Avatar billede sjedb Nybegynder
09. august 2004 - 22:53 Der er 7 kommentarer og
1 løsning

Beskyttelse af firmanetværk

Jeg har en win2K server hvortil der er tilsluttet 3 arbejdsstationer, netværket er placeret bag en zywall-10 router, på serveren er placeret databaser, dokumenter m.m. som kun firmaets folk skal have adgang til. Jeg ønsker, at oprette en apache webserver på en winXp-prof maskine ligeledes placeret bag samme router. Webserveren skal både bruges som extranet og intranet. ER DER NOGLE SÆRLIGE SIKKERHEDSMÆSSIGE FORANSTALTNINGER JEG SKAL TAGE SÅLEDES, AT MAN IKKE VIA WEBSERVEREN KAN FÅ ADGANG TIL FIRMAETS ØVRIGE NETVÆRK.
Avatar billede erikjacobsen Ekspert
09. august 2004 - 22:55 #1
Du skal i hvert fald have en firewall mellem webserveren og resten af firmaets maskiner.
Avatar billede squashguy Nybegynder
09. august 2004 - 23:01 #2
Du må ikke placere den offentlige webserver på samme netværk. Det er den gyldne REGEL nummer 1.

Du laver en DMZ. http://www.samspublishing.com/articles/article.asp?p=25488&seqNum=8 kort forklaret.
Avatar billede bufferzone Praktikant
10. august 2004 - 13:12 #3
Det er der bestemt.

1. forsvar i dybde som det første princip. Det er ikke nok med en router med firewall funktionalitet instaleret, dette ene lag omgås relativt let, isæt hvis der ikke er stateful inspection i routeren. Du bør opstille en bastions firewall som andet lag mindst. og også have dine servere beskyttet af personlige firewalls .

2. Opdeling af nettet. DMZ er bestemt fornuftigt, men du kan segmentere yderligere med forskellige teknologier og også på den måde give din sikkerhed flere lag,

3. Hardening og locked down silent perimeter. Alle dine maskiner skal hardnes ordentligt. Din firewall og router konfiguration er absolut kritisk. De fleste firewalls er faktisk fejlkonfigureret med huller der kan udnyttes.

Dette er bare lidt af det. Jeg finder lige en link med en certificeringsopgave, der kan vise dig hvordan man griver en sådan opgave an. du vil kunne gøre noget tilsvarende. Det bliver ikke min egen opgave, da den først er færdig om en lille måned.
Avatar billede bufferzone Praktikant
10. august 2004 - 13:14 #4
Denne practical er skrevet af en dansker og den har fået Honors (hvilket betyder at den er bedre end god)

http://www.giac.org/practical/Peter_Vestergaard_GCFW.zip
Avatar billede sjedb Nybegynder
10. august 2004 - 17:48 #5
Ok der er et indlæg fra squashguy der anbefaler en dmz og der er et indlæg fra bufferzone der anbefaler at man læser dokumentation på størelse med en bibel.
Jeg er selvfølgelig glad for jeres deltagelse, men der må være en nemmere vej,
jeg kan ikke forestille mig, at det er nødvendigt at sætte sig ind i så meget tungt stof for at få en sikker webserver. Jeg mener en simpel a til z guide "gør dit gør dat". Min router indeholder sua/nat således at jeg kan dirigere alle kald til eks. port 80 til en bestemt server, er det således muligt at hacke sig ind på den anden server?
Avatar billede bufferzone Praktikant
10. august 2004 - 18:13 #6
Jamen deter der da, du kan betale dig fra det. Sikkerhed er ikke let, det kræver indsigt i komplicerede systemer og meget ander. Hvis det var let ville priserne i it sikkerheds branchen vikke være så høje som de er. Jeg tænker her både på priserne på uddannelse og konsulent priser.

Der er masser af guids på bl.a. http://www.nsa.gov, og det link jheg har givet dig indeholder en fremravende tutorial på hvordan du opsætter netfiler, ddu kan bare ikke bruge disse hvis ikke du har den nødvendige viden først. anbefalingerne vil ikke side dig noget.

Jeg har skrevet en del artikler her på eksperten som gerne skulle kunne give dig lidt overblik, men hvis din sikkerhed skal være i orden, så kræver det at du enten sætter dig ind i noget ret tungt stof eller kontakter en der allerede har sat sig ind i det.

Hvis du søger uddannelse, så kik på www.protego.dk de udbyder noget meget fornuftigt uddannelse (jeg har selv gennemført det meste af det) men kik på prisen, deter ikke billigt
Avatar billede sjedb Nybegynder
10. august 2004 - 22:13 #7
Ok buffer, Det her forum er de glade amatøres mødested.
Jer er helt sikker på, at du ikke behøver at fortælle nogen der deltager her, at
de bare kan betale sig fra problemerne via konsulenter eller tage en uddannelse.
Jeg kan læse af det indlæg, at du er en lærd mand så jeg vil forslå dig enten, at komme med positive og konstruktive indlæg eller slet ikke deltage i debatten.
Avatar billede sjedb Nybegynder
04. februar 2005 - 09:23 #8
Spørgsmål lukkes
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Uanset kodesprog, så giver vi dig mulighederne for at udvikle det, du behøver.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester