Håber det er til at forstå. I øvrigt, hvis jeg har standard delinger på drev / mapper i mit LAN, vil det udgøre en ekstra risiko, eller er det ligemeget når jeg er bag firewall? Jeg går ud fra det ville være dumt at lave delinger på serverne. Vi taler i øvrigt NT / 2K OS.
Virksomheder er på vej fra store sprogmodeller, der svarer på spørgsmål, til AI-agenter, der kan udføre opgaver på egen hånd. Det gør teknologien mere nyttig – og langt mere risikabel.
Web, mail og ftp servere benævnes normalt som usikre tjenester, og skal du have sikkerhed med den slags kørende i dit netværk (hvis de skal kunne tilgåe udefra, og det skal de jo normalt) have disse kørnede i DMZ. Du kan her se en tegning af hvordan det kan se ud i et lidt større netværk
Ellers er update af alle dine systemer meget vigtigt og der er aldre værktøjer du også kan tage i brug, f.eks. intrution detection systemer som f.eks. Snort
Jeg er ikke sikker på jeg forstår det DMZ helt. (Har dog læst en del om det) Min tvivl ligger i hvordan jeg konfigurerer en firewall til at fungere forskelligt overfor 2 forskellige netkort. Hvis routeren forwarder de 3 porte til DMZ, vil firewall'en så automatisk forholde sig til LAN og DMZ forskelligt eller hvordan? Eller skal der noget smart opsætning til?
Hmm, nu jeg tænker over det, så er det vel egentlig et dumt spørgsmål? Man skal bare være sikker på at de usikre ting alle ender i samme blindgyde (og at man skal tilbage gennem firewall for at komme derfra til LAN) eller hvad? Firewall'en skelner mellem "udefra" og "indefra" forbindelser?
Du skal ikke være ked af at du ikke helt føler du forstår begrebet, der er en del forvirring og forskellige metoder at gøre den slags på. Her er et bud.
Hvis du ønsker maksimal sikkerhed, så bør du opsætte det således: Din web, mail og ftp server skal have faste routbare IP adresser. Dit interne net skal have ikke routbare ipadresser (side bagved en NAT router og det betyder nok endnu en router i forhold til tegningen). Selve firewallen skal helst være en applikations proxy der kontrollere helt op på applikations laget i OSI modellen.
Port mapping og pakkefiltrering giver en vis sikkerhed, men ikke nok i mine øjne.
Det du opnår ved at bruge en applikations proxy og DMZ er at der faktisk ikke foregår kommunikation mellem de tre net (intern net, internettet, dmz). Der foregår kommunikation mellem de enkelte net og firewallen og firewallen håndtere derefter den vidre kommunikation.
Desværre er en applikations proxy en dyr løsning, så for dit vedkommende kunne en løsning være en smoothwall løsning med 3 netkort
Alle firewalls holder øje med udefra og indefra og hvis firewallen har stateful inspection holder den også øje med hvilken host der har startet og hvor der sendes til. Således skulle kommunikation ikke kunne kidnappes
Hehe, nu må du sgu ik forvirre mig mere end jeg er i forvejen. Jeg troede egentlig ikke det var muligt at sikre web/mail servere meget mere end ved blot at holde de andre porte lukkede. I min opsætning øverst, med webserver og mailserver på niveau med firewall, og LAN bag firewall, er det helt skod?
En server er jo en maskine der er lavet til at servicere, derfor er de principielt udsatte, især hvis der er tale om web, mail, og ftp. Hvis du placere disse servere på samme net som resten af dine maskiner, er de også i fare, da en hacker kan bruge huller i disse servere til at komme ind. Derfor placeres de normallt i dmz, så er hackeren kun inde her og resten af dine maskiner er ikke i fare
Di øverste opsætning er ikke helt skod, du beskytter bare ikke din web, mail og ftp server og disse kan udnyttes til ting du ikke ønsker, hvis du placere dem i DMZ er de også bag firewallen, bare ikke samme sted som resten af dit net
Så i princippet, hvis jeg smider en firewall (ved godt det ikke er optimalt i forhold til DMZ løsning) foran serverne også, så det ser således ud: Internet >> Router Router >> Firewall >> Servere Router >> Firewall >> LAN - Så ville det give ca. samme effekt?
Og i og med at vi ikke taler om livstruende informationer der kan risikeres at blive stjålet / ødelagt, ville det så gå an med en af de gratis firewalls man kan få til win platform? feks zone eller tiny eller noget?
Du får ikke samme sikkerhed (idet jeg ikke er helt sikker på at jeg forstår din tegning), men det kan sagtens være at du får sikkerhed nok.
Problemet er ikke så meget at du kan få stjålet informationer som at andre kan udnytte dine ressourcer. Der kunne f.eks. være tale om at warze kiddies brugte dine servere til at udveksle piratsoftware og andre ulovligheder (de vil selvfølgelig hellere opbevare disse ting på dine servere end på egne) eller at din mailserver bruges til at angribe andre eller til at udsende spam med.
De personlige firewalls (zonealarm og tiny for at nævne et par få) er slet ikke gode nok. De er lavet til at beskytte personlige computere og ikke servere og slet ikke netværk. Der findes gratis løsninger til dette, f.eks. smoothwall
Men smoothwall er Linux, og ikke min stærke side... Hehe... Jeg må sgu nok hellere sove lidt på det, men du skal have mange tak for din tålmodighed og assistance. Jeg er da trods alt blevet klogere =)
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
