15. december 2000 - 16:17Der er
14 kommentarer og 1 løsning
Hvad faar jeg ud af at bruge en firewall ?
Her kommer et sikkert dumt sporgsmaal.
Hvad faar jeg ud af at bruge en firewall paa min webserver ? Alle de porte jeg skal bruge til at host skal jo vaere aabne paa firewall\'en og jeg har disabled NetBios ver TCP/IP + lukker alle porte jeg ikke bruger paa serveren. Saa hvis portene er aabne paa firwall\'en er der jo fuld adgang anyway saa hvad gavner den ? Hvis du laver nogen af portene stealthy vil de jo ogsaa vaere stealthy naar de skal bruges, saa det er jo ikke saa smart.
Fx er der jo ingen risiko for, at din webservers fejlopsatte porte og services kan udnyttes (der er KUN tilgang til port 80).
Din mailserver er også kun sårbar på port 25/110 osv - andre services på den er ikke tilgængelige - de er spærret af i firewall\'en.
Så det er da en stor fordel .. udover det er der jo al automatikken mod fx DDoS, portscanning, attack-tilbagevisning/simulering osv - men det er jo så mere end bare tcp/ip vi er inde på.
Ha ha, godt spoergsmaal. Er det ikke en korrekt antagelse at hvis et program ikke lytter paa en port vil denne port heller ikke vaere aaben ? Saa hvis man ikke har nogen programmer/services koerende ud over de absolut noedvendigste, saa vil portene heller ikke vaere aabne ? Og hvis Netbios er disabled over TCP/IP er der vel ikke fare for Netbios angreb over 137-139 ?
Steffen: Hvad nu hvis der ikke er nogen fejlopsatte porte (Et teoretisk tilfaelde) ? Mht til porte er der jo en del andre der skal vaere aabne hvis man tilbyder hosting etc: FTP (21/20), SSL etc. Kan angrebet ikke sagtens komme paa de noedvendige porte og hvad hjaelper firewall\'en saa ? Portscanning kan jo egentlig vaere ligegyldig hvis du kun har de noedvendige porte aabne. Du kan ikke lave disse noedvendige porte stealthy, for saa kan de jo ikke bruges.
DDoS: Den kan jo opdage hvilke IP der er \"slemme\" og bare afvise dem - det er nok de færreste web-servere der har den funktionalitet indbygget ..
Bedre logning = opdage mønstre etc, og sortere i informationen, baseret på fx lag 4 info, det er nok de færreste borderroutere der kan være med der.
Simuleret angreb = trække information ud af hackere - simulere et telnetlogin, lade brugeren forsøge sig med kommandoer etc, og på den måde få ham til at efterlade spor ..
Med de rigtige programmer på din w2k får du jo efterhånden hele firewall-funktionaliteten hevet ind på den .. og det er i nogles verden (også din, tror jeg) lige så godt som en separat firewall - men jeg foretrækker nu de to ting hver for sig til hver en tid.
steffen: Du kan da aldrig opdage hvilke ip\'er der bliver spoofet, der er jo ingen pointe i at give sin egen ip som afsender ip, så rammer det jo en selv ligeså hårdt, ideen er jo netop at give andre ip\'er, og på den måde opnå en selvforstærkende effekt.
lag 4 info? Hvilke lag4 info lader du din firewall filtrere på?
Ahhh... Nu forstod jeg den med den simulerede, hmm, det hjælper jo ikek meget, med mindre man er skizo-imperialistisk-fasci-bofh der gerne vil smide alle hackere i spjældet for livstid. Eller hvis man bare syntes at det er sjovt selvfølgelig :)
(til sidst vil jeg bare lige sige at der rent faktisk står en firewall før mit netværk)
run: Jeg har noget grej inden for firewallen der ikke kan sikres, hverken på tcp niveau eller med username/password. Og så nogle maskiner som jeg ikke har ansvaret for, og derfor ikke stoler 100% på. Og den sidste grund, det ser godt ud på salgsmateriale.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.