Hvordan gør jeg mit "mini netværk" mere sikkert?

En personlig firewall (som Kerio, zonealarm, tiny og flere andre) er beregnet til at beskytte en personlig computer, også kaldet en PC, men ikke en server og slet ikke et netværk. Hvis du vil beskytte det, skal du bruge noget udstyr der er beregnet til dette.

Først skal du updatere og patche alle dine maskiner, både styresystem og applikationer.
Hernæst skal du opsætte dine systemer sikkert, du kan følge de anbefalinger du finder på www.nsa.gov. Andre gode sider er www.sans,org og www.cert.org

Til sidst skal du opsætte en ordentlig firewall og hvis du har usikre tjenester som web-, mail-, og ftp-server, skal det være en firewall med DMZ, hvor disse servere placeres. du kan købe den slags firewalls, men jeg mener også at du kan få en gratisløsning med Smoothwall på en linux maskine. Du opsætter en gammel PC med 3 netkort og installere linux og smoothwall på denne.


Se www.smoothwall.org

jeg har været glad for Agnitum Outpost FREE, denne har jeg pt kun brugt som personlig firewall (brændvægg?), men synes at klare denne opgave bedre en mere flexibelt en fx ZoneAlarm!

da den er gratis vil jeg sige det er et forsøg værd, ellers kan du overveje PRO versionen...

http://www.agnitum.com/products/outpost/

og for FREE vs PRO
http://www.agnitum.com/products/outpost/profree.html

citat fra den side:
---
ICS Support | Work on home or office networks that are based on the Microsoft Connection Sharing solution. ICS is supported for both clients and gateways.
---

og lidt general sammenligning af firewalls
http://www.agnitum.com/php_scripts/compare2.php

Morten

jeg ville foreslå at bruge en firewall, hvor du kan begrænse antallet af åbne porte  - eller du kan konfigurere det manuelt under tcp/ip filtering. samtidig have en virusscanner kørende og en antotrojan f.x. spywareblaster eller bedre.

Du spørger om en bedre løsning ikke vil koste mere. Selfølgelig vil den det, det er med sikkerhed, som med det meste andet her i liver, du får det du betaler for.

Hvis du vil have sikkerhed, samtidig med at du vil køre usikre tjenester, så skal der ordentligt udstyr.

Personlige software baserede firewalls giver ikke den nødvendige sikkerhed

Win 2K server har innebygget firewall som er beregnet for win 2k server. Aktiviser denne. Du kan med fordel også benytte en personal firewall, zonealarm eller lignende på den maskinen som står innefor Win 2k Gateway.

Prisen for å aktivisere den innebygde firewall i win 2k er selvfølgelig kr 0,- Det finnes også en firewall sak med en del utvidet funksjonalitet, dvs proxy mm ved navn ISA server. Denne koster en del penger. (Omtrent det det samme som Win 2k server.)

For ordens skyld jeg har faktisk ikke testet Win 2K sin innebygde firewall når Win 2K har kjørt som gateway, men dette må da også fungere ??!!

Hvis win2k server har en indbygget firewall er jeg ikke stødt på den endnu, jeg ved at XP har en. Du har allerede fra NT 4.0 kunne lave en slags filtrering at trafiken, men at kalde det en firewall er nok lige i overkanten

Jeg testet disse tingne litt nå i kveld. Har her og nå bare en XP og Linux å jobbe på.

Win XP har to forskjellige konfigureringsmenyer for firewall eller pakkefiltrering. Den ene er ganske lik den som finnes på Windows 2000 server den andre er noe forskjellig. Det er den som er lik den som finnes på Windows 2000 server som har de mest detaljerte muligheten for å spesifisere hvilke protokoller og porter og slikt man kan konfigurere.

Har sjekket noe dokumentasjon for XP vedrørende den konfigureringsmenyen som er lik den som finnes på Windows 2000 Server. Det står faktisk i XP dokumentasjonen at filtrering gjennom via oppsett i denne menyen ikke vil ha effekt for de PC'ene som befinner seg inne på LAN det vil bare ha effekt for gateway/router selv ...

En annen side ved saken det er at det ser ut som om at det i den menyen på XP som er lik den som finnes på Win 2000 server ikke finnes muligheter for å spesifisere porter enkeltvis og ikke ranger av porter (????) Dette vil i så fall begrense firewall funksjonen på Win 2000 server hvis den er helt lik til at den bare er praktisk anvendelig i en serverfunsjon og ikke i en workstationfunsjon. Den firewall konfigureeringsmeny som Win XP har og som Win 2000 server ikke har er ser derimot ut til å være egnet for en workstation. En ok server firewall konfigureringsmeny ser ut til å finnes hos dem begge.

Vil forsøke å sjekke litt nærmere på dette og eller teste litt ut.

Hva man ellers vil kalle en firewall eller ikke det er vel egentlig ikke så interessant. TCP-IP protokoll samlingen gir rent teknisk sett en viss mulighet for å kontrollere trafikk inn og ut. Hva man eventuelt kaller redskapen for å kontrollere denne trafikken inne eller ut det skulle sånn sett ikke spille noen rolle. Hvis det rent teknsik sett eventuelt fungerer likt ut ifra det ene eller det andre navn så må vel det bli det samme ??

Vet ikke om "firewall" på 2000 server vil virke også for routing gjennom maskinen (det vil den kanskje ikke ??) eller bare i forhold til serveren selv ..

Tenke .. tenke .. Forresten .. Slik fungerer jo forresten Cisco 677 routeren også. Her ligger jo hele firewalling funsjonen i NAT funksjonaliteten !!

Det vil si at dersom man benytter NAT dvs lokale adresseer inne på LAN, da vil disse ikke være adresserbare eller routbare eller med andre ord framsendbare via Internett.  Windows 2000 serveren vil være i stand til å beskytte seg selv mot angrep utenfra ut fra den firewall funsjonalitet som den har ..

Konklusjon: Setter man i sving den firewall funsjonalitet som finnes i Windows 2000 server samtidig som man benytter NAT ved deling av internettlinje og lokale ip på LAN da har man faktisk rent teknisk og funsjonelt en rimelig bra firewall løsning, faaktisk ganske lik den som for eksempel finnes for Cisco 677 routeren. (Men man har vel ingen beskyttelse mot trojanere inne på Win 2000 servern.)

Vil forsøke å få testet litt på en 2000 server i løpet av nærmeste framtid.

Fungerer det så har man rent faktisk og praktisk en firewall. Fungerer det ikke så har man ikke en firewall. Man kan ellers kalle det hva man vil. Det er sansynligvis funsjonen man behøver og ikke navnet.

Kostbar elektronikk med fancy navn som lekker som en sil det kan man heller ikke bruke til så mye.

Spørsmålene bør vel heller være: Hva skal fungere ? Hvordan skal det funger ? Hvordan kontrollerer man at det fungerer slik som det skal ??

Det er interessant at slike problemstillinger kommer opp for da får man jo gjort de testene man ellers ikke ville brydd seg om å gjøre. Holder på å teste den samme konfigureings funksjon som finnes på XP og Win 2000 server nå på en Win 2000 Professional Workstation. Det ser ut til å gå bra å få den til å ivareta de basale firewall funksjonene, men det er et par litt morsomme sider ved konfigureringen, men det ser ut til å fungere. Vil teste videre med Win 2000 seever nå i kveld, regner jeg med og så komme opp med et forslag basert på firewall funksjonen i Win 2000 server. (Håper jeg.)

Vil også forsøke å forklare litt rundt denne firewall funsjonen og konfigureringen av denne. Avsnittet over inneholder ser ellers ut til å inneholde en liten unøyaktighet eller feil som vil korigert når dette er undersøkt litt nærmere. (at det ikke skal være mulig å få opp en firewall funksjonalitet for Win 2000 server som vil passe for workstation funksjonene på serveren. Dette ser allikevell ut til å være mulig. Glemte ut noen problemstillinger rundt udp protokollen ved forrige test.)

Jeg ville da prøve anbefalingerne fra Bufferzone med "Smoothwall"
installeret på en selvstændig maskine som virker som firewall.
Det giver flere muligheder bl.a. DMZ zone for netværket - måske også mulighed for at begrænse et antal af åbne porte.

Smoothwall er en dedikert Linux for firewall funsjon. Er ganske lett å konfigurere. Fikk Smoothwall med to nettverkskort til å kjøre med en gang helt problemfritt. Forsøkte med tre nettvekrskort og dmz men det ville ikke kjøre her hos meg. Hadde kanskje noe med gammel pc og dårlige kort å gjøre. Vet ikke. Kjørte samme PC og samme kort med Red Hat og 3 kort / dmz. Kjørte ok men vanskelig å konfigurere i 3 kort variant. Tror Smoothwall er en ganske ok løsning.

En annen variant av "ferdiglinux" er e-smith. Her får du web server, mail-server og ftp server pluss firewall i et om du ønsker det. Ganske bra sak.
http://e-smith.org

Lukker