/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Personal firewall OG netværk firewall?
Fra : Morton Christiansen


Dato : 21-09-02 21:14

Hej gruppe.

Traditionelle firewalls har en tendens til at foretage en meget firkantet
opdeling mellem det "gode" interne net og det "onde" eksterne net -
beskyttelsen mellem systemerne på det interne net kan således være minimal.
Dette betyder at en ondsindet insider kan have let spil, lige så vel som en
outsider kan hvis det lykkes ham at komprimitere en central router eller et
internt system. Dette kan selvfølgelig delvist afværes via netværk/firewall
arkitekturen (DMZ m.v.), men ikke helt.

Mit spørgsmål er da om administrator ikke kan installere personlige
firewalls på de enkelte klienter for at forhindre denne type angreb? Ideen
skulle være dels at beskytte klienter "mod hinanden", dels at opnå
programspecifik filtering mod trojans og andre uønskede programmer.

Jeres tanker heromkring?

-- Morton



 
 
Jesper Louis Anderse~ (21-09-2002)
Kommentar
Fra : Jesper Louis Anderse~


Dato : 21-09-02 23:23

On Sat, 21 Sep 2002 22:13:55 +0200,
Morton Christiansen <morton_c@tiscali.dk> wrote:
>
> Mit spørgsmål er da om administrator ikke kan installere personlige
> firewalls på de enkelte klienter for at forhindre denne type angreb? Ideen
> skulle være dels at beskytte klienter "mod hinanden", dels at opnå
> programspecifik filtering mod trojans og andre uønskede programmer.

For besværligt.

--
Jesper

Alex Holst (22-09-2002)
Kommentar
Fra : Alex Holst


Dato : 22-09-02 00:03

Morton Christiansen <morton_c@tiscali.dk> wrote:
> Mit spørgsmål er da om administrator ikke kan installere personlige
> firewalls på de enkelte klienter for at forhindre denne type angreb? Ideen
> skulle være dels at beskytte klienter "mod hinanden", dels at opnå
> programspecifik filtering mod trojans og andre uønskede programmer.
>
> Jeres tanker heromkring?

Baade Windows og forskellige UNIX har en form for indbygget ip filter af
forskellig kvalitet. Dertil findes der nu VLAN switches der kan filtre
paa IP eller MAC adresser og dermed kun tillade at enkelte maskiner
taler med gateway adressen, og ingen anden.

Den stoerste fordel ved den slags hostfiltre er at det kan hjaelpe med
at afsloere interne afvigelser fra sikkerhedspolitikken. Hvis
mailserverne begynder at lave finger og ssh requests mod andre interne
maskiner, kunne det give et praj om, at der maaske er noget galt.

Der er dog mange andre ting man boer have paa plads foer man begynder
paa den slags.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Morton Christiansen (23-09-2002)
Kommentar
Fra : Morton Christiansen


Dato : 23-09-02 18:09

> Baade Windows og forskellige UNIX har en form for indbygget ip filter af
> forskellig kvalitet. Dertil findes der nu VLAN switches der kan filtre
> paa IP eller MAC adresser og dermed kun tillade at enkelte maskiner
> taler med gateway adressen, og ingen anden.

Ulemperne i forhold til desktop firewalls synes her at være manglende
bruger- og programauthentifikation.

>Den stoerste fordel ved den slags hostfiltre er at det kan hjaelpe med
>at afsloere interne afvigelser fra sikkerhedspolitikken. Hvis
>mailserverne begynder at lave finger og ssh requests mod andre interne
>maskiner, kunne det give et praj om, at der maaske er noget galt.

Dette kan vel også opnåes via desktop firewalls?

-- Morton



Alex Holst (23-09-2002)
Kommentar
Fra : Alex Holst


Dato : 23-09-02 20:41

Morton Christiansen <morton_c@tiscali.dk> wrote:
>> Baade Windows og forskellige UNIX har en form for indbygget ip filter af
>> forskellig kvalitet. Dertil findes der nu VLAN switches der kan filtre
>> paa IP eller MAC adresser og dermed kun tillade at enkelte maskiner
>> taler med gateway adressen, og ingen anden.
>
> Ulemperne i forhold til desktop firewalls synes her at være manglende
> bruger- og programauthentifikation.

Hvis du oensker den slags skal du kigge paa enten Checkpoint's
integration med Active Directory eller OpenBSD's authpf funktion. De
tillader begge at der aendres firewall regler baseret paa user
authentication.

>>Den stoerste fordel ved den slags hostfiltre er at det kan hjaelpe med
>>at afsloere interne afvigelser fra sikkerhedspolitikken. Hvis
>>mailserverne begynder at lave finger og ssh requests mod andre interne
>>maskiner, kunne det give et praj om, at der maaske er noget galt.
>
> Dette kan vel også opnåes via desktop firewalls?

De desktop firewalls jeg har kigget paa har haft fejl i deres stateful
implementation. De tog saaledes nogle gange fejl af hvilke pakker der
var lovlige og hvilke der ikke var.

Hvilket problem forsoeger du at loese?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Per S. Christensen (22-09-2002)
Kommentar
Fra : Per S. Christensen


Dato : 22-09-02 19:02

On Sat, 21 Sep 2002 22:13:55 +0200, "Morton Christiansen"
<morton_c@tiscali.dk> wrote:

>Hej gruppe.
>
>Mit spørgsmål er da om administrator ikke kan installere personlige
>firewalls på de enkelte klienter for at forhindre denne type angreb? Ideen
>skulle være dels at beskytte klienter "mod hinanden", dels at opnå
>programspecifik filtering mod trojans og andre uønskede programmer.

både NAI og Symantec laver programmer til dette , som kan
administreres centralt.

Venlig hilsen

Per Sortkær Christensen

Kasper Dupont (22-09-2002)
Kommentar
Fra : Kasper Dupont


Dato : 22-09-02 20:39

Morton Christiansen wrote:
>
> Mit spørgsmål er da om administrator ikke kan installere personlige
> firewalls på de enkelte klienter for at forhindre denne type angreb? Ideen
> skulle være dels at beskytte klienter "mod hinanden", dels at opnå
> programspecifik filtering mod trojans og andre uønskede programmer.

Jeg ville nok begrænse mig til at indele netværket i et antal
zoner med ensartede maskiner i hver zone. Hvis man har 100 ens
klientmaskiner er der nok ikke meget pointe i at beskytte dem
mod hinanden. Hvis en kan kompromiteres udefra har du 99 andre,
der også kan kompromiteres udefra. Så hjælper det ikke meget,
at beskytte mod angreb indefra.

På et stort netværk er det en god idé, at holde maskinerne så
ens som muligt. Og naturligvis er det en god idé, at sørge for
at opsætningen af den enkelte maskine er så sikker som mulig.

Nogle personlige firewalls har mulighed for at filtrere
udgående pakker på grundlag af bruger, dette kan i nogle
tilfælde være interesant, men det må bestemt ikke stå alene.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

Morton Christiansen (23-09-2002)
Kommentar
Fra : Morton Christiansen


Dato : 23-09-02 17:12

> Jeg ville nok begrænse mig til at indele netværket i et antal
> zoner med ensartede maskiner i hver zone. Hvis man har 100 ens
> klientmaskiner er der nok ikke meget pointe i at beskytte dem
> mod hinanden. Hvis en kan kompromiteres udefra har du 99 andre,
> der også kan kompromiteres udefra. Så hjælper det ikke meget,
> at beskytte mod angreb indefra.
At maskiner er ens betyder kun at sårbarheder i dem er ens, men ikke
nødvendigvis at trusselbilledet også er det. F.eks. er det fuldt ud muligt
at blot én af de 100 systemer kompromiteres med en trojan/bagdør, som følge
af social engineering (orm/hacker) eller mulvappe. Hermed synes beskyttelse
mellem systemer at give god mening.

> Nogle personlige firewalls har mulighed for at filtrere
> udgående pakker på grundlag af bruger, dette kan i nogle
> tilfælde være interesant, men det må bestemt ikke stå alene.
Authentificering af brugere via personal firewalls er interessant. Nogen der
kender til fordele/ulemper i samligning med at gøre det på en proxy?

-- Morton



Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste