---

Hej gruppe.

Traditionelle firewalls har en tendens til at foretage en meget firkantet
opdeling mellem det "gode" interne net og det "onde" eksterne net -
beskyttelsen mellem systemerne på det interne net kan således være minimal.
Dette betyder at en ondsindet insider kan have let spil, lige så vel som en
outsider kan hvis det lykkes ham at komprimitere en central router eller et
internt system. Dette kan selvfølgelig delvist afværes via netværk/firewall
arkitekturen (DMZ m.v.), men ikke helt.

Mit spørgsmål er da om administrator ikke kan installere personlige
firewalls på de enkelte klienter for at forhindre denne type angreb? Ideen
skulle være dels at beskytte klienter "mod hinanden", dels at opnå
programspecifik filtering mod trojans og andre uønskede programmer.

Jeres tanker heromkring?

-- Morton

---

On Sat, 21 Sep 2002 22:13:55 +0200,
Morton Christiansen <morton_c@tiscali.dk> wrote:
>
> Mit spørgsmål er da om administrator ikke kan installere personlige
> firewalls på de enkelte klienter for at forhindre denne type angreb? Ideen
> skulle være dels at beskytte klienter "mod hinanden", dels at opnå
> programspecifik filtering mod trojans og andre uønskede programmer.

For besværligt.

--
Jesper

---

Morton Christiansen <morton_c@tiscali.dk> wrote:
> Mit spørgsmål er da om administrator ikke kan installere personlige
> firewalls på de enkelte klienter for at forhindre denne type angreb? Ideen
> skulle være dels at beskytte klienter "mod hinanden", dels at opnå
> programspecifik filtering mod trojans og andre uønskede programmer.
>
> Jeres tanker heromkring?

Baade Windows og forskellige UNIX har en form for indbygget ip filter af
forskellig kvalitet. Dertil findes der nu VLAN switches der kan filtre
paa IP eller MAC adresser og dermed kun tillade at enkelte maskiner
taler med gateway adressen, og ingen anden.

Den stoerste fordel ved den slags hostfiltre er at det kan hjaelpe med
at afsloere interne afvigelser fra sikkerhedspolitikken. Hvis
mailserverne begynder at lave finger og ssh requests mod andre interne
maskiner, kunne det give et praj om, at der maaske er noget galt.

Der er dog mange andre ting man boer have paa plads foer man begynder
paa den slags.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

> Baade Windows og forskellige UNIX har en form for indbygget ip filter af
> forskellig kvalitet. Dertil findes der nu VLAN switches der kan filtre
> paa IP eller MAC adresser og dermed kun tillade at enkelte maskiner
> taler med gateway adressen, og ingen anden.

Ulemperne i forhold til desktop firewalls synes her at være manglende
bruger- og programauthentifikation.

>Den stoerste fordel ved den slags hostfiltre er at det kan hjaelpe med
>at afsloere interne afvigelser fra sikkerhedspolitikken. Hvis
>mailserverne begynder at lave finger og ssh requests mod andre interne
>maskiner, kunne det give et praj om, at der maaske er noget galt.

Dette kan vel også opnåes via desktop firewalls?

-- Morton

---

Morton Christiansen <morton_c@tiscali.dk> wrote:
>> Baade Windows og forskellige UNIX har en form for indbygget ip filter af
>> forskellig kvalitet. Dertil findes der nu VLAN switches der kan filtre
>> paa IP eller MAC adresser og dermed kun tillade at enkelte maskiner
>> taler med gateway adressen, og ingen anden.
>
> Ulemperne i forhold til desktop firewalls synes her at være manglende
> bruger- og programauthentifikation.

Hvis du oensker den slags skal du kigge paa enten Checkpoint's
integration med Active Directory eller OpenBSD's authpf funktion. De
tillader begge at der aendres firewall regler baseret paa user
authentication.

>>Den stoerste fordel ved den slags hostfiltre er at det kan hjaelpe med
>>at afsloere interne afvigelser fra sikkerhedspolitikken. Hvis
>>mailserverne begynder at lave finger og ssh requests mod andre interne
>>maskiner, kunne det give et praj om, at der maaske er noget galt.
>
> Dette kan vel også opnåes via desktop firewalls?

De desktop firewalls jeg har kigget paa har haft fejl i deres stateful
implementation. De tog saaledes nogle gange fejl af hvilke pakker der
var lovlige og hvilke der ikke var.

Hvilket problem forsoeger du at loese?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

On Sat, 21 Sep 2002 22:13:55 +0200, "Morton Christiansen"
<morton_c@tiscali.dk> wrote:

>Hej gruppe.
>
>Mit spørgsmål er da om administrator ikke kan installere personlige
>firewalls på de enkelte klienter for at forhindre denne type angreb? Ideen
>skulle være dels at beskytte klienter "mod hinanden", dels at opnå
>programspecifik filtering mod trojans og andre uønskede programmer.

både NAI og Symantec laver programmer til dette , som kan
administreres centralt.

Venlig hilsen

Per Sortkær Christensen

---

Morton Christiansen wrote:
>
> Mit spørgsmål er da om administrator ikke kan installere personlige
> firewalls på de enkelte klienter for at forhindre denne type angreb? Ideen
> skulle være dels at beskytte klienter "mod hinanden", dels at opnå
> programspecifik filtering mod trojans og andre uønskede programmer.

Jeg ville nok begrænse mig til at indele netværket i et antal
zoner med ensartede maskiner i hver zone. Hvis man har 100 ens
klientmaskiner er der nok ikke meget pointe i at beskytte dem
mod hinanden. Hvis en kan kompromiteres udefra har du 99 andre,
der også kan kompromiteres udefra. Så hjælper det ikke meget,
at beskytte mod angreb indefra.

På et stort netværk er det en god idé, at holde maskinerne så
ens som muligt. Og naturligvis er det en god idé, at sørge for
at opsætningen af den enkelte maskine er så sikker som mulig.

Nogle personlige firewalls har mulighed for at filtrere
udgående pakker på grundlag af bruger, dette kan i nogle
tilfælde være interesant, men det må bestemt ikke stå alene.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

> Jeg ville nok begrænse mig til at indele netværket i et antal
> zoner med ensartede maskiner i hver zone. Hvis man har 100 ens
> klientmaskiner er der nok ikke meget pointe i at beskytte dem
> mod hinanden. Hvis en kan kompromiteres udefra har du 99 andre,
> der også kan kompromiteres udefra. Så hjælper det ikke meget,
> at beskytte mod angreb indefra.
At maskiner er ens betyder kun at sårbarheder i dem er ens, men ikke
nødvendigvis at trusselbilledet også er det. F.eks. er det fuldt ud muligt
at blot én af de 100 systemer kompromiteres med en trojan/bagdør, som følge
af social engineering (orm/hacker) eller mulvappe. Hermed synes beskyttelse
mellem systemer at give god mening.

> Nogle personlige firewalls har mulighed for at filtrere
> udgående pakker på grundlag af bruger, dette kan i nogle
> tilfælde være interesant, men det må bestemt ikke stå alene.
Authentificering af brugere via personal firewalls er interessant. Nogen der
kender til fordele/ulemper i samligning med at gøre det på en proxy?

-- Morton