Opsætning af Firewall

Det er en hård nød at knække med både trådløst og usikre tjenester som web og mail. Hvis du vil have nogen form for sikker hed skal du kikke på følgende parametre:

Din firewall skal være af typpen applikations proxy med DMZ. på DMZ placeres de usikre tjenester (web, mail og e.v.t. ftp server.

Alt trådløs skal krypteres, f.eks. WEP krypteres, ellers kan det være lige meget med en firewall, da man ellers bare går uden om.

Du kan kikke på følgende firewalls.

Cisco Pix, Velociraptor, Checkpoint, Firewall 1,

Der er flere forskellige og størrelsen afhænger lidt af antallet af klienter, båndbrede og den slags. Hvis du også vil kunne tilgå dit net udefra, skal du også have gang i VPN.

Hvis dit sikkerhedsbehov ikke er meget stort kunne du kikke på en smoothwall løsning, den kan håndtere DMZ, men kan vist ikke kaldes en applikations proxy, den giver dog rimelig sikkerhed.

Hvilken grad av beskyttelse en firewall gir det avhenger etter mitt syn ikke av hva slags fabrikkmerke det dreier seg om eller hva slags mere eller mindre fancy navn man setter på en firewall. Det som det hele avhenger av det er, fortsatt etter mitt syn, de tekniske muligheter og de begrensninger som ligger i de protokollene som inngår i TCP-IP protokoll samlingen og på hvilken måte og hvordan man utnytter disse. Det er heller ikke noen egentlig skarpe skiller mellom hvike tekniske virkemåter som gjelder for de enkelte typer firewall. Disse grensene flytter seg stadig litt dag for dag etter hvert som den tekniske utviklingen går sin gang ?

Hvilken teknisk virkemåte og hvilken teknisk utnyttelse av egenskapene ved TCP-IP protokoll samlingen skulle det for eksempel ligge bak en "application proxy" som skulle medføre at denne nødvendigvis er "sikrere" ??

Den viktigste delen av en hvilken som helst firewall er selvfølgelig konfigureringen. Man oppnår selvfølgelig bedre sikkerhet med en billig og/eller enkel firewall konfigurert riktig enn en dyr firewall konfigurert feil. Det siste gir kun en illusjon om sikkerhet.

Når det gjelder Smoothwall 1.0 som fortsatt er den nedlastbare produksjonsversjonen av Smoothwall så bygger denne vel på Linux 2.2.x kernel. Firewall funksjonaliteten og herunder konfigureringsmulighetene for Linux kernel har blitt betydelig forbedret i 2.4.x versjonen. Smoothwall har fortsatt sin 2.4.x bare som beta, i hvert fall som gratis nedlastbar (tror jeg i hvert fall)    http://www.smoothwall.org

Når det der i mot gjelder for eksempel Red Hat 9.0 som er en generell Linux disribusjon som kan brukes til "alle ting" inklusive firewall så er denne bygget opp rundt en ny Linux 2.4.x kjerne og den har følgelig innebygget den nyeste firewall funksjonaliteten (i hvert fall det meste av det.)

Firewall delen i Linux kernel heter netfilter: http://www.netfilter.org

Dersom man velger Red Hat Linux som firewall (Eller en annen Linux med tilsvarende Kernel.) og hvis man legger opp en konfigurering for dette, så kan man i praksis oppnå en firewall som inneholder alle de muligheten som finnes i TCP-IP protokoll samlingen. Flere muligheter finnes i praksis ikke, uansett fabikkmerke, prislapp og illusjoner i form av fancy ord.

Rett nok ideen bak "application proxy" det er jo at den skal være skredersydd for den enkelte "applikasjon". Det var illusjonen, men hva så med den praktiske virkelighet. Hvordan kan den praktiske trafikk beskrives som kan slpper gjennom for ekesempel en optimalisert Linux firewall men ikke en "application proxy" ?? (Annet enn av markedsavdelingen som salgsfremmende tiltak.) 


DMZ kan ellers lages på 2 forskjellige måter uansett firewall type.

1. Treport løsning, en firewall maskin har tre tilkoplinger, wan, dmz og lan.
2. To firewall maskiner en "ytre" første bastion, dmz sone fram til neste firewall og så lan inne bak den innerste firewall.

Den siste av disse to løsningene er etter mitt syn den beste. Den gir vanligvis også den enkleste konfigureringen. Red Hat Linux kan benyttes både til den indre og den ytre firewall, eller man kan bruke andre to port firewalls.

Grunnen til at den siste er den bate er først og fremst at man har to separate og uavhengige barierer slik at den innerse fortsatt vil være 100 % intakt om den ytterste skulle "falle". Ved tre port løsnmingen så har man full kontroll dersom man klarer å hijacke den første.

Det viktigste ved en eller flere firewalls det er hva de er hva de faktisk gjør rent teknisk og hvordan de er konfigurert til å utføre sin oppgave. Så kan man sette til det eller de navn eller de prislapper som man måtte ønske. Det vil vel ikke spille noen større rolle fra eller til uansett.

Linux er som kjent gratis og ellers ganske ok.

Du kunne også kigge på ZyXEL ZyWALL 10W som er en firewall med VPN mulighed og PCMCIA slot til trådløst netkort.
Hvis der er krav om DMZ skal du se på en større ZyWALL og så bruge et trådløst access point.

Zywall er en pakke filtrerings firewall med stateful inspection. Her får du meg bekendt ikke DMZ. Ellers er zywall serien udemærkede

Med ZyWALL 100 får man en DMZ

Langbein>Hvilken teknisk virkemåte og hvilken teknisk utnyttelse av egenskapene ved TCP-IP protokoll samlingen skulle det for eksempel ligge bak en "application proxy" som skulle medføre at denne nødvendigvis er "sikrere" ??>

Teknisk kan firewalls opdeles i to typer. Pakke filtrerings firewall og Applikations proxy firewall. Forskellen på de to typer er hvor dybt i datagrammerne de kikker og dermed hvor sikre de er:

En pakkefiltrerings firewall kan kikke tim og med lag 3 i OSI's reference model. Dette medføre at de kan kontrollere IP header oplysninger, men ikke indhold af pakkerne

En applikations proxy firewall kan gå helt op til lag 7 i OSI's referencemodel, og dermed kikke på indhold af pakkerne foruden IP header oplysninger.

I praksis betyder det at en applikations proxy f.eks. kan beskytte mod bufferoverflow, modificerede icmp pakker, SQL insertions og anden slags indhols ført angreb. Dermed er applikations proxyen selvfølgelig langt sikre end en forholdsvis simpel pakke filtrerings firewall. Ulempen er at man skal have en proxy til hver type kommunikation man ønsker at håndtere, normalt kommer dem med http, mail og ftp, men hvis man f.eks. ønsker at køre ICQ gennem eller IMAP skal man investre i en proxy til dette og det koster selvfølgelig ekstra

Bufferzone -> Jo jeg hadde nok vært ening dersom det hadde vært slik at jeg hadde sett disse prinsippene i bruk på faktisk forkommende firewalls.

Hva dreier det seg om - firewalls for work stations eller for servere ??

"En pakkefiltrerings firewall kan kikke tim og med lag 3 i OSI's reference model. Dette medføre at de kan kontrollere IP header oplysninger, men ikke indhold af pakkerne"

Pakke filtret til Linux kan undersøke datainnholdet i pakkene. Betyr dette da at pakkefiltret til Linux da av denne grunn er en proxy ?? Hvorfor skulle ikke pakkefiltret kunne kontrollere for datainnhold i pakkene ?? Man kan jo for eksempel vanligvis lese pakkeinnholdet i datadelen vha en packet sniffer, for eksempel ethereal. Hvorfor skulle ikke et pakkefiltet kunne på prinsippiell basis kunne behandle disse opplysningene ?? Hvorfor skulle et pakkefilter for eksempel i mindre grad en en proxy være i stand til å forhindre buffer overflow ??

Modifiserte icmp pakker kan da kontrolleres og sorteres fra ved hjelp av Linux pakkefilter ??!!

Dersom man for eksempel tar utgangspunkt i et praktisk oppsett der man har en Linux gateway, eller en annen gateway og XP workstations inne på LAN der XP firewalls er aktivisert. Man har da i utgangspunktet ha en dobbel sikkerhet via dobbelt pakkefilter og en sårbarhetsscan utenfra viser ingen "hull" eller risikofaktorer.

Så skal man altså kunne kople inn en "aplication firewall som virker på 7 lag" og oppnå noe mere enn en 100 % tett dobbelt sikkret firewall. HVa slags fabrikat og type dreier det seg om og hvordan ser eventuelt konfigurasjonsmenyene for dette aparatet ut. Finnes det beskrevet her på nettet eller i noen faglitteratur man kan få tak i ??

Gitt en annen forutsetning. Man har en gateway firewall, for eksempel en Linux eller en annen gateway. Man kjører fire forskjellige serverfunksjoner på for eksempel en Windows 2000 eller en Linux server. Man har aktivisert Windows/Linux pakkefilter kun med åpning for de aktuelle 4 portene for serveren.

En sikkerhetsscan utenfra viser at det er fem åpne porter. TCP Port 80 for web server, TCP Port 22 for SSH, UDP Port 53 for DNS server og Port 21 for FTP server og port 25 for mail server.

Man kan kan for eksempel også se at webserveren mangler en del oppdateringer at SSH serveren er av en gammel type der man kan risikere buffer overflow og at det også finnes noen sikkerhetsrelaterte ting for DNS serveren, det er mulig å "forurense" dns serverens data utenfta. Det er også mulig under visse omstendigheter å plassere uønkede data til fil ved å trikse med visse mail adresser.

Hva slags proxy firewall vil det være aktuelt å sette opp for å fjerne disse risikofaktorene og gjøre dette oppsettet mere sikkert ? Hva slags aparat er dette og hvordan ser konfigurasjonsmenyene ut ? Er det beskrevet på internett eller i fagliteraturen ?

Hvorfor vil dette apparatet eventuelt medføre en større grad av sikkerhet enn en korrekt konfigurering av de aktuelle pakkefiltrene i kombinasjon med en riktig og korrekt opdatering av de aktuelle servere og programpakker ??

Hvordan koper man opp den "proxy firewall" som hindrer den buffer overflow som den aktuelle ssh server kan være utsatt for ? Hvorfor kan man eventuelt ikke bruke en pakket firewall som undersøker datainnholdet i pakkene til det samme ??

Interesante problemstillinger.. :)

"normalt kommer dem med http, mail og ftp, men hvis man f.eks. ønsker at køre ICQ gennem eller IMAP skal man investre i en proxy til dette og det koster selvfølgelig ekstra"

Igjen: Dreier det seg om workstation eller servere, hardware eller software og hva slags praktiske firewallprodukter er det snakk om ?

For ordens skyld: Text/data content inspection ifb med Linux er vel ikke særlig vanlig. Det dukket opp et spørsmål her på eksperten der en av brukerne faktisk hadde satt opp et script som skulle sjekke for datainnhold. Jeg svarte at dette ikke sto beskrevet i dokumentasjonen for Linux firewall. Denne personen svarte så at joda, det finnes en tillegsmodul for Linux 2.4.x kernel som gjør den i stand til å kunne sjekke pakkens datainnhold. Dette viste seg ut fra de opplysninger som framkom også å stemme. Har ikke hørt at denne funksjonen har blitt noen stor "hitt". Vil vel tro at det går ut over hastigheten (akkurat slik som proxy firewall for klienter og med egen proxy server også i noen grad kan gjøre det.)(Selv om caching funksjonen i for eksempel Squid eller ISA server kan "oppheve forsinkelsen" slik at det "netto" går hurtigere.)

Eksempel på bruk av sjekking av data pakkeinnhold ved anvendelse av Linux netfilter:

iptables -I INPUT -j DROP -p tcp -m string --string "cmd.exe"

Betyr: Forkast alle pakker som inneholder text strengen "cmd.exe" i data delen av pakken.

Man kan selvfølgelig formulere vilkårlige regler som sjekker for datapakke innhold så lenge som dette ikke er kryptert. Når det gjelder slik ting som lengde og størelse på pakker (buffer overflow) så kan man selvfølgelig sjekke pakkene for disse parametrene selv om de har et kryptert innhold.

Vet ikke om "standardlinux" nå har fått sjekkeing av ip pakke data content som standard. Vil forsøke å se om det kjører.

Testet på en gammel Red Hat 7.3. Her mangler tydeligvis tillegsmodulen (libipt_string.so)

iptables -I INPUT -j DROP -p tcp -m string --string "cmd.exe"

iptables v1.2.5: Couldn't load match `string':/lib/iptables/libipt_string.so: cannot open shared object file: No such file or directory

Kjoerte heller ikke paa Red Hat 9.0 men modulen finnes da:
http://rpms.mandrakeclub.com/rpms/libipt_string.so.html

http://rpmfind.net//linux/RPM/ASP/i386/updates/7.2/i386/iptables-1.2.7a-2asp.i386.html

http://articles.linuxguru.net/view/125

Kanskje litt mye off topic, men helt generelt i forhold til det opprinnelige spørsmålet. For å returnere litt til det opprinnelige:

Man bør som et minimum ha en ytre fysisk firewall som primært omfatter et pakkefilter. Man kan benytte statefull inspection eller ikke. Det kan ikke settes opp noen generell regel for hva som er sikkrest, stateful inspection eller ikke. Dette kommer ann på konfigureringen. Det er letterre å lage en god og effektiv konfigurering av en firewall med statefull inspection slik at dette indirekte kan bidra til en høyere grad av sikkerhet. På den annen side så legger en statefull inspection firewall beslag på mere minne og mere prosessorresurser enn en static stateless firewall slik at det kanskje muliggens kan ligge noen grad av risiko i dette. Her på eksperten så hevedes det ofte at staefull inspection firewalls er mere sikkkre en static firewalls. På net-faq.dk så hevder man det motsatte. "Proxyfirewalls er de mest grundige (og sikre) mens stateful inspection giver en ringere sikkerhed men langt højere hastighed." Disse påstandene medfører etter mitt syn ikke riktighete, og man kan ikke som en generell regel si at den ene er mere sikker enn den annen. Det kommer ann på konfigureringen og en del andre forhold.

Den første ytre firewall kan enten ha to porter eller den kan ha tre. Det vil være snakk om inngang, utgang og eventuelt en dmz utgang.

Viktig i denne sammenheng er også nettverkets topologi og spesielt om man har planlagt å bruke NAT og lokale interne adresser eller ikke. NAT medfører på generelt grunnlag en høyere grad av sikkerhet, samtidig som det kan følge med noen komunikasjonsmessige ulemper. NAT gir også en billigere løsning.

Dersom man benytter en tre port løsning i den yttre firewall så settes de eksterne servere som man har til dmz porten og Lan kommer da på "Den invendige" porten.

En bedre måte å lage dmz på, men som koster litt mere det er å benytte 2 stk firewalls en ytre firewall, så følger et dmz segment med servere fram til den indre firewall og så følger selve lan segmentet. Det er vanligvis mulig å kombinere en slik løsning med en dobbelt NAT løsning slik at man for eksempel lar dmz segmentet kjører på 10.0.x.x serien mens Lan segmenter kjører på for eksempel 192.168.x.x En slik dobbelt NAT løsning er i utgangspunktet en meget sikker løsning med hensyn til arbeidsstasjonene på LAN.

Mest utsatt for angrep vil imidlertid være de serverene som er koplet opp mot internett hele tiden. Den største risiko her vil ofte være relatert til de porter og til den trafikk som slipper gjennom en korrekt konfigurert firewall som normal og tillatt trafikk. For å motvirke dette så vil det først og fremst være snakk om å patche og oppdatere serverfunksjonene.

Proxy firewalls vil vel først og fremst, slik som jeg ser det, normalt ha sin anvendelse i forbindelse med å gi utvidet beskyttelse til arbeidsstasjoner. Ettersom det er serverfunksjonene og ikke workstattions som utgjør de mest utsatte deler av nettverket så bør penger og oppmerksomhet rettes mot disse serverfunksjonene. For relativt små annlegg så finnes det vel ikke noen proxy firewalls på markedet som er særlig godt egent i en slik sammenheng ??

Dersom man velger en dobbel fysisk firewall løsning event med dmz midt mellom så kan man hvis man ønsker det kombinere den indre firewall med innebygde server funksjoner. (Aller sikkrest blir det nok hvis man lar være å lage en slik kombinasjon, men bengene teller vel.)

Hvis man velger en slik indre kombinert server/firewall så kan man for eksempel benytte Microsoft 2000 server med ISA server proxy/firewall i denne rollen eller man kan benytte en Linux installsjon basert på netfilter eventuelt hvis man ønker det i kombinasjon med Squid proxy. Funksjonaliteten til Microsoft produktet og Linux er noenlunde den samme men prisen er ikke helt den samme.

Det finnes ellers Linux distribusjoner som er gratis og som er satt opp ferdig for en slik rolle:  http://www.smoothwall.org og http://www.e-smith.org

Linux kan generelt settes opp som static packet filter, som statfull inspection firewall eller som proxy firewall alt etter hvike egenskaper man finner formålstjenelig og hensiktsmessig i forholt til den aktuelle sammenheng. Det medfører neppe riktighet at man bare kan hevde en generell regel: Jo mere desto bedre.

Andre generelle Linux distribusjoner for eksempel Red Hat 9.0 egener seg etter mitt syn vel så godt i firewall/router/proxy rollen fordi den er mere oppdatert, men her blir konfigureringen mere komplisert.

Enten man velger en løsning basert på en tre port løsning med wan/lan/dmz eller en dobbelt firewall løsning eventuelt med integrerte serverfunsjoner, Linux eller Windows 2000/ISA server så bør man hele tiden tenke "dybde" i sikkerhetsløsningene slik at man ikke risikerer at en enkelt feil konfigurering legger veien åpen for adgang til hele anlegget. Jo flere sikkerhetsbarierer en hacker vil kunne møte desto bedre.

Hackrre befinner seg ikke nødvendigvis ute på wan, de kan også befinne seg inne på lan eller de kan i teorien ha kommet forbi en ytre firewall og inn på lan. Alle arbeidsmaskiner kan med fordel også være sikret med en firewall, enten for eksempel det innebygde pakkefiler i Win 2000 eller den innebygde firewall i Win XP.

Kombinerer man en slik dobbelt firewall løsning ut mot internett, for eksempel først en ytre harware firewall, så for eksempel en Linux/router/firewall eller tilsvarende en Windows 2000/ISA server og så personal eller innebygde firewalls på alle arbeidsstasjonene så har man en bra løsning.

Dersom man ønsker å øke den effektive hastigheten så kan man med fordel aktivisere proxy delen av ISA serveren eller Squid proxy på Linux, men dette vil i praksis ha lite å si fra eller til for sikkerheten. (Ut fra et typisk trussel/sårarhetsbilde for hele annlegget, slik som det ofte vil være.)

Til sist når man har fått det hele opp å kjøre så bør man kjøre sikkerhets/sårbarhetsscan mot anlegget som helhet både fra internett/wan og inne fra LAN. Jeg tror at det man ofte vil oppdage som de primære risikofaktorene er relatert til de ordnære og ønskede server funksjonene som kjører ute på DMZ. Slike sikkerhetssjekk bør også gjennomføres med regelmessige mellomrom.

Enig ??

Alternativ 1 (men ikke best):

WAN ----- DMZ -- Servere.
      I
      I-- LAN -- Arbeidsstasjoner.

Alternativ 2 (Best og sikkrest):

WAN ----- Ytre firewall ----DMZ --- servere-- Indre firewal --- LAN

Alternativ 3:

Wan ----- Ytre firewall ----Kombinert indre firewall og server -- LAN

Alternativ 4:

Wan ---- Kombinert ytre firewall og server -- LAN

Alternativ 5 (Kan fungere for meget små virksomheter og private. Arbeidsstasjoner må ha firewall):

Wan ---- Firewall --- LAN med arbeidstasjoner og servere.

Vedrørende Linux:
Smoothwall kan brukes under alternativ 1, 2 og 5.
e-smith kan brukes under alternativ 3 og 4
Red Hat 9.0 kan brukes under samtlige alternativ.

Mon ikke det praktiske anvendelsesområdet for Microsoft 2000/ISA server blir noenlunde det samme som for e-smith'en ??

Hvis man vil vite litt om andre løsninger, for eksempel hybridfirewaller som fungerer både ved hjelp av packet filtering og "application level firewalling" så kan man lese gjennom manualen til Symantec Enterprise firewall (som for eksempel kan kjøre på en 2000 Server/Gateway, som software firewall.)

(De gratis Linux distribusjonene som er nevnt kan jo også til dels fungere slik.)

Jeg finner ingen ting i beskrivelsen av Symantec firewall som tyder på at den skulle være i stand til å beskytte en server mot for eksempel "buffer overflow" eller annet.  Tvert i mot så er det vel mye som tyder på at de serverfunksjonene man måtte ha "bare" vil bli beskyttet av pakke filter delen av Semantec firewallen. Proxy eller "application level firewall" delen skulle på den annen siden kunne beskytte Workstations.

Semantec har ellers samlet en del interessante argumener for "application level firewalling". Det mest interessante og det viktigste, synes jeg det er at en "application level firewall" som denne faktisk har muligheten til eller kan utføre fortløpende viruskontroll i forhold til dataflowen inn til Workstation (men ikke inn til servere vil jeg tro.)

Det er vel ellers interessant å merke seg at en "application level firewall" av denne type adri vil kunne ha karakter av å være en hardware firewall og i stedet alltid vil måtte ha karakter av å være en "software firewall" som kjører på en forholdsvis kraftig maskin med et server operativsystem.

Dette vil etter mitt syn ha sin årsak i at den måten som en slik aplication level firewall arbeidr på alltid forutsetter at den jobber mot en proxy av ett eller annet slag og at det skjer en forløpende mellomlagring av data for videre kontroll. Dette legger naturlig nok beslag på prosessor og minnekapasitet i et omfang som bare vil kunne støttes av en server. Derfor så vil en hardware firewall i prinsipp ikke kunne være noe annet enn et pakkefilter. Det annet skulle "normalt" kreve for mye minne og prosessrkapasitet. 

Det skulle således bli noe i retning av et sikkerhets filosofi spørsmål hvorvidt man går for en multi level pakke filter løsning eventuelt med eller uten statefull inspection eller en løsning for eksempel av typen "Semantec enterprice firewall". Et annet viktig spørsmål i denne sammenheng det er jo om man har behov for en VPN forbindelse eller ikke. (Her kan oppstå problemer med tradisjonelle pakkefilter med NAT)

Min personlige mening den er at man ikke kan sette fukus på en enkelt faktor alene når man vurderer sikkerheten i et nettverk. Man må se på det samlede trusselbildet under ett. Man må også i den sammenheng gjøre en vurdering av om de primære risikofaktorer om disse først og fremst knytter seg til server funksjonene eller til workstations.

Ville tro at en mulit level pakkefilter løsning, dvs en løsning basert på flere pakkefiltre koplet etter hverandre, gjerne i kombinasjon med nat i ett eller flere nivåer er det som kanskje gir den beste løsningen ??

Link til manualen for Semantec enterprice firewallen:
http://ftp.galaxydata.com/pub/symantec/manuals/sef7/sef_sevpn_70_config.pdf
Ser ut for å være link for nedlasting/test (Har ikke prøvd):
http://enterprisesecurity.symantec.com/content/productlink.cfm?PID=9989595&EID=0

Ellers et interessant apropos til dette med "muliti level security" (Er det for eksempel nødvendig å ha firewall på workstations når man har en firewall/gateway for bedriften ?):
http://www.nwfusion.com/archive/2000/105461_08-28-2000.html

Ellers litt generelt vedrørende software firewalls:
http://www.secadministrator.com/Files/25651/25651.pdf

Håper noe av dette kan brukes. Fant en meget interessant artikkel:
http://www.networkcomputing.com/1405/1405f3.html

Her noe som går til delt på tvers av det jeg har skrevet over (men pris ?)
http://www.nwc.com/1404/1404f43.html

Her er et produkt som er et unntak fra hovedregelen om at en proxy firewalla vanligvis vil kjøre som en softwarefirewall på en server gateway pga krav til ytelse.

Netscreen 5 GT kan oppgraderes til å kjøre med fortløpende virus kontroll av datablowen og den må vel av den grunn nødvendigvis fungere på et applicationlevel (??)

http://www.netscreen.com/products/datasheets/ds_ns_appliances.jsp

Ellers litt å velge i selv om jeg tror at det rent praktisk og reelt er mulig å oppnå en like bra eller sikkerhetsløsning basert på for eksempel Gratis Linux og en mere "klassisk" tilnærming. Noen skal jo tjene penger på dette.

Her er en del forskjellige muligheter:

http://www.netscreen.com/products/your_needs/

Puuuh jeg orker ikke læse det hele, jeg synes dog du roder noget rundt i begreberne og blander tingene lidt sammen.

Jeg finder min tekniske måde at opdele tingene på enkel og god (og ja jeg har set begge virke og også læst literatur (indterne studier fra forsvarets forsknings tjeneste bl.a.))

En ting kan du rolig regne med, en ordentlig applikationsproxy får ikke gratis, heller ikke til linux, selv om mange af dem der findes bygger over en stærkt modificeret linux kernel. Jeg har aldrig set dem som softwareløsning, da applikationsproxy princippet kræver at firewallen overtager styresystemets rolle på boksen

Bufferzone ->

Hele problemstillingen rundt firewalls og datasikkerhet i denne sammenheng hviler i virkeligheten på noen meget enkle basis prinsipper. Disse prinsippene er i realiteten gitt ut fra den funksjonelle egenskapene til TCP-IP protokoll samlingen. Alle internett firewalls bygger i all enkelthet på TCP-IP med de muligheter og begrensninger som dette gir.

Disse prinsippene står da etter mitt syn forklart med en rimelig grad av nøyaktighet og presisjon i denne boken:
http://www.amazon.com/exec/obidos/tg/detail/-/1565928717/103-2517430-9670217?vi=glance

Linkene over har slik som jeg ser det ikke noen annen funksjon enn å vise at disse basisprinsippene gjelder så godt som 100 % også i dag, uten noen større endring. (Eventuelt hvilken ??)

Siden militæret og forsvaret er nevnt  ... Hvilken er den ensete sivile bok som det Amerikanske forsarsdepartementet nevner som referanse for sin policy for datasikkerhet (Se referansene i pdf vedlegget.)

http://niap.nist.gov/cc-scheme/PP_ALFWPP-MR_V1.0.html

Når det gjelder datasikkerhet så vil jeg mene at det forholder seg slik at tingene tross alt er i utvikling slik at det vær opp til en hver interesserert amatør å teste ut og finne ut av tingene selv i stedet for å bare stole på autorative kilder.

Jeg mener ellers at den opprinnelige oppdelingen i funksjonsprinsipper for ulike typer firewalls er så overforenklet at det faktisk blir noenlunde feil.

Synes det ligger mange interessante opplysninger over. For eksempel så ligger jo hele manualen til Symantec firewallen der på 500 sider og denne gir seg jo ut for å være en application proxy firewall og den kan også lastes ned for gratis testing. Hva skulle eventuelt være galt med det ??

Hvis du mener ting er feil forklart fra min side med for eksempel utgangspunkt i boken over eller annen relevant literatur kan du da nevne konkret hva dette dreier seg om, eventuelt med henvisning til relevant literatur og avsnitt/sidennummer ??

Hvorfor kan man ikke få en applikasjonsproxy firewall gratis ?

Nå er det jo slik at de fleste store Linux distribusjonene sender med Squid proxy med et slik basikonfigurering at den ut fra få endringer fungerer som applikasjonsproxy. Hva er eventuelt argumentet for at den ikke kan fungere som applikasjonsproxy ?? Mener at det er rimelig klart at den gjør det. Fikk ellers den hjelp jeg behøvde her på eksperten første gang jeg satte opp Linux som applikasjonsproxy vha Squid.

Det skal altså finnes en application firewall for Linux som inneholder eller bygger på en sterkt modifisert Linux kernel ???!!!

Tatt i betrakning de lisensprinsipper som gjelder for Linux som åpenkode programvare så synes jeg det er et nesten oppsiktsvekkende utsagn. Hvilken application firewall er det som bygger på en slik sterkt modifisert Linux kernel ??

Hva heter den firewall som overtar styresystemets eller operativsystemets rolle på boksen ? Hva slags boks dreier det seg om ?

Dette prinsippet står ikke omtalt i boken nevnt over, så vidt jeg kan se. Står det beskrevet noen andre steder ? Eventuelt hvor ?

Når det gjelder symantec firewallen som er nevnt over (enterprice firewallen) så står det jo at det er en applikasjons proxy firewall og at man kan laste den ned og prøve den. Brukermanuellen på de 500 sider sier vel ingen ting om at den vil overta operativsystemets rolle på boksen ??? Står det noe om det ?? På hvilken side ??

Det er ellers rett at opplysningene over står litt hulter i bulter. Vil forsøke å lage en webside der det hele systematiseres litt når / hvis jeg får tid. Det hadde ellers vært hyggelig om noen her på eksperten hadde hatt tid til å for eksempel laste ned symantec enterprice firewallen og Windows ISA servern som begge er for gratis nedlasting slik at vi kunne få til litt videre diskusjon omkring testing og erfaringer ut fra felles interesser og amatørmaner.

http://www.microsoft.com/isaserver/evaluation/trial/default.asp
http://enterprisesecurity.symantec.com/content/productlink.cfm?PID=9989595&EID=0

Når det gjelder Linux firewallen så har jeg testet litt allerede. Standard kernel til Red Hat 9.0 støtter tilsynelatende ikke undersøkelse av datainnhold. Det er imidlertid forholdsvis enkelt å kompilere en ny kernel der man tar med de moduler man ønsker. Red Hat leveres med "kit" for kernel kompillering slik at man bare behøver å krysse av en sjekkliste for hvilke moduler man ønsker og så kjører det hele mere eller mindre automatisk.

Vet ikke om alle disse opplysningene og synspunktene ar like interessante for den som stilte spørsmålet, men det ligger da litt opplysninger om firewalls der ovenpå og linker til et par gratis dedikerte Linux firewalls som saktens kan gjøre en bra jobb.  http://www.smoothwall.org http://www.smoothwall.org

Tar med en til som kjører kun ut fra en floppy disk. Fungerer faktisk ganske forbausende utrolig bra som firewall (men mangler proxy):
http://www.zelow.no/floppyfw/index.html

mener å ha testet alle tre og at de alle sammen tilfredsstiller de prinsipper som framgår av den refererte bok om firewalls.

Den ene link skulle være: http://www.e-smith.org
Gratis er jo ellers rimelig hvis/når det fungerer :)

Bufferzone ->

By the way. e-smith, smoothwall, Microsoft ISA server og Symantec Enterprice firewall har det til felles at de kan kjøre på en PC.

Mene å huske at både e-smith og smoothwall har Squid proxy og at de kan komunisere til internett via denne proxy pluss pakkefilter med statefull inspection. I hvert fall så gjelder det den e-smith som jeg kommuniserer via akkurat nå.

Er smoothwall eller e-smith da applicacion firewall firewalls når de kan settes opp til å komunisere via proxy som fungerer som en del av firewall mekanismen ? Er de av den typen der firewall tar kontroll over maskinen i stedet for operativsystemet ?? Hvorfor er for eksempel Smoothwall med proxy i bruk som en del av firewall funksjonen ikke en proxy firewall ??

Hva mener du ellers den prisnippielle forskjellen mellom Smoothwall og e-smith og Microsoft ISA server består i ? Er Microsoft ISA server en proxy firewall eller en application level firewall ?

Hva så med Symantec enterprice firewall ? Hva består den prinsippielle forskjellem mellom Symantec Enterprice firewall på den ene side og e-smith, smoothwall, Microsoft ISA server på den annen side ? Er Symantec enterprice firewall en proxy eller application level firewall ? Eventuelt, - hvorfor den mere enn de andre ??

Ellers med referanse til det opprinnelige spørsmålet -

Hva med følgende løsning:

1. Et hardware pakkefilter med statefull inspection for enkel konfigurering.
2. e-smith gratis gateway og server med proxy firewall.
3. LAN

Alternativt:
1. Et hardware pakkefiltet mewd statefull inspection for enkel konfigurering.
2. Gratis smoothwall proxy firewall med dmz. Linux eller MS server på dmz.
3. LAN

Billig og bra for en mindre virksomhet ??

Rettelse av det siste forslaget (Smoothwall kan være tricky å sette opp med 3 kort dmz model, med 2 kort er den meget enkel å sette opp):

1. Først plasseres en rimelig hardware firewall av standard type og med statefull inspection for enkel konfigurering ut mot internett.
2. Bok denne så lar men følge et dmz segment slik som beskrevet i boken med stor B som nevnt over. På dette dmz segmentet og bak den første hardware firewall så plasseres den eller de servere man ønske å anvende, dvs Linux eller Windows.
3. Etter dmz segmentet så følger en smoothwall firewall med proxy som videre overgang/gateway til LAN.

Mener at løsningen over er meget enkel å sette opp og den kan også koste ned til kr 0,- i softwarelisenser. Det behøves kun eventuelt en hardwarefirewall pluss en eller to PC.

Og hvis du ikke gider at læse alt hvad der er skrevet, og stadig ønsker et meget billig super duper firewall appliance - skulle du tage at kigge på http://www.astaro.com - den er lige en tand mere avanceret en smoothwall, og kan uden tvivl dække dine behov.

Se iøvrigt følgende link, en lille anmeldelse: http://www.westcoast.com/securecomputing/2003_05/test_01/01.html

Hvis du vil vide noget om priser etc. må du lige vende retur.

Men hva er det som denne astro da nevner som ikke inngår i en hvilken som helst standard Linux distribusjon og som skulle være verdt 1.495 dollar.

For eksempel såkalt ‘round robin’ laod balancing. Hvilken standard Linux er det som ikke støtter det ? Hvilken standard Linux er det som ikke støtter NAT ? Hvilken standard linuux er det som ikke har en "application proxy" ?

Hvilken merfunsjonalitet og hvilke egenskaper er det ved astaro firewall som ikke inngår i en standard Linux er det som skulle gjøre den verdt pengene ? Sier artikkelen egentlig noe om det ?

Finnes det tilgjengelig noen teknisk dokumentasjon for denne astero firewall ?
Hvordan fungerer egentlig en astaro Linux firewall forskjellig fra en standard Linux, sånn litt i detalj beskrevet ?

E-smith gateway/firewall koster i kommersiell versjon så vidt jeg husker ca 4.200 dollar. Blir den da bedre fordi man betaler dette beløpet i stedet for å laste den ned gratis ?

Hva med å finne svar på spørsmål (Er det ikke det eksperten er til for ? :)
http://www.astaro.com/php/statics.php?action=asl40&lang=gb

AAAHhhhhhh - prøv selv at kigge på hvad manden spørger om - han beder om nogle konstruktive forslag til hvad han skal benytte som Firewall, og ikke en eller anden kæmpe forelæsning om hvilke linux dstributioner der er bedre til det ene eller det andet end den anden.

Men som du ganske rigtigt påpeger er der intet i Astaro som du ikke kan med en almindelig Linux. MEN med Astaro er der nogle mennesker som har gjort sig den ulejlighed at sørge for at alle disse ting som du nævner spiller sammen, ligeså snart lortet er installeret, og det er det du betaler for - Det er vel ikke så svært at forstå.

Herudover er de 1495 USD for en licens i den tunge ende - hvis du skal have den mindste licens som dækker 10 ip adresse og 10 vpn tuneller samt 1 års komplet opdatering, som dækker de fleste små danske virksomheders behov - slipper du med den nette sum af 2970,-. Så hvis du nu bare gider at lade være med at tærske mere langhalm på dette spørgsmål - så kan vi allesammen komme videre - og det samme kan PRV - tak.

Han lukker vel etterhvert.

Den dagen jeg kan noe om dette da slutter jeg det hele av. Vil mene at amatør samler og i beste fall systematiserer informasjon, han lager ikke forelesninger.

Astaro har jo elles noen interessante opplysninger om mail proxy og ellers en kombinsjon av egenskaper som i hvert fall ikke jeg har sett noen andre steder. Smoothwall har jo for eksempel ikke noen  ‘round robin’ laod balancing selv om det ellers er "standard Linux" (Eks. Red Hat).

Joda, bra med noen forslag :)

Jeg er enig med Grimbeast, Langbein er jo helt ude i en længere udredning som, efter min mening, slet ikke har noget med det oprindelige spørgsmål at gøre. Prøv dog at svare manden, i stedet for at komme med alle disse betragtninger.

Gratis smoothwall eller e-smith pluss hardware pakkefilter pluss et par små broblemstillinger rundt (Som rent sikkerhetsmessig vil være der uansett ??)