|
| Flere net samtidig Fra : Keld Sørensen |
Dato : 09-09-02 06:17 |
|
Vores IT-afdeling er paranoide mht. samtidigt at køre på flere netværk.
Har nogen et forslag til at gøre dette - men således, at der IKKE er fare
for at nogen kan 'komme' fra det ene net til det andet ?
Keld Sørensen
| |
Anders Lund (09-09-2002)
| Kommentar Fra : Anders Lund |
Dato : 09-09-02 06:22 |
|
Keld Sørensen wrote:
> Vores IT-afdeling er paranoide mht. samtidigt at køre på flere netværk.
>
> Har nogen et forslag til at gøre dette - men således, at der IKKE er fare
> for at nogen kan 'komme' fra det ene net til det andet ?
Hvis der alligevel skal være fri trafik imellem de 2 net, så giver det jo
ikke så meget mere sikkerhed. Men nu er jeg jo heller ikke den store IT
sikkerheds ekspert.
--
Anders Lund - spam2002q3@andersonline.dk
OE-QuoteFix - Et Outlook Express must - http://flash.to/oe-quotefix
Soldat - Grineren Worms/Counter Strike spil - http://www.soldat.prv.pl
| |
Christian E. Lysel (09-09-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 09-09-02 07:02 |
|
Keld Sørensen wrote:
> Vores IT-afdeling er paranoide mht. samtidigt at køre på flere netværk.
>
> Har nogen et forslag til at gøre dette - men således, at der IKKE er fare
> for at nogen kan 'komme' fra det ene net til det andet ?
En segmentering af netværkene med en firewall.
Andre vil måske forslå et aktivt IDS.
| |
Jesper Louis Anderse~ (09-09-2002)
| Kommentar Fra : Jesper Louis Anderse~ |
Dato : 09-09-02 09:50 |
|
On Mon, 9 Sep 2002 07:16:37 +0200, Keld Sørensen <KS@KS-DATA.DK> wrote:
> Har nogen et forslag til at gøre dette - men således, at der IKKE er fare
> for at nogen kan 'komme' fra det ene net til det andet ?
Jeres IT afdeling lyder fornuftig. Hvis du er tilkoblet 2 netværk er der
altid en sandsynlighed for, at data kan flytte sig imellem disse. Er
pågældende computer styret af dig selv, eller af din IT afdeling?
--
Jesper
| |
Keld Sørensen (09-09-2002)
| Kommentar Fra : Keld Sørensen |
Dato : 09-09-02 15:27 |
|
Jeg sidder ved pc'en, som danner 'bro' mellem de 2 netværk.
Når jeg siger 'kan komme fra det ene til det andet' mener jeg selvfølgelig
med sabotage i tankerne - jeg skal selvfølgelig have fri adgang og kunne
overføre data frem og tilbage.
mvh
"Jesper Louis Andersen" <jlouis@pc-011.diku.dk> skrev i en meddelelse
news:slrnanoo5c.44i.jlouis@pc-011.diku.dk...
> On Mon, 9 Sep 2002 07:16:37 +0200, Keld Sørensen <KS@KS-DATA.DK> wrote:
> > Har nogen et forslag til at gøre dette - men således, at der IKKE er
fare
> > for at nogen kan 'komme' fra det ene net til det andet ?
>
> Jeres IT afdeling lyder fornuftig. Hvis du er tilkoblet 2 netværk er der
> altid en sandsynlighed for, at data kan flytte sig imellem disse. Er
> pågældende computer styret af dig selv, eller af din IT afdeling?
>
> --
> Jesper
| |
Christian E. Lysel (09-09-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 09-09-02 15:39 |
|
Keld Sørensen wrote:
> Jeg sidder ved pc'en, som danner 'bro' mellem de 2 netværk.
Erstat denne pc med en firewall.
> Når jeg siger 'kan komme fra det ene til det andet' mener jeg selvfølgelig
> med sabotage i tankerne - jeg skal selvfølgelig have fri adgang og kunne
> overføre data frem og tilbage.
| |
Keld Sørensen (10-09-2002)
| Kommentar Fra : Keld Sørensen |
Dato : 10-09-02 06:33 |
|
Lad os kalde de 2 net for hhv. A og B, og jeg sidder ved en pc i net A.
Via et ekstra netkort har jeg forbindelse til net B, hvor jeg skal køres på
et firmas økonomisystem, og herfra kunne lave nogle udtræk til f.eks.
Excel (og gemme filen på net A) og kopiere via clipboard til WORD, hvor
filen igen gemmes på net A.
Der skal så laves en sikring, hvor en potentiel sabotør ikke kan komme fra
net B, over netkortet ind i net A. Det er vel så egentlig IKKE behov for at
føre data FRA net A TIL net B !
mvh
"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> skrev i en meddelelse
news:3D7CB28D.9010204@spindelnet.dk...
> Keld Sørensen wrote:
> > Jeg sidder ved pc'en, som danner 'bro' mellem de 2 netværk.
>
> Erstat denne pc med en firewall.
>
> > Når jeg siger 'kan komme fra det ene til det andet' mener jeg
selvfølgelig
> > med sabotage i tankerne - jeg skal selvfølgelig have fri adgang og kunne
> > overføre data frem og tilbage.
>
>
>
| |
Jesper Louis Anderse~ (10-09-2002)
| Kommentar Fra : Jesper Louis Anderse~ |
Dato : 10-09-02 10:52 |
|
On Tue, 10 Sep 2002 07:33:02 +0200, Keld Sørensen <KS@KS-DATA.DK> wrote:
> Der skal så laves en sikring, hvor en potentiel sabotør ikke kan komme fra
> net B, over netkortet ind i net A. Det er vel så egentlig IKKE behov for at
> føre data FRA net A TIL net B !
Det kan ikke lade sig gøre med de operativsystemer jeg kender til.
--
Jesper
| |
Ole Michaelsen (10-09-2002)
| Kommentar Fra : Ole Michaelsen |
Dato : 10-09-02 11:02 |
|
Jesper Louis Andersen wrote:
> On Tue, 10 Sep 2002 07:33:02 +0200, Keld Sørensen <KS@KS-DATA.DK> wrote:
> > Der skal så laves en sikring, hvor en potentiel sabotør ikke kan komme fra
> > net B, over netkortet ind i net A. Det er vel så egentlig IKKE behov for at
> > føre data FRA net A TIL net B !
>
> Det kan ikke lade sig gøre med de operativsystemer jeg kender til.
/etc/notrouter i solaris vil goere at maskinen ikke begynder at rute
mellem net. Eller smaek et pakkefilter paa maskinen.
Faa den onde sabotoer foerst adgang til maskinen, er slaget naturligvis
tabt. Saa kan hun fjerne pakkefilteret, starte router-daemonen etc - og
tilgaa baade net A og net B alt det hun lyster.
--
Ole Michaelsen, Darmstadt, Germany
http://www.fys.ku.dk/~omic
| |
Jesper Louis Anderse~ (10-09-2002)
| Kommentar Fra : Jesper Louis Anderse~ |
Dato : 10-09-02 11:25 |
|
On Tue, 10 Sep 2002 10:02:22 +0000 (UTC),
Ole Michaelsen <omic+usenet4@fys.ku.dk> wrote:
>> Det kan ikke lade sig gøre med de operativsystemer jeg kender til.
>
> /etc/notrouter i solaris vil goere at maskinen ikke begynder at rute
> mellem net. Eller smaek et pakkefilter paa maskinen.
Det er forwarding. Det betyder ikke nogen forskel i denne sammenhæng.
Det kan de fleste systemer.
> Faa den onde sabotoer foerst adgang til maskinen, er slaget naturligvis
> tabt. Saa kan hun fjerne pakkefilteret, starte router-daemonen etc - og
> tilgaa baade net A og net B alt det hun lyster.
Netop.
--
Jesper
| |
Alex Holst (10-09-2002)
| Kommentar Fra : Alex Holst |
Dato : 10-09-02 13:40 |
|
"Keld Sørensen" <KS@ks-data.dk> wrote:
> Lad os kalde de 2 net for hhv. A og B, og jeg sidder ved en pc i net A.
>
> Via et ekstra netkort har jeg forbindelse til net B, hvor jeg skal køres på
> et firmas økonomisystem, og herfra kunne lave nogle udtræk til f.eks.
> Excel (og gemme filen på net A) og kopiere via clipboard til WORD, hvor
> filen igen gemmes på net A.
>
> Der skal så laves en sikring, hvor en potentiel sabotør ikke kan komme fra
> net B, over netkortet ind i net A. Det er vel så egentlig IKKE behov for at
> føre data FRA net A TIL net B !
Den slags kan opnaas med et multilevel security system (MLS). Det er
naturligvis meget, meget dyrt, men din formulering giver mig ikke
mulighed for at bedoemme hvad der ellers er Sikkert Nok.
http://www.google.com/search?hl=en&ie=ISO-8859-1&q=multilevel+security
Hvis MLS rammer helt ved siden af, kan du proeve at skrive igen. Du skal
have en sikkerhedspolitik der kan hjaelpe dig med at finde ud af
hvornaar du har gjort tilstraekkeligt for at beskytte dig. Da vi ikke
kender din sikkerhedspolitik kan vi ikke goere andet end at gaette om
dine krav indtil du giver os lidt mere at arbejde med.
Maaske det viser sig, at dine funktionalitets og sikkerhedskrav kan
loeses med en Windows maskine der er sat omhyggeligt op..
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Christian E. Lysel (10-09-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 10-09-02 14:50 |
|
Keld Sørensen wrote:
> Der skal så laves en sikring, hvor en potentiel sabotør ikke kan komme fra
> net B, over netkortet ind i net A. Det er vel så egentlig IKKE behov for at
> føre data FRA net A TIL net B !
Det kan godt være der ikke er et behov, men din maskine vil typisk
tillade det.
Hvis du vil have den virkelige sikre løsning, har du kun et
netværkskabel i af gangen. Dette sikre dog ikke imod trojer.
| |
Niels Callesøe (10-09-2002)
| Kommentar Fra : Niels Callesøe |
Dato : 10-09-02 15:41 |
|
Christian E. Lysel wrote:
> Hvis du vil have den virkelige sikre løsning, har du kun et
> netværkskabel i af gangen.
Man kunne også vælge at bikse et special-kabel sammen, med en kontakt
som man så bare kan trykke på i stedet for at rode med kabler.
> Dette sikre dog ikke imod trojer.
Hm, det ville det vel alligevel, i et hvist omfang (altså sikre data
på B, ikke data på den pågældende PC). Hvis angriberen kun kan komme
ind når der er adgang til net A, er det slet ikke sikkert han
nogensinde opdager at der findes et netværk B. Med mindre han ved hvad
han leder efter, selvfølgelig - men der vil stadig skulle nogle ekstra
krumspring til for at hente data fra B når han kun har adgang via A.
--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Nu med mere bitter disclaimer.
| |
Asbjorn Hojmark (09-09-2002)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 09-09-02 23:56 |
|
On Mon, 9 Sep 2002 16:27:28 +0200, "Keld Sørensen"
<KS@KS-DATA.DK> wrote:
> Når jeg siger 'kan komme fra det ene til det andet' mener jeg selvfølgelig
> med sabotage i tankerne - jeg skal selvfølgelig have fri adgang og kunne
> overføre data frem og tilbage.
Og når din pc potentielt kan 'overtages' og en udefra kommende
dermed har fri adgang til at hente filer fra det andet net, så er
din IT-afdeling paranoid?
-A
--
http://www.hojmark.org/
| |
|
|