|
| Begynderspørgsmål: Hardware- eller softwar~ Fra : Ally |
Dato : 25-12-01 00:39 |
|
Hej!
Garanteret et dumt spørgsmål i kenderes øjne, men here' goes:
Hvad er bedst: Hardware eller software firewalls til en privat pc på en ADSL
forbindelse? Jeg kører pt. med ZoneAlarm, men har lige fået en Zyxel ZyWall
10 i julegave. Er den til at have med at gøre for en, der ikke har ret meget
forstand på sikkerhed?
De venligste julehilsener
Ally
| |
Kasper Dupont (25-12-2001)
| Kommentar Fra : Kasper Dupont |
Dato : 25-12-01 01:01 |
|
Ally wrote:
>
> Hej!
>
> Garanteret et dumt spørgsmål i kenderes øjne, men here' goes:
>
> Hvad er bedst: Hardware eller software firewalls til en privat pc på en ADSL
> forbindelse? Jeg kører pt. med ZoneAlarm, men har lige fået en Zyxel ZyWall
> 10 i julegave. Er den til at have med at gøre for en, der ikke har ret meget
> forstand på sikkerhed?
Hvis kvaliteten af firewallen er i orden, er en software firewall den
bedste løsning til en enkelt computer, mens en hardware firewall er
den bedste løsning, hvis der er flere computere.
Men ikke alle firewalls er af en ordentlig kvalitet, så det kan meget
vel være kvaliteten af firewallen der er afgørende, og ikke om det er
en hardware eller software firewall.
Der er en udbredt tro på at hardware firewalls er af bedre kvalitet
end software firewalls. Jeg ved ikke om det virkelig er tilfældet,
eller bare noget som folk tror.
(Personligt er jeg meget godt tilfreds med iptables, der er en software
firewall til Linux 2.4. Nogle stedder anvendes en PC med to netkort og
iptables som hardware firewall.)
--
Kasper Dupont
| |
CLAUS HANSEN (25-12-2001)
| Kommentar Fra : CLAUS HANSEN |
Dato : 25-12-01 19:35 |
|
> (Personligt er jeg meget godt tilfreds med iptables, der er en software
> firewall til Linux 2.4. Nogle stedder anvendes en PC med to netkort og
> iptables som hardware firewall.)
Er IP Tables bedre at lære end IP Chains ??? Eller er det noget af samme
surdej ???
Med venlig hilsen
CLAUS HANSEN
| |
Kasper Dupont (26-12-2001)
| Kommentar Fra : Kasper Dupont |
Dato : 26-12-01 01:08 |
|
CLAUS HANSEN wrote:
>
> > (Personligt er jeg meget godt tilfreds med iptables, der er en software
> > firewall til Linux 2.4. Nogle stedder anvendes en PC med to netkort og
> > iptables som hardware firewall.)
>
> Er IP Tables bedre at lære end IP Chains ??? Eller er det noget af samme
> surdej ???
Der er ikke stor forskel. Mange af grundprinciperne går igen,
men der er nogle syntaktiske forskelle. Hvis man har kendskab
til ipchains vil man have et godt udgangspunkt for at lære
iptables, men naturligvis vil det man kender i begyndelsen
føles nemmere.
En af de største fordele ved iptables fremfor ipchains er
connection tracking, det betyder faktisk at man kan opnå et
bedre resultat med færre regler end det var tilfældet med
ipchains.
Der findes mere brugervenlige værktøjer til at generere
regelsæt til ipchains, jeg ved ikke, om der er kommet nogen
til iptables. Det eneste værktøj af denne type, jeg har brugt,
er RedHat 7.1 installationsprogrammet. Det genererede et
primitivt ipchains regelsæt, som jeg straks begyndte at lave
om på. Efter ganske få dage gik det op for mig, at jeg havde
brug for connection tracking.
Hvis nogen vil i gang med iptables er her et fornuftigt
regelsæt at starte med til en arbejdsstation:
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/255.0.0.0 -j DROP
-A INPUT -d 127.0.0.0/255.0.0.0 -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
Hvis man gerne vil køre serverprogrammer på sin computer
har man brug for flere regler, her er nogle af de regler
jeg bruger på min computer:
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/255.0.0.0 -j DROP
-A INPUT -d 127.0.0.0/255.0.0.0 -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --sport 1024:65535 --dport 1024:65535 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 192.168.0.0/255.255.0.0 -m owner ! --uid-owner root -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 119 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -j REJECT --reject-with icmp-port-unreachable
COMMIT
Og jeg ved godt, at nogen vil tro, jeg er paranoid, når
de ser min firewall configuration. Hvis nogen er
interesserede, forklarer jeg gerne de enkelte regler.
--
Kasper Dupont
| |
CLAUS HANSEN (26-12-2001)
| Kommentar Fra : CLAUS HANSEN |
Dato : 26-12-01 22:43 |
|
Øh... jeg har sikkert nogle spm... studerer lige de enkelte regler i løbet
af de næste par dage! Følger du lige me di tråden weekenden over ???
Med venlig hilsen
CLAUS HANSEN
| |
Kent Friis (03-01-2002)
| Kommentar Fra : Kent Friis |
Dato : 03-01-02 18:08 |
|
Den Tue, 25 Dec 2001 00:39:18 +0100 skrev Ally:
>Hej!
>
>Garanteret et dumt spørgsmål i kenderes øjne, men here' goes:
>
>Hvad er bedst: Hardware eller software firewalls til en privat pc på en ADSL
>forbindelse? Jeg kører pt. med ZoneAlarm, men har lige fået en Zyxel ZyWall
>10 i julegave. Er den til at have med at gøre for en, der ikke har ret meget
>forstand på sikkerhed?
En "hardware"-firewall er såmænd blot et stykke software der kører på en
computer uden alt mulig andet software, ofte i en speciel kasse, så det
ikke ligner en PC. Hvis softwaren er den samme, er det altså ligegyldigt
om det er installeret på en PC eller en Cisco PIX. (Det eneste problem
er at det nok er ret håbløst at installere samme software, medmindre
man har både sourcen, og en compiler til PIX'en).
En ægte hardware-firewall er det absolut sikreste (fx. at tage telefon-
stikket eller netkablet ud af maskinen), men ret ubrugelig i de fleste
tilfælde.
Mvh
Kent
| |
Niels Callesøe (03-01-2002)
| Kommentar Fra : Niels Callesøe |
Dato : 03-01-02 19:40 |
|
Kent Friis wrote:
> En ægte hardware-firewall er det absolut sikreste (fx. at tage
> telefon- stikket eller netkablet ud af maskinen)
Jeg tror at det du referer til er det man normalt kalder et "airgap".
(Altså sikkerhed ved ikke at have fysisk forbindelse til et usikkert
netværk). Jeg tror du er den eneste der kalder *det* for en hardware-
firewall.
--
Niels Callesøe - nørd light
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk
| |
Kent Friis (03-01-2002)
| Kommentar Fra : Kent Friis |
Dato : 03-01-02 22:09 |
|
Den 03 Jan 2002 18:39:44 GMT skrev Niels Callesøe:
>Kent Friis wrote:
>
>> En ægte hardware-firewall er det absolut sikreste (fx. at tage
>> telefon- stikket eller netkablet ud af maskinen)
>
>Jeg tror at det du referer til er det man normalt kalder et "airgap".
>(Altså sikkerhed ved ikke at have fysisk forbindelse til et usikkert
>netværk). Jeg tror du er den eneste der kalder *det* for en hardware-
>firewall.
Det er den eneste "firewall" der ikke er software-baseret.
Mvh
Kent
--
Nu har jeg arbejdet i 40 år på at opnå den sublime "mærklighed" og så
har jeg da ikke tænkt mig at lave om på det.
- Asbjørn Christensen i dk.snak 3/1-2002.
| |
Christian E. Lysel (03-01-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 03-01-02 22:31 |
|
Kent Friis wrote:
> Det er den eneste "firewall" der ikke er software-baseret.
En NT maskine med blå skærm, er ligeså sikker :)
| |
Niels Callesøe (04-01-2002)
| Kommentar Fra : Niels Callesøe |
Dato : 04-01-02 04:20 |
|
Kent Friis wrote:
> Det er den eneste "firewall" der ikke er software-baseret.
Suk. Efter min mening forplumrer du debatten ved at forsøge at bruge
din ret underlige definition på hvad der er en firewall.
Selvfølgelig kører der noget software på en (hardware) firewall.
Alligevel er der vel[1] ikke nogen tvivl om at et stykke dedikeret
hardware hvis eneste opgave er at agere firewall er hvad alle andre end
dig kalder en "hardware firewall".
Et airgap er ikke en firewall. Man kan ikke bare begynde at lave om på
de gængse definitioner efter forgodtbefindende, uden at det skader
debatten.
[1]: Bevares, jeg kan da godt tage fejl. Derfor kunne jeg godt tænke
mig at høre fra en af gruppens læsere, der har sikkerhed som
hovedbeskæftigelse, om min definition kommer tættere på den gængse end
Kents.
--
Niels Callesøe - nørd light
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk
| |
Christian E. Lysel (04-01-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 04-01-02 12:33 |
|
Niels Callesøe wrote:
> Kent Friis wrote:
> Suk. Efter min mening forplumrer du debatten ved at forsøge at bruge
> din ret underlige definition på hvad der er en firewall.
>
> Selvfølgelig kører der noget software på en (hardware) firewall.
Nej. Du kan godt konstuere et netværkskabel således at kommunikationen
kun er envejs, hvilket selvfølig medfører du kun kan bruge envejs
protokoller, fx: statisk arp, snmp, syslog
> Alligevel er der vel[1] ikke nogen tvivl om at et stykke dedikeret
> hardware hvis eneste opgave er at agere firewall er hvad alle andre end
> dig kalder en "hardware firewall".
Hardware- og softwarefirewall, dækker over det sammen nemlig en firewall.
I hardware firewall kan man dog typisk gennemfører en installation uden
at se softwaren. Dvs. at man ikke skal bruge tid/kræfter på softwaren.
Endvideren kan hardwaren være udvalgt netop til denne opgave, således at
fx god preformance opnåes.
> [1]: Bevares, jeg kan da godt tage fejl. Derfor kunne jeg godt tænke
> mig at høre fra en af gruppens læsere, der har sikkerhed som
> hovedbeskæftigelse, om min definition kommer tættere på den gængse end
> Kents.
| |
|
|