Generelle Firewall regler

Hvis du bliver hacket er det da din ejen skyld..
Jeg har personligt _aldrig_ en port åben, uden at den bliver brugt.
Selv da bliver den checket af 2 forskellige antivirus programmer og et par firewalls... Beskyttelse er nu en god ting :]

XpX

Tja.. Det er vel som man tager det sikkerhed er jo ikke kun et spørgsmål omkring firewall.

Hvad mener du når du skriver at du aldrig har en port åben uden at den bliver brugt?
Er det som i at din sidste regl er deny all from all to all eller?

Nej.. Min "personlige" firewall (zonealarmPRO fra www.zonelabs.com) har jeg sat til ikke at lukke noget trafik ind, uden at det er "verifiserede" programmer (dvs. programmer som jeg har sagt god for, at de skal kunne komme på nettet) der "efterlyser" det.

XpX

(i efterfølge af mit tidligere indlæg)

Og den anden firewall jeg bruger er en som er på min spil/indernet/hvadjegnubrugerdentil server (som jeg deler med 2 andre... Som også har en personlig firewall) og den lader så trafik "komme ind til sig", men lader det ikke komme vidre, uden at vi beder om det..

XpX

Nå okay - Nu er vi inde på et område som jeg af ligevel har en holdning til.

Efter min menning er Zonealarm ingen FireWall, hvad vil du gøre hvis du bliver ramt af subseven?

eller sider du og godkender al udgående trafik?

De generelle regler jeg sætter op efter er som følgende.

1. En firewall skal fra starten være helt lukket. Herefter åbnes kun der hvor jeg ved med sikkerhed hvad der sker.

2. Alle usikre tjenester, skal placeres i DMZ på firewalens tredie netkort. De usikre tjenester er f.eks. FTP, MAIL, Web, osv.

3. Der skal være regler for hvad der må installeres og af af hvem på nettet. En installation af fejlbehæftet software med sikkerhedshuller, kan ødelægge en firewalls opsætning.

4. Alt software, især styresystemer, skal updates og patches fuldt, herefter skal alle maskiner sættes op med rettelser til registreringsdatabaserne og reglsæt. fløg anbefalinger på www.nsa.gov, www.cert.org og www.sans.org.

5. endelig skal der formuleres regler for passwords og generel brugeropførsel på nettet. Dårlige passwords kan også kompromittere en firewall

Dette var bare det der lige faldt for

Hilsen
Kim - http://www.fotx.net/bufferzone

Jeg sidder og godkender al trafik, både ind og udgående

XpX

xpx>det er du nødt til fordi zonealarm ikke er en firewall. Du kan betragte den som en dørklokke, der giver dig mulighed for at være firewallen. En rigtig firewall er som en portvagt med intilligens. De gode firewalls har så meget intilligens at de også kan kikke på de pakker der kommer til dem, helt nede på bit niveau, samt holde styr på både afsender og modtager

Ok, men hvor(f*nden) finder jeg sådan en?

XpX

En rigtig firewall koster, du får normalt hvad du betaler for. Den billigste (rimeligt sikre) løsning er nok en zywall 1 (www.zywall.com) For ca. 2000,- kr. får du en internet switch med 4 porte samt indbygget firewall med statefull inspektion.
Hvis du ikke vil ofre dette er næste trin ned en personlig firewall. Her vil jeg anbefale "Den personlige firewall" fra callisoft (www.callisoft.dk) den er ikke så udbred som ZA, og så implementeres den som en service i stedet for som en applikation. Det giver lidt bedre sikkerhed.

Skal det være gratis vil jeg anbefale sygate (www.sygate.com) den er ikke så udbredt og virker uden problemer

xpx:> bekrafter du hver gang du åbner en side?

bruger du irc?

Ja, jeg giver lov hver gang at en ny side åbnes... På min ejen maskine, men mine kammerrater har deres ejen sikkerhedspolitik, som jeg ikke blander mig i.. :]

Og, ja(/nej) jeg bruger tit mIRC, hvorfor?

XpX

Det er et kæmpe sikkerhedshul

Men tilbage til regler, så er der efter min menning kun to ting man ALTID skal gøre:

add deny all from #rcf1918 to #wan - for at lukke for folk der vil spoofe dig.

og

add allow from #lan to #mailserver 25
add allow from #wan to #mailserver 25

add deny all to all from all 25

Meget eni med skwat. Port 25 trafik (mail), port 20 og 21 (ftp) port 80 (web) høre hjemme på DMZ og ikke i forbindelse med LAN