Kandu.dk - Firewall anbefalinger (corp./4000 brugere)


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Firewall anbefalinger (corp./4000 brugere)
Fra : Uffe S. Callesen

Dato : 05-12-05 11:21

Hej folkens.

Er der nogen der vil dele deres erfaringer med firewall's der opererer
på lag 7 - altså med Apllication intelligence / deep packet inspection.

Pt. benytter vi Borderware's firewall server - men er interesseret i
alternativer.

Astaro's Applicance bokse ser ret funktionelle ud - men de har haft en
voldsomt masse vulnerabilities over de sidste par år.

Den økonomiske smertgrænsen er ved ~100K - løsningen skal helst kunne
licenseres til et ubegrænset antal brugere - og 'trække' ca. 4000 brugere.

Juniper Networks er tidligere nævnt - men de opererer kun på lag 7 i
form af deres IDS/IPS - men man kan måske argumentere for at de kan være
et fedt om L7 funktionaliteten ligger i firewall eller IDS/IPS delen ?!?

--
Mail mig på uffe <snabelA> skelmose <prik> dk

Alex Holst (05-12-2005)

Kommentar
Fra : Alex Holst

Dato : 05-12-05 11:54

Uffe S. Callesen wrote:
> Er der nogen der vil dele deres erfaringer med firewall's der opererer
> på lag 7 - altså med Apllication intelligence / deep packet inspection.

Anbefaler at du holder dig fra signature-based produkter der kigger
efter tegn på ondskab. Kig i stedet på almindelige application proxies
der definerer hvad der er tilladt i en given protokol og afviser alt andet.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Uffe S. Callesen (05-12-2005)

Kommentar
Fra : Uffe S. Callesen

Dato : 05-12-05 12:57

Alex Holst wrote:
> Anbefaler at du holder dig fra signature-based produkter der kigger
> efter tegn på ondskab. Kig i stedet på almindelige application proxies
> der definerer hvad der er tilladt i en given protokol og afviser alt andet.

Tak for svaret Alex - men... en kombination af de 2 er vel det optimale ??

--
Mail mig på uffe <snabelA> skelmose <prik> dk

Jens U. K. (05-12-2005)

Kommentar
Fra : Jens U. K.

Dato : 05-12-05 12:39

"Alex Holst" <a@mongers.org> wrote in message
news:43941c50$0$2084$edfadb0f@dtext02.news.tele.dk...
> Uffe S. Callesen wrote:
>> Er der nogen der vil dele deres erfaringer med firewall's der opererer
>> på lag 7 - altså med Apllication intelligence / deep packet inspection.
>
> Anbefaler at du holder dig fra signature-based produkter der kigger
> efter tegn på ondskab. Kig i stedet på almindelige application proxies
> der definerer hvad der er tilladt i en given protokol og afviser alt
> andet.

Bare lige en strøtanke:
Kan man ikke forestille sig angreb, der f.eks. går efter en endnu ikke
offenliggjort sårbarhed i f.eks. windows' måde at håndtere jpg-billeder
på. Ifølge proxien (siger vi) må jpg godt downloades via http .En
modificeret jpg downloades - nu er det for sent - angrebet er i gang...
Der er nok grænser for hvad der kan misbruges, da proxien jo ikke tillader
særlig meget traffik, men hvis angriberen er opmærksom på det, kan han
formentlig godt sørge for at få informationer ud igennem den alligevel. Om
ikke andet kan det medføre en form for dos, mens maskinparken reetableres.

Forslag:
Hvis nu man i ovenstående scenarie havde en scanner som f.eks. eeye (#1),
som jeg går ud fra kan gøre det ud for (om ikke andet en del af en) lag 7
firewall, så ville ovenstående formentlig ikke kunne lade sig gøre -
scanneren ville formentlig fange den modificerede jpg før den ville gøre
skade... netop fordi udformningen af jpg'en var "mistænkelig"... Det burde
da gøre hullet en del mindre.

Ovenstående forslag er altså ikke baseret på et signature-produkt.
Jeg har svært ved at se om det er den slags scanner/proxy du synes man
skal holde sig fra?

Noget helt andet er offentliggjorte sårbarheder - dem sørger man
selvfølgelig for at tage hånd om så snart de er kendt, så de er knap så
interessante.
Og signature-baserede produkter har jo problemet med at de er sårbare fra
hullet opdages til det er offentligt kendt til at der er et offentligt
kendt angreb til at der er udviklet en signatur. Og så kommer der en ny
variant og en ny signatur osv... Så jeg er enig i at de er knap så gode.

/Jens Ulrik

#1: Jeg har ikke umiddelbar kendskab til produktet, udover at det virker
som om at de er på forkant med hvilke sårbarheder der er fundet, men
stadig ikke er offentliggjort - altså de bruger tid på selv at finde
sårbarheder i produkter!?

Uffe S. Callesen (05-12-2005)

Kommentar
Fra : Uffe S. Callesen

Dato : 05-12-05 14:04

Jens U. K. wrote:
> #1: Jeg har ikke umiddelbar kendskab til produktet, udover at det virker
> som om at de er på forkant med hvilke sårbarheder der er fundet, men
> stadig ikke er offentliggjort - altså de bruger tid på selv at finde
> sårbarheder i produkter!?

Nu ved jeg ikke lige hvad det er for et af produkterne du hentyder til -
Men hvis det er Borderwaren er jeg tilbøjelig til at give dig ret -
den har haft svimlende få sårbarheder.

--
Mail mig på uffe <snabelA> skelmose <prik> dk

Søg

Reklame

Statistik

Spørgsmål :	177459
Tips :	31964
Nyheder :	719565
Indlæg :	6408188
Brugere :	218881

Månedens bedste

Årets bedste

Sidste års bedste