06. august 2003 - 13:43Der er
16 kommentarer og 2 løsninger
Opsætning af firewall
Jeg har ZoneAlarm. Jeg ved dog ikke om jeg måske skulle skifte til en anden.
Jeg har en computer der fungere som server, som har delt internettet. På denne har jeg installeret en firewall. Men da der er installeret mange forskellige spil og programmer på de andre pc'er er jeg blevet nød til at åbne op for alle porte hvilket ikke er så smart. Hjælper min firewall overhovedet noget nu og hvad kan jeg gøre for at forbedre problemet? Kan en anden firewall hjælpe?
En personlig firewall, som ZA, er til at beskytte en personlig computer (forkortet PC) og ikke en server og heller ikke netværk. Du bør opsætte en "rigtig" firewall in a box og så placere denne mellem dit netværk og din router. Kik f.eks. på zywall serien, her er stateful inspection og den giver fornuftig sikkerhed
Nu bruges serveren jo privat og ikke til noget professionelt og den er kun tændt i dagtimerne. Men hvordan afhjælper det mig at skulle åbne alle de porte?
Hvis jeg køber en hardware firewall fra zywall og åbner alle porte hvad hjælper det så mig?
Jeg har ikke så meget forstand på proxy er det noget der kan bruges?
Kan man installere en software firewall på alle pc'er (der er kun 3). Åbne et begrænset antal på serveren. Tillade alle porte fra en bestemt ip og lade dem gå ud/ind selv om nogle er lukket på serveren?
Det er nok riktig at det kommer mye ann paa hva PC'en faktisk brukes til og om den er tilkoplet internett kontinuerlig hvor mye sikkerhet man faktisk har bruk for. Den aller sikreste maate aa forhindre Kr 50,- fra aa bli stjaalet fra en skuff, det er jo aa ikke ha Kr 50,- i skuffen. Ingen laas kan konkurere med dette.
Det er nok ellers riktig at det kunne vare en god ide aa ha en hardware firewall in front av det hele, for eksempel Zywall. Serveren vil da kunne plasseres inne paa lan bak firewall. Naar du saa aapner opp for porter paa en server som kjoerer inne paa lan saa vil ikke dette ha noe stoerre aa si for sikkerheten utad i forhold til Internett.
Selv om man ikke har lagret noen verdifulle eller sensitive data, saa er det allikevell et par ting man boer vaere oppmerksom paa.
Dersom hackere klarer aa bryte seg inn paa din maskin, saa vil de kunne bruke din maskin som plattform for angrep paa endre maskiner eller til andre uheldige handlinger. Hos den maskinen som blir angrpet saa vil man saa kunne lese i loggen at det er du som har utfoert angrepet, selv om det ikke er tilfelelt, fordi det er din ip som blir liggende i loggen (Hvis du har en egen global ip.)
Mange spammere sender ogsaa ut spam ved aa lete rundt paa nettet etter usikrede mail servere, og naar de finner en saa benytter de den til aa sende ut spam. Ogsaa i dette tilfelelt saa kan det se ut som om det er du som enten har sendt ut eller som har deltatt i spam utsendelsen. Det sikkreste i denne sammenheng er naturligvis aa ikke kjoere noen mail server.
Andre maater som hackere kan benytte for aa missbruke din maskin hvis de kommer inn det er ved aa plassere skulte programmer inne paa maskinen din, saakalte trojanere som utfoerer forskellige uheldige oppgaver, eller de kan bruke maskinen din til saakalte ddos angrep mot andre maskiner, som faktisk benytter din baandbredde til aa blokkere andre maskiners baandbredde.
Aa hacke en maskin det tar som oftest en hel del tid, og det krever litt innsats.
Dersom maskinene dine bare er tent sporadisk naar du bruker dem, saa har du i utgangspunktet redusert sjansen for hacking vesentlig.
Dersom du benytter dynamisk tildelt ip som skifter hver gang du kopler deg opp, saa har du redusert sjansen enna mere.
Du forteller ikke hva slags operativsystem serveren din kjoerer (Windows ??) eller hva slags internetttilkopling du har, eller om du har en global eller lokal adresse inn paa serveren. (Windows, kjoer kommando: "ipconfig".
Mange internettleverandoerer leverer jo modemer som allerede inneholder en hardwarefirewall, hvis den aktiviseres og i saa fall saa behoever du ingen Zywall. Microsoft Windows inneholder jo ogsaa vanligvis en innebygget firewall.
Det Kan vaere en fordel aa installere Zonealarm paa alle klient maskinene synes jeg.
Dersom du eventuel setter opp en hardware firewall, hvis du ikke allerede har en via internttilkoplingen, som da bare kan aktivisere, saa er poenget at serveren kan settes opp inne paa lan. Da vil det i en del tilfeller holde aa aapne for porter inn mot lan, mens hardwarefirewall fortsatt er lukket. (Hvis det dreoer seg om internettspill saa maa du kanskje aapne opp helt ut.)
Proxy er et slags mellomlager for data som kan oeke den effektive hastigheten man kan surfe med. DErsom man for eksempel setter opp en Smoothwall firewall basert paa en gammel PC saa vil denne ogsaa inneholde en proxy.
Bruken av proxy medfoerer ogsaa noen ulemper. Man vil kunne oppleve at en del tjenester og funksjoner ikke fungerer via proxyen. For private brukere med forholdsvis liten trafikk saa vil proxyen ofte kunne medfoere flere problemer enn fordeler. (Jeg bruker selv proxy hjemme men jeg har satt den opp slik at den kan koples inn og ut etter behov. Vanligvis saa kjoerer det litt bedre med proxy enn uten.)
Hva med aa legge ut litt mere info om operativsystemer og internettilkopling ?
-=Internet/netværk=- Webspeed fra TDC (kan bruges af alle der har OnCable) Kabelmodem uden firewall 1 dynamisk ip 100mbit switch med 3 pc'er tilkoblet
-=Server=- ekstern ip: dynamisk intern ip: 192.168.0.1 OS: Windows XP home serv-u ftp server Appache webserver Argosoft mailserver Fildelingsprogrammer og div. andre programmer.
Bruger no-ip til at opdatere et no-ip donmæne Har registeret et domæne der peger på no-ip adressen
-=PC1=- ip: 192.168.0.2 OS: Windows XP pro
-=PC2=- Har jeg selv sat op kan dog ikke huske hvad der ligger på den, da jeg ikke selv bruger den.
Serveren bruger jeg mest til test og for at indhente mig ny viden omkring disse ting. Jeg havde desværre ikke nogen Win XP pro da den blev installeret. Mailserver indholder derfor ingen mailkonto der skal bruges af andre. Der er heller ikke "officiel" nogen hjemmeside på webserveren. Der ligger ikke nogen personlige data på serveren, dog vil jeg ikke have at nogen skal udnytte den til at hacke andre eller spamme emails. Webserver, mailserver og OS bliver regelmæssigt udskiftet, men der vil stadig være en masse sikkerhedshuller pga. de mange tjenester der bruger internet.
Litt "eldre" typer firewall var laget slik at de fungerte "statisk", dvs at man maate aapne hver eneste port som var i bruk eller man kynne eventuelt sette aapen en bred range av porter.
Litt mere moderne firewalls fungerer etter et annet prinsipp, "statefull inspection". Virkemaaten til dette er at firewall selv i et visst omfang er i stand til aa "huske" hvilen trafikk som er satt i gang slik at den aapner "dynamisk" for den del porter etter hvert som det er behov for dette. Man behoever altsaa ikke aa spesifisere alle portene, i prinsipp bare dem som behoeves for aa starte opp en trafikk/dialog.
Det er ellers ikke saa uvanlig at mange hardwarefirewalls leveres med 100 % aapning for all trafikk ut. Dete er sikkerhetsmessig ikke helt topp. Dette gir bla ofte nere full aapning ut. For aa faa enkelte spill og slike ting til aa fungere saa kan det noen anger vaere noedvendig aa ha full aapning i trafikkretning ut.
Det vil nesten alltid i firewall sammenheng vaere et sporsmaal om aa veie funksjoner og sikkerhet mot hverandre.
Slik som du beskriver ditt nettverk saa skulle det i utgangspunktet vaere problemfritt aa sette opp en enkel hardware firewall opp mellom modemet og Switchen. Denne boer da fortrinnsvis vaere av typen statefull inspection. Du kan jo spoerre TDC om det gaar bra aa sette opp en hardwarefirewall paa denne maaten for aa vaere sikker.
Dersom du saa plasserer samtlige maskiner paa et lan bak firewall saa har du nok faat bedret sikkerheten noe. Du kan med fordel kjoere personal firewall eller XP's innebygde firewall paa maskinene bak hardware firewall. Grunnen til dette det er at dersom den foeste hardware firewall ved et tilfelle skulle vaere feil konfigurert eller hvis en hacker skulle klare aa komme gjennom, saa vil det fremdeles vaere en firewall bak den foerste.
Det er ellers sikkerhetsmessig en stor fordel aa stenge ned de maskinene som ikke er i bruk naar de er tilkoplet internett, spesielt hvis dette ikke kjerer via en hardwarefirewall foerst.
For aa ha nevnt dette ogsaa saa kan det nok ogsaa tenkes at enkelte spill kan ha prblemer med aa kjoere gjennom en hardwarefirewall selv om den ikke er saa strengt konfigurert. MS Messenger har ofte ogsaa problemer med aa kjoere lyd og filnedlasting via slike hardwarefirewalls.
Som sagt, naar det gjelder firewalls og sikkerhet saa er det nesten alltid til en viss grad et spoersmaal om aa veie funksjoner og sikkerhet mot hverandre.
Jo mere man tar vekk alt som heter firewall og lar det hele staa helt aapent jo enklere vil spill og alle internettfunksjoner fungere. Paa den annen side jo enklere vil det ogsaa vaere for en hacker.
Hvis jeg køber en hardware firewall og sætter min switch i behøver jeg så stadig at dele internettet gennem min server eller kan man kun undgå dette ved brug af en router ???
Du skal vanligvis og i 99,999 prosent av tilfellene kunne kople opp samtlige maskiner direkte opp mot switch/router/firewall slik at du ikke lengere vil ha behov for aa dele internettilkoplingen via serveren.
Bruker selv en slik loesning hjemme og har hatt 0,0 problemer med dette.
Det eneste jeg vil ta forbehold om det er cs og andre nettspill. Er selv ingen "stor spiller" og har ikke saa mye erfaring med denne bruken av internettt.
Naar det gjelder alle "ordinaer" internttbruk saa kan firewall/routeren brukes til aa dele internttilkoplingen i stedet for en PC som gjoer denne jobben.
Hjemme hos meg, saa bruker jeg ogsaa routeren paa en slik maate at jeg lar den staa paa 24 timer, hele tiden, slik at jeg i praksis har fast ip selv om jeg bare betaler for en dynamisk tildelt. Dette har samtidig den fordel at man i praksis har en "fast" ip, samtidig som det oeker sjansen for aa bli hacket noe.
Regner imidlertid med at firewall fungerer ok. Det har saa langt kjoert i 5 aar sammenhengende uten noen hackinger eller andre problemer.
Brukte tidligere et oppsett basert paa hardwarefirewall + delt internettforbindelse via en Linux/PC basert firewall bak denne. Fant ut at dette egentlig ble til mere sikkerhet enn det som jeg hadde bruk for, og kjoerer i dag en loesning basert paa en enkelt hardware/router/firewall og saa samtlige maskiner koplet rett opp mot denne. Bruker ogsaa softwarefirewall paa hver enkelt maskin, gratis Zone Alarm paa windows maskinene og innebygget iptables firewall paa Linux maskinen(e).
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
Ny bruger
Nybegynder
Opret
Preview
