---

Hejsa,

indenfor en 10-dages tid får vi ADSL og skal i den sammenhæng
bruge en firewall.
Hvad mener I er bedst?

Min bror har Norton Internet Security 2002 og jeg har selv brugt
Zonealarm før i tiden.

Vi har 4 computere herhjemme, som alle skal kobles til ADSL vha.
en switch og en router.
Der spilles en smule på de 2 maskiner og resten er udelukkende
arbejde og Internet.
Hvad er vores behov?

Vi er naturligvis ude efter den bedste (!) og den der "stjæler" mindst
performance fra maskinerne.

Jeg håber på nogle gode svar

Venligst
Mikael Nørrelund

---

Hvad er adressen forresten til OOSen?

Mvh.
Mikael

---

Mikael Nørrelund Andersen wrote in
<news:3c389028$0$37931$edfadb0f@dspool01.news.tele.dk>:

> Hvad er adressen forresten til OOSen?

OSS'en har adressen: http://a.area51.dk/sikkerhed/

--
Niels Callesøe - nørd light @work
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk
Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet.

---

Mikael Nørrelund Andersen wrote:

> Vi har 4 computere herhjemme, som alle skal kobles til ADSL vha.
> en switch og en router.


Kan routeren løse Jeres behov?

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net>:
> Kan routeren løse Jeres behov?

Det går jeg da udfra!?!
Mener du om der er firewall i den?
- for det kender jeg intet til...

Mvh.
Mikael

---

Mikael Nørrelund Andersen wrote:

> Det går jeg da udfra!?!
> Mener du om der er firewall i den?
> - for det kender jeg intet til...


Er det ikke nemmest at spørge din ADSL leverandør, omkring sikkerheden?


Typisk kan det betale sig at spørge, "hvad med sikkerheden?"

---

"Mikael Nørrelund Andersen" <noerrelund@pc.dk> wrote in message news:3c3880c1$0$89078$edfadb0f@dspool01.news.tele.dk...
> Hejsa,
>
> Vi er naturligvis ude efter den bedste (!) og den der "stjæler" mindst
> performance fra maskinerne.
>

Zywall 1 stjæler ikke performance fra maskinerne...

> Jeg håber på nogle gode svar
>
> Venligst
> Mikael Nørrelund
>
>

--
Svend

---

"Svend Jørgensen" <useless@c.dk> writes:
> Zywall 1 stjæler ikke performance fra maskinerne...
Et hver program der køre "stjæler" preformance fra maskinen.
Det er bare et spørgsmål om i hvilken grad.

---

"Martin Schultz" <me@privacy.net> wrote in message
news:m3advrw5go.fsf@schultz.adsl.dk...
> > Zywall 1 stjæler ikke performance fra maskinerne...
> Et hver program der køre "stjæler" preformance fra maskinen.
> Det er bare et spørgsmål om i hvilken grad.

Zywall 1 er et stykke hardware lavet af ZyXel.


--
Med venlig hilsen/best regards
Jesper G. Poulsen

---

Jesper G. Poulsen wrote:

>>Et hver program der køre "stjæler" preformance fra maskinen.
>>Det er bare et spørgsmål om i hvilken grad.
> Zywall 1 er et stykke hardware lavet af ZyXel.


som kører et stykke software!

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message news:3C39AC70.7060703@example.net...
> Jesper G. Poulsen wrote:
>
> >>Et hver program der køre "stjæler" preformance fra maskinen.
> >>Det er bare et spørgsmål om i hvilken grad.
> > Zywall 1 er et stykke hardware lavet af ZyXel.
>
>
> som kører et stykke software!
>

Korrekt, flot anskuet ! Du har forhåbentligt læst resten af tråden.

--
Svend

---

Svend Jørgensen wrote:

>>som kører et stykke software!
> Korrekt, flot anskuet ! Du har forhåbentligt læst resten af tråden.


Den vil stadigvæk tage preformance!

---

"Christian E. Lysel" wrote:
>
> Svend Jørgensen wrote:
>
> >>som kører et stykke software!
> > Korrekt, flot anskuet ! Du har forhåbentligt læst resten af tråden.
>
> Den vil stadigvæk tage preformance!

Hvordan i alverden kan en hardware firewall tage performance
fra computeren bagved? Det må da nærmere være omvendt, da
computeren ikke skal bruge tid på at behandle de afviste
pakker.

--
Kasper Dupont

Notice: By sending SPAM (UCE/BCE) to this address, you are
accepting and agreeing to our charging a $1000 fee, per
email, for handling and processing, and you agree to pay any
and all costs for collecting this fee.

---

Kasper Dupont <kasperd@daimi.au.dk> writes:

> "Christian E. Lysel" wrote:
> >
> > Svend Jørgensen wrote:
> >
> > >>som kører et stykke software!
> > > Korrekt, flot anskuet ! Du har forhåbentligt læst resten af tråden.
> >
> > Den vil stadigvæk tage preformance!
>
> Hvordan i alverden kan en hardware firewall tage performance
> fra computeren bagved? Det må da nærmere være omvendt, da
> computeren ikke skal bruge tid på at behandle de afviste
> pakker.

Udover, at den vil tilføje en ganske ubetydelig latency, kan jeg heller
ikke lige gennemskue, hvordan den skulle kunne genere performance.

--
Med venlig hilsen
Christian Laursen

---

Kasper Dupont wrote:

>>>Korrekt, flot anskuet ! Du har forhåbentligt læst resten af tråden.
>>Den vil stadigvæk tage preformance!
> Hvordan i alverden kan en hardware firewall tage performance
> fra computeren bagved? Det må da nærmere være omvendt, da


Latency bliver tilføjet til IP traffiken, også selvom det er en netværks
"hardware" firewall eller en personlig software firewall.

Selvfølglig er Latency mindre for en hardware firewall. I praksis vil
man sandsynligvis ikke lægge mærke til det, ligeledes med en personlig
software firewall.

Men at påstår der ingen preformance reducering er, er at fejl-informere
folk.

> computeren ikke skal bruge tid på at behandle de afviste
> pakker.


Det er korrekt (endvidere skal den ej bruge tid på "gode" pakker), men
det var ikke hvad jeg skrev!

---

On Tue, 08 Jan 2002 10:02:12 +0100, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:

> Latency bliver tilføjet til IP traffiken, også selvom det er en netværks
> "hardware" firewall eller en personlig software firewall.

Hvis man kører TCP, og man passerer flere hop undervejs, så er
det ikke afgørende om der er tre hop med hver 5 ms forsinkelse
eller om der er fire hop med hver 5 ms forsinkelse.

Pop quiz: Hvis Pakke 1 i en TCP-strøm er 20 ms forsinket pga. 4
hop á 5 ms, hvor meget senere end Pakke 1 ankommer så Pakke 2?
(Tænk over, hvilke pakke der forsinkes hvor og hvornår).

For meget interaktiv trafik kan det være en lidt anden sag, men
for en typisk TCP-session (måske 30 pakker) er det fuldstændig
ligegyldigt.

> Selvfølglig er Latency mindre for en hardware firewall. I praksis vil
> man sandsynligvis ikke lægge mærke til det, ligeledes med en personlig
> software firewall.

Man vil sandsynligvis ikke lægge mærke til forsinkelsen fra en
hardware-firewall, men det er meget muligt, man vil lægge mærke
til den øgede CPU-belastning med en personlig software-firewall.

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark wrote:

> For meget interaktiv trafik kan det være en lidt anden sag, men
> for en typisk TCP-session (måske 30 pakker) er det fuldstændig
> ligegyldigt.


Eller Microsoft-fildeling, som er afhængig af delayet.

---

On Thu, 10 Jan 2002 15:16:15 +0100, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:

>> For meget interaktiv trafik kan det være en lidt anden sag, men
>> for en typisk TCP-session (måske 30 pakker) er det fuldstændig
>> ligegyldigt.

> Eller Microsoft-fildeling, som er afhængig af delayet.

Microsoft fildeling (kopiering af en fil fra en maskine til en
anden) foregår også med TCP.

Prøv at lave et test-setup med to routere forbundet med fx. 256
Kbps, hvor du måler hvor lang tid det tager at overføre filer af
forskellig størrelse. Prøv derefter at ændre test-setuppet til
tre serie-forbundne routere og kopiér de samme filer.

Kan du se nogen forskel i performance? Jeg kunne ikke.

Indrømmet, ovenstående test er naturligvis temmelig uvidenskabe-
lig. Jeg mener ikke desto mindre, den giver et rimeligt overblik
over problemstillingen.

Det er rigtigt, at Windows er mere følsomt overfor latency end
det havde behøvet at være (bla. pga. en defekt lav window size).
Men jeg kan ikke se (eller måle) at antallet af hop gør nogen
forskel.

-A
--
http://www.hojmark.org/

---

Hej Asbjorn Hojmark <Asbjorn@Hojmark.ORG>

>Det er rigtigt, at Windows er mere følsomt overfor latency end
>det havde behøvet at være (bla. pga. en defekt lav window size).

Standardværdien er blevet forøget i Win2k og derudover er det ret
uproblematisk (og godt dokumenteret på Nettet) at ændre.

--
Lars Kim Lund
http://www.net-faq.dk/

---

On Thu, 10 Jan 2002 23:27:35 +0100, Lars Kim Lund
<larskim@mail.com> wrote:

>> Det er rigtigt, at Windows er mere følsomt overfor latency end
>> det havde behøvet at være (bla. pga. en defekt lav window size).

> Standardværdien er blevet forøget i Win2k og derudover er det ret
> uproblematisk (og godt dokumenteret på Nettet) at ændre.

Du har ret i, at W2K performer væsentligt bedre end tidligere
Windows-versioner (faktisk er det blevet bedre med hver version
jeg har brugt 3.x->9x->NT4->W2K), og det burde jeg nok for fuld-
stændighedens skyld have bemærket.

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark wrote:

> Prøv at lave et test-setup med to routere forbundet med fx. 256
> Kbps, hvor du måler hvor lang tid det tager at overføre filer af
> forskellig størrelse. Prøv derefter at ændre test-setuppet til
> tre serie-forbundne routere og kopiér de samme filer.
>
> Kan du se nogen forskel i performance? Jeg kunne ikke.


Prøv med en størrer båndbredde end 256Kbps.

I ekstreme situationer (radio kæder) har jeg set 1/3 preformance i
forhold til fx en ftp session. Også selvom vi pillede i diverse
registeringsentries i tcp/ip stakken, som blot ødelagde preformance for
lokale klienter.

Men som jeg har skrevet tidligere, vil brugerne sandsynlig ikke kunne se
forskel på hverken en "hardware firewall" eller en "personlig firewall"
(moderne maskiner, har en del CPU og I/O resourcer i overskud i det
daglige).

---

"Mikael Nørrelund Andersen" <noerrelund@pc.dk> wrote in message
news:3c3880c1$0$89078$edfadb0f@dspool01.news.tele.dk...
> indenfor en 10-dages tid får vi ADSL og skal i den sammenhæng
> bruge en firewall.
> Hvad mener I er bedst?

En 486-66, 8 MB RAM, to netkort og et floppydrev.

Derpå skal intsalleres en Linux-router/firewall, eks.vis Freesco.

Jeg gav 100kr. for sådan en.


--
Med venlig hilsen/best regards
Jesper G. Poulsen

---

"Jesper G. Poulsen" <ms2mogens@ingensteder.dk> skrev:
> > bruge en firewall.
> > Hvad mener I er bedst?
>
> En 486-66, 8 MB RAM, to netkort og et floppydrev.
>
> Derpå skal intsalleres en Linux-router/firewall, eks.vis Freesco.
>
> Jeg gav 100kr. for sådan en.

Jeg vil nu hellere at et sykke software installeret på alle maskinerne,
end have en ekstra maskine stående.

Mvh.
Mikael

PS.
Jeg ved godt at al software stjæler performance, men I forstod vist
spørgsmålet alligevel

---

"Mikael Nørrelund Andersen" wrote:
>
> "Jesper G. Poulsen" <ms2mogens@ingensteder.dk> skrev:
> > > bruge en firewall.
> > > Hvad mener I er bedst?
> >
> > En 486-66, 8 MB RAM, to netkort og et floppydrev.
> >
> > Derpå skal intsalleres en Linux-router/firewall, eks.vis Freesco.
> >
> > Jeg gav 100kr. for sådan en.
>
> Jeg vil nu hellere at et sykke software installeret på alle maskinerne,
> end have en ekstra maskine stående.

Jeg vil nu mene, at når mere end en computer skal beskyttes
er en seperat boks for det meste en bedre løsning.

1) Hvis hver maskine har sin egen softwarefirewall, vil
trafik mellem dem som udgangspunkt også blive filtreret.
2) Med den seperate computer har man større frihed til at
vælge firewall. Linux 2.4 har en god firewall, men hvis
nogen af computerne kører windows kan den ikke bruges
på de enkelte computere. Jeg har ikke selv nogen
erfaringer med firewalls på Windows, men det er blevet
påstået, at derikke findes nogen god softwarefirewall
til Windows.

Det første problem kan delvist løses ved at filtrere pakker
på MAC addresse. Der er dog en teoretisk mulighed for, at
sikkerhedshuller i routeren kan forårsage problemer.

--
Kasper Dupont

Notice: By sending SPAM (UCE/BCE) to this address, you are
accepting and agreeing to our charging a $1000 fee, per
email, for handling and processing, and you agree to pay any
and all costs for collecting this fee.

---

"Kasper Dupont" <kasperd@daimi.au.dk> skrev:
> Jeg vil nu mene, at når mere end en computer skal beskyttes
> er en seperat boks for det meste en bedre løsning.

Ingen tvivlt om det, men der er jo strøm, støj osv. at tage forbehold for
også - det er jo også kun privat...

> 1) Hvis hver maskine har sin egen softwarefirewall, vil
> trafik mellem dem som udgangspunkt også blive filtreret.

Ja, det er jo et minus og sikkert også forsinkelser maskinerne imellem!

> 2) Med den seperate computer har man større frihed til at
> vælge firewall. Linux 2.4 har en god firewall, men hvis
> nogen af computerne kører windows kan den ikke bruges
> på de enkelte computere. Jeg har ikke selv nogen
> erfaringer med firewalls på Windows, men det er blevet
> påstået, at derikke findes nogen god softwarefirewall
> til Windows.

Alt i alt, kan jeg sagtens følge hvorfor det er en bedre løsning - men
vælger sandsynligvis alligevel den med software på alle maskinerne!

Venligst
Mikael

---

"Mikael Nørrelund Andersen" <noerrelund@pc.dk> wrote in message
news:3c3b3ab0$0$89074$edfadb0f@dspool01.news.tele.dk...
> Ingen tvivlt om det, men der er jo strøm, støj osv. at tage forbehold for
> også - det er jo også kun privat...

Den 100kr. løsning jeg har lavet støjer ikke (nul bevægelige dele) og bruger
minimal strøm (bundkort, to netkort, grafikkort - gerne VGA og RAM). Det er
meget lettere at vedligeholde og man er sikker på at få det samme filtreret
væk fra alle maskiner. Desuden er softwaren jo gratis.


--
Med venlig hilsen/best regards
Jesper G. Poulsen

---

"Mikael Nørrelund Andersen" <noerrelund@pc.dk> wrote:

>Vi har 4 computere herhjemme, som alle skal kobles til ADSL vha.
>en switch og en router.
>Der spilles en smule på de 2 maskiner og resten er udelukkende
>arbejde og Internet.
>Hvad er vores behov?

Hvis ruteren laver NAT/PAT (og det gør den jo nok) og I ikke
åbner nogen som helst porte for adgang på initiativ udefra, så
giver den såmænd en ganske hæderlig beskyttelse mod angreb
udefra.

Men den beskytter naturligvis ikke spor mod vira og trojanske
heste som I selv har hentet ind på lokalnettet.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Jesper Dybdal wrote:
>
> Men den beskytter naturligvis ikke spor mod vira og trojanske
> heste som I selv har hentet ind på lokalnettet.

Nej for det er nemlig ikke en opgave for en firewall. Den
slags forhindrer man enten ved at bruge et operativsystem,
der begrænser ubehagelige programmers muligheder, eller
ved at bruge en virusscanner.

--
Kasper Dupont

Notice: By sending SPAM (UCE/BCE) to this address, you are
accepting and agreeing to our charging a $1000 fee, per
email, for handling and processing, and you agree to pay any
and all costs for collecting this fee.

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message news:3C3A076C.2AD44EB@daimi.au.dk...
> Jesper Dybdal wrote:
> >
> > Men den beskytter naturligvis ikke spor mod vira og trojanske
> > heste som I selv har hentet ind på lokalnettet.
>
> Nej for det er nemlig ikke en opgave for en firewall. Den
> slags forhindrer man enten ved at bruge et operativsystem,
> der begrænser ubehagelige programmers muligheder, eller
> ved at bruge en virusscanner.
>

Det lyder temmeligt skråsikkert ! En kombination af tvungen http proxy + firewall kan nu også løse de fleste af den slags problemer
!

> --
> Kasper Dupont
>
> Notice: By sending SPAM (UCE/BCE) to this address, you are
> accepting and agreeing to our charging a $1000 fee, per
> email, for handling and processing, and you agree to pay any
> and all costs for collecting this fee.
--
Svend

---

"Svend Jørgensen" wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message news:3C3A076C.2AD44EB@daimi.au.dk...
> > Jesper Dybdal wrote:
> > >
> > > Men den beskytter naturligvis ikke spor mod vira og trojanske
> > > heste som I selv har hentet ind på lokalnettet.
> >
> > Nej for det er nemlig ikke en opgave for en firewall. Den
> > slags forhindrer man enten ved at bruge et operativsystem,
> > der begrænser ubehagelige programmers muligheder, eller
> > ved at bruge en virusscanner.
> >
>
> Det lyder temmeligt skråsikkert ! En kombination af tvungen http proxy + firewall kan nu også løse de fleste af den slags problemer
> !

Så er det jo heller ikke firewallen der forhindre vira og
trojanske heste i at komme ind, men derimod proxy serveren.
Proxy serveren kan enten køre en virusscanner eller afvise
alle filformater, der potentielt kan inficeres.

Hvis man har valgt, at man vil virusscanne alle indkommende
filer på en proxy server, kan man selvfølgelig bruge en
firewall til at forhindre direkte http adgang til nettet.

Man skal selvfølgelig huske email og alle andre protokoller,
hvor filer kan komme ind.

--
Kasper Dupont

Notice: By sending SPAM (UCE/BCE) to this address, you are
accepting and agreeing to our charging a $1000 fee, per
email, for handling and processing, and you agree to pay any
and all costs for collecting this fee.

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message news:3C3A106C.384D096A@daimi.au.dk...
>
> Hvis man har valgt, at man vil virusscanne alle indkommende
> filer på en proxy server, kan man selvfølgelig bruge en
> firewall til at forhindre direkte http adgang til nettet.

Det var det der var min pointe.

> --
> Kasper Dupont

--
Svend