Hjælp!!!!! sikkerheden skal i top!!!!

glemte at sige at bugettet er stort nok til at priserne på softwaren er ligegyldig og derfor ikke tæller i bedømmelsen.... skal bare være det bedste af det bedste

Pyha... det er lidt af en omgang...
for at skjule IP adresser m.m. vil det nok være en fordel for dig at oprette det man kalder en DMZ zone (De-Militarized Zone) Det er en "sikker" zone bag en firewall, hvor hver enkelt forespørgsel fra en bruger kun ledes derhen hvor den skal og ikke andre steder! (hmm. tåbelig forklaring, men jeg håber du forstår). Firewallen skal understøtte NAT/Masqerade for at kunne skjule IP adresserne.
Alle de sjove netprogrammer kazaa, icq osv. kan fint komme til at virke. Det er kun et spørgsmål om at åbne de rette port i firewallen(e).

Antivirus er kun interessant når vi snakker mailsystemer. (Selvfølgelig skal der være noget løbende scan på dine filservere)

Find en hacker? Well, mange firewalls har et "Intrusion Detection" system til det formål.

Spyware kan du fint finde med lavasoft´s ad-aware, men det giver den ulempe at du skal rundt til samtlige maskiner og installere det. Der findes nogle kommercielle programmer der kan scanne netværket for spyware og andre sikkerhedshuller.

Til Kryptering er PrettyGoodPrivacy en ganske glimrende løsning.

Og så lige en slutkommentar fra en Linux-fax:
Hvis du mener det seriøst med sikkerhed, så drop microsoft! ;o)

PS! Der er intet der hindrer dig i at køre Linux eller andre unix-baserede systemer på dine firewalls!
Mange af de færdigkøbte firewalls er også baseret på Embedded Linux!
/Buck

En grundregel: Skal sikkerheden i top, må du ikke have firewalls og andet sikkerhedssoftware liggende på dine servere. Det skal placeres i separat hardware!

Der er nogle gode løsninger her: http://www.tryus.dk/start.asp

...systemet køre standalone, dvs at det ikke kan køre gennem lan.... men hele konceptet ligger i at maskinen kominikere alene gennem nettet og kan holdes mobilt!!..... så kan jeg vel ikke oprette en sådan zone eller hvad???? er det en form for hardware basseret firewall du hentyder til ..tror ikke helt jeg forstår dig!!

It sikkerhed i et sådant system er et stort ansvar og kræver mere viden end man lige regner med. Her er hvordan jeg mener du bør kikke på sikkerheden.

Det første du skal gøre dig klart er hvorfor din virksomhed bør beskeftige sik med sikkerhed og dermed hvad der falder ind under dit ansvarsområde. Sikkerhed drejer sig om følgende:

1. Tilstedeværelse af data. At dataen er tilstede for dem der skal bruge den
2. Dataens confidentialitet. At dataen kun kan ses af dem der har lov til dette
3. Dataens integritet. At dataen kun kan ændres af dem der må.

1. Her taler vi bl.a. oppetid. Hvor god skal din oppetid være. hvis den nu er 95 % og du kan regne ud at en investering på 10.000,- kr. kan bringe den op på 99%, så skal du regne med at putte et nul mere på, hvergang du sætter en decimal mere på. D.v.s. 100.000 kr. for en oppetid på 99.9% 1000.000 kr for 99.99 osv osv. Disse tal bør kunne hjælpe dig til at rådgive dine beslutningetagere i hvilken oppetid de mener er acceptabel. Her er nogle parametre der har indflydelse.

Strømforsyninger: Flere strømforsigninger i alle dine servere, UPS på alle dine servere og netværksudstyr. Netværk og PC bør altid fødes fra separate tavler med jord.

Backup: overvej hvordan du tager dine backup og hvor hurtigt det er nødvendigt at kunne restore, måske er det ikke alt data der skal kunne restores lige hurtigt. Husk altid at opbevare dine bagup medier i et andet rum end dine servere (sikring mod brand) helst i en anden bygning og allerheldst et halt andet sted end virksomheden. Backupmedier skal opbevares i brandgodkendte skabe, ikke i kælderen, da alt vandet fra brandvæsnet altid havner der (servere bør heller ikke være placeret i kælderen.

Fysiske forhold i dit serverum. Rummet tyverisikret og overvåget, brandsikring og hvis du har vandinstallationer (herunder gulvafløb) skal disse sikres og overvåges. Køling så du kan komme af med overskudsvarme. Kabling lavet overskueligt og gerne så kabler kan overvåges.

OPsætning af maskiner og udstyr: Alle dine maskiner, både servere og arbejdsstationer, skal være fuldt opdateret og patchet, både operativsystemer og applikationer. Alle maskiner skal sættes op efter de vejledninger du kan finde på www.nsa.gov www.cert.org og www.sans.org. Brugerne skal begrændses i hvad de kan og maskiner sættes op så de er sikre.

Filsystemer: Brug NTFS på alle maskiner og accepter ikke fat nogle steder. Brug de faciliteter der findes i NTFS og sæt det op så dine brugere kun kan se og bruge det de har brug for.

Antivirus: skal findes på alle maskiner og opdateres centralt så du er sikker på at alting altid er opdateret.

Firewall: Du skal have en ordentlig firewall. her du usikre tjenester kørende i dit net, sksla disse placeres i dmz. Disse tjenester er ftp, web, mail.

anie ... synes ikke der er en løsning som kan skjule ens ip????

Jeg fortsætter lige

Hvis du har særligt følsom data, bør denne opbevares på flytbare medier der er krypteret og fjernes fra nettet når de ikke bruges.

Dette var bare lidt, jeg vil anbefale dig at tale med en der ved noget om dette. Jeg laver selv dette professionelt og hjælåer gerne, der findes også andre i branchen

Mht at skjule din IP kan alle ordentlig firewalls lave dette det hedder NAT network adress translation og er en nødvendig del af sikkerheden

bufferzone .... du har fuldstændig ret ... og står selv for et lignende system...... problemet er at systemet ikke er et netværk..... men et projekt jeg ikke kan nævne for meget om, men det er et stand alone system, som komunikere gennem et mobilt cabelmodem.... så mit primære problem er at finde et program som kan skjule systemets ip-adresse!!! men en masse gode svar mangler bare lige det sidste for at kunne give pointene"!!!

hvad er det for ordentlige firewalls du taler om ..skal være en software firewall...... og hvordan fungere det????

buck ... hvad er NAT/Masqerade ... og hvordan fungere det????

og hvad er fordelen/forskellen på NAT og proxy???? kan man ikke køre hele ens netværks forbindelse gennem flere proxy servere ved hjælp af et eller andet program?????

Et netværk er et netværk!
Om det er med mobile klienter der connecter gennem "mobile cabelmodem" eller om det er kabel. Det kommer ud på det samme.
Begrænsningerne skal sættes i IP protokollen uanset hvad!

bufferzone ... du virker som om du har styr på det her!!!! men det er ikke et traditionelt system... og trationelle metoder kan derfor ikke bruges!!!!!

Du har ret buck.. prøver bare at forklare at der ikke vil være en mulighed for at køre en hardware basseret firewall som køre linux mellem systemet og nettet!!!

NAT = En "oversættelse" af en IP-adresse.
Hvis f.eks. 5 servere står bag en NAT med hver deres IP adresse, vil kun NAT´ens IP adresse være synlig på ydersiden. (nu kniber det med forklaringerne igen)
Dvs. NAT for modparten til at "tro" at det er en hel anden IP adresse det drejer sig om.

Proxy fungere i bund og grund på samme måde, men indeholder Cache. Dvs. den gemmer oplysningerne så den kan genbruge dem og derved (påstår nogen) øge hastigheden.

Software firewalls er ikke nær så sikre som dedikerede hardware firewalls.
Så firewalls skal helst ned i sit eget hardware.

Sidder der et "cabelmodem" direkte på din server?
Kan dette evt. "skubbes" ud på den anden side af en firewall?

desværre kan der ikke være nogen hardware firewall !!!! kan ikke komme nærmere ind på hvorfor ... bortset fra at systemet er mobilt...!!!! kan man køre proxi mellem systemet og forbindelsen gennem softwaren???? så alt trafik gennem nettet går gennem proxi og ikke kun når det er browseren????

Jeg vil egentlig give bufferzone ret...
Du bør nok kontakte et netværksfirma af en eller anden art. Om ikke andet så bare for at få den rette rådgivning.
Du vil sikkert også have det bedre med at "afsløre hemmelighederne" overfor sådan et firma, end overfor os "ukendte selvudnævnte eksperter".

Du er selvfølgelig velkommen til at konsultere os her, men måske i lidt mindre bidder...

Hvis ikke du har prøvet det før, kan det være en meget stor mundfuld at skrue sikkerheden op, og det er meget nemt at overse en vigtig detalje.

man kan godt køre "software proxy".
Jeg har selv engang brugt www.wingate.com til dette, men jeg droppede hurtigt proxyen da jeg ikke følte at mine brugere fik noget ud af det. Idag kører jeg kun med Masqerade. (Linux version af NAT)
Men Wingate kan måske være interessant for dig. Idag kan wingate vist osse samarbejde med virusscanner.

Men husk! Sikkerhed er et spørgsmål om paranoia!
Et 100% sikkert system findes kun hvis du trækker stikket ud! ;o)

.... Jeg har arbejdet med sikkerheds systemer gennem en årrække... mit problem er at lige netop dette system er anderledes... mit bundlæggende problem ligger i at jeg skal bruge noget software som kan skjule ipadressen for hele forbindelsen ... og ikke kun for http! når man bruger browseren!!!!!

fortæl mig lidt mere om wingate og du får pointene .... kan den skjule forbindelsen for alt trafik ... eller kun for browseren???

...vil en amatør hacker feks kunne se min ip gennem kazza, icq og mirc????

ups ... glemte at sige at softwaren som laver proxy forbindelsen ikke må indeholde firewall og av!!!! det gør wingate!!!

Kan du ikke "skjule" systemets kommunikation i et almindeligt netwærk med VPN og kryptering således at du etablere vpn krypterede tunler over nettet hvorigennem den netværkstrafik du ønsker at skjule køre (også krypteret)

Elle du kunne anvende et dialback system og så køre krypteret over dedikerede linjer, helst med hardware kryptering i begge enden. Sådant et netværk køre jeg

puha... nu er du ved at være hård...
Jeg brugte godt nok wingate med firewall og "intrusion detection", men jeg mener dog at dette kan kobles fra.
Jeg brugte i øvrigt wingate til alle services. FTP, HTTP, ICQ m.m. det er kun et spørgsmål om at åbne de rette porte...
Jeg skal lige prøve at kigge i mine gamle papirer fra dengang jeg brugte wingate, så vender jeg tilbage. (i morgen)
Der findes mange "software proxy" systemer som wingate, men prøv at læse lidt mere på www.wingate.com og se om det giver dig en ide om hvorvidt det er det rigtige...

bufferzone --- kan man så ikke stadig se min ip????

Ikke hvis du skjuler systemets kommunikation i en vpn tunnel. du kan forøge sikkerheden ved at bruge ikke routbare ipadresser og kryptere datastrømmen

Hvis jeg skal prøve at forklare hvad jeg mener. så etablere du et netværk med ip adresser og det hele. Dette netvæek etablere vpn tundler der er krypteret. Inden i disse tundler etablere du systemets netværk, e.v.t. med disse datastrømme krypteret.

Det vil kræve en del muskler og tid at hacke det

bufferzone findes der et program som kan styre det ..eller hvordan sætter jeg det op???

oki buck .. du skal have tak.. måske du får pointene i morgen så!!!!! er ked af at jeg er hård .... men må finde en løsning!!!!

Det kræver en del. Først skal du have en VPN enablet firewall og en klient (eller to vpn enablede firewalls) mellem de stationer der skal kommunikere. når tundlen er oppe etablere du systemets forbindelse igennem den etablerede tunnel. En firewall som zywall 1 har 1n vpn kanal og kan dette

hvordan etablere jeg de der vpn tundler !!! Er der et program som kan hjælpe????

begere> Kryb til korset overfor din arbejdsgiver og fortæl dem at du ikke har den fornødne viden til at løse opgaven. Det vil enhver god chef vide at sætte pris på.

Der er ikke noget værre end halve løsninger, og jeg tror jeres sikkerhedsproblemstilling har det bedst med en analyse fra et konsulentfirma eller lignende.

Ellers risikerer du at kaste en masse gode penge efter en halv løsning.

undskyld jeg spørger men kræver det ikke hardware firewalls ... eller hvad mener du?????

Det sætter du op i firewallen. Hvordan det praktisk gøres afhænger af hvilken løsning du vælger.

Jeg tror faktisk at det kunne sættes op mellem to linuxmaskiner og at du måske kan læse om det her http://www.sslug.dk/linuxbog. jeg har kun praktisk erfaring fra de hardware bokse jeg bruger på arbejde og de er ikke til at røre for penge for almindelige mennesker, hvis de overhoved kan købes.

En zywall 1 koster små 2.000,- kr. den giver en VPN kanal og stateful inspaktion firewall for prisen. Det er faktisk ret billigt

jer er i vrigt meget enig med Le barto

...må ikke være en hardware løsning!!!! desværre ..søger noget i stil med det buck nævnede ...wingate!!!

Du får ikke en løsning med det sikkerheds niveau du ønsker uden at opsætte en eller anden form for hardware. Software løsninger er simpelthen ikke sikre nok og giver ikke funktionalitet nok. De kan lige slæbe an til stand alone hjemme pc'en

som sagt en form for software - "proxy server" løsning der kan føre hele forbindelsen gennem proxy og ikke kun browseren!!!!

Det er en nødvendig hed for systemet at det er en software løsning!!!! siger heller ikke at systemet behøver være perfekt ... men skal kunne sørge for at en amatør hacker ikke kan se ip-en!!!!

man skal helle ikke kunde spore ip-en med en trace router!!!

Rolig med de der !!! hele tiden. Man tror jo du skælder ud!!!

jeg tror ikke du opnår den sikkerhed med en softwareproxy løsning, den kræver en eller anden form for firewall, til at håndtere NAT, VPN osv.

Et alternativ ville være at køre det over dial up forbindelser. Sandsyneligheden for at der sidder en hacker på en sådan forbindelse er meget lille.

Hvis din ip ikke må kunne spores med tracerout, så skal den være ikke routebar det medføre en eller anden form for NAT

Lad være med at anvende PrettyGoodPrivacy, der er nemlig lavet en backdoor i de nyeste versioner.

En af verdens bedste krypteringsløsninger, der bygger på kaos teori. Produktet er ved at være færdig udviklet.

Link: http://www.cryptico.com/

/per

Jeg har nu kigget lidt i mine gamle konfigurations udskrifter, og har også kigget lidt på hvilke nyheder der er kommet i de nye versioner af Wingate, og må nok konkludere at Wingate godt nok kan bruges, men ikke er helt optimal til dit behov.
Jeg er dog sikker på at du stadig skal kigge i retningen af noget proxy halløj med kryptering om du vil.
Måske MS-Proxy kan tilbyde noget brugbart? Jeg har godt nok aldrig leget med MS-Proxy, da det altid har været for dyrt til mine behov, men jeg ved at det bliver brugt mange steder, også i seriøse sammenhænge...

Jamen Buck dog! Peger du nu på et M$ produkt?? Well, ja, det gør jeg vel. Men jeg tror nu stadig det ville være klogt at kontakte et professionelt konsulentbureau, der kan analysere dine præcise behov og anbefale den helt rigtige løsning.

/Buck

Tak buck ... du er ved at være inde på det jeg søger!!! vil checke MS-proxy ud og se om den dækker behovet!!! hvis den gør har du fortjent poientne!!!

!!!

Hvad med Sockscap32 ??? kender i det??? findes der et program ala stealther som kan køre forbindelsen fra sockscaps gennem nogle anonyme servere som kan sløre ip-en????

Jeg er kommet frem til at jeg vil bruge socks5 proxy servere til at beskytte systemets ip!!!! findes der et program som på lovligvis kan finde gratis sockets proxy servere, og teste disse???????

Lukker indlæget...

du skriver :

glemte at sige at bugettet er stort nok


tag på et kursus og lær alt om it sikkerhed ,hvad der er sagt indtil nu er jeg kun enig i