---

Jeg forsøger igen på en lidt anden måde.

Siden mit første indlæg om S-box har jeg fundet et andet produkt i ca.
samme prisklasse.

I en sammenligning head-to-head mellem S-Box (http://www.s-box.com) og
Zywall-1 (http://www.zyxel.dk) hvilke fordele / ulemper er der i de 2
løsninger og hvilken er at foretrække?


Jeg har en webserver, en mailserver og en arbejdsstation i et
hjemmenetværk som jeg ønsker at beskytte mod eventuelle angreb udefra.
Se venligst bort fra hændelser som kan skyldes letsindig omgang med
programmer indenfor netværket (ikke at det er tilfældet).

MVH Tommy

---

Tommy Jensen <toj@worldonline.dk> wrote:
> Jeg forsøger igen på en lidt anden måde.
>
> Siden mit første indlæg om S-box har jeg fundet et andet produkt i ca.
> samme prisklasse.
>
> I en sammenligning head-to-head mellem S-Box (http://www.s-box.com) og
> Zywall-1 (http://www.zyxel.dk) hvilke fordele / ulemper er der i de 2
> løsninger og hvilken er at foretrække?

Noget som vil vaere en fordel i min verden vil maaske ikke vaere optimalt i
din verden. Derfor er det bedre at du beskriver hvad du har brug for, i
stedet for at bede om vores meninger. Laes mere her:

http://a.area51.dk/sikkerhed/indledning#bedste

> Jeg har en webserver, en mailserver og en arbejdsstation i et
> hjemmenetværk som jeg ønsker at beskytte mod eventuelle angreb udefra.

Er dette 3 fysiske adskilte maskiner? Har hver deres offentlige IP adresse,
eller benyttes der NAT? Har du krav om stateful filtering, eller vil
stateless filtering give dig det paakraevede sikkerhedsniveau? Er du
allerede i besiddelse af netvaerksudstyr som skal bruges sammen med disse
maskiner?

Umiddelbart virker opsaetningen og programmeringen af din webserver og
mailserver som et langt vigtigere punkt end hvilken type IP filter du
vaelger at benytte.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

On Thu, 24 Jan 2002 17:56:34 +0100, Alex Holst <a@area51.dk> wrote:
>Noget som vil vaere en fordel i min verden vil maaske ikke vaere optimalt i
>din verden. Derfor er det bedre at du beskriver hvad du har brug for, i
>stedet for at bede om vores meninger. Laes mere her:
> http://a.area51.dk/sikkerhed/indledning#bedste

Done. Jeg kan godt se meningen i at beskrive mit behov, men jeg ikke
komme det ret meget nemmere end at jeg vil gerne beskytte min web og
mailserver samt arbejdsstation med ondsindede angreb udefra.

>Er dette 3 fysiske adskilte maskiner? Har hver deres offentlige IP adresse,
>eller benyttes der NAT? Har du krav om stateful filtering, eller vil

Det er 2 maskiner, den ene har web og mailserver den anden er
arbejdsstation. Jeg har een offentlig ip-adresse og jeg benytter NAT i
en Cisco 677 router. Kun de nødvendige porte er åbnet og nattet til
serveren.

>stateless filtering give dig det paakraevede sikkerhedsniveau? Er du
>allerede i besiddelse af netvaerksudstyr som skal bruges sammen med disse
>maskiner?
Stateless / statefull fandt jeg ingen beskrivelse af i OSS'en så det
ved jeg endnu ikke hvad er. Mht til netværksudstyr har jeg kun en
switch og Cisco routeren og har ingen planer om yderligere udviddelser
bortset fra måske en firewall.

MVH Tommy

---

Tommy Jensen <toj@worldonline.dk> wrote:
> Done. Jeg kan godt se meningen i at beskrive mit behov, men jeg ikke
> komme det ret meget nemmere end at jeg vil gerne beskytte min web og
> mailserver samt arbejdsstation med ondsindede angreb udefra.
>
>>Er dette 3 fysiske adskilte maskiner? Har hver deres offentlige IP adresse,
>>eller benyttes der NAT? Har du krav om stateful filtering, eller vil
>
> Det er 2 maskiner, den ene har web og mailserver den anden er
> arbejdsstation. Jeg har een offentlig ip-adresse og jeg benytter NAT i
> en Cisco 677 router. Kun de nødvendige porte er åbnet og nattet til
> serveren.

Det vil sige at IP pakker som bliver sendt udefra vil blive afvist af din
router, medmindre et af foelgende er opfyldt:

routeren tror den paagaeldende pakke er et svar paa noget du har
bedt om, eller

routeren specifikt er blevet bedt om at forwarde pakken til port 25
eller 80.

For at begaa indbrud paa din maskine, skal man altsaa finde en fejl i det
program der lytter paa port 25 eller 80 -- eller man skal paa en maade lokke
brugeren til at starte et program som skaber en forbindelse ud gannem NAT
maskinen.

En firewall vil hverken goere fra eller til i din situation -- medmindre du
er bange for at din NAT maskine er i stykker eller bliver sat forkert op.

Jeg vil raade dig til, at laere dit email og web server software rigtigt
godt at kende, saa du forstaar hvilke fejl kan give utilsigtet adgang til
din maskiner.

Alternativt kan du saette et IP filter op i din router som forhindrer at SYN
pakker fra din server (med destination port 25 som undtagelse) tillades ud
gennem NAT maskinen. Dette goer, at skulle der blive fundet en
sikkerhedsfejl ikke kan bruges af en angriber til at oprette baglaens
tunnler.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

On Thu, 24 Jan 2002 20:45:34 +0100, Alex Holst <a@area51.dk> wrote:

[Meget udybende svar]


Alex, tak for svaret det kan jeg bruge til noget.

Jeg checker jævnligt for sikkerhedspatches og opdaterer i nødvendigt
omfang så mulighederne skulle være begrænset.


MVH Tommy