---

Hvis I skulle vælge mellem Cisco Pix, Firewall 1 og Borderwarem, hvilken
ville I så vælge (og hvorfor)?

Bettina

---

Bettina wrote:
>
> Hvis I skulle vælge mellem Cisco Pix, Firewall 1 og Borderwarem, hvilken
> ville I så vælge (og hvorfor)?
>
De alle har efter min mening deres fordele og ulemper. Feks. læs om PIX
på securityfocus.com og se hvor mange sikkerheds huller der er/har været
i den .. det er ikke få .. det samme kan du sikkert finde om firewall
one og borderware (har ikke kigget)

Men som alternativ hvad med at sikre jeres netværk istedet? I de fleste
tilfælde køber folk en firewall uden at vide hvordan eller hvorfor. Men
de har hørt at det kan holde crackere væk og det kan jeg lige så godt
sige dig med det samme. Det virker ik :) Tro mig!

Det kan måske holde nogen af dem væk men ikke alle. I stedet for at
bruge mange penge på en firewall der ikke hjælper alligevel anbefaler
jeg dig til at bruge pengene på at sikre jeres interne netværk og måske
endda sætte en billig linux eller bsd maskine op som gateway.

Spørgsmålet er nærmere hvorfor du vil have en firewall ?

Mvh
Kim

---

On Fri, 27 Jul 2001 13:29:29 +0200, Bettina <pruehs@mocka.dk> wrote:
> Hvis I skulle vælge mellem Cisco Pix, Firewall 1 og Borderwarem, hvilken
> ville I så vælge (og hvorfor)?
>
> Bettina

Det kommer HELT an paa, hvad den skulle beskytte. Som regel kommer det an paa
situationen. Skal jeg eksempelvist beskytte en gruppe servere, er det en anden
opgave end at skulle beskytte en gruppe brugere.

Vaer opmaerksom paa at firewalls ikke er magiske. De redder jer ikke fra
forkert anvendelse af systemer. Det kan anbefales at laese RFC2504 og RFC2196
der behandler oprettelse af Site security policies og hvad slutbrugere skal
vaere paa vagt over for. I sidste ende vil det hjaelpe jer til at afgoere, hvad
i er bedst tjent med.

--
Jesper

Kan man forstaa kvinder med en babelfisk?? - JL

---

Bettina <pruehs@mocka.dk> wrote:
> Hvis I skulle vælge mellem Cisco Pix, Firewall 1 og Borderwarem, hvilken
> ville I så vælge (og hvorfor)?

Det er nok ret ligemeget hvad _vi_ ville vaelge da vores netvaerk og krav
til sikkerhed er meget anderledes end dine. Hvilket problem forsoeger du at
loese?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Den Fri, 27 Jul 2001 13:29:29 +0200 skrev Bettina:
>Hvis I skulle vælge mellem Cisco Pix, Firewall 1 og Borderwarem, hvilken
>ville I så vælge (og hvorfor)?

Alt andet end Cisco...

(Ok, dårlig generalisering, jeg kender ikke Borderwarem, men jeg ville
under alle omstændigheder vælge en linux-box med enten ipchains eller
iptables).

Mvh
Kent
--
The frozen north will hatch a flightless bird,
who will spread his wings and dominate the earth
And cause an empire by the sea to fall
To the astonishment, and delight of all.

---

"Bettina" <pruehs@mocka.dk> wrote in message
news:3b615114$0$9451$4d4eb98e@news.dk.uu.net...
> Hvis I skulle vælge mellem Cisco Pix, Firewall 1 og Borderwarem, hvilken
> ville I så vælge (og hvorfor)?


Man skal vælge den man er bedst til!!!
Jeg har aldrig rodet med en Borderware firewall så den vil jeg ikke udtale
mig om.
Pix'en har generelt haft det problem at den er dyr at udvide hvis man fx
skal have en ekstra DMZ. Jeg har hørt rygter om, at der nu skulle være en
workaround?!

På Firewall-1 skal du også vælge det underliggende OS og hvis det er
konfigureret af ht så gæt selv hvor sikker din firewall er. Firewall-1 har
sin styrke i miljøer med mange firewalls hvor man har behov for central
styring. Desuden kan den anvende helt almindelige netkort hvis du ønsker
flere DMZ.

Både PIX og FW-1 anvender stateful inspection - en Proxy Server eller Raptor
derimod er en "Application firewall" og ISA Serveren fungere både som
stateful inspection og applikations firewall. Forskellen består i på hvilket
niveau de undersøger de pakker der passere igennem. (Firewall-1 har dog
noget applikations firewalls kapacitet)

Stateful inspection fordele:
- Høj performance
- Understøtter praktisk talt alle services
- Simpel at forstå

Stateful Inspection Ulemper
- Tillader direkte IP forbindelse mellem eksterne og interne klienter
- Understøtter ikke umiddelbart bruger validering (Der kan dog anvendes
OPSEC plugins)
- Kan undersøtte alle ip services (dette medfører fx at man kan anvende port
53 til at køre http telnet, ftp etc.!!! port 53 udp/tcp anvendes normalt til
DNS(det er dog ikke noget man bare gør))

Application firewall fordele
- Tillader IKKE direkte forbindelse mellem eksterne og interne klienter
- Understøtter validering af brugere
- Tjekker indholdet af pakken på applikationsniveau (dermed har den fx en
god chance for at se at en HTTP PUT kommando ikke hører til i en DNS pakke)
- Gode muligheder for logning

Application firewall ulemper
- Væsentlig dårligere performance end staeful inspection
- Skal være supporteret af de interne klienter
- Understøtter ikke alle services!

Er sikkerhed et absolut must uanset pris bør der være flere lag af firewalls
og de bør anvende forskellig teknologi! Nogle af de mest sikrede
institutioner i dk anvender typisk tre firewalls på snor.


-Anders

http://www.look-at-IT.com

---

se det var et svar jeg kunne bruge til noget

tak for hjælpen
Bettina
>

---

"Bettina" <pruehs@mocka.dk> wrote in news:3b615114$0$9451
$4d4eb98e@news.dk.uu.net:

> Hvis I skulle vælge mellem Cisco Pix, Firewall 1 og Borderwarem, hvilken
> ville I så vælge (og hvorfor)?
>
> Bettina
>
>

Borderware kender jeg ikke så meget til, men m.h.t. PIX og FW-1 så
er fordele og ulemper ved begge.
Gør dig klart hvad du skal bruge den til, og om du evt. på sigt
forventer størrer udvidelser af dit netværk.
Skal du bare sikre et internt netværk mod et eksternt netværk,
så er PIX506 unik, da den kun koster ca. kr. 17.000,00.
Og så er VPN muligheden inkluderet gratis i DES (56bit).
Skal du have en lille 25 eller 50 brugers Firewall med en eller flere
DMZ NIC's, så er FW-1 et godt valg.En 25 brugers koster ca. kr. 26.000,00.
Men dertil skal du så lægge en computer og evt. et OS til.
FW-1 findes forøvrigt til Linux Red-Hat.
Vil du så have VPN muligheden også og ikke kan nøjes med DES, koster det
yderligere kr. 8.500,00 (25 brugere).
Men for at gøre en lang historie kort, så skal du huske på at en PIX
ikke tælle antal brugere, men mængden af 'gennemstrømmende' data.
En PIX er en standalone box, og du skal derfor kun tænke på ét sted
hvor der kan opstå sikkerhedsbriste, hvor man på en FW-1 også skal tænke
på sit OS.
Til gengæld er FW-1 nem og sætte op, da den er grafisk baseret.
PIX'en har forøvrigt lige fået en PDM (PIX Device Manager), og
nå man kigger på den, ser det ud til at de har 'skævet lidt til FW-1.
Til sidst skal du være klar over opdateringsmuligheder.
Når du køber en FW-1 og en PIX har du ikke direkte adgang til opdateringer.
For en FW-1 skal du have en maintenance aftale, og for en PIX en smartnet
aftale. Fordelen ved en smartnet aftale er at du kan tegne en 24x7x4
aftale, hvilket betyder at du har en ny PIX inden for 4 timer, hvis den
pludselig skulle finde på at 'dø'.
Den mulighed kan du ikke få på en FW-1.


Håber ovenstående kan hjælpe dig

Hilsen

Rex