>>konfiguration og mindre risiko for fejl. Til gengæld
>>>>>kræver det flere resourcer at opsætte dem, og test bliver
>>>>>vanskeliggjort.
>>>>
>>>>
>>>>Jeg ville nok foretraekke en enkelt med tre ben i stedet, men det er
>>>>nok en smagssag. Jeg vil tro, at risikoen for fejl ved at vedligeholde
>>>>to regelsaet og to maskiner stiger mere, end den falder ved simplere
>>>>konfiguration.
>>>
>>>Jeg er ikke helt med på hvad I mener med at en firewall har 3 eller 2
>>>"ben" ?
>>
>>
>> Netkort. Interfaces.
>>
> Hvad er så forskellen på 3 og 2 ben?
Antallet.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
|
|