Morton Christiansen <morton_c@tiscali.dk> wrote:
>> Baade Windows og forskellige UNIX har en form for indbygget ip filter af
>> forskellig kvalitet. Dertil findes der nu VLAN switches der kan filtre
>> paa IP eller MAC adresser og dermed kun tillade at enkelte maskiner
>> taler med gateway adressen, og ingen anden.
>
> Ulemperne i forhold til desktop firewalls synes her at være manglende
> bruger- og programauthentifikation.
Hvis du oensker den slags skal du kigge paa enten Checkpoint's
integration med Active Directory eller OpenBSD's authpf funktion. De
tillader begge at der aendres firewall regler baseret paa user
authentication.
>>Den stoerste fordel ved den slags hostfiltre er at det kan hjaelpe med
>>at afsloere interne afvigelser fra sikkerhedspolitikken. Hvis
>>mailserverne begynder at lave finger og ssh requests mod andre interne
>>maskiner, kunne det give et praj om, at der maaske er noget galt.
>
> Dette kan vel også opnåes via desktop firewalls?
De desktop firewalls jeg har kigget paa har haft fejl i deres stateful
implementation. De tog saaledes nogle gange fejl af hvilke pakker der
var lovlige og hvilke der ikke var.
Hvilket problem forsoeger du at loese?
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow.
http://a.mongers.org