Zywall1 Firewall

Begrebet firewall er ikke et fast defineret begrab, hvorfor hvem som heldst kan kalde deres produkt for en firewall. Software "firewalls" som f.eks. zonealarm, har faktisk intet med firewall at gøre, idet en firewall er en "ting" det opsætter en barriere mellem den maskine der skal beskyttes og resten af verden. Zonealarm, og andre gode software "firewalls" er jo installeret på selve maskinen, hvorfor der ikke kan tales om en bariere (billedligt er forskellen på en softwarefirewall og en "rigtig" firewall det sammen som forskellen på en god lås på hoveddøren (softwarefirewallen) og et højt hegn hele vejen rundt om grunder (hardwarefirewallen)

Dy skal nok rewurdere dun forståelse for sikkerhed. Lige så snart vi taler netværk og usikre tjenester (web-, mail- og ftp-server) er du nødt til at kikke på sikkerheden udfra et mere overordnet koncept, hvorunder aikkerhedspolitikken er ganske vigtig, hvis du ønsker sikkerhed og ikke kun falsk sikkerhed.

Ok, men dette blev jeg ikke meget klogere af.

Har jeg fået anbefalet noget lort
Skal jeg både have Zywall samt Zone alarm ?

Og ved du hvorfor at mine Nat´s ikke fungere

MC

Merriam-Webster:

Main Entry: fire wall
Function: noun
Date: 1759
1 : a wall constructed to prevent the spread of fire
2 usually fire·wall /'fIr-"wol/ : a computer or computer software that prevents unauthorized access to private data (as on a company's local area network or intranet) by outside computer users (as of the Internet)

Begrepet "Firewall" har en rimelig klar og avgrenset betydning. Begrepet "firewall" eller "brannmur" er ikke knyttet til noen spesiell fysisk utførelse men til en type funksjon. Hvorvidt den fysiske utførelsen er i en egen separat boks eller skjer ved hjelp av software eller software moduler på en generell datamaskin, det er uten betydning. Eksempel:
http://www.microsoft.com/windowsxp/pro/using/howto/networking/icf.asp
http://www.netfilter.org

Nej Du skal kun have zywall og smide den personlige firewall af din server, den gør ingen gavn, men kan sagtens gøre skade. og så skal du være opmærksom på at en firewall aldrig er nok. Her er hvad du bør gøre.

1. Dit system skal gennempatches. Indlæs alle de anbefalede sikkerheds opdateringer til både styresystem og applikationer (her menes alle applikationer du har installeret på din server, ALLE!!!!)

2. Gennemfør de anbefalinger du kan finde på http://www.nas.gov for dit system. Disse tweaks sikre dit system yderligere.

3. opsæt din firewall med alt lukket, og åben så kun for det du absålut har brug for. Din zywall køre med stateful inspection og det giver god sikkerhed.

4. Husk så at gennemse din log, både på zywallen og på din webserver jævnligt, hvis en hacker vil ind kan han godt komme det og hvis du ikke følger med i din log opdager du det heller ikke

Zone alarme er ellers en type firewall med ganske gode firewalling egenskaper.
http://www.eksperten.dk/spm/299092
Ut i fra de opplysninger som framkommer på nettet så kan den ha enkelte svakheter hva anngår filtrering av utgående trafikk. Når det gjelder inngående trafikk så synes firewalling egenskapene å være ganske bra.
Zone alarm er imidlertid en "personal firewall" og den er ikke beregnet for å kjøre på en server.

Kan ikke se oppgitt hva slags server det dreier seg om. Dersom det for eksempel dreier seg om

a.) Windows 2000
b.) Linux
Så er begge disse to servertypene utstyrt med firewall som er beregnet for server drift og oppkopling mot internett.

Den største risiko i forbindelse med de fleste firewalls er muligheten for feilkonfigurering eller at man for eksempel lager en midlertidig endring som man glemmer å sette tilbake.

Den beste løsning er alltid å ha dobble firewalls eller ennå flere.

Kan du legge beskjed om type operativsystem slik at vi kan se hva slags default firewall som ligger i det aktiuelle operativsystemet ??

Her er langbein og jeg nok ikke enige.

Jeg mener at en server skal lave den har som hovedopgave og ikke koncentrere sine ressourcer om andre opgaver. Jeg ville aldrig putte firewall på selve serveren, men altid foran den på en separat boks.

Hvis du har brug for ekstra beskyttelse, ville jeg ofre på en bedre firewall. Din zywall er en stateful inspection firewall, trindet bedre er en applikations proxy (også nogle gange kaldet en applikations firewall). Lad være med at blande opgaverne sammen, skidt for sig og kanel for sig

Grunnfunksjonene som finnes i en firewall enten den er av hardwaare eller software type det er som følger:

1. Alminnelig static packet filtering, dvs hovedakelig kontroll av hver enkelt ip pakke primært sett med hensyn til avsender ip, adresse ip, avsender port, mottaker port og de flagg som er satt eller ikke satt. Tradisjonell static packet filtering baserer seg vanligvis bare på kontroll av innholdet i ip header. Gjennom tilleggs moduler til linux kernel så kan imidlertid for eksempel netfilter etter hva jeg kjenner til kontrollere text streng inhold også i data delen av ip pakken. Mange "firewalls" inneholder stort sett ingen andre funksjoner enn kontroll av ip header i inngående trafikk.

2. Statefull inspection packet filtering. I dette ligger et prinsipp at firewall holder et slags "bokholderi" over inngående og utgående trafikk slik at den i prinsipp åpner dynamisk for "ventet trafikk". Statefull inspection medfører ikke nødvendigvis noen forbedring i sikkerhet. I praksis så er det imidlertid lettere å skrive / konfigurere mere restriktive firewalls rules når man konfigurerrer firewall ut fra prinsippene for statefull inspection, slik at den praktiske og effektive sikkerhet kan bli bedre. 

3. Applikation level firewall. Her skjer ikke undersøkelsen av trafikken lengere bare på et packet nivå, men man samler sammen ip pakkene til hele dokumenter eller "logiske blokker" for eksempel mail eller web sider før / i forbindelse med kontroll. I forbindelse med dette så kan i prinsipp fritt defineres hva man øsnker å undersøke, for eksempel viruskontroll elller uønskede avsender domener.

Nei, oppgavene bør absolutt "blandes sammen" og en hvilken som helst web opkoplet server bør ha aktivisert den software firewall funksjon som denne serveren normalt vil være utstyrt med. Denne firewall funsjon bør imidlertid ikke være den eneste firewall man kan med fordel ha en separat hardware eller software firewall i tillegg. (For ekesmempel en Unix eller Linux maskin som er satt opp til å være firewall og ingen ting annet. En pentium 166 m Linux 2.4 kan for eksempel gjøre jobben når trafikken ikke er for stor.)

Andre funsjoner som egentlig ikke regnes for å være en firewall funksjoner fordi det ikke dreier seg om filtrering, men der den egentlige funksjon ligger opp mot den samme det er NAT (Network adress translation) og routing eller forwarding funksjoner. (Endelig så har vi kommer fram til det egentlige spørsmålet.)

Hvordan lager man så "NAT" eller "forwarding". Dette kommer jo litt ann på hva slags utstyr man har og hvordan man har satt opp sitt nettverk og servere. Prinsippene pleier jo ellers å være ganske like unasett fabrikat og utstyrstype, enten det nå for eksempel dreier seg om en hardware firewall eller en Linux software firewall.

mc.lucifer -> Kan du opplyse litt om hva slags server det er snakk om, hva slags internetttilkopling du bruker og hvordan lan og eventuelt dmz er lagt opp, komponeneter, ip adresser osv.

http://www.dsl-warehouse.co.uk/acatalog/Support/UG/ZYWALL1_UG.pdf

http://www.dsl-warehouse.co.uk/acatalog/Support/QSG/ZYWALL1_QSG.pdf

"Så er det eneste jeg for fat i Zywalléns webinterface "Ikke så fedt at det ligger frit på nette"

Nei dette skal da ikke skje. Er du sikker på at det ikke bare ligger på nettet sett innefra fra de lokale ip ?? (Gjorde ellers selv den feil en gang at jeg hadde lagt min harwdware firewall tilgjengelig for konfigurering fra internett ved at jeg tastet ett enkelt tall feil. Oppdaget det, men mener at det viser hvor nyttig det er å ha flere sikkerhetsbarierer i tilfelle slike feil. En port scan ville avsløre en slik feil umiddelbart eneten det er man selv eller en hacker som står for den.) Det er forholdsvis vanlig at slike firewalls av denne type er satt opp slik at man kan logge på fra lan men ikke fra interenett.

Punkt 5.4 i den første linken bør vel inneholde noe av det du er på jakt etter ??

Er oppsettet ellers slik som beskrevet ?? Legg ut litt mere info om det hele !!

PS:
For min hardware firewall (Netopia) så fungere det slik:
1. Først må man stille inn de nye innstillingene.
2. Så må man sørge for å lagre dem.
3. Der etter så må firewall rebootes.
Først etter reboot så vil de nye firewall rules være trådt i kraft.

Kjenner ikke Zywall 1 spesielt.

For min Netopia så er det slik at det i prinsipp er to steder å "stille inn" for å oppnå nat / forwarding.

1. Først så må man stille inn selve nat eller forwarding "mekanismen". Dette skulle da tilsvare Zyeall 1 users guide punkt 5.4

2. Desuten så må man også i tillegg åpne opp for firewall filtreringsdelen. Dette vil eventuelt tilsvare det som står forklart i Zywall 1 user guide avsnitt 5.6 og 5.6.2 Hvis tingene fungerer noenlunde likt.

3. Til sist så kommer den nevnte sekvensen med lagring og rebooting. Da fungerer en endring i nat oppsett.

Bruker en kombinasjon av Netopia hardware fireall og Linux software firewall basert på netfilter / kernel 2.4.x.
Grunnprinsippene for Netopia hardware firewall og Linux softwarefirewall er noenlunde de samme, men konfigureringsmulighetene og mulighetne for trafikkontroll hos Linux er i all enkelhet vesentlig mye bedre.

Regner med at 90 % av min firewall sikkerhet ligger i min Linux firewall/server og 10 % i min Netopia hardware firewall ved normal drift. Ville imidlertid aldri kjøre bare kun Linux software firewall alene. En dag så har man glemt å sette til Linux firewall, eller man har laget en konfigurering man ikke helt har overskuet rett. Da er den ekstra hardware firewall god å ha.

mc.lucifer -> Kan du legge ut litt mere info om det hele ? :-)

buferzone -> Se kommentaren helt til slutt i denne:
http://www.eksperten.dk/spm/299092
Mon du allikevel har litt rett mht Zone Alarm ??

Væk fra experten en dags tid og mit SP er allerede fyldt he eh

Min opsætning ser sådanne her ud

TDC ADSL Speedstream -> Zywall -> Switch -> CLienter og Server
Server = Windows2K Server

Men jeg starter lige med at gøre mig selv til grin.
Min Firewall virkede a Helvedes til, Indtil jeg så stikket WAN bag på den, Den havde både haft Wan og Lan i LAN stikkende, men da jeg smed Wan i Wan så virkede Firewallen Dog alt for godt

Så hvis det er ok så ændre jeg lige spørgsålets indhold

Nu kan jeg slet intet fortage mig, Hverken min server eller Clienter for adgang til Internettet.

Jeg har Forwardet portene 25, 110 og 143 til serverens ip, men den kan ikke modtage nogle mails "Exchange 2000"

Jeg mener da ikke at ganske alm web surfing har en port som jeg skal forwarde til den givende server eller client, for så løber jeg da hurtigt tør for Nat muligheder...

Håber at i vil svare mig selv om at jeg lige har ændret spørgsålet

MC

TDC Linien er en 512 - 512 men til feb for vi 1 Mbit - 512 fra CC

Som det ser ud nu så farwarder Speedstremen ALLE!!! porte til Firewallen, Da TDC jo gerne vil fakturere 995 Kr pr ændring, Så i tidernes morgen fik vi bare forwardet alle porte til et IP Som nu er Firewallens IP

MC

Jeg sætter også serverens Gaitway til at pege på Firewallen - Det er da det man skal ikke

MC

Jo dette, dvs det hele høres helt ok ut. Er på jobb nå ..

"Jeg mener da ikke at ganske alm web surfing har en port som jeg skal forwarde til den givende server eller client, for så løber jeg da hurtigt tør for Nat muligheder..."

Det er normalt bare de serverfunksjonene som du selv kjører som må nattes.

Ellers så pleier slike firewalls å være åpen for trafikk ut. Den kan i alle fall konfigureres til å være det.

Når det gjelder mail er det slik at du selv også kjører mail server, eller er det bare en mail klient du skal bruke i forhold til en ekster mail server ??

Ellers å kjøre Sever og klienter på samme lan er kanskje ikke den aller beste løsning, men hvis det er snakk om en hjemmeserver, så kan det vel fungere (godt nok.) Du kan for eksempel ikke nødvendigvis forvente at dine egne domener vil virke fra ditt eget lan.

Ellers når do har windows 2k server så har jo denne en ganske bra innebygget firewall. Du bør ta i bruk denne i tillegg til harware firewall. Mener å huske at konfigureringen skjer via network proerties.

Vedrørende det å kjøre ekstern server på LAN...

Dette høres jo i utgangspunktet litt uvanlig ut.

Har imidlertid satt opp og testet ut akkurat dette, akkurat nå, og det fungerer vel faktisk helt ok så vidt jeg kan bedømme.

Problemstilling: Har en Linux server/firewall som all trafikk passerer gjennom. Denne står mellom adsl modem og LAN. Ønsket å ha muligheten til å teste ut nye servere under utvikling uten at den eksisterende må koples ned eller flyttes på. Laget i ell enkelhet et script som midlertidig forwarder all ekstern trafikk inn til den interne LAN server. Dette ser faktisk ut til å fungere helt fint også i forhold til de Workstations som befinner seg inne på lan.

He He He, Jeg undskylder at jeg har forstyret jer med dette sp, Da det er fuldstændigt irelevant, Jeg har fundet problemmet

Det er det der med at internet og internt net har 2 forskellige IP nr. Den gik sådanne her

Router"10.0.0.1" -> Firewall"10.0.0.2" -> Server + Clienter"10.0.0.3"Osv OSv og den går ikke

Nu heder den

Router"10.0.0.1" ->Firewall"10.0.0.2" -> Server + Clienter"192.168.1.20 Og så virker det.

Jeg undskylder at jeg ikke havde sat mig nok ind i teknologien inden jeg belæmrede jer med min uviden hed, Til de er jer der gerne vil have point for jeres ulejlighed, i bedes svare så jeg kan gøre det godt igen.

End videre kan jeg fortælle til de intereseret at Firewalen bliver retuneret i dag, Og byttet ud med en Ziwall 10W istedet for da den har lidt mere af det vi har behov for.


Endnu en gang undskyld

MC

Ja, man kan nok ikke ha det samme nettverkssegmentet på begge sider av server, i hvert fall ikke hvis man skal "natte". Det blir også helt likt for en Linux firewall/router.

sever -> firewall

.

Hej MC

Jeg ville nok have holdt fast i min sonicwall der er zywall', langt overlegen. Både teknologisk og performance mæssigt

Hvis du har brug for en DMZ port på din firewall kan du købe en Sonicwall TZ, ellers en af de mindre firewalls. Med 25 brugere og VPN indbygget koster den under 8000,-


Quick Specs.
Zywall 1/10 har 350 Kb/s throughput gennem en VPN 3Des
Zywall 10W har 3,5 Mb/s throughput gennem en VPN 3Des
Sonicwall (den mindste) har 20 Mb/s throughput gennem en VPN 3Des

Hvis Zywall er valgt ud fra et prismæssige synspunkt, er spørgsmålet om sikkerhed kan prissættes, set i forhold til det som det kostede mellem jul og nytår osv.

/Ole