SVÆR: Install af firewall via Netop Remote Session ??!!?

Har 2000 Pro Microsoft sin innebygde firewall eller har den ikke ? Testet dette fysisk på 2000 server, 2000 pro og XP for litt siden. Mener at konklusjonen var at alle tra hadde, men at hos XP så heter denne funksjonen "firewall" mens den hos 2000 server/pro heter "filter".

Når det gjelder den innebygde firewall eller filtering funksjonen så settes jo den opp slik at man setter firewall til samtidig som man åpner for inngående trafikk i en og samme handling. I det samme øyeblikk som firewall/filter kjører så har den også de åpninger som behøves.

Den innebygde firewall/filter har ellers ikke så mange konfigurasjonsmuligheter. Mener vel å huske at det bare dreier seg om en default "all trafikk inn stengt" og en mulighet for å åpne port for port. Det er så vidt jeg kan huske ikke mulighet for å definere trusted avsender ip slik som i litt mere avanserte firewalls. Vis a vie firewall så vil remoote logon bli åpen for alle slik at det bare er et passord som hindrer hvem som helst å få remoote control via Netop Remoote. (Har egentlig ikke testet dette med Netop Remoote, men med vnc. Regner med at det må fungere noenlunde likt.

Sitter på en 2000 Profesionall akkurat nå. Det stemmer at også denne har innbygget firewall funksjon. Den heter imidlertidig "TCP/IP filter" og ikke "firewall". De funsjonenene som kan utføres er imidlertid de somme som den funksjon som heter "firewall" under XP. Faktisk så har vel "Win 2000 TCP/IP filter" noen flere muligheter for firewall konfigurering enn "Windows XP firewall". (Skal man selge ISA server firewall/proxy så er det vel ikke å kalle funsjonen en firewall, så da får vel filter være et bedre navn ?!)

Når det gjelder den innebygde filter/firewall i Windows 2000 Pro, så kan man spesifisere tcp og udp porter samt de protokoller som man vil tillate inn. Det finnes ut fra det som jeg kan se ikke muligheter for å spesifisere "trusted hosts" eller "trusted avsender ip". Man er også avhengig av å vite eksakt hvilke porter Netop Remote kjører over, ellers så blir man stengt ute.

Kanskje det kunne være en bra nok løsning i hvert fall midlertidig til du får reist de 200 km for consoletilgang ??

Mine nettverkssterder, høyreklikk -> Egenskaper -> Tilkopling, høyreklikk, egenskaper -> Internet protocoll, egenskaper -> Avansert -> Alternativer -> TCp-IP filtrering, egenskaper så er konfigurasjonsmenyen oppe.

Mon ikke du blander tingene lidt sammen Langbein ?
En ISA Server 2000 er noget helt andet end det du kigger på . ( tcp/ip filteret i windows 2000 ).
TCP/IP filteret kan sammenlignes med det en Linux kalder 'firewall' nemlig  ipchains/iptables

"The world is full of people eager to assure you that something is not a firewall; it's "just a packet filter" or maybe "it's better than a mere firewall". If it's supposed to keep the bad guys out of your network, it's a firwall. If it succeeds in keeping the bad guys out, while still letting you happily use your network, it's a good firewall; if it doesen't, it's a bad firewall."

(Zwicky, Cooper, Chapman, Building internet firewalls, 2'nd ed, side 32.)


Mesteparten av den spesielliteraturen som finnes om datasikkerhet og firewalls er jo ikke skrevet spesielt om linux eller noe annet spesielt operativsystem, selvfølgelig med unntak av de forholdsvis få bøker som dette gjelder for.

Det som beskrives det er jo for det meste generelle tekniske prinsipper som virker likt uavhengig av fabrikkmerke eller leverandør.

De aller fleste bøker innenfor området "internet firewalls" beskriver vel i praksis selve packet filtering funksjonen som "den grunnleggende firewalling funksjon (??) Noen eksepler på noe annet ?? (Link, bok eller noe annet ??)

Tilsvarende så vil det være andre funksjoner som regnes med under de tekniske prinsipper man typisk benytter for å bygge en internett firewall for eksempel typisk en proxy funksjon som typisk også mere eller mindre er i stand til å utføre såkalt "application level firewalling" det vil i praksis si logiske operasjoner og utvalgskriterier på datainnhold ut over "pakkenivå".

Hvis man har behov for en bil så kan man vel kjøpe en Ford eller man kan kjøpe en Opel, prinsippene for hvordan bilen fungerer og hvordan den fungerer vil vel være stort sett de samme og uavhengig av leverandørmerke.

Det ville på den annen side ikke være så dumt om man for eksempel kunne ha valget mellom å betale for en Ford eller å få en gratis kopi av en Opel hvis funksjon og virkemåte rent basicly stadig vekk var de samme.

Når det gjelder Microsoft sin ISA server så er det vel slik at den består av to deler, en packet filtering del og en proxy del. Når det gjelder Linux verden så er det vel slik at man også har en packet filtering del (iptables/netfilter) og en proxy del (Squid/Socs 5)

"En ISA Server 2000 er noget helt andet end det du kigger på"

Ja, vel, og hva består så dette "annet" i ?? Hvis du ser på de tekniske grunnfunksjonene og den funksjonalitet som ligger til grunn for ISA server er ikke dette funksjonelt og teknisk stort sett det samme som ligger til grunn for de tisvarende fuksjoner innenfor Linux verdenen, akkurat på samme måte som Ford og Opel stort sett fungerer likt.

Kan du beskrive noen tekniske egenskaper eller funksjonsmåte ved Microsoft ISA server som gjør denne til noe prinipielt annet enn de tilsvarende filtering/proxy produkter som finnes innenfor Linux og andre operativsystemer !?

Det er vel faktisk en forskjell i måten som dataflowen skjer i forhold til kernel og "operativsystemet's indre deler". Denne forskjell består i at funksjonene for "trafick management", dvs styring og fordelig av trafikk som skal inn til "lokale prosesser" korta det som skal "routes forbi" er innebygget som default i Linux kernel fra Linux kernel 2.4.x For Microsoft så forholder det seg slik at man må kjøpe dette som en kommersiell tillegspakke ?! Når man så må "ettermontere" grunnleggende sikerhetsfunksjoner, på denne måte, hvilken effekt for dette graden av integrasjon mellom sikkerhetsfunksjoner og de øvrige kernelprosesser ?? 

Ford og Opel fungerer vel stadig vekk noenlunde likt, men det kan vel stadig være forskjeller hva anngår detaljer ...

Synes diskusjonen dreide litt "off topic" i forhold til det opprinnelige tema, men på den annen side, så synes jeg den dreite over mot noe meget interessant.

"Hvilke tekniske funksjoner er det som finnes innenfor Microsoft ISA server som ikke er ivaretatt på tilsvarende samme måte innenfor Linux og andre operativsystemer ???"

Håper ellers at jeg tar feil og at det finnes slike forskjeller. De gangene man har rett, så er man jo stadig vekk der man var. Bare de gangene man tar feil så har man oppnådd å lære noe nytt.

OK.. jeg har fårstået det, men nu har jeg siden spg. blev oprettet været nede ved serveren, og sætte den op.

Men jeg har da lært noget vedr. måden at filtrer trafikken på, så der er points :-)

Takker for points ! Har brukt en del tid på å sette meg inn i firewalls og spesielt firewallfunksjonen på Linux. Prøver etter beste evne å "provosere fram" all mulig ny informasjon jeg kan få tak i. Kjenner egentlig ikke særlig mye til Microsoft ISA server. Har bare lest Microsoft sin dokumentasjon.