---

Mit barnebarns PC med XP Home med adsl forbindelse, var fra ny
præinstalleret med Symantecs Internet Security og update 3 måneder. Nu er
ballet forbi og Symantec vil se ca. 500kr for 12 måneders update.

En anden i familien siger, køb PC-Cillin, den er rigtig god og koster kun
det halve

En tredie siger: Du kan sagtens nøjes med f.eks. AVG antivirus samt den
indbyggede firewall i XP og dette koster ingenting

En fjerde siger: Køb en router med firewall og benyt AVG antivirus

Jeg har læst gruppens indlæg og ved det er svært et give et entydigt svar.
Men hvad skal man vælge eller bedre, hvad skal man ikke vælge ?

--
Hilsen IKJ

---

IKJ skrev:

> Mit barnebarns PC med XP Home med adsl forbindelse, var fra ny
> præinstalleret med Symantecs Internet Security og update 3 måneder.

Jeg giver lige karakterer fra 0 til 3 med skyldigt hensyn til
både pris og beskyttelse:

> Nu er ballet forbi og Symantec vil se ca. 500kr for 12 måneders
> update.

0

> En anden i familien siger, køb PC-Cillin, den er rigtig god og
> koster kun det halve

1

> En tredie siger: Du kan sagtens nøjes med f.eks. AVG
> antivirus samt den indbyggede firewall i XP og dette koster
> ingenting

2

> En fjerde siger: Køb en router med firewall og benyt AVG
> antivirus

3

Og her er mit eget råd som får 4 (men 3'eren er lige så sikker):

Hvad firewall angår vil jeg råde til at droppe den idé og i
stedet følge denne her opskrift:

   http://home18.inet.tele.dk/madsen/winxp/Tjenester_SP2.pdf

Så er man bedre sikret end med de såkaldte personlige firewalls.

AVG har fået positiv omtale af mange. Jeg bruger ikke AV selv,
så det har jeg ingen erfaring med, men det kan være en god idé at
have på en computer som bruges af en (eller flere)
ukyndige/ubekymrede.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

"IKJ" skrev i en meddelelse

> Jeg har læst gruppens indlæg og ved det er svært et give et
> entydigt svar.

Jep

> Men hvad skal man vælge

Til vore to hjemmecomputere med xp har vi valgt følgende gratis
programmer:

Kørende programmer: AVG antivirus, Sygate firewall (windows
firewall beskytter ikke mod udgående trafik)
Passive: SpywareBlaster, IE-Spyad
On-demand: Ad-Aware SE, Ewido, SUPERAntiSpyware
Anti-phishing: CallingID (kun til IE)
Hærdning: Harden-It (skal kun køres én gang)

Nogle links:

Sygate http://majorgeeks.com/download.php?det=3356

CallingID
http://www.snapfiles.com/reviews/CallingID_Toolbar/callingid.html

Harden-It http://majorgeeks.com/download.php?det=4458

> hvad skal man ikke vælge

Store resurse-slugende programmer, der sløver computeren, fx
Norton.

Mvh John

---

John skrev:

> Kørende programmer: AVG antivirus, Sygate firewall (windows
> firewall beskytter ikke mod udgående trafik)
> Passive: SpywareBlaster, IE-Spyad
> On-demand: Ad-Aware SE, Ewido, SUPERAntiSpyware
> Anti-phishing: CallingID (kun til IE)
> Hærdning: Harden-It (skal kun køres én gang)

Er der overhovedet ressourcer til overs til almindelige
programmer?

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

"Bertel Lund Hansen" skrev i en meddelelse

> Er der overhovedet ressourcer til overs til almindelige
> programmer?

Ufattelige mængder.

AVG og Sygate bruger yderst beskedne resurser.

Ad-Aware, Ewido og SuperAntiSpyware belaster kun når der scannes
manuelt, ca hver 14. dag.

SpywareBlaster og IE-Spyad er passive programmer og bruger ingen
resurser. Harden-It er ikke noget egentligt program, nærmest blot
en trin-for-trin hærde-vejledning, der kun skal køres én gang.

Tak for din (småspydige?) kommentar. :)

Mvh John

---

"IKJ" <trukrevisletdette@webhiker.dk> skrev i en meddelelse
news:44313e29$0$47027$edfadb0f@dread15.news.tele.dk...
> Mit barnebarns PC med XP Home med adsl forbindelse, var fra ny
> præinstalleret med Symantecs Internet Security og update 3 måneder. Nu
> er ballet forbi og Symantec vil se ca. 500kr for 12 måneders update.

PC-CILLIN 2006 er godt synes jeg.
Det var Norton NIS 2005 nu også...
ZoneAlarm var sær, grim grafik og så ville
den bestemme opsætningen af vinduer i min outlook express.

PC-Cillin må være sagen.

---

Hvis du vil være sikker er der kun en ting der virker og det er en ISA 2004
firewall. Dette er en layer7 firewall.

/h



"IKJ" <trukrevisletdette@webhiker.dk> wrote in message
news:44313e29$0$47027$edfadb0f@dread15.news.tele.dk...
> Mit barnebarns PC med XP Home med adsl forbindelse, var fra ny
> præinstalleret med Symantecs Internet Security og update 3 måneder. Nu
> er ballet forbi og Symantec vil se ca. 500kr for 12 måneders update.
>
> En anden i familien siger, køb PC-Cillin, den er rigtig god og koster kun
> det halve
>
> En tredie siger: Du kan sagtens nøjes med f.eks. AVG antivirus samt den
> indbyggede firewall i XP og dette koster ingenting
>
> En fjerde siger: Køb en router med firewall og benyt AVG antivirus
>
> Jeg har læst gruppens indlæg og ved det er svært et give et entydigt svar.
> Men hvad skal man vælge eller bedre, hvad skal man ikke vælge ?
>
> --
> Hilsen IKJ
>

---

henrik wrote:
> Hvis du vil være sikker er der kun en ting der virker og det er en ISA 2004
> firewall. Dette er en layer7 firewall.
>

Åh... Er det det Layer7 betyder, jo højere "Layer" den er jo bedre
virker den???

Eller er det ISO-OSI Layer 7, altså en applikation??

Lav dit husholdnings regnskab og skriv dine breve med din nye firewall??

Eller er det noget vrøvl??

Med venlig hilsen

Lars P. Møller

---

Den Mon, 03 Apr 2006 23:42:35 +0200 skrev Lars Møller:
> henrik wrote:
>> Hvis du vil være sikker er der kun en ting der virker og det er en ISA 2004
>> firewall. Dette er en layer7 firewall.
>>
>
> Åh... Er det det Layer7 betyder, jo højere "Layer" den er jo bedre
> virker den???
>
> Eller er det ISO-OSI Layer 7, altså en applikation??

Hvis vi snakker internettet, må det jo være Layer 7 i TCP/IP...

1. Ethernet
2. IP
3. TCP/UDP/ICMP
4. SMTP/HTTP/SSH...
5. Økonomi
6. Politik
7. Religion

Det passer vel meget godt med at det kun er Religiøse Microsoft-
fanatikere der bruger ISA-tingen. Selv vores lokale MS-fan sætter
PIX'er op.

Microsoft-produkter har ry for at være hullede som en gammel ost,
og ISA er vel ikke nogen undtagelse?

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

On 04 Apr 2006 15:54:37 GMT, Kent Friis <nospam@nospam.invalid> wrote:

> Hvis vi snakker internettet, må det jo være Layer 7 i TCP/IP...

Faktisk er der 5 lag i IP. (Du mangler et fysisk lag).

OSI-modellen er som bekendt 7 lag, og den er ofte 'udbygget' med de
tre ekstra lag, du er inde på, men de er så lag 8-10.

-A

---

Den Tue, 04 Apr 2006 21:02:28 +0200 skrev Asbjorn Hojmark:
> On 04 Apr 2006 15:54:37 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>> Hvis vi snakker internettet, må det jo være Layer 7 i TCP/IP...
>
> Faktisk er der 5 lag i IP. (Du mangler et fysisk lag).

Er ethernet ikke fysisk?

Jeg tog udgangspunkt i denne, som viser fire lag - det nederste
kalder de "Link", og inkluderer ethernet:

http://en.wikipedia.org/wiki/Internet_protocol_suite#Layers_in_the_internet_protocol_suite_stack

> OSI-modellen er som bekendt 7 lag, og den er ofte 'udbygget' med de
> tre ekstra lag, du er inde på, men de er så lag 8-10.

Supporterer ISA andet end TCP/IP?

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis <nospam@nospam.invalid> wrote:

>>> Hvis vi snakker internettet, må det jo være Layer 7 i TCP/IP...
>>
>> Faktisk er der 5 lag i IP. (Du mangler et fysisk lag).
>
>Er ethernet ikke fysisk?

Lag 1 er normalt laget med elektrisk signallering. Det kan men vel
kalde det fysiske lag.
Lag 2 er det lag hvor man taler MAC adresser og bruger ARP
Lag 3 er et abstraktionsniveau hvor man bruger IP
Lag 4 er laget hvor man skelner mellem protokoltyper og serviceporte
inden for IP familien
osv.

Jeg ved ikke helt hvor "ethernet" præcist mapper ind, men du har i din
oversigt lagt de traditionelle lag1+2 sammen.

--
Lars Kim Lund
http://www.net-faq.dk/

---

On 2006-04-04, Lars Kim Lund <lkl@fabel.dk> wrote:
| Kent Friis <nospam@nospam.invalid> wrote:
|
|>>> Hvis vi snakker internettet, må det jo være Layer 7 i TCP/IP...
|>>
|>> Faktisk er der 5 lag i IP. (Du mangler et fysisk lag).
|>
|>Er ethernet ikke fysisk?
|
| Lag 1 er normalt laget med elektrisk signallering. Det kan men vel
| kalde det fysiske lag.
| Lag 2 er det lag hvor man taler MAC adresser og bruger ARP

Tja, du bør sagtens kunne finde andre adresseringsmetoder end MAC på
datalink laget til andre teknologier end lige Ethernet. Fx. med ATM.

| Jeg ved ikke helt hvor "ethernet" præcist mapper ind, men du har i din
| oversigt lagt de traditionelle lag1+2 sammen.

Ethernet er jo bare en teknologi vi bruger som fysisk lag og datalink
lag. Pointen med OSI modellen, er jo den er modulær så datalink/fysisk lag
nødvendigvis ikke ligner hinanden med andre teknologier end lige 802.x (mener
alle inden for 802 benytter MAC til "lav" adressering).

--
Bo Simonsen
Stud.Scient

"Computer Science is no more about computers than astronomy is about telescopes."
--- Edsgar Dijkstra

---

Kent Friis skrev:

> Jeg tog udgangspunkt i denne, som viser fire lag

Den klassiske er:

Applikation
Præsentation
Session
Transport
Netværk
Link
Fysisk

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Den Tue, 4 Apr 2006 22:01:17 +0200 skrev Bertel Lund Hansen:
> Kent Friis skrev:
>
>> Jeg tog udgangspunkt i denne, som viser fire lag
>
> Den klassiske er:
>
> Applikation
> Præsentation
> Session
> Transport
> Netværk
> Link
> Fysisk

Det ligner OSI og ikke IP. Hvor mange har lige brug for en firewall til
andet end IP?

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis <nospam@nospam.invalid> wrote:

>> Faktisk er der 5 lag i IP. (Du mangler et fysisk lag).
>
>Er ethernet ikke fysisk?
>
>Jeg tog udgangspunkt i denne, som viser fire lag - det nederste
>kalder de "Link", og inkluderer ethernet:
>
>http://en.wikipedia.org/wiki/Internet_protocol_suite#Layers_in_the_internet_protocol_suite_stack

I øvrigt så står det jo i det eget link. Der er flere "modeller" med
lag, men i forhold til OSI så har du glemt det fysiske lag
(signallering) som Asbjørn skriver.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Den Tue, 04 Apr 2006 22:02:50 +0200 skrev Lars Kim Lund:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>>> Faktisk er der 5 lag i IP. (Du mangler et fysisk lag).
>>
>>Er ethernet ikke fysisk?
>>
>>Jeg tog udgangspunkt i denne, som viser fire lag - det nederste
>>kalder de "Link", og inkluderer ethernet:
>>
>>http://en.wikipedia.org/wiki/Internet_protocol_suite#Layers_in_the_internet_protocol_suite_stack
>
> I øvrigt så står det jo i det eget link. Der er flere "modeller" med
> lag, men i forhold til OSI så har du glemt det fysiske lag
> (signallering) som Asbjørn skriver.

Og endnu en gang må jeg blot pointere at hvis ikke andet er nævnt,
går jeg ud fra at det drejer sig om IP, og ikke hverken IPX, OSI,
NetBeui det drejer sig om.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

On 04 Apr 2006 19:51:44 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>> Faktisk er der 5 lag i IP. (Du mangler et fysisk lag).

> Er ethernet ikke fysisk?

Ethernet kan fx køre over Cat5, Cat6, multi mode, single mode etc. Det
er det fysiske lag. Så nej.

At Ethernet-standarden faktisk *også* specificerer noget fysisk er et
eksempel på, at der er forskel på referencemodeller og implementering.

> Jeg tog udgangspunkt i denne, som viser fire lag - det nederste
> kalder de "Link", og inkluderer ethernet:
>
> http://en.wikipedia.org/wiki/Internet_protocol_suite#Layers_in_the_internet_protocol_suite_stack

TCP/IP omtales normalt som sagt normalt som en 5-lags model:
http://www.ischool.utexas.edu/~l38613dw/readings/NotesOnInterconnection.html
http://mike.passwall.com/networking/netmodels/tcpip5layermodel.html
http://www.dummies.com/WileyCDA/DummiesArticle/id-1672.html
http://www.rabbitsemiconductor.com/documentation/docs/manuals/TCPIP/Introduction/5protoco.htm

Hvis du læser teksten i ovenstående Wikipedia-indlæg, så beskriver de
faktisk også fem lag, nemlig physical, data link, network, transport
og application.

-A
PS: FUT

---

ISA 2004, er en applications layer firewall hvilket vil sige at den kan se
hvilken salgs trafik der ryger gennem den i modsætning til en PIX. Hvis port
80 er åben i en PIX vil den lade al smutte gennem den port. Det vil sige at
jeg kan sende alt gennem denne port. I modsætning til en ISA 2004, den vil
lukke hvis ikke det er HTTP trafik der komme gennem, så her kan du glemme
alt om Messenger og alle andre former for trafik. Hvis ikke det er HTTP så
luk.
Desuden har ISA 2004 en EAL4+ certificering.
Så med andre ord er en PIX ikke en skid bedre end en box du køber i netto
til 500kr, hvis vi snakker filtrering af trafik. Hvis en given port er åben
f.eks port 80, er den ligeglad med om det er FTP, DNS, RDP, Messenger, eller
diverse fildelings porgammer, del lader alt komme gennem. Det kalder jeg
ikke sikkerhed.
Og hvad med alle de orme og virus, hvis port 1433 (SQL) står åben og dit
system ikke er patches op, ja så er helvede løs med en Stateful Packet
Inspection Firewall hvis der er en Slammer orm løs. Men en ISA kan filtrere
det fra.
Som default tillader en PIC alle 65000 porte åben i Udadgående retning, er
det sikkerhed
Sidste år blev der offenteligjort over 5800 sårbarheder, Microsoft sendte
rettelser til 89. Hvem og hvilke systemer og programmer havde resten ??.
http://www.microsoft.com/isaserver/techinfo/deployment/commoncrit.mspx






"Kent Friis" <nospam@nospam.invalid> wrote in message
news:443296bd$0$15785$14726298@news.sunsite.dk...
> Den Mon, 03 Apr 2006 23:42:35 +0200 skrev Lars Møller:
>> henrik wrote:
>>> Hvis du vil være sikker er der kun en ting der virker og det er en ISA
>>> 2004
>>> firewall. Dette er en layer7 firewall.
>>>
>>
>> Åh... Er det det Layer7 betyder, jo højere "Layer" den er jo bedre
>> virker den???
>>
>> Eller er det ISO-OSI Layer 7, altså en applikation??
>
> Hvis vi snakker internettet, må det jo være Layer 7 i TCP/IP...
>
> 1. Ethernet
> 2. IP
> 3. TCP/UDP/ICMP
> 4. SMTP/HTTP/SSH...
> 5. Økonomi
> 6. Politik
> 7. Religion
>
> Det passer vel meget godt med at det kun er Religiøse Microsoft-
> fanatikere der bruger ISA-tingen. Selv vores lokale MS-fan sætter
> PIX'er op.
>
> Microsoft-produkter har ry for at være hullede som en gammel ost,
> og ISA er vel ikke nogen undtagelse?
>
> Mvh
> Kent
> --
> Hard work may pay off in the long run, but laziness pays off right now.

---

Den Thu, 6 Apr 2006 22:34:42 +0200 skrev henrik:
> ISA 2004, er en applications layer firewall hvilket vil sige at den kan se
> hvilken salgs trafik der ryger gennem den i modsætning til en PIX. Hvis port
> 80 er åben i en PIX vil den lade al smutte gennem den port. Det vil sige at
> jeg kan sende alt gennem denne port. I modsætning til en ISA 2004, den vil
> lukke hvis ikke det er HTTP trafik der komme gennem, så her kan du glemme
> alt om Messenger og alle andre former for trafik. Hvis ikke det er HTTP så
> luk.

Så er det jo godt at Microsoft har været med til at udvikle det
perfekte angreb imod den type filtrering - kaldet SOAP, tillader det
Remote Procedure Calls over HTTP, og dermed ALLE former for trafik.

> Desuden har ISA 2004 en EAL4+ certificering.
> Så med andre ord er en PIX ikke en skid bedre end en box du køber i netto
> til 500kr, hvis vi snakker filtrering af trafik. Hvis en given port er åben
> f.eks port 80, er den ligeglad med om det er FTP, DNS, RDP, Messenger, eller
> diverse fildelings porgammer, del lader alt komme gennem. Det kalder jeg
> ikke sikkerhed.

So what om den lader fx RDP-trafik komme ind til webserveren port 80,
man åbner vel for pokker kun port 80 ind til maskiner man ved kører
en webserver (IIS, Apache,...) på den port, og IKKE til en hvor man
manuelt har været inde og ændre fjernskrivebord til at køre på den port.

> Og hvad med alle de orme og virus, hvis port 1433 (SQL) står åben og dit
> system ikke er patches op, ja så er helvede løs med en Stateful Packet
> Inspection Firewall hvis der er en Slammer orm løs. Men en ISA kan filtrere
> det fra.

Hvorfor åbne for port 1433 ind til sin SQL-server i første omgang? Fordi
at angriberen kun må sende DROP DATABASE, og ikke Slammer?

> Som default tillader en PIC alle 65000 porte åben i Udadgående retning, er
> det sikkerhed

Som default er en PIX'es opgave at beskytte ens eget net mod angreb
udefra. Hvis du har brug for at beskytte andre mod at du angriber dem,
så vil jeg foreslå en gummicelle - så kommer du heller ikke til at
angribe dem fysisk.

> Sidste år blev der offenteligjort over 5800 sårbarheder, Microsoft sendte
> rettelser til 89. Hvem og hvilke systemer og programmer havde resten ??.

Hold da helt ferie, er de så langt bagud. Så er listen over ikke rettede
huller efterhånden længere end listen over dem de allerede har rettet. Jeg
troede faktisk de havde forbedret sig.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Remote Procedure Calls, bruger man selvføllige httpS
RPD til port 80, nej det åbner man ikke, men hvis der er et hul af den ene
eller anden slags på din web server, kan en PIX i droppe alt IKKE http
trafik.
Jeg er sgu da ligeglad med port 1433, det er bare for at fortælle at en ISA
kan filtrere det fra, fordi at det er en applications layer firewall.
Angreb udefra, er du ikke med??. Hvis jeg feks kommer til at downloade et
skadeligt program kan det jo åbne en connection på alle 65000 porte. Lad os
sige Dameware port 6129, en PIX vil være ligeglad alt ud er tilladt. Det er
det ikke på en ISA, men for det meste er port 80 åben i udadgående retning,
så hvis jeg var hacker viil jeg redirecte Dameware til at bruge port 80, men
her siger en applations layer firewall DROP



"Kent Friis" <nospam@nospam.invalid> wrote in message
news:44357f20$0$15781$14726298@news.sunsite.dk...
> Den Thu, 6 Apr 2006 22:34:42 +0200 skrev henrik:
>> ISA 2004, er en applications layer firewall hvilket vil sige at den kan
>> se
>> hvilken salgs trafik der ryger gennem den i modsætning til en PIX. Hvis
>> port
>> 80 er åben i en PIX vil den lade al smutte gennem den port. Det vil sige
>> at
>> jeg kan sende alt gennem denne port. I modsætning til en ISA 2004, den
>> vil
>> lukke hvis ikke det er HTTP trafik der komme gennem, så her kan du glemme
>> alt om Messenger og alle andre former for trafik. Hvis ikke det er HTTP
>> så
>> luk.
>
> Så er det jo godt at Microsoft har været med til at udvikle det
> perfekte angreb imod den type filtrering - kaldet SOAP, tillader det
> Remote Procedure Calls over HTTP, og dermed ALLE former for trafik.
>
>> Desuden har ISA 2004 en EAL4+ certificering.
>> Så med andre ord er en PIX ikke en skid bedre end en box du køber i netto
>> til 500kr, hvis vi snakker filtrering af trafik. Hvis en given port er
>> åben
>> f.eks port 80, er den ligeglad med om det er FTP, DNS, RDP, Messenger,
>> eller
>> diverse fildelings porgammer, del lader alt komme gennem. Det kalder jeg
>> ikke sikkerhed.
>
> So what om den lader fx RDP-trafik komme ind til webserveren port 80,
> man åbner vel for pokker kun port 80 ind til maskiner man ved kører
> en webserver (IIS, Apache,...) på den port, og IKKE til en hvor man
> manuelt har været inde og ændre fjernskrivebord til at køre på den port.
>
>> Og hvad med alle de orme og virus, hvis port 1433 (SQL) står åben og dit
>> system ikke er patches op, ja så er helvede løs med en Stateful Packet
>> Inspection Firewall hvis der er en Slammer orm løs. Men en ISA kan
>> filtrere
>> det fra.
>
> Hvorfor åbne for port 1433 ind til sin SQL-server i første omgang? Fordi
> at angriberen kun må sende DROP DATABASE, og ikke Slammer?
>
>> Som default tillader en PIC alle 65000 porte åben i Udadgående retning,
>> er
>> det sikkerhed
>
> Som default er en PIX'es opgave at beskytte ens eget net mod angreb
> udefra. Hvis du har brug for at beskytte andre mod at du angriber dem,
> så vil jeg foreslå en gummicelle - så kommer du heller ikke til at
> angribe dem fysisk.
>
>> Sidste år blev der offenteligjort over 5800 sårbarheder, Microsoft sendte
>> rettelser til 89. Hvem og hvilke systemer og programmer havde resten ??.
>
> Hold da helt ferie, er de så langt bagud. Så er listen over ikke rettede
> huller efterhånden længere end listen over dem de allerede har rettet. Jeg
> troede faktisk de havde forbedret sig.
>
> Mvh
> Kent
> --
> Hard work may pay off in the long run, but laziness pays off right now.

---

henrik wrote:
> Remote Procedure Calls, bruger man selvføllige httpS

Hvilket intet løser.

> det ikke på en ISA, men for det meste er port 80 åben i udadgående retning,
> så hvis jeg var hacker viil jeg redirecte Dameware til at bruge port 80, men
> her siger en applations layer firewall DROP

Nej, for trafikken kan pakkes ind i HTTP protokollen.

Det er samme er tilfældet med fildelingsprotokollerne, nogle
af klienter gør det pr. default.


Du snyder i din optælling af sårbarheder...husk også at tælle de
sårbarheder der er kende som MS ikke har patchet endnu.

---

Den Thu, 6 Apr 2006 23:17:28 +0200 skrev henrik:
> Remote Procedure Calls, bruger man selvføllige httpS

Da ikke hvis målet er at bryde igennem en ISA-boks.

HTTPS kan iøvrigt ikke filtreres på data, da det er krypteret.

> RPD til port 80, nej det åbner man ikke, men hvis der er et hul af den ene
> eller anden slags på din web server, kan en PIX i droppe alt IKKE http
> trafik.

Hvis der er et hul i en webserver, er det 99% sandsynligt at det er
HTTP-trafik der bruges til at udnytte hullet.

> Jeg er sgu da ligeglad med port 1433, det er bare for at fortælle at en ISA
> kan filtrere det fra, fordi at det er en applications layer firewall.

Hvadsomhelst der kan tælle til 1433 kan filtrere det fra.

> Angreb udefra, er du ikke med??. Hvis jeg feks kommer til at downloade et
> skadeligt program kan det jo åbne en connection på alle 65000 porte.

Hvis du "kommer til" det, burde du sendes på et begynder-kursus i
PC-brug før du får lov at bruge en PC.

> Lad os
> sige Dameware port 6129, en PIX vil være ligeglad alt ud er tilladt. Det er
> det ikke på en ISA, men for det meste er port 80 åben i udadgående retning,
> så hvis jeg var hacker viil jeg redirecte Dameware til at bruge port 80, men
> her siger en applations layer firewall DROP

Så en ISA er velegnet til "papir-og-blyants-niveau"...

Hvordan installerer du ISA på en A4-blok? Nå nej, det er jo et Microsoft-
produkt, systemkravene er vel minimum A2.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

On Thu, 6 Apr 2006 23:17:28 +0200, "henrik" <ynwa@NOSPAMpc.dk> wrote:

> Hvis jeg feks kommer til at downloade et
> skadeligt program kan det jo åbne en connection på alle 65000 porte.
> Lad os sige Dameware port 6129, en PIX vil være ligeglad alt ud er
> tilladt.

Det bestemmer administratoren. Der er ingen fornuftige mennesker, der
sætter en firewall op uden at forholde sig kritisk til, hvad der skal
være tilladt ind *og* ud.

> Det er det ikke på en ISA, men for det meste er port 80 åben i
> udadgående retning, så hvis jeg var hacker viil jeg redirecte Dameware
> til at bruge port 80, men her siger en applations layer firewall DROP

En PIX forsøger ikke at gøre alt (den er fx ikke mail-server), men
hvis man vil filtrere port 80/tcp på Lag 5, kan det godt gøres med en
ekstern web-filtreringsbox som Websense eller N2H2.

Man kan også lave inline eller out-of-band IPS med et AIP SSM og lave
content security med et CSC SSM. Og man kan scanne HTTP, FTP, SMTP og
POP3 og også håntere virus, spyware etc.


Kort sagt mener jeg ikke, det er rimeligt i dag at sige, at PIXOS ikke
har Lag 5-intelligens.


Der hvor der er en integrationsmæssig fordel er, hvis man vil bruge AD
til at styre, hvilke brugere der har adgang til Internet og hvornår.
Der er ISA stadig nemmere end PIXOS.

-A

---

"Kent Friis" <nospam@nospam.invalid> wrote in message
news:44357f20$0$15781$14726298@news.sunsite.dk...
> Hold da helt ferie, er de så langt bagud. Så er listen over ikke rettede
> huller efterhånden længere end listen over dem de allerede har rettet. Jeg
> troede faktisk de havde forbedret sig.

Hmm Kent.
Du bør da kunne se, at M$ er blevet *meget* bedre til at sælge software.

--

Med venlig hilsen/Best regards
Stig Johansen

---

Den Fri, 7 Apr 2006 01:32:07 +0200 skrev Stig Johansen:
> "Kent Friis" <nospam@nospam.invalid> wrote in message
> news:44357f20$0$15781$14726298@news.sunsite.dk...
>> Hold da helt ferie, er de så langt bagud. Så er listen over ikke rettede
>> huller efterhånden længere end listen over dem de allerede har rettet. Jeg
>> troede faktisk de havde forbedret sig.
>
> Hmm Kent.
> Du bør da kunne se, at M$ er blevet *meget* bedre til at sælge software.

Det er ellers ikke mere end et par dage siden at de var efter
forhandlere der ikke ville tvinge folk til at købe Microsoft-produkter.
Deres sælgere er åbenbart ikke dygtige nok.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

In article <44357b20$0$836$edfadb0f@dread14.news.tele.dk>, henrik wrote:
> ISA 2004, er en applications layer firewall hvilket vil sige at den kan se
> hvilken salgs trafik der ryger gennem den i modsætning til en PIX. Hvis port
> 80 er åben i en PIX vil den lade al smutte gennem den port. Det vil sige at
> jeg kan sende alt gennem denne port. I modsætning til en ISA 2004, den vil
> lukke hvis ikke det er HTTP trafik der komme gennem, så her kan du glemme
> alt om Messenger og alle andre former for trafik. Hvis ikke det er HTTP så
> luk.

Nu er jeg bruger af en sådan i enterprise sammenhæng. Og det du siger er
ikke korrekt. Hvis du sætter din browser op til at anvende web proxy, så skal
du selvfølgelig sende noget der vil igennem en web proxy.

Hvis du med Firewall Client sender på port 80, så løber det lige igennem.
Det gør CONNECT på web proxy vist også. Man kan købe nogle content scanners
til den.

PIX kan køre fixup på en række protokoller, det kan en ISA server ikke.

ISA Serverens styrke er at kontrollere adgang indefra og ud, specielt i
miljøer med Windows klienter. Den har det knapt så godt med ikke-Windows
klienter da Firewall Client kun kører på deres egen platform.

> Desuden har ISA 2004 en EAL4+ certificering.

Ja ja.

> Så med andre ord er en PIX ikke en skid bedre end en box du køber i netto
> til 500kr, hvis vi snakker filtrering af trafik. Hvis en given port er åben
> f.eks port 80, er den ligeglad med om det er FTP, DNS, RDP, Messenger, eller
> diverse fildelings porgammer, del lader alt komme gennem. Det kalder jeg
> ikke sikkerhed.

Hvad mener du ? Det løser fixup.
Microsoft har også kun support for relativt få protokoller i deres produkt.
Og jeg har ikke set at den stopper SSH over RDP protokollen (igen, jeg bruger
den kun indefra og ud - Den har også noget server publishing den anden vej,
hvor den er nødt til at se inde i trafikken for at åbne tilhørende dynamiske
porte).


> Og hvad med alle de orme og virus, hvis port 1433 (SQL) står åben og dit
> system ikke er patches op, ja så er helvede løs med en Stateful Packet
> Inspection Firewall hvis der er en Slammer orm løs. Men en ISA kan filtrere
> det fra.

Med en pix lukker du for adgangen. Hvis du har brug for den, så laver du
noget med en Radius server og tokens.

> Som default tillader en PIC alle 65000 porte åben i Udadgående retning, er
> det sikkerhed

Det er let at lave om. En ISA 2004 har til gengæld en masse regler der
er indbyggede som ikke lige kan disables. Hvis du laver en inside outside regel
indefra og ud, så rammes en del trafik af de indbyggede regler med første
prioritet.

ISA stopper når den finder en matchende regel, den render ikke listen igennem.

Så du kan ikke lave en regel
permit inside outside all ports for authenticated users
og senere en for alle users. Så virker den sidste ikke.

Den finder føørste match på trafikken, og stopper der. Også selvom der
ikke er adgang. Det tvinger til at åbne bredere op end nødvendigt.

> Sidste år blev der offenteligjort over 5800 sårbarheder, Microsoft sendte
> rettelser til 89. Hvem og hvilke systemer og programmer havde resten ??.
> http://www.microsoft.com/isaserver/techinfo/deployment/commoncrit.mspx

Hvorfor er det vigtigt ? Hvor mange programmer findes der ? Hvor mange
er fra Microsoft ? MS' programportefølje er ret lille set i dt store
billede. Med 89 fejl er de overrepræsenterede.

Og Linux får skylden for alle de programmer man kan smide ovenpå. Så
er Microsoft også ansvarlig for WinZip, McAfee etc.

--
Povl H. Pedersen - nospam @ my.terminal.dk (Ja - adressen virker)

---

henrik wrote:
> ISA 2004, er en applications layer firewall hvilket vil sige at den kan se
> hvilken salgs trafik der ryger gennem den i modsætning til en PIX. Hvis port
> 80 er åben i en PIX vil den lade al smutte gennem den port. Det vil sige at
> jeg kan sende alt gennem denne port. I modsætning til en ISA 2004, den vil
> lukke hvis ikke det er HTTP trafik der komme gennem, så her kan du glemme
> alt om Messenger og alle andre former for trafik. Hvis ikke det er HTTP så
> luk.
> Desuden har ISA 2004 en EAL4+ certificering.
> Så med andre ord er en PIX ikke en skid bedre end en box du køber i netto
> til 500kr, hvis vi snakker filtrering af trafik. Hvis en given port er åben
> f.eks port 80, er den ligeglad med om det er FTP, DNS, RDP, Messenger, eller
> diverse fildelings porgammer, del lader alt komme gennem. Det kalder jeg
> ikke sikkerhed.

Måske skulle du læse om CBAC i Cisco PIX.

På Common criteria kan man ikke finde ISA 2004, se venligst

http://www.commoncriteriaportal.org/public/consumer/index.php

Til gengæld har PIX en EAL4

Med venlig hilsen

Lars P. Møller

---

Lars Møller wrote:
>
> På Common criteria kan man ikke finde ISA 2004, se venligst
>
> http://www.commoncriteriaportal.org/public/consumer/index.php

http://www.commoncriteriaportal.org/public/files/epfiles/0262a.pdf

Ole Thomsen

---

Ole Thomsen wrote:
> Lars Møller wrote:
>
>>
>> På Common criteria kan man ikke finde ISA 2004, se venligst
>>
>> http://www.commoncriteriaportal.org/public/consumer/index.php
>
>
> http://www.commoncriteriaportal.org/public/files/epfiles/0262a.pdf
>
> Ole Thomsen
>
Ja det er åbenbart søgefunktionen man skal kæle lidt for, for at vise
det man søger

Mvh

Lars P. Møller

---

henrik wrote in <news:44317e5f$0$946$edfadb0f@dread14.news.tele.dk>:

> Hvis du vil være sikker er der kun en ting der virker og det er en
> ISA 2004 firewall. Dette er en layer7 firewall.

En firewall det er nødvendigt at genstarte flere gange om ugen (og
dermed dræbe alle aktive sessions) for at sikre stabil drift under
load, er ikke en firewall. Det er en blikspand med hul i bunden.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

This space for rant.

---

Hej IKJ, du skrev i dk.edb.sikkerhed:

> En tredie siger: Du kan sagtens nøjes med f.eks. AVG antivirus
> samt den indbyggede firewall i XP og dette koster ingenting

Lige generelt: Se Bertels indlæg,
<news:443141d7$0$12400$ba624c82@nntp02.dk.telia.net>, da jeg som helhed
er enig med ham.

Et par tilføjelser:

Jeg har ikke brugt firewall før fra sensommeren 2005, hvor jeg slog
Windows XP's (SP2) indbyggede til. Grunden var, at jeg havde læst en
del indlæg fra tid til anden om, at den generede dit og brokkede sig
over dat. Jeg har ikke mærket noget til den overhovedet, og jeg har den
stadig aktiveret i håb om at mærke noget.

Jeg bruger AVG som av-scanner. Jeg har slået mailscanning og andet
irriterende og ressourceædende fra, ligesom jeg har stoppet
kontrolpanelet med at starte ved windowsstart. (Det kan gøres i
msconfig, hvor krydset ved avgcc.exe fjernes). Skal man bruge det, kan
man jo blot starte det som alle andre programmer, og det æder en masse
RAM uden at give noget som bytte.

Jeg synes blot, at det er rart med en av-scanner, når man henter
diverse sære småprogrammer, så man lige kan tjekke dem, inden man kører
noget. Det giver naturligvis ikke 100% sikkerhed. Men i værste fald
sænkes sikerhedsprocenten ikke, og i bedste fald øges den.

Jo, og så kan man jo lige scanne disken/diskene igennem i ny og næ. Jeg
gør det vel en gang med 2-6 ugers mellemrum.

Jeg har også Lavasofts AdAware installeret. Det kræver ingen
ressourcer, udover naturligvis når man manuelt starter og kører
systemet igennem med det. Jeg kører det med samme mellemrum som AVG,
dvs. temmelig varierende.

Jeg har (7-9-13) så vidt vides aldrig haft nogen (aktiv)
virus/orm/whatever udover, hvad jeg med overlæg har inficeret mig med.
(For at tjekke hvordan man fjerner det, inden man viser det til andre
på deres pc'er). Jeg har haft ADSL siden sommeren 2000.

Det er dog efter min mening ret vigtigt at sætte browseren (Internet
Explorer) forsigtigt op til defaultkørsel. Fx ikke at lade noget køre
ActiveX-komponenter på pc'en. Så kan man altid slå det til, når man
skal ind på rimelig troværdige sider, hvor det er en fordel at bruge
det.

Og så selvfølgelig de indlysende ting som fx at mails ved vedhæng, hvor
disse ikke er bestilt e.l., slettes uden at kigge. Windows holdes
opdateret mht. sikkerhedsrelaterede patches. Det er ingen dårlig ide at
løbe ens Windowsopsætning igennem mht. tjeneste, jf. de pdf-filer fra
Madsen, som Bertel refererede til (ellers er de nævnt øverst på min
side i signaturen her). Og - så videre.

--
Hygge fra Århus - Rudi
http://stegen.dk/pclinks1.htm

---

Rudi Stegen wrote:
> Jeg synes blot, at det er rart med en av-scanner, når man henter
> diverse sære småprogrammer, så man lige kan tjekke dem, inden man kører

Hvordan reagere scanneren på "format c: /q" eller "remdir %SystemRoot%
/S /Q"?

Er det ikke nemmer at tjekke dem i en virtuel maskine, på fx vmware
guest, eller blot at droppe det?

> noget. Det giver naturligvis ikke 100% sikkerhed. Men i værste fald
> sænkes sikerhedsprocenten ikke, og i bedste fald øges den.

Forudsat software er 100% sikker, hvilket ikke er tilfældet:

AVG Anti-Virus Local Insecure Permissions Vulnerability
2006-03-10
http://www.securityfocus.com/bid/16952

Multiple Vendor Anti-Virus Magic Byte Detection Evasion Vulnerability
2005-10-25
http://www.securityfocus.com/bid/15189

Multiple Vendor Antivirus Products Malformed Archives Scan Evasion
Vulnerability
2005-10-08
http://www.securityfocus.com/bid/15046

Multiple Vendor Antivirus Products Malformed ZIP Archive Scan Evasion
Vulnerability
2005-03-14
http://www.securityfocus.com/bid/12793

Multiple Vendor Antivirus Products Malformed ZIP Attachment Scan Evasion
Vulnerability
2005-03-10
http://www.securityfocus.com/bid/12771

Multiple Vendor Anti-Virus Scanner Remote Denial Of Service Vulnerability
2004-06-14
http://www.securityfocus.com/bid/10537

---

Hej Christian E. Lysel, du skrev i dk.edb.sikkerhed:

> Hvordan reagere scanneren på "format c: /q" eller "remdir
> %SystemRoot% /S /Q"?

Den reagerer naturligvis ikke. Men man bliver da ikke værre stillet,
uanset om scanner dem, inden man kører dem.

(Den første kunne jeg iøvrigt fint køre uden det medførte stor
hovedpine, jf. <http://stegen.dk/dont_waste_space.htm> :)

>> Det giver naturligvis ikke 100% sikkerhed. Men i værste fald
>> sænkes sikerhedsprocenten ikke, og i bedste fald øges den.
>
> Forudsat software er 100% sikker, hvilket ikke er tilfældet:

[Div. referencer til [ref. til securityfocus.com])

Jeg kan godt se din pointe og at jeg var lidt for enøjet med mit:
"Det giver naturligvis ikke 100% sikkerhed. Men i værste fald
sænkes sikerhedsprocenten ikke, og i bedste fald øges den."

Indrømmet: Man *kan* faktisk være værre stillet med en scanner end
uden, alt andet lige.

Uden at have noget at have det i, er jeg dog ret overbevist om, at man
oftere er bedre end værre stillet ved at scanne filer igennem - igen
"alt andet lige".

For mig at se ligger de virkelige, store og yderst reelle farer ved AV-
scannere og firewalls i det psykologiske, dvs. falsk sikkerhedstro og
ikke udtalt forsigtig adfærd på/med nettet/filer/etc.

--
Hygge fra Århus - Rudi
http://stegen.dk/pclinks1.htm

---

Rudi Stegen wrote:
>>Hvordan reagere scanneren på "format c: /q" eller "remdir
>>%SystemRoot% /S /Q"?
>
> Den reagerer naturligvis ikke. Men man bliver da ikke værre stillet,

Det skal du ikke sige, nogle virus scanner reagere faktisk på denne
slags. Men det plejer ikke være signatur motoren der reagere.

> uanset om scanner dem, inden man kører dem.

Hvis man forventer at den finder en virus, og skal til at installere
en applikation der vil yde skade på ens system, og dens signatur scanner
ikke genkender dem som en virus, yder den størrer skade, end hvis jeg
ikke forventer noget og derfor opfører mig mere forsigtigt/fornuftigt.

> Indrømmet: Man *kan* faktisk være værre stillet med en scanner end
> uden, alt andet lige.
>
> Uden at have noget at have det i, er jeg dog ret overbevist om, at man
> oftere er bedre end værre stillet ved at scanne filer igennem - igen
> "alt andet lige".

Du er langt bedre stillet ved at køre software du stoler på. (Hvilket
selvfølgeligt er svært at definerere).

Jeg fatter ikke at folk tør køre programmer de ikke på forhånd kender.

> For mig at se ligger de virkelige, store og yderst reelle farer ved AV-
> scannere og firewalls i det psykologiske, dvs. falsk sikkerhedstro og
> ikke udtalt forsigtig adfærd på/med nettet/filer/etc.

Enig. Plus at softwaren, desværre, har så grundliggende fat i
operativsystemmet at en fejl er fatal....desværre er producenterne
ret dårlige til at designe deres løsninger, og simple
rettighedsproblemmer kan de ej finde ud af.

---

Christian E. Lysel wrote:
> Du er langt bedre stillet ved at køre software du stoler på. (Hvilket
> selvfølgeligt er svært at definerere).

Det er vel ikke svært at definere, hvilket software man stoler på?

Det er langt sværere at definere hvilket af det er *værd* at stole på.
(Det er hele trust vs. trustworthy snakken igen).

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

IKJ wrote:
> Jeg har læst gruppens indlæg og ved det er svært et give et entydigt svar.
> Men hvad skal man vælge eller bedre, hvad skal man ikke vælge ?

Start med noget grundliggende sikkerhed:

1) Tag en backup af maskinen, og test om backen virker. Find evt. et
produkt der kan lave en backup til DVD og retablere direkte fra DVD'en,
i løbet af få minutter. DVD'en kan evt. erstattes med et andet medie som
fx en USB harddisk.

2) Kør med minimale rettigheder. Lad vær med at køre som administrator,
når der ikke er brug for det. Jeg køre som administrator når jeg
installere nyt hardware, software, eller køre defekt software der kræver
administrator (fx IKEA køkken planligger)

3) Minimere antallet af angrebs muligheder. Bertel har givet dig linket,
men her kommer det igen,

http://home18.inet.tele.dk/madsen/winxp/Tjenester_SP2.pdf

Dette indebære selvfølgelig mere end ovenstående. Fx skal du ikke køre
software der angriber din maskine, og du skal opgradere software løbende
når sikkerhedproblemmer bliver løst.

---

> Mit barnebarns PC med XP Home med adsl forbindelse, var fra ny
> præinstalleret med Symantecs Internet Security og update 3 måneder. Nu
> er ballet forbi og Symantec vil se ca. 500kr for 12 måneders update.



Tak for alle svarene, nu tror jeg at vi har det lidt nemmere med at vælge
Internet Security
> Hilsen fra barnebarnet ogIKJ
>

---

ISA 2004, er en applications layer firewall hvilket vil sige at den kan se
hvilken salgs trafik der ryger gennem den i modsætning til en PIX. Hvis port
80 er åben i en PIX vil den lade al smutte gennem den port. Det vil sige at
jeg kan sende alt gennem denne port. I modsætning til en ISA 2004, den vil
lukke hvis ikke det er HTTP trafik der komme gennem, så her kan du glemme
alt om Messenger og alle andre former for trafik. Hvis ikke det er HTTP så
luk.
Desuden har ISA 2004 en EAL4+ certificering.
Så med andre ord er en PIX ikke en skid bedre end en box du køber i netto
til 500kr, hvis vi snakker filtrering af trafik. Hvis en given port er åben
f.eks port 80, er den ligeglad med om det er FTP, DNS, RDP, Messenger, eller
diverse fildelings porgammer, del lader alt komme gennem. Det kalder jeg
ikke sikkerhed.
Og hvad med alle de orme og virus, hvis port 1433 (SQL) står åben og dit
system ikke er patches op, ja så er helvede løs med en Stateful Packet
Inspection Firewall hvis der er en Slammer orm løs. Men en ISA kan filtrere
det fra.
Som default tillader en PIC alle 65000 porte åben i Udadgående retning, er
det sikkerhed
Sidste år blev der offenteligjort over 5800 sårbarheder, Microsoft sendte
rettelser til 89. Hvem og hvilke systemer og programmer havde resten ??.
http://www.microsoft.com/isaserver/techinfo/deployment/commoncrit.mspx





"IKJ" <trukrevisletdette@webhiker.dk> wrote in message
news:44329fb4$0$46981$edfadb0f@dread15.news.tele.dk...
>
>> Mit barnebarns PC med XP Home med adsl forbindelse, var fra ny
>> præinstalleret med Symantecs Internet Security og update 3 måneder. Nu
>> er ballet forbi og Symantec vil se ca. 500kr for 12 måneders update.
>
>
>
> Tak for alle svarene, nu tror jeg at vi har det lidt nemmere med at vælge
> Internet Security
>> Hilsen fra barnebarnet ogIKJ
>>
>
>

---

henrik wrote:
> Desuden har ISA 2004 en EAL4+ certificering.

Ha. Hah. Hahahahaha.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Det er dog argumentation og seriøsitet så det batter.
Var det gruppens selvbestaltede admin der talte?

Alex Holst wrote:

>
> Ha. Hah. Hahahahaha.
>
>

---

On Thu, 6 Apr 2006 22:47:20 +0200, "henrik" <ynwa@NOSPAMpc.dk> wrote:

> Desuden har ISA 2004 en EAL4+ certificering.

Det mener jeg nu faktisk aldrig, at den fik. Den skulle have været
certificeret i slutning 2004, men står ikke på Common Criterias side.
http://niap.nist.gov/cc-scheme/vpl/vpl_type.html#firewalls

-A

---

henrik wrote:
> [SNIP] en masse der sikkert står i Microsofts salgsmateriale

Kære Henrik

Langt de fleste firewall's, herunder også PIX har en hvis mængde
inspektion på applikations laget. I PIX hedder det CBAC eller populært
kaldet Fixup protokol. Det samme gør sig gældende med andre firewall mærker.

Det er klart, at en proxy-baseret firewall ikke kan fungere med trafik
der ikke er HTTP baseret, i alle fald kan ISA'en ikke. Men f.eks.
Symantec Enterprise Firewall, kan både fungere som proxy og undlade det.

En lang række webbaserede applikationer kan ikke nødvendigvis fungere
gennem en proxyserver. Det ses bl.a. på en lang række javabaserede
applikationer, som f.eks. Told og Skat udvikler, så den begrænsning du
her nævner i ISA'en er bestemt ikke nogen fordel for brugerne.

Det at du gentager dine argumenter, gør dem jo aldeles ikke mere
rigtige, og når du skriver som du gør, kan du ikke have mange erfaringer
med Firewalls generelt.

Man kan iøvrigt diskutere, om det er hensigtsmæssigt, at lave
indholdsscanning i en firewall. Jeg mener ikke at virusscanning er en
"rigtig" firewall opgave. Hvad nu hvis virussen er indpakket i en
krypteret ZIP pakke, og passwordet til Zip filen står i mailen, som
Zippen er vedhæftet. Skal firewallen så også læse mailen, unzippe og
viruscanne.

Jo flere features man stopper ind i sin firewall, jo mere kode, og jo
større chance for fejl og sårbarheder.

Default politikken i en PIX er at alle porte er åbne, men stadigt under
CBAC kontrol. Da ISA'en er en Proxy, så er det selvfølgeligt ikke
tilfældet, men jeg kan ikke se hvad dit argument kan bruges til?

Hvem pokker kan tænkes at benytte en firewall i default konfigurationen?
Hvis dit argument er, at når man benytter ISA, så kan man blot nøjes med
at klikke next - next - next - finish, og så er man beskyttet, så vil
jeg nødigt have dig til at sætte min firewall op.

EAL4 certificeringen har en lang række firewall, så det er ikke specielt
for ISA. Det betyder, at den er testet af CommonCriteria efter et
bestemt testskema.

Med venlig hilsen

Lars P. Møller

---

Lars Møller wrote:
>
> Det er klart, at en proxy-baseret firewall ikke kan fungere med trafik
> der ikke er HTTP baseret, i alle fald kan ISA'en ikke.

Ikke?

Jeg vil opfordre dig til at sætte dig lidt bedre ind i ting du udtaler
dig så kategorisk om.

At Henrik sludrer er ikke undskyldning nok

Ole Thomsen

---

Ole Thomsen wrote:
> Lars Møller wrote:
>
>>
>> Det er klart, at en proxy-baseret firewall ikke kan fungere med trafik
>> der ikke er HTTP baseret, i alle fald kan ISA'en ikke.

Jeg ved godt, at man kan lave en plugin, der kan håndtere forskellige
"subprotokoller"

Men jeg vil mene, at protokoller der ikke betjener sig af almindelige
http methods (GET, PUT, CONNECT o.s.v) har svære kår gennem ISA'en.

> Jeg vil opfordre dig til at sætte dig lidt bedre ind i ting du udtaler
> dig så kategorisk om.

Kategorisk og kategorisk. Jeg har set en del på netværkstrace, hvor
ISA'en afviser applikationer der ikke overholder http protokollen, og
det er vel logisk nok, når man ser på en proxyservers funktion

>
> At Henrik sludrer er ikke undskyldning nok
>

Nej der har du så ganske ret, det er ikke undskyldning for noget, men
det kan være, at der er undskyldninger for det

> Ole Thomsen
>

Med venlig hilsen

Lars P. Møller

---

EAL4+






"Lars Møller" <larsmo@post3.tele.dk> wrote in message
news:443abe64$0$38721$edfadb0f@dread12.news.tele.dk...
> henrik wrote:
>> [SNIP] en masse der sikkert står i Microsofts salgsmateriale
>
> Kære Henrik
>
> Langt de fleste firewall's, herunder også PIX har en hvis mængde
> inspektion på applikations laget. I PIX hedder det CBAC eller populært
> kaldet Fixup protokol. Det samme gør sig gældende med andre firewall
> mærker.
>
> Det er klart, at en proxy-baseret firewall ikke kan fungere med trafik der
> ikke er HTTP baseret, i alle fald kan ISA'en ikke. Men f.eks. Symantec
> Enterprise Firewall, kan både fungere som proxy og undlade det.
>
> En lang række webbaserede applikationer kan ikke nødvendigvis fungere
> gennem en proxyserver. Det ses bl.a. på en lang række javabaserede
> applikationer, som f.eks. Told og Skat udvikler, så den begrænsning du her
> nævner i ISA'en er bestemt ikke nogen fordel for brugerne.
>
> Det at du gentager dine argumenter, gør dem jo aldeles ikke mere rigtige,
> og når du skriver som du gør, kan du ikke have mange erfaringer med
> Firewalls generelt.
>
> Man kan iøvrigt diskutere, om det er hensigtsmæssigt, at lave
> indholdsscanning i en firewall. Jeg mener ikke at virusscanning er en
> "rigtig" firewall opgave. Hvad nu hvis virussen er indpakket i en
> krypteret ZIP pakke, og passwordet til Zip filen står i mailen, som Zippen
> er vedhæftet. Skal firewallen så også læse mailen, unzippe og viruscanne.
>
> Jo flere features man stopper ind i sin firewall, jo mere kode, og jo
> større chance for fejl og sårbarheder.
>
> Default politikken i en PIX er at alle porte er åbne, men stadigt under
> CBAC kontrol. Da ISA'en er en Proxy, så er det selvfølgeligt ikke
> tilfældet, men jeg kan ikke se hvad dit argument kan bruges til?
>
> Hvem pokker kan tænkes at benytte en firewall i default konfigurationen?
> Hvis dit argument er, at når man benytter ISA, så kan man blot nøjes med
> at klikke next - next - next - finish, og så er man beskyttet, så vil jeg
> nødigt have dig til at sætte min firewall op.
>
> EAL4 certificeringen har en lang række firewall, så det er ikke specielt
> for ISA. Det betyder, at den er testet af CommonCriteria efter et bestemt
> testskema.
>
> Med venlig hilsen
>
> Lars P. Møller

---

henrik wrote:
> EAL4+

Hvorfor bliver du ved med at nævne den produkt certificering? Giver den
dig nogen at sagsøge i tilfælde af produktfejl eller indbrud som du ikke
allerede kunne sagsøge uden en sådan?


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

henrik wrote:
> EAL4+

Inkludere EAL4+ certificeringen virkelig at:

1) Børnebørn kan bruge maskinen?

2) At maskinen køre XP Home?

3) At maskinen køre med et netværkskort?

4) At maskinen har været brugt til andre ting,
og forsat skal bruges til at køre applikationer
fra.

(PS: jeg har set punkt 4 på en ISA 2000, i den
virkelige verden).

Og hvordan får IKJ's børnebørn råd til løsningen,
når budgettet indtil videre er under 500 kr?

Har du tænkt dig at støtte økonomisk?

---

Den Wed, 12 Apr 2006 17:00:55 +0200 skrev Christian E. Lysel:
> henrik wrote:
>> EAL4+
>
> Og hvordan får IKJ's børnebørn råd til løsningen,
> når budgettet indtil videre er under 500 kr?
>
> Har du tænkt dig at støtte økonomisk?

I den verden er software gratis, EULA'er er sådan noget man clicker OK
til uden at læse dem, og APG er nogen der slæber uskyldige mennekser
i retten og tager deres velfortjent sparede penge.

Hvis folk var tvunget til at betale fuld pris for software, ville
Microsoft ikke have nær så mange fans.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Christian E. Lysel wrote:

>
> 4) At maskinen har været brugt til andre ting,
> og forsat skal bruges til at køre applikationer
> fra.
>

Som f.eks. en Small Business Server, hvor der kører Exchange, SQL
server, Webserver, Navision o.s.v.

Jeg troede at det var et koncept

Med venlig hilsen

Lars P. Møller

---

henrik wrote:
> EAL4+
>

Ja det har jeg set, jeg har også ledt efter hvor forskellen mellem EAL4
og EAL4+ certificeringen er??

Men da du nu fremhæver forskellen, kan du vel belære mig om det

Med venlig hilsen

Lars P. Møller