Avatar billede run Nybegynder
15. december 2000 - 16:17 Der er 14 kommentarer og
1 løsning

Hvad faar jeg ud af at bruge en firewall ?

Her kommer et sikkert dumt sporgsmaal.

Hvad faar jeg ud af at bruge en firewall paa min webserver ?
Alle de porte jeg skal bruge til at host skal jo vaere aabne paa firewall\'en og jeg har disabled NetBios ver TCP/IP + lukker alle porte jeg ikke bruger paa serveren.
Saa hvis portene er aabne paa firwall\'en er der jo fuld adgang anyway saa hvad gavner den ?
Hvis du laver nogen af portene stealthy vil de jo ogsaa vaere stealthy naar de skal bruges, saa det er jo ikke saa smart.
Avatar billede hojben Novice
15. december 2000 - 16:19 #1
hmm hvordan har du lukket for portene på serveren? fx port 137-139..

Avatar billede steffen Nybegynder
15. december 2000 - 16:27 #2
Fx er der jo ingen risiko for, at din webservers fejlopsatte porte og services kan udnyttes (der er KUN tilgang til port 80).

Din mailserver er også kun sårbar på port 25/110 osv - andre services på den er ikke tilgængelige - de er spærret af i firewall\'en.

Så det er da en stor fordel .. udover det er der jo al automatikken mod fx DDoS, portscanning, attack-tilbagevisning/simulering osv - men det er jo så mere end bare tcp/ip vi er inde på.
Avatar billede run Nybegynder
15. december 2000 - 16:30 #3
Ha ha, godt spoergsmaal.
Er det ikke en korrekt antagelse at hvis et program ikke lytter paa en port vil denne port heller ikke vaere aaben ?
Saa hvis man ikke har nogen programmer/services koerende ud over de absolut noedvendigste, saa vil portene heller ikke vaere aabne ?
Og hvis Netbios er disabled over TCP/IP er der vel ikke fare for Netbios angreb over 137-139 ?
Avatar billede steffen Nybegynder
15. december 2000 - 16:37 #4
Alle tre ting er helt korrekte.
Avatar billede run Nybegynder
15. december 2000 - 16:38 #5
Steffen:
Hvad nu hvis der ikke er nogen fejlopsatte porte (Et teoretisk tilfaelde) ?
Mht til porte er der jo en del andre der skal vaere aabne hvis man tilbyder hosting etc: FTP (21/20), SSL etc.
Kan angrebet ikke sagtens komme paa de noedvendige porte og hvad hjaelper firewall\'en saa ?
Portscanning kan jo egentlig vaere ligegyldig hvis du kun har de noedvendige porte aabne. Du kan ikke lave disse noedvendige porte stealthy, for saa kan de jo ikke bruges.

Avatar billede beaviz Nybegynder
15. december 2000 - 16:43 #6
Firewall er for folk der ikke er sikre på at sikkerheden er iorden på de maskiner der ligger indenfor. (flamebait!)
Avatar billede run Nybegynder
15. december 2000 - 16:51 #7
Ja, kom med et eksempel paa et angreb hvor en 100% korrekt opsat Win 2k Server vil have gavn af en firewall. Jeg skal bare overbevises - that\'s all.
Avatar billede steffen Nybegynder
15. december 2000 - 17:02 #8
gavn af:

DDoS: forhindring
logning: bedre
simuleret angreb: bestemt et plus

Sådan er det.

Rent funktionsmæssigt er der 0% at hente ved at stille en firewall foran en \"100% korrekt opsat\" server. - Den kan ikke hackes i forvejen.
Avatar billede beaviz Nybegynder
15. december 2000 - 17:05 #9
steffen:
en firewall kan da ikke gøre meget for at forhindre ddos?
bedre logning? Det kan din border rputer da gøre.
Simuleret angreb? Hvad er det?
Avatar billede steffen Nybegynder
15. december 2000 - 17:20 #10
DDoS: Den kan jo opdage hvilke IP der er \"slemme\" og bare afvise dem - det er nok de færreste web-servere der har den funktionalitet indbygget ..

Bedre logning = opdage mønstre etc, og sortere i informationen, baseret på fx lag 4 info, det er nok de færreste borderroutere der kan være med der.

Simuleret angreb = trække information ud af hackere - simulere et telnetlogin, lade brugeren forsøge sig med kommandoer etc, og på den måde få ham til at efterlade spor ..
Avatar billede run Nybegynder
15. december 2000 - 18:01 #11
DDos: Proxy chaining og IP spoofing er relativt let saa udelukkelse af IP\'er er naesten umuligt.

Kan du ikke logge tilsvarende med w2k server ?

Simuleret angreb: Det kan du da ogsaa med win2kserver. Lav en fake Administrator account og log alle forsoeg paa entry.
Avatar billede steffen Nybegynder
15. december 2000 - 20:01 #12
Med de rigtige programmer på din w2k får du jo efterhånden hele firewall-funktionaliteten hevet ind på den .. og det er i nogles verden (også din, tror jeg) lige så godt som en separat firewall - men jeg foretrækker nu de to ting hver for sig til hver en tid.
Avatar billede beaviz Nybegynder
16. december 2000 - 13:44 #13
steffen:
Du kan da aldrig opdage hvilke ip\'er der bliver spoofet, der er jo ingen pointe i at give sin egen ip som afsender ip, så rammer det jo en selv ligeså hårdt, ideen er jo netop at give andre ip\'er, og på den måde opnå en selvforstærkende effekt.

lag 4 info? Hvilke lag4 info lader du din firewall filtrere på?

Ahhh... Nu forstod jeg den med den simulerede, hmm, det hjælper jo ikek meget, med mindre man er skizo-imperialistisk-fasci-bofh der gerne vil smide alle hackere i spjældet for livstid. Eller hvis man bare syntes at det er sjovt selvfølgelig :)

(til sidst vil jeg bare lige sige at der rent faktisk står en firewall før mit netværk)
Avatar billede run Nybegynder
16. december 2000 - 17:47 #14
>>(til sidst vil jeg bare lige sige at der rent faktisk står en firewall før mit netværk)<<

Så må du jo også have en god grund. Er det for at sikre sig mod fejlopsatte maskiner eller hvad ?
Avatar billede beaviz Nybegynder
17. december 2000 - 20:50 #15
run:
Jeg har noget grej inden for firewallen der ikke kan sikres, hverken på tcp niveau eller med username/password.
Og så nogle maskiner som jeg ikke har ansvaret for, og derfor ikke stoler 100% på.
Og den sidste grund, det ser godt ud på salgsmateriale.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Uanset kodesprog, så giver vi dig mulighederne for at udvikle det, du behøver.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester