---

Hejsa,

Kan man, i mangel af bedre, bruge den indbyggede firewall i WinXP Pro til
at adskille LAN fra WAN?
På LAN'et kører en domæne-/Exchange-server, og der skal altså ikke være
adgang til andet fra WAN'et.
Er det overhovedet forsvarligt selv om man er omhyggelig med opsætning og
logging osv?
Fordele/ulemper og links modtages med kyshånd...

mvh Morten

---

Morten <none@all.com> wrote:
> Hejsa,
>
> Kan man, i mangel af bedre, bruge den indbyggede firewall i WinXP Pro til
> at adskille LAN fra WAN?

Det er dit netvaerk og dine systemer. Derfor er det kun dig der kan
svare paa det spoergsmaal:

http://a.area51.dk/sikkerhed/indledning#bedste

> På LAN'et kører en domæne-/Exchange-server, og der skal altså ikke være
> adgang til andet fra WAN'et.
> Er det overhovedet forsvarligt selv om man er omhyggelig med opsætning og
> logging osv?
> Fordele/ulemper og links modtages med kyshånd...

Firewalls er et af de mest omtalte emner i OSS'en for denne gruppe.
Start her:

http://a.area51.dk/sikkerhed/


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

On 12 Apr 2002 15:28:37 GMT,
Morten <none@all.com> wrote:
> Kan man, i mangel af bedre, bruge den indbyggede firewall i WinXP Pro til
> at adskille LAN fra WAN?

Ja. Men for at det virker, så skal du sikre dig at samtlige
services der lytter på IP adresser er dræbt, og at der ikke er
insalleret nogen yderligere software på maskinen.

Jeg ville i stedet bruge en gammel maskine og smide en Linux på.
F.eks. en af de Linux firewall distributioner der bare fylder en
diskette.

> På LAN'et kører en domæne-/Exchange-server, og der skal altså ikke være
> adgang til andet fra WAN'et.
> Er det overhovedet forsvarligt selv om man er omhyggelig med opsætning og
> logging osv?

Ja. Firewall-1 kan også køre på Windows. Man skal bare dræbe alt det
der ikke er behov for. TCP stakken er rimelig fornuftig (baseret på
en FreeBSD eller NetBSD TCP stak).

> Fordele/ulemper og links modtages med kyshånd...

Windows har aldrig været optimeret til I/O. Så du får nok
bedre performance på alt muligt andet.

--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]

---

nospam@home.terminal.dk (Povl H. Pedersen) skrev:

> Windows har aldrig været optimeret til I/O. Så du får nok
> bedre performance på alt muligt andet.

Takker for svarene.
Jeg ved godt at Windows aldrig har været en rigig god idé som firewall.

Tanken kom sig egentlig af, at jo lettere/mere ligetil konfigurationen af
firewall'en var, desto lettere er det også at finde og rette fejlene og
forbedre systemet. Specielt fordi man jo kender Windows som sin egen
bukselomme, og endda lidt bedre; Og så fordi jeg meget nødigt vil til at
lege mere med Linux end højst nødvendigt...

Den simpleste løsning er som regel den bedste, blot ikke når man snakker
firewalls :)

mvh Morten

---

Den Fri, 12 Apr 2002 21:11:11 GMT skrev Morten:
>nospam@home.terminal.dk (Povl H. Pedersen) skrev:
>
>> Windows har aldrig været optimeret til I/O. Så du får nok
>> bedre performance på alt muligt andet.
>
>Takker for svarene.
>Jeg ved godt at Windows aldrig har været en rigig god idé som firewall.
>
>Tanken kom sig egentlig af, at jo lettere/mere ligetil konfigurationen af
>firewall'en var, desto lettere er det også at finde og rette fejlene og
>forbedre systemet. Specielt fordi man jo kender Windows som sin egen
>bukselomme, og endda lidt bedre;

Hey, så er det dig jeg skal spørge om hvordan £$#¤#% man ændrer farverne
på logon-skærmen på Win2k.

>Og så fordi jeg meget nødigt vil til at
>lege mere med Linux end højst nødvendigt...
>
>Den simpleste løsning er som regel den bedste, blot ikke når man snakker
>firewalls :)

Kompleksitet øger aldeles ikke sikkerheden. Jo simplere firewall'en er,
jo mindre er faren for at man har overset noget.

Mvh
Kent
--
Advarsel: ny e-mail adresse - med risiko for at mails går tabt.
Den gamle adresse virker stadig, men bliver primært checket i
arbejdstiden.

---

leeloo@phreaker.net (Kent Friis) skrev:


> Hey, så er det dig jeg skal spørge om hvordan £$#¤#% man ændrer
> farverne på logon-skærmen på Win2k.

Hey, nej det er det ikke :) Men hvis du har spørgsmål om unattend-
installationer af Win 9x/ME/NT/2000/XP, system builder- og deployment-
planer og/eller preinstallation af software er der større sandsynlighed for
at jeg kan hjælpe...
Jeg ville nok prøve med denne her:
<http://www.rpi.net.au/~ajohnson/resourcehacker/>

> Kompleksitet øger aldeles ikke sikkerheden. Jo simplere firewall'en
> er, jo mindre er faren for at man har overset noget.

Nej, således ville jeg jo også gerne have det. Men selv om jeg ganske ofte
fedter rundt i kommandoprompten i diverse Windås'er, og ind imellem sender
små beskeder til min Cisco677'er, synes jeg stadigt at Linux er en smule
kringlet.
Findes der en anbefalelses-værdig, GUI-baseret firewall til Linux (ud over
Sinus)? - Eller skal jeg partout til det kommando-baserede Linux-show?

mvh Morten

---

Den Fri, 12 Apr 2002 22:36:25 GMT skrev Morten Abildgaard:
>leeloo@phreaker.net (Kent Friis) skrev:
>
>Nej, således ville jeg jo også gerne have det. Men selv om jeg ganske ofte
>fedter rundt i kommandoprompten i diverse Windås'er, og ind imellem sender
>små beskeder til min Cisco677'er, synes jeg stadigt at Linux er en smule
>kringlet.
>Findes der en anbefalelses-værdig, GUI-baseret firewall til Linux (ud over
>Sinus)? - Eller skal jeg partout til det kommando-baserede Linux-show?

Der findes web-baserede systemer til at opbygge firewall-konfigurationen
på nettet, men jeg vil ikke påstå at det bliver nemmere af det.

At installere en GUI direkte på firewall'en betragter jeg som et skridt
i den stik modsatte retning - altså et skridt imod endnu mindre
sikkerhed.

Mvh
Kent
--
Advarsel: ny e-mail adresse - med risiko for at mails går tabt.
Den gamle adresse virker stadig, men bliver primært checket i
arbejdstiden.

---

On Fri, 12 Apr 2002 21:11:11 GMT,
Morten <none@all.at> wrote:
> Tanken kom sig egentlig af, at jo lettere/mere ligetil konfigurationen af
> firewall'en var, desto lettere er det også at finde og rette fejlene og
> forbedre systemet. Specielt fordi man jo kender Windows som sin egen
> bukselomme, og endda lidt bedre; Og så fordi jeg meget nødigt vil til at
> lege mere med Linux end højst nødvendigt...

Hvis du nu kender Windows som din egen bukselomme, så kan du vel også
hurtigt lige fedte med den så en
NETSTAT -A

ikke viser nogen porte i LISTEN mode ?

Altså sørger for at maskinen ikke venter på at andre skal forbinde
sig til den.

Hvis du ikke kan dette, så kender du ikke Windows godt nok til at bruge
den til firewall.

Det at du du kender brugerinterfacet på din bil gør ikke
at du også nødvendigvis ved hvordan man finjusterer motoren.

--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]

---

nospam@home.terminal.dk (Povl H. Pedersen) skrev:
> Det at du du kender brugerinterfacet på din bil gør ikke
> at du også nødvendigvis ved hvordan man finjusterer motoren.
>

"Gør det du er bedst til. Det gør vi..."

mvh Morten

---

Morten <none@all.at> wrote:

>Den simpleste løsning er som regel den bedste, blot ikke når man snakker
>firewalls :)

Jo. Men Windows har aldrig været simpel. Den holder for meget vital
information skjult for ikke at forvirre, og den er fyldt med komplekse
og uigennemskuelige totalløsninger. Så man ved aldrig rigtigt, hvor man
har Windows.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.