Firewall til ADSL ??

hopper lige med her... <O>

:-) Du er velkommen!

:-) Lars

Lytter også lige med !

Mht. en software FW, kan man jo altid bruge ZoneAlarm fra http://www.zonelabs.com !

Snowball

Snow >> Også når det er servere der er tale om?

Effektiv FireWall til ADSL tjek spørgsmål http://www.eksperten.dk/spm/24091

ZoneAlarm til at lukke alle småhuller. og
e-Safe til at tjekke den officielle port.
www.esafe.com
Hvis man vil betale for sikkerheden så er der også et glimrende produkt i Norton InternetSecurity 2000 hvor der nævnes fire måder for beskyttelse:

Eliminerer farlige Viruser, inden de kan volde skade
Forsvarer din PC over for gemene hackere
Beskytter dine personlige oplysninger mod nysgerrige blikke
Giver mulighed for indstilling af forskellige adgangsniveauer for forskellige brugere.

Pris i denne uge i Electronic World kr. 639,00. Kan måske \"fåes\" billigere

Tak for henvisninger til software firewalls.

Som jeg skrev vil jeg foretrække hardware firewall, blandt andet fordi jeg ofte bytter om på \"rollerne\" for de enkelte PC\'ere i mit netværk.
Jeg lader spørgsmålet være åbent lidt endnu.

:-) Lars

kharder >> Er zonealarm en optimal løsning til fx Webserver? (IIS)

hojben du kan prøve at kikke på denne side http://www.zonelabs.com/zap.htm . Der er kommet en ny prof udgave, som jeg ikke har haft fingerne i endnu. Jeg selv bruger 2 systemer som du kan se i min tidligere besvarelse.  Jeg personlig vil mene, at ZonaAlarm for den lille erhversdrivende, som har sin hjemmeside liggende på sin egen server, der ikke bliver brugt til at surfe med, der er ZonaAlarm et godt alternativ. Jeg vil dog nok stadig lægge eSafe ind som en ekstra sikkerhed. 

Når ZoneAlarm pro er ikke sådan lige at komme til at teste. Det koster USD at prøve.

Jeg vil gerne kommentere jeres indslag, så jeg starter med det sidste :-)

Zonealarm PRO er ikke det værd at investere i, hvad du får i forhold til freewareversionen er ikke meget.
Hvorfor? Min NIS har fanget alle forsøg FØR zonealarm! Hvordan kan jeg vide det! Jo, se her...

========copy start================
Rule \"Default Block Hack \'A\' Tack Trojan\" blocked (Storebror,31789).  Details:
Inbound UDP packet
Local address,service is (Storebror,31789)
Remote address,service is (213.238.4.45,31790)
Process name is \"N/A\"
=======copy end=================

Som i kan se, er det en server i Saudi Arabien og jeg fik da også fat i deres sysadmin og et retursvar der betød at brugeren blev smid af.

Sikker webserver på ADSL! Det kan kun være en Linux maskine med en Gaunlet firewall - det har jeg fået at vide af en der er højtuddannet indenfor IT verden.

Hmm...hvad hvis man bare vil beskytte sit private netværk fra adgang udefra? TeleDanmark forsøgte engang at prakke mig noget fastlinie på, og der nævnte de noget med at den medfølgende router havde hardware firewall indbygget. Findes der ikke noget lignende til brug sammen med ADSL??

>>manon: et link til \"Gaunlet firewall\" ??

:-) Lars

Nå ja - før havde jeg Nobo kørende og fik ialt 13 alarmer, både fra .com og .de servere.

Min mening omkring dette emner er at hvis en hacker ønsker adgang, så får han det også, specielt til vores små maskiner. Men hvad for de ud af det? Password til xxx sites - tekstfiler med brugernavne måske! Jeg har ikke hørt om noget der har fået tømt der hus og konto, men på den anden side - man vil jo gerne have sine ting i fred :-)
Jeg tror der er drengestreger, alle netbus/BO hackprogrammer ligger frit derude , så det meste sker \"for sjov og ballade\".

Det det irriterer mig så grusomt, er at Microsoft har tjent milioner på at sælge et system der er så usikker og med så store huller som der er i dag.

\\manon

altinet > det aner jeg desværre ikke, for min private \"fessor\" og \"guru\" har desværre ikke haft tid til at komme forbi og sætte sådan et system op for mig, men den dag det sker skal jeg nok videregive alle informationer.
Så alt hvad jeg ved vedr. det emne er kun fra telefonsamtaler og emails.

Manon, jeg vil da lige gøre opmærksom på, at lige så hurtigt, som en forsøger sig er min Zonealarm der med det samme. Pro udgaven er ny så den kender jeg ikke endnu. Jeg har testet nis og fundet den alt for besværlig at arbejde med. Det er dog ikke usansynligt, at jeg tager et tjek på programmet igen. Så skal det blot ikke være en demoudgave men fulde version. 

kharder > jeg give dig ret, at NIS kan/er meget besværlig.

Ku\' vi evt. komme tilbage til HARDWARE Firewall løsninger ??!!

:-) Lars

Hvis i får leveret en router med til jeres ADSL er der vel en hel del firewall faciliteter med \"oven i hatten\". Ciscos ip filtering (access-list) kan da gøre en del ...

Men ellers er en linux/openBSD med et par netkort i, da en ganske billig og flexibel løsning.

manon: Så fed er Gauntlet altså heller ikke :)

Og iøvrigt: en ting som zonealarm, giver det meget mening at installere firewallen på den host der skal beskyttes? Tænk over det. Så er netværket jo ikke delt op, som med en firewall, på to forskellige interfaces. Er ZoneAlarm ikke mest et stykke legetøj der gør folk paranoide? :)))
(Den får jeg smæk for!)

/Beaviz

Jeg har fundet en oversigt over features på den medfølgende Router (Cisco 677 ADSL Router):

http://www.cisco.com/univercd/cc/td/doc/pcat/677.htm

Er der nogen der kan dekode fagudtrykkene og fortælle mig om der er en form for firewall inkluderet??

:-) Lars

nej

>>Kharder: nej hvad ? Der er ingen der kan dekode fagudtrykkene, DU kan ikke dekode fagudtrykkene, der er ingen firewall inkluderet, eller hvad mener du??

(lidt mere informative svar, please)

:-) Lars

Cisco routeren har NAT faciliteter og ip filtering.
Det betyder at den kan oversætte flere \'private\' ip adresser til en \'public\' ip adresse.
Ip filtering er en function til at bestemme hvor man vil have routed definerede ip pakker, altså en form for firewall.

Så er det også ved at være en tynd beskyttelse victor44

OK...for at opsummere..:

Cisco routeren har en vis form for indbygget beskyttelse.
Kombiner denne med e-Safe og/eller ZoneAlarm, og du får GOD beskyttelse.
Korrekt??

..Og er der ingen der kender til dedikeret hardware firewall udstyr ??

:-) Lars

Køb en gammel 486 på 50-100 mhz smid en 30-40 mb ram i den og læg linux ind på den.

så installere du ip-masqurading og firewaling(sikker stavet forkert), og så har du både firewall og router.

Ja det var selvfølgelig også en mulighed,....jeg spørger igen. Er der nogen der kender til DEDIKERET FIREWALL HARDWARE, altså en \"kasse\" der ikke laver andet end at være firewall.

:-) Lars

Hmm, jeg checker det lige ud.

Og bagefter skal jeg ud at skyde gråspurve, med atomraketter!

Her var lidt, denser helt ok ud:
http://www.heathcomm.dk/content.asp?HovedKategoriId=5&NyhedsId=14

<img  src=http://www.heathcomm.dk/vis_billede.asp?billedeid=178>

 
Nyheder 
 
30-08-2000
Nu kun kr. 4.995* for en komplet sikkerhedsløsning til det lille kontor eller hjemmearbejdspladsen
 
Den unikke 3-i-1 boks fra NetScreen sikrer en eller flere PCer mod hackerangreb fra Internettet og giver derudover mulighed for at kommunikere sikkert over Internettet ved hjælp af krypterede VPN tunneler. Endelig har den mulighed for at prioritere datatrafikken således, at for eksempel voice pakker får højere prioritet end datapakker.

I modsætning til andre firewalls, som er baseret på software bygget omkring et kendt styresystem, så er NetScreens produkter opbygget omkring deres egen udviklede chip, hvilket foruden større sikkerhed også giver langt bedre ydelse.

NetScreens firewall bokse adskiller sig fra andre fabrikaters bokse ved at have et brugerinterface, som gør det muligt for almindelige PC brugere at opsætte og installere den på en sikker måde. Der kræves således ikke en dyr ”support ingeniør” for at få sikret sit netværk.

Kontakt os og hør mere om hvordan vi kan sikre din arbejdsplads mod hackerangreb og samtidig åbne op for sikker kommunikation over Internettet. Ring på 70 22 11 30 eller udfyld kontakt formularen og vi sender dig alle de informationer, du ønsker.

Prisen gælder ekskl. moms og ab vort lager i Søborg.

* OBS prisen gælder versionen med 10 bruger licens. Ring for priser på øvrige modeller.



 
30-08-2000      Nu kun kr. 4.995* for en komplet sikkerhedsløsning til det lille kontor eller hjemmearbejdspladsen 
04-08-2000      Cisco & RAD - sådan benyttes RAD sammen med Cisco produkter 
31-07-2000      Spar penge - spar plads! 
31-05-2000      Firewall og VPN boks med Wirespeed Gigabit interface 
01-05-2000      Ny serverswitch med intuitiv on-screen menu - et stærkt alternativ til styring af op til 8 servere 
17-04-2000      Transparente E1/BRI over Ethernet 
02-04-2000      IT kommunikationsfirmaet Heath Comm etablerer sig i Danmark 
 
 

Nå den ville ikke vise billeder!

TAK...endelig lidt om hardware firewall. Links er velkomne, men erfaringer endnu bedre!

>>cybermike: *S* held og lykke med gråspurvejagten.
For mit vedkommende var spørgsmålet netop om hardware firewall kunne fås til en overkommelig pris. Overkommelig skal ses i forhold til det mulige tab ved hacker angreb, eller lignende. I mit tilfælde sidder vi med en filserver der indeholder adskillige kunders eneste backup af deres websider (foruden dem på deres webhotel, som man alligevel ikke kan regne 100% med) samt 3 PC arbejds stationer med arbejdskopier af mindst lige så mange webs. Alt ialt mange hundrede arbejdstimer. Så er 5000,- en gang for alle ikke det helt store.

:-) Lars

Ja, så kan jeg også godt se at det er nødvendigt, selvom jeg nok ville vælge at lade være med at slutte filserveren til internettet.

Det er jo netop det jeg vil undgå. Filserveren er en uundværlig del af vores netværk. Men den skal IKKE kunne nås via internet. SAMTIDIG skal alle arbejdsstationer have ADGANG til internettet, men skal heller ikke kun NÅS FRA internettet. For at det ikke skal være løgn, planlægger vi ligeledes at opsætte webserver, på samme ADSL linie, som SKAL kunne nås fra intenettet. Såh....jeg har vurderet, at vi nok har brug for noget firewall funktionalitet på en eller anden måde. AT jeg foretrækker hardware firewall er først og fremmest fordi den er uafhængig af status for den enkelte PC/server i netværket.

:-) Lars

Tjah....det var jo ikke det store point orgie, men jeg syntes alligevel at jeg skulle tænke lidt over hvordan det skulle fordeles.

kharder: 0 point (for kun at svare vedr. soft løsninger)
beaviz: 5 point (for henvisning til Cisco\'s IP filtrering)
victor44: 10 point (for at \"oversætte\" Cisco\'s spec\'s)
cybermike: 15 point (for at finde en hardware løsning)

>>Aldrig er så mange blevet så glade for så få point ??<<

Håber I tilgiver

*G*

:-) Lars

<;o) Jeg takker!

kharder >> hvem snakkede om sikkerhed ?
I øvrigt kan ovenstående hardware firewall ikke noget som ciscoen ikke kan, det er bare prisen der er anderledes.

Sikkerheden i at have en \'rigtig\' firewall består også i at den kan overvåges på en fornuftig måde.
Mange hardware firewalls gør hvad de skal og ikke mere. Ingen log, ingen beviser og ingen chancer for at se hvad der går galt før det er for sent.
Svagheden ved alle firewalls er ikke så meget de data de skal holde ude, men i mange tilfælde mere de data de skal holde inde. Den største trussel er altid brugerne. De vil kunne det hele uden begrænsninger men samtidig beskyttes. Det siger sig selv at det er en opgave med mange kompromisser.
Ak ja.

>>Victor44: Mener du at Cisco\'en kan yde samme beskyttelse som den nævnte firewall fra NetScreen?? (hvor høj/lav den end måtte være)

:-) Lars

Hvis netscreen ikke har statefull inspection af trafikken, så ja. Mange Cisco\'er har endvidere mulighed for at lave logning af trafikken og det tror jeg ikke at du får med i den anden.
Jeg har ikke læst spec. på den. Så korrekt mig hvis jeg tager fejl og jeg læser straks spec. og kommer med en ordentlig sammenligning :-)

Du kan lave to separate netværk, et som er forbundet til nettet og et som ikke er så er sikkerheden 100%

>>Victor44:
Jeg investigerer og kommer tilbage. Har du en mailadresse hvor jeg må plage dig?? (min: altinet@altinet.dk)

>>cybermike:
Adskilte netværk,...hvordan skal jeg så flytte data fra det ene netværk til det andet, når jeg skal uploade arbejdskopier til drift??

:-) Lars

Det lyder rigtig victor44, men i dag tæller prisen meget for de privat brugere. Det kan selvfølgelig være svært ind i mellem her på eksperten at gennemskue om der er tale om privat eller erhverv. Min egen tanke en effektiv er en server som kun har sikkerhed til opgave, og hvor de øvrige maskiner i virksomheden bliver afkoblet, når man er færdig på nettet.

Jeg mener det er uforsvarlig, at have sit egentlige varelager registreret på nettet f.eks. Det skal altså ikke være muligt, at arbejde direkte online i databasen, som indeholder virksomhedens varelager.

Men med dette kommer vi vist for langt væk fra selve spørgsmålet.

Cybermike >> 100%.... hmm
Altinet >> Man opretter en DMZ hvor servere på internettet placeres.

Kharder >> enig enig enig :-)

Jeg fandt dette om den nævnte hardware firewall:

http://www2.netscreen.com/pub/products/ns5.html

Jeg beklager i øvrigt at jeg ikke fra starten gjorde det HELT klart, at det er til et mindre firma.

:-) Lars

altinet>Hvis du har to netkort i samme maskine, et som er sluttet til routeren og et som er sluttet til filserveren, så kan computeren nå begge netværk, men de kan ikke nå hinanden ibyrdes.

Victor44>>Det ER 100% sikker, hvis man da ikke er en newbie som installere wingate på en af computerne.


altinet>Men vil du være helt sikker, så pil filserverne fra nettet og køb at stak zip drev og flyt dine data på den måde, så er det 100% sikkert.

Cybermike >> Lad mig lige slå fast at den eneste firewall der er 100% sikker er en firewall uden netværks interfaces, keyboard, strøm osv.
Kort sagt den eneste forbindelse der er sikker mod indbrud er den der ikke er der.
Sikkerhed er ikke kun en sikring mod indbrud, men også en sikring mod nedbrud.
WinGate er IKKE sikker, men kun en rimelig nødløsning for små private hjemmenetværk.

Jeg vil gerne lige opsummere mine meninger lidt:
Den ENESTE firewall der er ren hardware, er luft.
Der skal ALTID software til. Indpakningen/kassen der er omkring er ligegyldig.

victor>Jeg sagde netop at Wingate var en sikkerheds brist og at min løsning var sikker hvis det ellers var kompetente folk der arbejdede med maskinerne.

Beaviz>Du har delvist ret, men forklar mig lige hvor grænsen mellem hardware og software går, går det ved en cpu der kan udfører forskellige programmer, eller ved en chip som er designet specielt til et bestemt formål, den grænse er faktisk meget svær og sætte.

I min terminologi er forskellen på en hardware og en software løsning netop som cybermike beskriver.
En software kan stoppes/crashes og er afhængig af den PC/CPU den kører på, og som måske samtidig laver meget andet.
En hardware løsning kører uafhængigt af serveren, kan ikke på samme måde crashes. Selve programmet ligger i en dedikeret chip (tager jeg fejl?), som ikke laver andet, og som kun kan opdateres (hvis den overhodet kan opdateres) via direkte forbindelse til den serielle (f.eks.) port til kontroldata der findes på selve firewall-boksen. (F.eks. på den NetScreen firewall der er nævnt tidligere i dette spørgsmål).

Er det helt forkert opfattet??

:-) Lars

altinet>Hvis man kan opdatere den via den serielle port så er det jo netop hardware der bare køre på en computer som ligger inden i den grå plastic æske.

Ifølge mig er grænsen når chipen fra start er tegnet til at lave den opgave den nu skal lave og kan derfor ikke opdateres.

Selvfølgelig skal konfiguration være muligt.

>>Cybermike...my point exactly.(det var det jeg mente):
-Dedikeret chip der ikke i sig selv kan opdateres
-Konfiguration (ikke \"opdatering\" -my mistake!) ved kabel forbindelse direkte til serielport.

:-) Lars

Hmm, ok jeg troede bare jeg havde mistforstået......no bad fealings!!