/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Firewall anbefalinger (corp./4000 brugere)
Fra : Uffe S. Callesen


Dato : 05-12-05 11:21

Hej folkens.

Er der nogen der vil dele deres erfaringer med firewall's der opererer
på lag 7 - altså med Apllication intelligence / deep packet inspection.

Pt. benytter vi Borderware's firewall server - men er interesseret i
alternativer.

Astaro's Applicance bokse ser ret funktionelle ud - men de har haft en
voldsomt masse vulnerabilities over de sidste par år.

Den økonomiske smertgrænsen er ved ~100K - løsningen skal helst kunne
licenseres til et ubegrænset antal brugere - og 'trække' ca. 4000 brugere.

Juniper Networks er tidligere nævnt - men de opererer kun på lag 7 i
form af deres IDS/IPS - men man kan måske argumentere for at de kan være
et fedt om L7 funktionaliteten ligger i firewall eller IDS/IPS delen ?!?

--
Mail mig på uffe <snabelA> skelmose <prik> dk

 
 
Alex Holst (05-12-2005)
Kommentar
Fra : Alex Holst


Dato : 05-12-05 11:54

Uffe S. Callesen wrote:
> Er der nogen der vil dele deres erfaringer med firewall's der opererer
> på lag 7 - altså med Apllication intelligence / deep packet inspection.

Anbefaler at du holder dig fra signature-based produkter der kigger
efter tegn på ondskab. Kig i stedet på almindelige application proxies
der definerer hvad der er tilladt i en given protokol og afviser alt andet.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Uffe S. Callesen (05-12-2005)
Kommentar
Fra : Uffe S. Callesen


Dato : 05-12-05 12:57

Alex Holst wrote:
> Anbefaler at du holder dig fra signature-based produkter der kigger
> efter tegn på ondskab. Kig i stedet på almindelige application proxies
> der definerer hvad der er tilladt i en given protokol og afviser alt andet.

Tak for svaret Alex - men... en kombination af de 2 er vel det optimale ??



--
Mail mig på uffe <snabelA> skelmose <prik> dk

Jens U. K. (05-12-2005)
Kommentar
Fra : Jens U. K.


Dato : 05-12-05 12:39

"Alex Holst" <a@mongers.org> wrote in message
news:43941c50$0$2084$edfadb0f@dtext02.news.tele.dk...
> Uffe S. Callesen wrote:
>> Er der nogen der vil dele deres erfaringer med firewall's der opererer
>> på lag 7 - altså med Apllication intelligence / deep packet inspection.
>
> Anbefaler at du holder dig fra signature-based produkter der kigger
> efter tegn på ondskab. Kig i stedet på almindelige application proxies
> der definerer hvad der er tilladt i en given protokol og afviser alt
> andet.

Bare lige en strøtanke:
Kan man ikke forestille sig angreb, der f.eks. går efter en endnu ikke
offenliggjort sårbarhed i f.eks. windows' måde at håndtere jpg-billeder
på. Ifølge proxien (siger vi) må jpg godt downloades via http .En
modificeret jpg downloades - nu er det for sent - angrebet er i gang...
Der er nok grænser for hvad der kan misbruges, da proxien jo ikke tillader
særlig meget traffik, men hvis angriberen er opmærksom på det, kan han
formentlig godt sørge for at få informationer ud igennem den alligevel. Om
ikke andet kan det medføre en form for dos, mens maskinparken reetableres.

Forslag:
Hvis nu man i ovenstående scenarie havde en scanner som f.eks. eeye (#1),
som jeg går ud fra kan gøre det ud for (om ikke andet en del af en) lag 7
firewall, så ville ovenstående formentlig ikke kunne lade sig gøre -
scanneren ville formentlig fange den modificerede jpg før den ville gøre
skade... netop fordi udformningen af jpg'en var "mistænkelig"... Det burde
da gøre hullet en del mindre.

Ovenstående forslag er altså ikke baseret på et signature-produkt.
Jeg har svært ved at se om det er den slags scanner/proxy du synes man
skal holde sig fra?

Noget helt andet er offentliggjorte sårbarheder - dem sørger man
selvfølgelig for at tage hånd om så snart de er kendt, så de er knap så
interessante.
Og signature-baserede produkter har jo problemet med at de er sårbare fra
hullet opdages til det er offentligt kendt til at der er et offentligt
kendt angreb til at der er udviklet en signatur. Og så kommer der en ny
variant og en ny signatur osv... Så jeg er enig i at de er knap så gode.

/Jens Ulrik

#1: Jeg har ikke umiddelbar kendskab til produktet, udover at det virker
som om at de er på forkant med hvilke sårbarheder der er fundet, men
stadig ikke er offentliggjort - altså de bruger tid på selv at finde
sårbarheder i produkter!?


Uffe S. Callesen (05-12-2005)
Kommentar
Fra : Uffe S. Callesen


Dato : 05-12-05 14:04

Jens U. K. wrote:
> #1: Jeg har ikke umiddelbar kendskab til produktet, udover at det virker
> som om at de er på forkant med hvilke sårbarheder der er fundet, men
> stadig ikke er offentliggjort - altså de bruger tid på selv at finde
> sårbarheder i produkter!?

Nu ved jeg ikke lige hvad det er for et af produkterne du hentyder til -
Men hvis det er Borderwaren er jeg tilbøjelig til at give dig ret -
den har haft svimlende få sårbarheder.

--
Mail mig på uffe <snabelA> skelmose <prik> dk

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste