|
| firewall til w2k-server Fra : Jan Arentoft |
Dato : 14-05-02 17:40 |
|
Hvad skal jeg bruge som firewall til min w2k server som skal arbejde som
router, med 2 netkort ?
Finders der noget som følger med i resource kit'et ?
jan
| |
Thomas Nielsen (14-05-2002)
| Kommentar Fra : Thomas Nielsen |
Dato : 14-05-02 17:55 |
|
Hej Jan
W2K som firewall.....hmm...Joker du?
ej jeg kan anbefale Checkpoint FW-1 men så skal du også have pengepunden
fremme.
Men hvad med en HW box som FW ?
Eller skal du bare lege ?
/Thomas Nielsenm @ tdn.dk
> Hvad skal jeg bruge som firewall til min w2k server som skal arbejde som
> router, med 2 netkort ?
> Finders der noget som følger med i resource kit'et ?
jan
| |
Povl H. Pedersen (14-05-2002)
| Kommentar Fra : Povl H. Pedersen |
Dato : 14-05-02 23:04 |
|
On Tue, 14 May 2002 18:40:19 +0200,
Jan Arentoft <dko9927d@remove@post.cybercity.dk> wrote:
> Hvad skal jeg bruge som firewall til min w2k server som skal arbejde som
> router, med 2 netkort ?
Linux eller Firewall-1
> Finders der noget som følger med i resource kit'et ?
Nej. FORMAT.EXE er en del af grundinstallationen :)
--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]
| |
ztilleto (15-05-2002)
| Kommentar Fra : ztilleto |
Dato : 15-05-02 00:11 |
|
On Tue, 14 May 2002 18:40:19 +0200, "Jan Arentoft"
<dko9927d@remove@post.cybercity.dk> wrote:
>Hvad skal jeg bruge som firewall til min w2k server som skal arbejde som
>router, med 2 netkort ?
Ok, hvilket program har du som skal route for dig?
Og hvad er det du vil med din firewall ? (noget du søger i den som
skal klare specielle problemer)
Hvis jeg skulle forslå noget så er et program som WinRoute fint fint
hvis du vil havde et mindre system op og køre og det giver også
mulighed for en stor del af hvad man søger i en Firewall....
Og så koster det formentlig heller ikke ligeså meget som Firewall-1.
| |
p_mitkas@hotmail.com (15-05-2002)
| Kommentar Fra : p_mitkas@hotmail.com |
Dato : 15-05-02 06:06 |
|
Jeg er bare så træt af folk der bare svarer uden at de ved en skid om hvad
de snakker om.
Windows er ikke så dårlig som firewall. Der findes en masse produkter som
kan købes til formålet men der findes å vidt jeg ved intet gratis utility
til det.
Jeg bruger selv (og anbefaler mine kunder) microsofts firewall, ISA.
Du kan finde mere info på den her site http:\\ www.isaserver.org.
Gutter, lad nu være med at starte en menningsløs discuttion ud af det. Det
er mange der godt kan lide linux og det er ok. Lad være bare med at være så
barnlige om andre produkter.
m.v.h.
Panos
MCSE, MCSE 2000, CNA
"Jan Arentoft" <dko9927d@remove@post.cybercity.dk> wrote in message
news:abrekg$24c7$1@news.cybercity.dk...
> Hvad skal jeg bruge som firewall til min w2k server som skal arbejde som
> router, med 2 netkort ?
> Finders der noget som følger med i resource kit'et ?
>
> jan
>
>
| |
Anders Lund (15-05-2002)
| Kommentar Fra : Anders Lund |
Dato : 15-05-02 07:24 |
|
p_mitkas@hotmail.com wrote:
> Gutter, lad nu være med at starte en menningsløs discuttion ud af
> det. Det er mange der godt kan lide linux og det er ok. Lad være bare
> med at være så barnlige om andre produkter.
Jeg tror du er ved at starte den første diskussion..
| |
Kent Friis (15-05-2002)
| Kommentar Fra : Kent Friis |
Dato : 15-05-02 18:28 |
|
Den Wed, 15 May 2002 07:05:47 +0200 skrev p_mitkas@hotmail.com:
>Jeg er bare så træt af folk der bare svarer uden at de ved en skid om hvad
>de snakker om.
>Windows er ikke så dårlig som firewall. Der findes en masse produkter som
>kan købes til formålet men der findes å vidt jeg ved intet gratis utility
>til det.
>Jeg bruger selv (og anbefaler mine kunder) microsofts firewall, ISA.
>Du kan finde mere info på den her site http:\\ www.isaserver.org.
\\ www.isaserver.org could not be found.
Aha... Det virker hvis man skriver en URL i stedet for en SMB-share:
http://www.isaserver.org/
Kiggede lige i deres FAQ... De har tydeligvis stadig ikke fattet noget
om sikkerhed.
Man installerer ikke unødige services på en firewall. Hvad er så ideen
i at sælge proxy-server og firewall som et produkt? De skal jo køre på
hver sin maskine.
For slet ikke at nævne at det efter sigende skulle være ret svært at
afinstallere den grafiske brugergrænseflade på win2k. Og en sådan har
_INTET_ at gøre på en firewall (Check fx. PIX).
Mvh
Kent
--
Mails skrevet før 12:00 skal læses med det forbehold, at hjernen først
forventes at være færdig med at boote på det tidspunkt, og indholdet
derfor kan indeholde random data der tilfældigvis lå i den
uinitializerede cache.
| |
Anders Lund (15-05-2002)
| Kommentar Fra : Anders Lund |
Dato : 15-05-02 19:53 |
|
Kent Friis <leeloo@phreaker.net> wrote:
> For slet ikke at nævne at det efter sigende skulle være ret svært at
> afinstallere den grafiske brugergrænseflade på win2k. Og en sådan har
> _INTET_ at gøre på en firewall (Check fx. PIX).
Det er da vel ligegyldig om det er en tekstbaseret brugerflade eller
grafisk. Ja, det kræver mere at drive en grafik brugerflade, men hvad så?
| |
Kent Friis (15-05-2002)
| Kommentar Fra : Kent Friis |
Dato : 15-05-02 20:02 |
|
Den Wed, 15 May 2002 20:53:29 +0200 skrev Anders Lund:
>Kent Friis <leeloo@phreaker.net> wrote:
>
>> For slet ikke at nævne at det efter sigende skulle være ret svært at
>> afinstallere den grafiske brugergrænseflade på win2k. Og en sådan har
>> _INTET_ at gøre på en firewall (Check fx. PIX).
>
>Det er da vel ligegyldig om det er en tekstbaseret brugerflade eller
>grafisk. Ja, det kræver mere at drive en grafik brugerflade, men hvad så?
Det kræver vel omkring 100 gange så meget kode, med deraf følgende 100
gange så mange fejlmuligheder.
Der skal INTET overfødig køre på en firewall.
Mvh
Kent
--
"Handlingen blev afbrudt pga. computerens begrænsede effekt"
- Windows NT på en Pentium III 550 MHz
| |
Stig Meyer Jensen (16-05-2002)
| Kommentar Fra : Stig Meyer Jensen |
Dato : 16-05-02 10:51 |
|
"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:abubaj$i2g$1@sunsite.dk...
> Den Wed, 15 May 2002 20:53:29 +0200 skrev Anders Lund:
[snip]
> Der skal INTET overfødig køre på en firewall.
Næh..... og min bil kører en del hurtigere og mere økonomisk hvis jeg ikke
har bagsæder i, men det har jeg nu engang valgt at have....
imho er isa serveren en ok løsning til mindre virksomheder - for mange af
dem er det som alternativ til ingen firewall.
--
Stig Meyer Jensen
stig@smj.dk
| |
Povl H. Pedersen (16-05-2002)
| Kommentar Fra : Povl H. Pedersen |
Dato : 16-05-02 16:57 |
|
On Thu, 16 May 2002 11:51:29 +0200,
Stig Meyer Jensen <stig@smj.dk> wrote:
> imho er isa serveren en ok løsning til mindre virksomheder - for mange af
> dem er det som alternativ til ingen firewall.
Kender den noget til inderside og yderside ? Kan alle autoriserede
brugere pr. default anvende den ? Hvis sidstnævnte er tilfældet, så kan
bruges udefra til at komme ind hvis man kan gætte et password (normalt
let med folks dårlige passwordvaner).
Dette er generelt et problem med proxies der tillader "CONNECT".
Igen med ISA som med andre. En firewall er ikke bedre end manden
der konfigurerer den.
--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]
| |
Christian E. Lysel (16-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-05-02 17:37 |
|
Kent Friis wrote:
> Det kræver vel omkring 100 gange så meget kode, med deraf følgende 100
> gange så mange fejlmuligheder.
Enig, fx vil Internet explorer kunne gøre firewallen sårbar, ved forkert
brug.
> Der skal INTET overfødig køre på en firewall.
Enig, men man bør også kikke på administrationen.
Har du en firewall hvor administrationen ikke er nem, kan du risikere at
du har et forkert reglesæt.
| |
Kent Friis (16-05-2002)
| Kommentar Fra : Kent Friis |
Dato : 16-05-02 17:57 |
|
Den Thu, 16 May 2002 18:37:02 +0200 skrev Christian E. Lysel:
>Kent Friis wrote:
>> Det kræver vel omkring 100 gange så meget kode, med deraf følgende 100
>> gange så mange fejlmuligheder.
>
>Enig, fx vil Internet explorer kunne gøre firewallen sårbar, ved forkert
>brug.
>
>> Der skal INTET overfødig køre på en firewall.
>
>Enig, men man bør også kikke på administrationen.
>
>Har du en firewall hvor administrationen ikke er nem, kan du risikere at
>du har et forkert reglesæt.
Det har mere med administratoren at gøre, end det har at gøre med hvor
nem firewall'en er at konfigurere.
Dog vil jeg mene at MS formår at skjule de vigtige indstillinger i alle
deres produkter, og det gælder vel også ISA-tingesten...
Mvh
Kent
--
Avoid the Gates of Hell. Use Linux
(Unknown source)
| |
Ole Thomsen (16-05-2002)
| Kommentar Fra : Ole Thomsen |
Dato : 16-05-02 19:50 |
|
"Kent Friis" <leeloo@phreaker.net> wrote
>
> Dog vil jeg mene at MS formår at skjule de vigtige indstillinger i alle
> deres produkter, og det gælder vel også ISA-tingesten...
Ole Thomsen
| |
Christian E. Lysel (16-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-05-02 20:58 |
|
Kent Friis wrote:
>>Har du en firewall hvor administrationen ikke er nem, kan du risikere at
>>du har et forkert reglesæt.
> Det har mere med administratoren at gøre, end det har at gøre med hvor
> nem firewall'en er at konfigurere.
Du blander tingene sammen.
Jeg snakker om ned administrationen, ikke om den er nem at konfigurere :)
> Dog vil jeg mene at MS formår at skjule de vigtige indstillinger i alle
> deres produkter, og det gælder vel også ISA-tingesten...
:)
Endvidere kan man også argumentere for at det er en god idée at smide
administrationen på en anden maskine end firewallen.
| |
Kent Friis (16-05-2002)
| Kommentar Fra : Kent Friis |
Dato : 16-05-02 21:05 |
|
Den Thu, 16 May 2002 21:57:40 +0200 skrev Christian E. Lysel:
>Kent Friis wrote:
>>>Har du en firewall hvor administrationen ikke er nem, kan du risikere at
>>>du har et forkert reglesæt.
>> Det har mere med administratoren at gøre, end det har at gøre med hvor
>> nem firewall'en er at konfigurere.
>
>Du blander tingene sammen.
>
>Jeg snakker om ned administrationen, ikke om den er nem at konfigurere :)
Hvilken administration? Når der ikke skal rettes i konfigurationen, skal
den da bare stå henne i hjørnet og passe sig selv.
Mvh
Kent
--
Motion: andet ord for "ondt i fødderne".
| |
Christian E. Lysel (16-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-05-02 21:11 |
|
Kent Friis wrote:
>>Jeg snakker om ned administrationen, ikke om den er nem at konfigurere :)
> Hvilken administration? Når der ikke skal rettes i konfigurationen, skal
> den da bare stå henne i hjørnet og passe sig selv.
Er sikkerhed ikke en løbende process?
| |
Kent Friis (16-05-2002)
| Kommentar Fra : Kent Friis |
Dato : 16-05-02 22:31 |
|
Den Thu, 16 May 2002 22:11:05 +0200 skrev Christian E. Lysel:
>Kent Friis wrote:
>>>Jeg snakker om ned administrationen, ikke om den er nem at konfigurere :)
>> Hvilken administration? Når der ikke skal rettes i konfigurationen, skal
>> den da bare stå henne i hjørnet og passe sig selv.
>
>Er sikkerhed ikke en løbende process?
Ok, jeg glemte patches. Men derudover skal der da ikke pilles ved
firewall'en.
Mvh
Kent
--
If you think about it, Windows XP is actually the OS that
started as "Microsoft OS/2 NT 3.0"
| |
Christian E. Lysel (16-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-05-02 23:04 |
|
Kent Friis wrote:
> Ok, jeg glemte patches. Men derudover skal der da ikke pilles ved
> firewall'en.
Den skal da også afspejle den løbende udvikling.
At betragte det som en sort boks, der står i et hjørne og kører, lyder
ikke fornuftigt i mine ører.
Jeg holder løbende øje med logfiler, disk plads, cpu belastning,
modificeret filer. Ændre regler i henhold til de nye krav, fx en ny
server installeres og denne skal havde adgang til noget nyt.
| |
Kent Friis (20-05-2002)
| Kommentar Fra : Kent Friis |
Dato : 20-05-02 20:28 |
|
Den Fri, 17 May 2002 00:03:48 +0200 skrev Christian E. Lysel:
>Kent Friis wrote:
>> Ok, jeg glemte patches. Men derudover skal der da ikke pilles ved
>> firewall'en.
>
>Den skal da også afspejle den løbende udvikling.
>
>At betragte det som en sort boks, der står i et hjørne og kører, lyder
>ikke fornuftigt i mine ører.
>
>Jeg holder løbende øje med logfiler,
De indeholder forhåbentlig de samme ting, uanset platform.
>disk plads, cpu belastning,
I procent, hvor er forskellen på de forskellige platforme?
>modificeret filer.
Firewall'en kører vel fra et skrivebeskyttet medium.
>Ændre regler i henhold til de nye krav,
Det hører under konfigurationsændringer.
Mvh
Kent
--
Linux 0.12 is out
Windows XP is now obsolete!!!
| |
Ole Thomsen (15-05-2002)
| Kommentar Fra : Ole Thomsen |
Dato : 15-05-02 19:54 |
|
"Kent Friis" <leeloo@phreaker.net> wrote
>
> Kiggede lige i deres FAQ... De har tydeligvis stadig ikke fattet noget
> om sikkerhed.
>
> Man installerer ikke unødige services på en firewall. Hvad er så ideen
> i at sælge proxy-server og firewall som et produkt? De skal jo køre på
> hver sin maskine.
Du har tydeligvis ikke sat dig ret meget ind i ISA server.
Det er fuldstændig frivilligt om man vil installere caching,
ligesom man også kan nøjes med det.
> For slet ikke at nævne at det efter sigende skulle være ret svært at
> afinstallere den grafiske brugergrænseflade på win2k. Og en sådan har
> _INTET_ at gøre på en firewall (Check fx. PIX).
Hmmm. Nå. Er det ikke lidt tyndbenet at bruge et
enkelt produkt som argument for det? Når der nu
er flere firewallprodukter med GUI end uden,
betyder det så at en firewall faktisk bør have GUI?
Ole Thomsen
Ole Thomsen
| |
Kent Friis (15-05-2002)
| Kommentar Fra : Kent Friis |
Dato : 15-05-02 20:07 |
|
Den Wed, 15 May 2002 20:54:23 +0200 skrev Ole Thomsen:
>"Kent Friis" <leeloo@phreaker.net> wrote
>>
>> Kiggede lige i deres FAQ... De har tydeligvis stadig ikke fattet noget
>> om sikkerhed.
>>
>> Man installerer ikke unødige services på en firewall. Hvad er så ideen
>> i at sælge proxy-server og firewall som et produkt? De skal jo køre på
>> hver sin maskine.
>
>Du har tydeligvis ikke sat dig ret meget ind i ISA server.
>Det er fuldstændig frivilligt om man vil installere caching,
>ligesom man også kan nøjes med det.
Men man betaler for det alligevel. Og hvis EULA'en er som alle andre MS-
produkter, så er det ikke tilladt at installere hver halvdel på hver
sin maskine.
>> For slet ikke at nævne at det efter sigende skulle være ret svært at
>> afinstallere den grafiske brugergrænseflade på win2k. Og en sådan har
>> _INTET_ at gøre på en firewall (Check fx. PIX).
>
>Hmmm. Nå. Er det ikke lidt tyndbenet at bruge et
>enkelt produkt som argument for det? Når der nu
>er flere firewallprodukter med GUI end uden,
>betyder det så at en firewall faktisk bør have GUI?
>
De fleste hardware-firewalls konfigureres over netværket, eller via
en serielport. De sidder normalt i et rack, mellem routere m.m, og der
er da slet ingen skærm.
Et evt. medfølgende grafisk konfigurationsprogram tæller jeg naturligvis
ikke med, sålænge det kører på en separat maskine. Det øger jo ikke
mængden af software på firewall'en.
Mvh
Kent
--
Linux 0.12 is out
Windows XP is now obsolete!!!
| |
Ole Thomsen (15-05-2002)
| Kommentar Fra : Ole Thomsen |
Dato : 15-05-02 20:18 |
|
"Kent Friis" <leeloo@phreaker.net> wrote
>
> Men man betaler for det alligevel. Og hvis EULA'en er som alle andre MS-
> produkter, så er det ikke tilladt at installere hver halvdel på hver
> sin maskine.
Hvad har pris og EULA for ISA med emnet
at gøre?
> De fleste hardware-firewalls konfigureres over netværket, eller via
> en serielport. De sidder normalt i et rack, mellem routere m.m, og der
> er da slet ingen skærm.
Nåehh, vi taler hardware-fw, ja så har jeg ikke
fulgt tråden godt nok. Jeg troede den drejede
sig om firewall til w2k-server. Sorry.
Ole Thomsen
| |
Kent Friis (15-05-2002)
| Kommentar Fra : Kent Friis |
Dato : 15-05-02 21:15 |
|
Den Wed, 15 May 2002 21:18:25 +0200 skrev Ole Thomsen:
>"Kent Friis" <leeloo@phreaker.net> wrote
>>
>> Men man betaler for det alligevel. Og hvis EULA'en er som alle andre MS-
>> produkter, så er det ikke tilladt at installere hver halvdel på hver
>> sin maskine.
>
>Hvad har pris og EULA for ISA med emnet
>at gøre?
Hvis EULA'en siger at man skal købe to licenser, for at bruge både
firewall'en og have en proxy-server, så giver det jo ingen mening.
>> De fleste hardware-firewalls konfigureres over netværket, eller via
>> en serielport. De sidder normalt i et rack, mellem routere m.m, og der
>> er da slet ingen skærm.
>
>Nåehh, vi taler hardware-fw, ja så har jeg ikke
>fulgt tråden godt nok. Jeg troede den drejede
>sig om firewall til w2k-server. Sorry.
Nej, vi diskuterer om w2k kan bruges som firewall, og derfor
sammenligner jeg med andre firewalls, for at se hvilke problemer der
er specifikke for w2k.
Mvh
Kent
--
Avoid the Gates of Hell. Use Linux
(Unknown source)
| |
Anders Brabæk (15-05-2002)
| Kommentar Fra : Anders Brabæk |
Dato : 15-05-02 21:57 |
|
> >> Men man betaler for det alligevel. Og hvis EULA'en er som alle andre
MS-
> >> produkter, så er det ikke tilladt at installere hver halvdel på hver
> >> sin maskine.
> >
> >Hvad har pris og EULA for ISA med emnet
> >at gøre?
>
> Hvis EULA'en siger at man skal købe to licenser, for at bruge både
> firewall'en og have en proxy-server, så giver det jo ingen mening.
>
> >> De fleste hardware-firewalls konfigureres over netværket, eller via
> >> en serielport. De sidder normalt i et rack, mellem routere m.m, og der
> >> er da slet ingen skærm.
> >
> >Nåehh, vi taler hardware-fw, ja så har jeg ikke
> >fulgt tråden godt nok. Jeg troede den drejede
> >sig om firewall til w2k-server. Sorry.
>
> Nej, vi diskuterer om w2k kan bruges som firewall, og derfor
> sammenligner jeg med andre firewalls, for at se hvilke problemer der
> er specifikke for w2k.
>
> Mvh
> Kent
> --
> Avoid the Gates of Hell. Use Linux
> (Unknown source)
Jeg har gennem det seneste års tid sat en række ISA servere op hvor der
allerede forefantes en PIX eller Fireawll-1. Årsag: ISA serveren stopper,
hvis den ikke er helt håbløst konfigureret, Nimda og code red varianter uden
at der skal kodes specielt til den. Desuden sikre den traffiken indenfra og
ud - noget som er ganske håbløst med en Firewall-1 (som jeg for i øvrigt
også holder meget af) eller en PIX (eller et hav af de andre firewalls der
er på banen). ISA serveren kan, fordi den fungerer både med Stateful
inspection og som application firewall, undersøge pakkerne meget smidigt og
uden man hedder Stephen Nortcutt for at kunne kode sine egne filtre.
Jeg er enig i at man kunne ønske et operativ system som standard var lukket
ordentligt ned og dedikeret til opgaven. Microsoft har delvist imødegået
dette i ISA serveren gennem System Hardening faciliteten. De imødegår det
yderligere i Windows.NET/Windows2002 hvor man skal til at lukke op frem for
at lukke ned (og under Windows 2002 kan man også køre headless (uden skærm)
hvis man synes det er vigtigt).
Som en sidste detalje så er ISA Serveren mig bekendt udviklet af folk som er
blevet "stjålet" fra CheckPoint (firewall-1) hvis det kan beroglige nogen.
inden at 1700 linux folk springer på reply knappen og tamper 5000
nedvurderende mails sammen så lad mig understrege at dette ikke er et angreb
på pingvin banden men blot en ytring om at ISA serveren har sine
interessante sider.
-Anders
http://look-at-IT.com
| |
Thomas Nielsen (15-05-2002)
| Kommentar Fra : Thomas Nielsen |
Dato : 15-05-02 22:23 |
|
> Jeg har gennem det seneste års tid sat en række ISA servere op hvor der
> allerede forefantes en PIX eller Fireawll-1. Årsag: ISA serveren stopper,
> hvis den ikke er helt håbløst konfigureret, Nimda og code red varianter
uden
> at der skal kodes specielt til den. Desuden sikre den traffiken indenfra
og
> ud - noget som er ganske håbløst med en Firewall-1 (som jeg for i øvrigt
> også holder meget af) eller en PIX (eller et hav af de andre firewalls der
> er på banen). ISA serveren kan, fordi den fungerer både med Stateful
> inspection og som application firewall, undersøge pakkerne meget smidigt
og
> uden man hedder Stephen Nortcutt for at kunne kode sine egne filtre.
> Jeg er enig i at man kunne ønske et operativ system som standard var
lukket
> ordentligt ned og dedikeret til opgaven. Microsoft har delvist imødegået
> dette i ISA serveren gennem System Hardening faciliteten. De imødegår det
> yderligere i Windows.NET/Windows2002 hvor man skal til at lukke op frem
for
> at lukke ned (og under Windows 2002 kan man også køre headless (uden
skærm)
> hvis man synes det er vigtigt).
> Som en sidste detalje så er ISA Serveren mig bekendt udviklet af folk som
er
> blevet "stjålet" fra CheckPoint (firewall-1) hvis det kan beroglige nogen.
> inden at 1700 linux folk springer på reply knappen og tamper 5000
> nedvurderende mails sammen så lad mig understrege at dette ikke er et
angreb
> på pingvin banden men blot en ytring om at ISA serveren har sine
> interessante sider.
>
> -Anders
> http://look-at-IT.com
>
Jeg er meget enig med dig Anders.
Jeg vil bare lige sige at ISA serveren, skal bruges som Proxy fætter med
noget AV på..
Derefter placeres der en HW FW, gerne CSE (
http://www.cygate.dk/default.asp?id=3704 (dog ikke en HW FW)) eller
Netscreen FW.
Sådan ville jeg sætte en løsning op.
... men hver sin smag.
.... det kan vel kun bevises ved at prøve på at "teste" en opsætning på hver
sin måde.
Men jeg er bare en Dum netværkstekniker der bruger Win til daglig men roder
også lidt med Tuxen!
Thomas Nielsen @ Cygate.dk - info@tdn.dk
| |
Christian E. Lysel (16-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-05-02 21:07 |
|
Anders Brabæk wrote:
> Jeg har gennem det seneste års tid sat en række ISA servere op hvor der
> allerede forefantes en PIX eller Fireawll-1. Årsag: ISA serveren stopper,
> hvis den ikke er helt håbløst konfigureret, Nimda og code red varianter uden
> at der skal kodes specielt til den. Desuden sikre den traffiken indenfra og
Brug dog Raptor firewallen, den eksisterede før MS Proxy.
ISA'en er håbløs ufleksibel i bygning af regler med flere
netværkssegmenter og så er den sløv.
| |
Ole Thomsen (16-05-2002)
| Kommentar Fra : Ole Thomsen |
Dato : 16-05-02 21:27 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote
>
> Brug dog Raptor firewallen, den eksisterede før MS Proxy.
Og?
Pardon my english, men det er da et latterligt argument.
> ISA'en er håbløs ufleksibel i bygning af regler med flere
> netværkssegmenter og så er den sløv.
Jeg ser ikke nogen væsentlig forskel i performance på
de to produkter.
Ole Thomsen
| |
Christian E. Lysel (16-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-05-02 21:33 |
|
Ole Thomsen wrote:
>>Brug dog Raptor firewallen, den eksisterede før MS Proxy.
> Og?
> Pardon my english, men det er da et latterligt argument.
Gennemtestet teknologi, hvorfor er det et latterligt argument?
Hvor gammel er ISA'en, hvor gammel er windows 2000?
>>ISA'en er håbløs ufleksibel i bygning af regler med flere
>>netværkssegmenter og så er den sløv.
> Jeg ser ikke nogen væsentlig forskel i performance på
> de to produkter.
?!?
Jeg ser ikke andet end preformance og stablitets problemer (fx blå
skærm) med ISA.
| |
Ole Thomsen (16-05-2002)
| Kommentar Fra : Ole Thomsen |
Dato : 16-05-02 21:56 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote
>
> Gennemtestet teknologi, hvorfor er det et latterligt argument?
Fordi test ligesåvel er i form af udbredelse som alder, og
MS Proxy har ret sikkert kørt i drift i langt flere timer end
Raptor.
> Jeg ser ikke andet end preformance og stablitets problemer (fx blå
> skærm) med ISA.
Jeg har med W2K ikke set en blå skærm på anstændig
hardware siden betaen, men hvis du fortæller mig hvordan
den fremkom på ISA kunne jeg da tænke mig at prøve at
reproducere den.
Og stadig, performancemæssigt står den sig nok lige så
godt/skidt som Raptor (6.5 that is). Men Raptoren er heldigvis
også blevet mere smooth med tiden, de første versioner
var noget tunge at danse med.
Ole Thomsen
| |
Christian E. Lysel (16-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-05-02 22:15 |
|
Ole Thomsen wrote:
>>Gennemtestet teknologi, hvorfor er det et latterligt argument?
> Fordi test ligesåvel er i form af udbredelse som alder, og
> MS Proxy har ret sikkert kørt i drift i langt flere timer end
> Raptor.
Jeg snakker om tid....tid til at finde sårbarheder. Og så snakker jeg om
sårbarheds historie.
>>Jeg ser ikke andet end preformance og stablitets problemer (fx blå
>>skærm) med ISA.
> Jeg har med W2K ikke set en blå skærm på anstændig
> hardware siden betaen, men hvis du fortæller mig hvordan
> den fremkom på ISA kunne jeg da tænke mig at prøve at
> reproducere den.
I forbindelse med VPN på en ISA, den specifikke konfiguration kan jeg
ikke huske.
> Og stadig, performancemæssigt står den sig nok lige så
> godt/skidt som Raptor (6.5 that is). Men Raptoren er heldigvis
> også blevet mere smooth med tiden, de første versioner
> var noget tunge at danse med.
De første version gik op i sikkerheden, ikke i GUI'en (nutcrackeren
byggede GUI'en).
Hvordan synes du bygning af regler på en ISA er, hvis du fx har 12
interface?
Nedeståender afspejler min holdning til ISA'en:
Kompleks konfiguration/administration
Administrationen af sikkerhedspolitik indeholder kun 3 forskellige metoder:
·
Udgående proxy og pakker filter regler
·
Indgående pakker filter regler
·
Indgående "Publishing".
Endvidere er der ikke et centralt overblik. Overblikket er delt ud over
5 forskellige administrations grænseflader (ISA, VPN, RRAS, QoS, Active
Directory).
Administrationen foregår som standard ikke via en sikker forbindelse.
VPN konfigureres og administreres i en anden grænseflade. Det er kun en
wizard til konfiguration af PPTP.
Logning.
Det er ikke muligt i administrations grænsefladen at se logfiler.
Logning sker til tekst filer eller en database.
VPN
VPN trafik er ikke omfattet af de implementeret regler.
Bruger baseret adgangskontrol
Sikkerhedspolitikken kan kun omfatte IP adresser eller windows maskiner
med klient software installeret (SecureNAT). Eksterne kan endvidere kun
valideres op mod web applikationer (passer ikke med socks).
Endvidere understøttes kun statiske password og windows specifikt
brugervalidering. Denne er begrænset til web applikationer.
Omkring SecureNAT klient softwaret, skal nævnes at ISA tilbyder en delt
resource som SecureNAT klienten kan hentes fra. Hvilket ikke anbefaldes.
Intrusion detection
Intrusion detection er begrænset til 8 forskellige angreb. 6 på pakke
filter niveau og 2 applikation filtre. Der eksistere dog i dag over 900
forskellige angreb.
Generelt
Produktet er meget nyt, og har ikke bevist sin kunnen.
| |
Anders Brabæk (16-05-2002)
| Kommentar Fra : Anders Brabæk |
Dato : 16-05-02 23:16 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3CE4214B.4040802@example.net...
> Ole Thomsen wrote:
> >>Gennemtestet teknologi, hvorfor er det et latterligt argument?
> > Fordi test ligesåvel er i form af udbredelse som alder, og
> > MS Proxy har ret sikkert kørt i drift i langt flere timer end
> > Raptor.
>
> Jeg snakker om tid....tid til at finde sårbarheder. Og så snakker jeg om
> sårbarheds historie.
Jeg er ikke sikker på at det argument er validt. Se på hvor mange
længerevarende huller Checkpoint Firewall-1 har og har haft.
> >>Jeg ser ikke andet end preformance og stablitets problemer (fx blå
> >>skærm) med ISA.
> > Jeg har med W2K ikke set en blå skærm på anstændig
> > hardware siden betaen, men hvis du fortæller mig hvordan
> > den fremkom på ISA kunne jeg da tænke mig at prøve at
> > reproducere den.
>
> I forbindelse med VPN på en ISA, den specifikke konfiguration kan jeg
> ikke huske.
ISA serveren har ikke selv VPN men anvender VPN'en fra RRAS. Jeg har sat en
del ISA servere i produktion med VPN. Ingen af dem er nogensinde gået ned -
heller ikke nogen af dem der køre uden VPN.
> > Og stadig, performancemæssigt står den sig nok lige så
> > godt/skidt som Raptor (6.5 that is). Men Raptoren er heldigvis
> > også blevet mere smooth med tiden, de første versioner
> > var noget tunge at danse med.
>
> De første version gik op i sikkerheden, ikke i GUI'en (nutcrackeren
> byggede GUI'en).
>
> Hvordan synes du bygning af regler på en ISA er, hvis du fx har 12
> interface?
>
>
> Nedeståender afspejler min holdning til ISA'en:
>
>
> Kompleks konfiguration/administration
Jeg må tilstå at jeg har set ellers kløgtige administratorer gå nærmest
grædende fra en ISA server.
> Administrationen af sikkerhedspolitik indeholder kun 3 forskellige
metoder:
> ·
> Udgående proxy og pakker filter regler
> ·
> Indgående pakker filter regler
> ·
> Indgående "Publishing".
>
> Endvidere er der ikke et centralt overblik. Overblikket er delt ud over
> 5 forskellige administrations grænseflader (ISA, VPN, RRAS, QoS, Active
> Directory).
Jeg er særdeles enig i at overblikket lader noget tilbage at ønske
> Administrationen foregår som standard ikke via en sikker forbindelse.
>
>
> VPN konfigureres og administreres i en anden grænseflade. Det er kun en
> wizard til konfiguration af PPTP.
>
> Logning.
>
> Det er ikke muligt i administrations grænsefladen at se logfiler.
> Logning sker til tekst filer eller en database.
>
> VPN
>
> VPN trafik er ikke omfattet af de implementeret regler.
Nej - det skal styrres gennem RRAS
> Bruger baseret adgangskontrol
>
> Sikkerhedspolitikken kan kun omfatte IP adresser eller windows maskiner
> med klient software installeret (SecureNAT). Eksterne kan endvidere kun
> valideres op mod web applikationer (passer ikke med socks).
SecureNAT clienter er definitionen for de klienter der ikke anvender
Firewall klienten og ikke fungere som webproxy klienter. SecureNAT
kræver´ingen software på klienten og er hyppigt brugt til ikke MS klienter
som fx Linux.
> Endvidere understøttes kun statiske password og windows specifikt
> brugervalidering. Denne er begrænset til web applikationer.
>
> Omkring SecureNAT klient softwaret, skal nævnes at ISA tilbyder en delt
> resource som SecureNAT klienten kan hentes fra. Hvilket ikke anbefaldes.
>
> Intrusion detection
>
> Intrusion detection er begrænset til 8 forskellige angreb. 6 på pakke
> filter niveau og 2 applikation filtre. Der eksistere dog i dag over 900
> forskellige angreb.
IDS bør vel generelt ligge uden for firewallen på et dedikeret IDS system.
Når du snakker om over 900 forkellige angreb (hvor kommer det tal for
iøvrigt fra hvis du kan huske det - blot nysgerrig) vil jeg under alle
omstændigheder antage at de fleste er dækket ind under typer og selvom
forklaringen ikke vil være optimal vil ISA serveren stadigt give lyd fra
sig. der findes forskellige former for 3. parts software til ISA serveren -
men igen - IDS hører til på ydresiden!
-Anders
http://look-at-IT.com
| |
Christian E. Lysel (16-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-05-02 23:27 |
|
Anders Brabæk wrote:
>>Jeg snakker om tid....tid til at finde sårbarheder. Og så snakker jeg om
>>sårbarheds historie.
> Jeg er ikke sikker på at det argument er validt. Se på hvor mange
> længerevarende huller Checkpoint Firewall-1 har og har haft.
Eller PIX.
Se derefter på antallet af seriøse huller i MS Proxy og ISA, og Raptor.
>>I forbindelse med VPN på en ISA, den specifikke konfiguration kan jeg
>>ikke huske.
> ISA serveren har ikke selv VPN men anvender VPN'en fra RRAS. Jeg har sat en
> del ISA servere i produktion med VPN. Ingen af dem er nogensinde gået ned -
> heller ikke nogen af dem der køre uden VPN.
Du må have magiske hænder, det er ikke det jeg hører om i min hverdag.
>>Kompleks konfiguration/administration
> Jeg må tilstå at jeg har set ellers kløgtige administratorer gå nærmest
> grædende fra en ISA server.
Jeg synes den er ubruglig, hvis man skal mere end at have to interface.
> SecureNAT clienter er definitionen for de klienter der ikke anvender
> Firewall klienten og ikke fungere som webproxy klienter. SecureNAT
> kræver´ingen software på klienten og er hyppigt brugt til ikke MS klienter
> som fx Linux.
Så har jeg misforstået noget, jeg har forstået SecureNAT som en klient
der bliver hentet fra en IIS der kører på den samme maskine som ISA
(hvilket jeg også ser som en sårbarhed) og at det i virkeligheden er en
"smart" socks klient.
Hvordan udfører klienten så brugervalidering?
> IDS bør vel generelt ligge uden for firewallen på et dedikeret IDS system.
> Når du snakker om over 900 forkellige angreb (hvor kommer det tal for
> iøvrigt fra hvis du kan huske det - blot nysgerrig) vil jeg under alle
Der eksistere for den sags skyld også over 3 forskellige angreb :)
Nej, pjat til side, for en del tid siden, lavede jeg en wc (word count)
på snort "database", den talte 900 styk.
> omstændigheder antage at de fleste er dækket ind under typer og selvom
> forklaringen ikke vil være optimal vil ISA serveren stadigt give lyd fra
> sig. der findes forskellige former for 3. parts software til ISA serveren -
> men igen - IDS hører til på ydresiden!
MS reklamere med at der er indbygget IDS.
Hvilket den helt nye Raptor/SEF boks løsning også reklamere med, *suk*
| |
Anders Brabæk (16-05-2002)
| Kommentar Fra : Anders Brabæk |
Dato : 16-05-02 23:51 |
|
> > SecureNAT clienter er definitionen for de klienter der ikke anvender
> > Firewall klienten og ikke fungere som webproxy klienter. SecureNAT
> > kræver´ingen software på klienten og er hyppigt brugt til ikke MS
klienter
> > som fx Linux.
>
> Så har jeg misforstået noget, jeg har forstået SecureNAT som en klient
> der bliver hentet fra en IIS der kører på den samme maskine som ISA
> (hvilket jeg også ser som en sårbarhed) og at det i virkeligheden er en
> "smart" socks klient.
>
> Hvordan udfører klienten så brugervalidering?
Det gør den ikke!! Du kan blot angive IP adresser og angive hvad disse IP
adresser skal have lov til. Du har ikke misforstået noget andet end ordet!
Det du kalder SecureNAT klienter hedder blot Firewall klienter.
-Anders
http://look-at-IT.com
| |
Christian E. Lysel (17-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 17-05-02 05:38 |
|
Anders Brabæk wrote:
> Det gør den ikke!! Du kan blot angive IP adresser og angive hvad disse IP
> adresser skal have lov til. Du har ikke misforstået noget andet end ordet!
Ok, hvad er der secure ved det :)
| |
Anders Brabæk (17-05-2002)
| Kommentar Fra : Anders Brabæk |
Dato : 17-05-02 08:15 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3CE4892C.4050607@example.net...
> Anders Brabæk wrote:
> > Det gør den ikke!! Du kan blot angive IP adresser og angive hvad disse
IP
> > adresser skal have lov til. Du har ikke misforstået noget andet end
ordet!
>
> Ok, hvad er der secure ved det :)
>
Ja - SecureNAT er lige så håbløst indenfra og ud som fx PIX og Firewall-1
-Anders
http://look-at-IT.com
| |
Anders Brabæk (16-05-2002)
| Kommentar Fra : Anders Brabæk |
Dato : 16-05-02 23:57 |
|
> >>I forbindelse med VPN på en ISA, den specifikke konfiguration kan jeg
> >>ikke huske.
> > ISA serveren har ikke selv VPN men anvender VPN'en fra RRAS. Jeg har sat
en
> > del ISA servere i produktion med VPN. Ingen af dem er nogensinde gået
ned -
> > heller ikke nogen af dem der køre uden VPN.
>
> Du må have magiske hænder, det er ikke det jeg hører om i min hverdag.
>
hmmm - det er nu godt en helt del ISA servere jeg har haft fat i - jeg
spekulere på om dem der kan fremskaffe alle disse blå skærme er lige så
skarpe på ISA serveren som jeg er på fx Raptor - den kunne jeg sikkert også
få til at sejle i den blå død.
> > omstændigheder antage at de fleste er dækket ind under typer og selvom
> > forklaringen ikke vil være optimal vil ISA serveren stadigt give lyd fra
> > sig. der findes forskellige former for 3. parts software til ISA
serveren -
> > men igen - IDS hører til på ydresiden!
>
> MS reklamere med at der er indbygget IDS.
>
> Hvilket den helt nye Raptor/SEF boks løsning også reklamere med, *suk*
>
Ja - og MS reklamere også for at Windows XP kommer med indbygget firewall
men sådan er der jo så meget...
-Anders
http://look-at-IT.com
| |
Christian E. Lysel (17-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 17-05-02 05:42 |
|
Anders Brabæk wrote:
> Ja - og MS reklamere også for at Windows XP kommer med indbygget firewall
> men sådan er der jo så meget...
Det kan jeg ikke se noget problem i, det passer jo.
Godt nok ville jeg aldrig bruge den. Hvis jeg havde brug for en firewall
på en arbejdsstation, ville jeg nok installere Raptor Mobile, den er
lige så god som Raptor Firewallens pakke filter.
| |
Anders Brabæk (16-05-2002)
| Kommentar Fra : Anders Brabæk |
Dato : 16-05-02 23:19 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3CE41174.1010008@example.net...
> Anders Brabæk wrote:
> > Jeg har gennem det seneste års tid sat en række ISA servere op hvor der
> > allerede forefantes en PIX eller Fireawll-1. Årsag: ISA serveren
stopper,
> > hvis den ikke er helt håbløst konfigureret, Nimda og code red varianter
uden
> > at der skal kodes specielt til den. Desuden sikre den traffiken indenfra
og
>
> Brug dog Raptor firewallen, den eksisterede før MS Proxy.
>
> ISA'en er håbløs ufleksibel i bygning af regler med flere
> netværkssegmenter og så er den sløv.
>
Det har jo ikke afholdt Raptor fra også at have problemer som du blandt
andet selv er med til at påvise hos Neworder
-Anders
http://look-at-IT.com
| |
Christian E. Lysel (16-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-05-02 23:38 |
|
Anders Brabæk wrote:
>>ISA'en er håbløs ufleksibel i bygning af regler med flere
>>netværkssegmenter og så er den sløv.
> Det har jo ikke afholdt Raptor fra også at have problemer som du blandt
> andet selv er med til at påvise hos Neworder
Ja, det var et "skønt" hul.
Neworder? Jeg (og Benny) har kun rapporteret det til Bugtraq og Symantec.
Raptoren har haft følgende problemer
1999-10-21: Axent Raptor Denial of Service Vulnerability
2001-03-24: Raptor Firewall HTTP Request Proxying Vulnerability
2001-11-05: Raptor Firewall Zero Length UDP Packet Resource
Consumption Vulnerability
Vulnerability
2002-02-20: Symantec Enterprise Firewall Notify Daemon SNMP Data
Loss Vulnerability
2002-02-20: Symantec Enterprise Firewall SMTP Proxy Information Leak
Vulnerability
2002-04-16: Symantec Raptor / Enterprise Firewall FTP Bounce
Hmmm, jeg syntes der er DoS angreb, men kan ikke lige finde dem.
Der 2 er DoS angreb, 1 informations udslip, 1 mindre sårbarhed (ftp
bounce), 1 større sårbarhed (http proxy).
Dette er ikke meget for en firewall der har været med i over 6 år.
Faktisk er det også interessant at Raptor 3.06 op til version 5 ikke har
haft seriøse sårbarheder. I version 6.0 og frem har der været en del,
efter at Symantec har overtaget udviklingen.
Sammenligner man med ISA, PIX, FW-1, har Raptoren meget få huller.
| |
Ulrik Lunddahl (15-05-2002)
| Kommentar Fra : Ulrik Lunddahl |
Dato : 15-05-02 22:33 |
|
"Kent Friis" <leeloo@phreaker.net> wrote:
> Hvis EULA'en siger at man skal købe to licenser, for at bruge både
> firewall'en og have en proxy-server, så giver det jo ingen mening.
Hvorfor ikke, ville du hellere ønske at prisen var den dobbelte, og du så
kunne installere softwaren på to maskiner ?
> Nej, vi diskuterer om w2k kan bruges som firewall, og derfor
> sammenligner jeg med andre firewalls, for at se hvilke problemer der
> er specifikke for w2k.
En firewall er et redskab til at gennemtvinge virksomhedens
sikkerhedspolitik, har du hørt om setups hvor der er implementeret flere
produkter der tager hånd om forskellige dele af sikkerheden.
--
Med Venlig Hilsen
Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil
| |
Povl H. Pedersen (15-05-2002)
| Kommentar Fra : Povl H. Pedersen |
Dato : 15-05-02 23:10 |
|
On Wed, 15 May 2002 23:33:20 +0200,
Ulrik Lunddahl <nospam037@lunddahl.dk> wrote:
> En firewall er et redskab til at gennemtvinge virksomhedens
> sikkerhedspolitik, har du hørt om setups hvor der er implementeret flere
> produkter der tager hånd om forskellige dele af sikkerheden.
Ja da. Det er vel normalt at have en hardware firewall/router
med noget NAT og evt portforwarding foran en ISA server.
Du skulle nødigt kunne ramme alle porte på en Windåse udefra.
Og Microsoft er et virkeligt troværdigt firma. De sagde at
Windows 2000 brugte færre resourccer end Windows NT, og XP
skulle bruge færre end Windows 2000. Men på kassen er hardware-
kravene løbende vokset.
--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]
| |
Stig Meyer Jensen (16-05-2002)
| Kommentar Fra : Stig Meyer Jensen |
Dato : 16-05-02 10:55 |
|
"Povl H. Pedersen" <nospam@home.terminal.dk> skrev i en meddelelse
news:slrnae5n4u.2j0.nospam@home.terminal.dk...
> On Wed, 15 May 2002 23:33:20 +0200,
> Ulrik Lunddahl <nospam037@lunddahl.dk> wrote:
> > En firewall er et redskab til at gennemtvinge virksomhedens
> > sikkerhedspolitik, har du hørt om setups hvor der er implementeret flere
> > produkter der tager hånd om forskellige dele af sikkerheden.
>
> Ja da. Det er vel normalt at have en hardware firewall/router
> med noget NAT og evt portforwarding foran en ISA server.
>
> Du skulle nødigt kunne ramme alle porte på en Windåse udefra.
>
> Og Microsoft er et virkeligt troværdigt firma. De sagde at
> Windows 2000 brugte færre resourccer end Windows NT, og XP
> skulle bruge færre end Windows 2000. Men på kassen er hardware-
> kravene løbende vokset.
Kravene afspejler vel bare brugernes stigende krav til performance!? Hvis
Dåse2K måtte køre som min win95 maskine kørte i gamle dage, kunne de sikkert
sænke kravene en del....
--
Stig Meyer Jensen
stig@smj.dk
| |
Ulrik Lunddahl (16-05-2002)
| Kommentar Fra : Ulrik Lunddahl |
Dato : 16-05-02 12:42 |
|
"Povl H. Pedersen" <nospam@home.terminal.dk> wrote:
> Du skulle nødigt kunne ramme alle porte på en Windåse udefra.
Det gælder vel i de fleste sikkerhedssetups, hvad enten der er windows eller
andet.
> Og Microsoft er et virkeligt troværdigt firma. De sagde at
> Windows 2000 brugte færre resourccer end Windows NT, og XP
> skulle bruge færre end Windows 2000. Men på kassen er hardware-
> kravene løbende vokset.
Hvis du blander ting på papkasser sammen med sikkerhed, tror jeg ikke det er
nødvendigt at diskutere mere...
--
Med Venlig Hilsen
Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil
| |
Ulrik Lunddahl (16-05-2002)
| Kommentar Fra : Ulrik Lunddahl |
Dato : 16-05-02 12:42 |
|
"Povl H. Pedersen" <nospam@home.terminal.dk> wrote:
> Du skulle nødigt kunne ramme alle porte på en Windåse udefra.
Det gælder vel i de fleste sikkerhedssetups, hvad enten der er windows eller
andet.
> Og Microsoft er et virkeligt troværdigt firma. De sagde at
> Windows 2000 brugte færre resourccer end Windows NT, og XP
> skulle bruge færre end Windows 2000. Men på kassen er hardware-
> kravene løbende vokset.
Hvis du blander ting på papkasser sammen med sikkerhed, tror jeg ikke det er
nødvendigt at diskutere mere...
--
Med Venlig Hilsen
Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil
| |
Ulrik Lunddahl (16-05-2002)
| Kommentar Fra : Ulrik Lunddahl |
Dato : 16-05-02 12:42 |
|
"Povl H. Pedersen" <nospam@home.terminal.dk> wrote:
> Du skulle nødigt kunne ramme alle porte på en Windåse udefra.
Det gælder vel i de fleste sikkerhedssetups, hvad enten der er windows eller
andet.
> Og Microsoft er et virkeligt troværdigt firma. De sagde at
> Windows 2000 brugte færre resourccer end Windows NT, og XP
> skulle bruge færre end Windows 2000. Men på kassen er hardware-
> kravene løbende vokset.
Hvis du blander ting på papkasser sammen med sikkerhed, tror jeg ikke det er
nødvendigt at diskutere mere...
--
Med Venlig Hilsen
Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil
| |
Christian E. Lysel (16-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-05-02 23:08 |
|
Ulrik Lunddahl wrote:
>>Og Microsoft er et virkeligt troværdigt firma. De sagde at
>>Windows 2000 brugte færre resourccer end Windows NT, og XP
>>skulle bruge færre end Windows 2000. Men på kassen er hardware-
>>kravene løbende vokset.
> Hvis du blander ting på papkasser sammen med sikkerhed, tror jeg ikke det er
> nødvendigt at diskutere mere...
Han snakker om troværdighed, hvilket jeg godt kan se har noget med
sikkerhed at gøre.
Dog finder jeg det ikke relevant i denne sammenhæng, da det er til at
gennemskue at det er MS-marketingsgas.
| |
Christian E. Lysel (16-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-05-02 21:08 |
|
Ulrik Lunddahl wrote:
> En firewall er et redskab til at gennemtvinge virksomhedens
> sikkerhedspolitik, har du hørt om setups hvor der er implementeret flere
Du mener vel den er ét af flere redskaber, ikk'?
| |
Ulrik Lunddahl (15-05-2002)
| Kommentar Fra : Ulrik Lunddahl |
Dato : 15-05-02 22:29 |
|
"Kent Friis" <leeloo@phreaker.net> wrote:
> Men man betaler for det alligevel. Og hvis EULA'en er som alle andre MS-
> produkter, så er det ikke tilladt at installere hver halvdel på hver
> sin maskine.
Prisen har intet med produktet at gøre, har du set hvad en Cisco PIX med 3
ben koster.
Bliver den ringere af at være dyr ?
Og skal man betale for OS updates på fail over enheden.
> De fleste hardware-firewalls konfigureres over netværket, eller via
> en serielport. De sidder normalt i et rack, mellem routere m.m, og der
> er da slet ingen skærm.
Monteringen af hardware spiller altså ind på hvor god den er til at
gennemtvinge firmaets sikkerhedspolitik ?
> Et evt. medfølgende grafisk konfigurationsprogram tæller jeg naturligvis
> ikke med, sålænge det kører på en separat maskine. Det øger jo ikke
> mængden af software på firewall'en.
Nej, software på den separate maskine gætter sig til hvad der sker i
firewall'en, eller hvordan fungerer det, helt uden kode ?
--
Med Venlig Hilsen
Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil
| |
The Hitman (15-05-2002)
| Kommentar Fra : The Hitman |
Dato : 15-05-02 20:00 |
|
"> Man installerer ikke unødige services på en firewall. Hvad er så ideen
> i at sælge proxy-server og firewall som et produkt? De skal jo køre på
> hver sin maskine.
Ja og igen kommer microsoft med deres service pack som skal rette fejl
istedet for at udføre en korrekt test for udsendelse af deres produkter.
Nogle gange skaber deres service pack andre problemer som tidligere service
pack klarede.
> For slet ikke at nævne at det efter sigende skulle være ret svært at
> afinstallere den grafiske brugergrænseflade på win2k. Og en sådan har
> _INTET_ at gøre på en firewall (Check fx. PIX).
Enig
| |
Ulrik Lunddahl (15-05-2002)
| Kommentar Fra : Ulrik Lunddahl |
Dato : 15-05-02 22:35 |
|
"The Hitman" <windows2000server@os.dk> wrote:
> Ja og igen kommer microsoft med deres service pack som skal rette fejl
> istedet for at udføre en korrekt test for udsendelse af deres produkter.
> Nogle gange skaber deres service pack andre problemer som tidligere
service
> pack klarede.
Lige som alle andre producenter af software.
--
Med Venlig Hilsen
Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil
| |
Christian E. Lysel (16-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-05-02 21:02 |
| | |
Ulrik Lunddahl (17-05-2002)
| Kommentar Fra : Ulrik Lunddahl |
Dato : 17-05-02 12:33 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:
> > Lige som alle andre producenter af software.
>
> Ikke helt,
> http://online.securityfocus.com/archive/1/272695/2002-05-13/2002-05-19/0
Og dit link beskriver at alle andre producenter end MS ikke tilføjer fejl i
deres patches ?
--
Med Venlig Hilsen
Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil
| |
Christian E. Lysel (18-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 18-05-02 08:45 |
|
Ulrik Lunddahl wrote:
>>>Lige som alle andre producenter af software.
>>Ikke helt,
>> http://online.securityfocus.com/archive/1/272695/2002-05-13/2002-05-19/0
>
>
> Og dit link beskriver at alle andre producenter end MS ikke tilføjer fejl i
> deres patches ?
Har du læst linket?
Det går på at Microsoft påstår at have løst nogle problemmer, som ikke
er løst i patchen!
Tråden kører videre på Bugtraq, endvidere skriver Thor:
....On February 18, GreyMagic discovered a vulnerability in the cssText
property of imported stylesheets. After Microsoft had researched it for
44 days GreyMagic released their advisory on April 2. According to the
MS02-023 bulletin released by Microsoft on May 15, this vulnerability
should now be patched. However, using a simple HTTP redirect circumvents
this new 'protection'...
Hvilket tyder på at pacthen blot er en lapning og ikke en løsning af det
rigtige problem.
Dette er set mange gange før med MS.
| |
Ole Thomsen (18-05-2002)
| Kommentar Fra : Ole Thomsen |
Dato : 18-05-02 09:07 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote
> >
> > Og dit link beskriver at alle andre producenter end MS ikke tilføjer
fejl i
> > deres patches ?
>
> Har du læst linket?
>
> Det går på at Microsoft påstår at have løst nogle problemmer, som ikke
> er løst i patchen!
Hehe, det er godt nok en svær sætning, men prøv
at læse hvad Ulrik skriver igen og så langsomt denne
gang
Hint: Ulrik skriver ikke at MS ikke introducerer nye
fejl i deres patches (ups, dobbelt negation, sorry).
Ole Thomsen
| |
Christian E. Lysel (18-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 18-05-02 19:18 |
|
Ole Thomsen wrote:
> Hint: Ulrik skriver ikke at MS ikke introducerer nye
> fejl i deres patches (ups, dobbelt negation, sorry).
Det skrev jeg heller ikke, blot at de påstår de løser fejl, uden at gøre
dette. Dette er en ny variant som jeg ikke har set hos andre producenter.
| |
Anders Lund (18-05-2002)
| Kommentar Fra : Anders Lund |
Dato : 18-05-02 19:59 |
|
Christian E. Lysel <chlyshoswmdatapunktumcom@example.net> wrote:
> Det skrev jeg heller ikke, blot at de påstår de løser fejl, uden at
> gøre dette. Dette er en ny variant som jeg ikke har set hos andre
> producenter.
Cisco - CBOS .....
| |
Ulrik Lunddahl (22-05-2002)
| Kommentar Fra : Ulrik Lunddahl |
Dato : 22-05-02 22:04 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:
> Det skrev jeg heller ikke, blot at de påstår de løser fejl, uden at gøre
> dette. Dette er en ny variant som jeg ikke har set hos andre producenter.
Så må du være blind...
--
Med Venlig Hilsen
Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil
| |
Christian E. Lysel (16-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-05-02 21:21 |
|
Ulrik Lunddahl wrote:
> Lige som alle andre producenter af software.
Lige en kommentar til...
ISA'en havde svært ved at "bestå" ICSA's certificering, læs evt.
certificeringen:
http://www.icsalabs.com/html/communities/firewalls/certification/rxvendors/microsoftisas2000/labreport_cid303.shtml
....The Network Security Lab team created the following registry settings
per the vendor's suggestion:
HKLM / system / CurrentControlSet / Services / mspfltex / Parameters /
LogAllInterfaces, with a value of 1.
HKLM/system / CurrentControlSet / Services / mspfltex / Parameters /
BlockOutboundICMP, with a value of 1.
Note that the "LogAllInterfaces" entry is required to log all connection
attempts to the firewall itself. The "BlockOutboundICMP" entry blocks
all outbound ICMP traffic, and allows the packet filter engine to
properly record the source IP address of the machine initiating the
traffic...
Dejligt med en nem grænseflade!?!
....Initially, the ISA Server did not record all of the "Required Log
Events" detailed in LO1 of the Firewall Product Certification Criteria
version 3.0a. Microsoft provided two hot fixes, isahf51.exe and
isahf54.exe, to correct this deficiency. The hot fixes can be obtained
from Microsoft's Knowledgebase by referencing the following articles,
Q283213 and Q285807.
The following visual basic script, provided by Microsoft, was applied to
the ISA Server to allow the firewall to log traffic that did not have
predefined protocols. The script is included below...
Dette siger en del om produktet som ISCA selv skriver på
http://www.icsalabs.com/html/communities/firewalls/faqs/index.shtml
....Q: How can I tell if a product sailed through testing smoothly or if
the product struggled?
A: Check the ICSA lab report for the product off of the Certified
Firewall Products page. The lab report will indicate any special
configuration requirements, patches that were applied and other
miscellaneous notes compiled during testing regarding the product. In
general, a short report with no patches and a short Network Security Lab
Comments section indicates that testing went smoothly and without fanfare...
| |
Ulrik Lunddahl (17-05-2002)
| Kommentar Fra : Ulrik Lunddahl |
Dato : 17-05-02 12:36 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:
> > Lige som alle andre producenter af software.
>
> Lige en kommentar til...
>
> ISA'en havde svært ved at "bestå" ICSA's certificering, læs evt.
> certificeringen:
Det har intet med min kommentar at gøre.
ISA serveren er lige som Proxy Server ikke den bedste firewall, men det er
ting den gør bedre en de fleste firewalls, derfor kan det ofte være en god
ide at benytte den sammen med en anden firewall.
--
Med Venlig Hilsen
Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil
| |
Ole Thomsen (17-05-2002)
| Kommentar Fra : Ole Thomsen |
Dato : 17-05-02 16:49 |
|
"Ulrik Lunddahl" <nospam037@lunddahl.dk> wrote
>
> ISA serveren er lige som Proxy Server ikke den bedste firewall, men det er
> ting den gør bedre en de fleste firewalls, derfor kan det ofte være en god
> ide at benytte den sammen med en anden firewall.
Eller alene.
Man bygger vel sit sikkerhedsniveau op efter behov, Fort Knox
er sikkert fint for guldreserverne i USA, men alt for stort og dyrt
til at beskytte min cykel. Det ville også være alt for besværligt
når jeg skulle få lyst til en cykeltur.
Ole Thomsen
| |
Ulrik Lunddahl (15-05-2002)
| Kommentar Fra : Ulrik Lunddahl |
Dato : 15-05-02 22:23 |
|
"Kent Friis" <leeloo@phreaker.net> wrote:
> Kiggede lige i deres FAQ... De har tydeligvis stadig ikke fattet noget
> om sikkerhed.
Jeg kikkede lige på din mail, du har tydeligvis ikke fattet noget i
forbindelse med de sidste OS updates til Cisco PIX.
> For slet ikke at nævne at det efter sigende skulle være ret svært at
> afinstallere den grafiske brugergrænseflade på win2k. Og en sådan har
> _INTET_ at gøre på en firewall (Check fx. PIX).
Sikkert lige så svært som at fjerne PDM fra Cisco PIX.
--
Med Venlig Hilsen
Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil
| |
TVN (18-05-2002)
| Kommentar Fra : TVN |
Dato : 18-05-02 12:00 |
|
> For slet ikke at nævne at det efter sigende skulle være ret svært at
> afinstallere den grafiske brugergrænseflade på win2k. Og en sådan har
> _INTET_ at gøre på en firewall (Check fx. PIX).
Har du set en CheckPoint Firewall 1, der er grafisk brugerflade på den,
efter hvad jeg har hørt er det den mest udbredte firewall, muligvis den mest
sikre.
FW 1 kan købes både som en hardware ting, og software, den kan køre både på
Win NT, 2000, Linux og Unix (hvis jeg ikke husker helt forkert).
Har I læst Computerworld (avisen) i går, det står om et et firewall netkort
fra 3com, det vil jeg mene er noget af det rigtige, hvis man ikke skal have
en ekstern firewall.
Mvh
Thomas
| |
Christian E. Lysel (18-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 18-05-02 19:20 |
|
TVN wrote:
> Har du set en CheckPoint Firewall 1, der er grafisk brugerflade på den,
> efter hvad jeg har hørt er det den mest udbredte firewall, muligvis den mest
> sikre.
Den grafisk flade kan du kører på en anden maskine end på firewall modulet.
> Har I læst Computerworld (avisen) i går, det står om et et firewall netkort
> fra 3com, det vil jeg mene er noget af det rigtige, hvis man ikke skal have
> en ekstern firewall.
Det mest rigtigt er at kører firewallen på en selvstændig maskine.
| |
Ulrik Lunddahl (22-05-2002)
| Kommentar Fra : Ulrik Lunddahl |
Dato : 22-05-02 22:09 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:
> Det mest rigtigt er at kører firewallen på en selvstændig maskine.
Nej, det mest rigtige er at skrive en sikkerhedspolitik, ud fra den kan man
vælge de værktøjer der skal anvendes til at implementere
sikkerhedspolitikken, herefter anvender man værktøjerne på den for projektet
bedste måde.
--
Med Venlig Hilsen
Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil
| |
Christian E. Lysel (22-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 22-05-02 22:16 |
|
Ulrik Lunddahl wrote:
>>Det mest rigtigt er at kører firewallen på en selvstændig maskine.
> Nej, det mest rigtige er at skrive en sikkerhedspolitik, ud fra den kan man
> vælge de værktøjer der skal anvendes til at implementere
> sikkerhedspolitikken, herefter anvender man værktøjerne på den for projektet
> bedste måde.
Hvor mange sikkerhedspolitiker har du set der ikke anbefalder
ovenstående, hvor man vil yde beskyttelse imellem segmenter, hviket er
hvad tråden handler om?
Men, ja det mest rigtigt at starte med det rigtige, en sikkerhedspolitik.
| |
Ulrik Lunddahl (22-05-2002)
| Kommentar Fra : Ulrik Lunddahl |
Dato : 22-05-02 23:11 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:
> >>Det mest rigtigt er at kører firewallen på en selvstændig maskine.
> > Nej, det mest rigtige er at skrive en sikkerhedspolitik, ud fra den kan
man
> > vælge de værktøjer der skal anvendes til at implementere
> > sikkerhedspolitikken, herefter anvender man værktøjerne på den for
projektet
> > bedste måde.
>
> Hvor mange sikkerhedspolitiker har du set der ikke anbefalder
> ovenstående, hvor man vil yde beskyttelse imellem segmenter, hviket er
> hvad tråden handler om?
Jeg har ingen sikkerhedspolitikker set der ikke anbefaler af man vælger de
rigtigt værktøjer og anvender dem på den bedste måde.
Hvordan er det relevant ?
--
Med Venlig Hilsen
Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil
| |
Bo Simonsen (17-05-2002)
| Kommentar Fra : Bo Simonsen |
Dato : 17-05-02 03:57 |
|
On Wed, 15 May 2002 07:05:47 +0200, p_mitkas wrote:
> Jeg bruger selv (og anbefaler mine kunder) microsofts firewall, ISA. Du
> kan finde mere info på den her site http:\\ www.isaserver.org.
>
[snip]
> MCSE, MCSE 2000, CNA
Er det så underligt?
/Bo
| |
Christian E. Lysel (16-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-05-02 21:31 |
|
Jan Arentoft wrote:
> Hvad skal jeg bruge som firewall til min w2k server som skal arbejde som
> router, med 2 netkort ?
> Finders der noget som følger med i resource kit'et ?
Nej, men du kan bruge din windows 2000 som den er!
Denne tråd har kørt meget på ISA, men hvis du har brug for nogle simple
filter af trafik der bliver routet igennem serveren, kan du bruge
windows2000 egen features:
Start -> Settings -> Network and Dial-up Connections -> Ethernet ->
Internet Protocol (TCP/IP) - propterties -> Advance -> Options -> TCP/IP
filtering properties.
Dog kan du ikke lave NAT eller andre avanceret ting, endvidere bør du
hardne din maskine, og søge i knowledge basen, efter viden om hvordan du
fx slår håndtering af ICMP redirect og ligende djævleskab fra.
Kik evt. på http://people.hp.se/stnor/.
Alex kan du ikke smide dette link i OSS'en?
Dog kan du sandsynligvis finde bedre information til dette på fx Linux,
OpenBSD, FreeBSD.
Endvidere skal du være opmærksom på at NT4.0 havde samme features, plus
den feature at man ikke kunne stole på de regler man selv havde bygget.
| |
tks1 (21-05-2002)
| Kommentar Fra : tks1 |
Dato : 21-05-02 09:11 |
|
> Nej, men du kan bruge din windows 2000 som den er!
>
Det tror jeg geg vil gøre..
mvh jan
| |
|
|