|
| Erfaringer med 'standalone' (hardware) fir~ Fra : LarsS |
Dato : 06-12-02 08:47 |
|
Nogen der har erfaringer med subj.?
(såsom Edimax Router/Firewall?)
- Vil en sådan overflødiggøre den Norton Firewall jeg nu
har installeret på hver af mit netværks 3 pc'er?
(Internet-tilslutning via andelsforening-LAN & sattelit).
/LarsS
| |
Thomas Nielsen (06-12-2002)
| Kommentar Fra : Thomas Nielsen |
Dato : 06-12-02 09:37 |
|
"LarsS" <sidenius@kabelnettet.dk> wrote in message
news:aspklh$r0p$1@sunsite.dk...
> Nogen der har erfaringer med subj.?
> (såsom Edimax Router/Firewall?)
Ja da.
>
> - Vil en sådan overflødiggøre den Norton Firewall jeg nu
> har installeret på hver af mit netværks 3 pc'er?
Nej & jo.. Hvis din Routere/Firewall er konfiguret. rigtigt
så kan du godt undlede at bruge FW lokalt, Men hvis du køre begge dele
så er du kun dobbelt sikret. :)
Så det er jo op til dig selv
Men en standalone FW i din sag vil nok være for meget.
men en routere er fino.
Men noget andet, så skal man også på hvad du køre af services .. om du
køre noget Http / FTP / Mail.
Og herefter tage et valg
Så køre du nogle services ?
> (Internet-tilslutning via andelsforening-LAN & sattelit).
>
> /LarsS
>
| |
LarsS (06-12-2002)
| Kommentar Fra : LarsS |
Dato : 06-12-02 13:17 |
|
Thomas Nielsen skrev:
> LarsS skrev:
> > Nogen der har erfaringer med subj.?
> > (såsom Edimax Router/Firewall?)
> Ja da.
Osse den billige Edimax?
> > - Vil en sådan overflødiggøre den Norton Firewall jeg nu
> > har installeret på hver af mit netværks 3 pc'er?
> Nej & jo.. Hvis din Routere/Firewall er konfiguret. rigtigt
> så kan du godt undlede at bruge FW lokalt, Men hvis du køre begge
> dele så er du kun dobbelt sikret. :)
Okaay, nej ideen er at bl.a. at slippe for lokale FWs.
> Så det er jo op til dig selv
> Men en standalone FW i din sag vil nok være for meget.
> men en routere er fino.
>
> Men noget andet, så skal man også på hvad du køre af
> services .. om du køre noget Http / FTP / Mail.
> Og herefter tage et valg
> Så køre du nogle services ?
Services? Hvad betyder det? Hver af de 3 pc har selvf.
adgang til net & post. Det skal bare være for at ha
"privat netværk" uden passwords & lokale FWs som jo
bruger en del system resourcer. Desuden kan den ene
PC fjernbetjene de 2 andre.
(Pt. bruger jeg switcher, FW på hver PC & passwords
på netværk-sharing.)
> > (Internet-tilslutning via andelsforening-LAN & sattelit).
/LarsS
| |
Thomas Nielsen (06-12-2002)
| Kommentar Fra : Thomas Nielsen |
Dato : 06-12-02 14:33 |
|
"LarsS" <sidenius@kabelnettet.dk> wrote in message
news:asq4la$ou5$1@sunsite.dk...
> Thomas Nielsen skrev:
> > LarsS skrev:
>
> > > Nogen der har erfaringer med subj.?
> > > (såsom Edimax Router/Firewall?)
>
> > Ja da.
>
> Osse den billige Edimax?
>
> > > - Vil en sådan overflødiggøre den Norton Firewall jeg nu
> > > har installeret på hver af mit netværks 3 pc'er?
>
> > Nej & jo.. Hvis din Routere/Firewall er konfiguret. rigtigt
> > så kan du godt undlede at bruge FW lokalt, Men hvis du køre begge
> > dele så er du kun dobbelt sikret. :)
>
> Okaay, nej ideen er at bl.a. at slippe for lokale FWs.
Okay... Du kan fint fjerne de lokale FW.
Men husk lige et AV.
>
> > Så det er jo op til dig selv
> > Men en standalone FW i din sag vil nok være for meget.
> > men en routere er fino.
> >
> > Men noget andet, så skal man også på hvad du køre af
> > services .. om du køre noget Http / FTP / Mail.
> > Og herefter tage et valg
> > Så køre du nogle services ?
>
> Services? Hvad betyder det? Hver af de 3 pc har selvf.
> adgang til net & post. Det skal bare være for at ha
> "privat netværk" uden passwords & lokale FWs som jo
> bruger en del system resourcer. Desuden kan den ene
> PC fjernbetjene de 2 andre.
> (Pt. bruger jeg switcher, FW på hver PC & passwords
> på netværk-sharing.)
>
Okay... Det du skal gøre er at. Fjerne fil sharing
Og brug FTP programmer i stedet for fil sharing.
Ellers er det fint nok
> > > (Internet-tilslutning via andelsforening-LAN & sattelit).
Få den til at lukke af for de mest alminglige services...
>
> /LarsS
>
| |
Karsten H. (07-12-2002)
| Kommentar Fra : Karsten H. |
Dato : 07-12-02 12:43 |
|
"Thomas Nielsen" <thomas.nielsen@tdn.dk> wrote in news:DE1I9.60249
$HU.4127318@news010.worldonline.dk:
>
> "LarsS" <sidenius@kabelnettet.dk> wrote in message
> news:asq4la$ou5$1@sunsite.dk...
>> Thomas Nielsen skrev:
>> > LarsS skrev:
>>
>> > > Nogen der har erfaringer med subj.?
>> Services? Hvad betyder det? Hver af de 3 pc har selvf.
>> adgang til net & post. Det skal bare være for at ha
>> "privat netværk" uden passwords & lokale FWs som jo
>> bruger en del system resourcer. Desuden kan den ene
>> PC fjernbetjene de 2 andre.
>> (Pt. bruger jeg switcher, FW på hver PC & passwords
>> på netværk-sharing.)
>>
>
> Okay... Det du skal gøre er at. Fjerne fil sharing
> Og brug FTP programmer i stedet for fil sharing.
Hvorfor du skulle bruge FTP i stedet for fildeling kan jeg ikke fortælle
dig.. Hvis du går ud og køber noget firewallsagtigt noget, og blokker for
inbound og outbound SMB-traffik kan du gødt køre med fildeling på dine
PCer. Og i det mindste sender den ikke koderne i clear text som FTP gør..
--
Karsten H.
Som har skrevet sin mail-adresse baglæns for at narre fjenden i Aalborg.
| |
Thomas Nielsen (07-12-2002)
| Kommentar Fra : Thomas Nielsen |
Dato : 07-12-02 13:17 |
|
"Karsten H." <netsrak@egotrip.dk> wrote in message
news:Xns92DD819672E4karstenegotripdk@212.54.64.135...
> "Thomas Nielsen" <thomas.nielsen@tdn.dk> wrote in news:DE1I9.60249
> $HU.4127318@news010.worldonline.dk:
>
> >
> > "LarsS" <sidenius@kabelnettet.dk> wrote in message
> > news:asq4la$ou5$1@sunsite.dk...
> >> Thomas Nielsen skrev:
> >> > LarsS skrev:
> >>
> >> > > Nogen der har erfaringer med subj.?
> >> Services? Hvad betyder det? Hver af de 3 pc har selvf.
> >> adgang til net & post. Det skal bare være for at ha
> >> "privat netværk" uden passwords & lokale FWs som jo
> >> bruger en del system resourcer. Desuden kan den ene
> >> PC fjernbetjene de 2 andre.
> >> (Pt. bruger jeg switcher, FW på hver PC & passwords
> >> på netværk-sharing.)
> >>
> >
> > Okay... Det du skal gøre er at. Fjerne fil sharing
> > Og brug FTP programmer i stedet for fil sharing.
>
> Hvorfor du skulle bruge FTP i stedet for fildeling kan jeg ikke fortælle
> dig.. Hvis du går ud og køber noget firewallsagtigt noget, og blokker for
> inbound og outbound SMB-traffik kan du gødt køre med fildeling på dine
> PCer.
Ja det kune man. Men så skal du også stole på den FW agtige at det virker.
Og i det mindste sender den ikke koderne i clear text som FTP gør..
Hvis han meget gerne vil være sikker.. Kan han gå over til SSH over FTP !
>
> --
> Karsten H.
> Som har skrevet sin mail-adresse baglæns for at narre fjenden i Aalborg.
| |
Karsten H. (07-12-2002)
| Kommentar Fra : Karsten H. |
Dato : 07-12-02 14:16 |
|
"Thomas Nielsen" <thomas.nielsen@tdn.dk> wrote in
news:nDlI9.61475$HU.4231282@news010.worldonline.dk:
>> Hvorfor du skulle bruge FTP i stedet for fildeling kan jeg ikke
>> fortælle dig.. Hvis du går ud og køber noget firewallsagtigt noget,
>> og blokker for inbound og outbound SMB-traffik kan du gødt køre med
>> fildeling på dine PCer.
>
> Ja det kune man. Men så skal du også stole på den FW agtige at det
> virker.
Det er pointen med en firewall, ja. Hvis der ikke er sat regler op i den
nytter den ikke meget. Men lad os, bare for sjov, antage at manden rent
faktisk bruger tid på at sætte sin firewall op, når han nu går ud og bruger
penge på den.
>> Og i det mindste sender den ikke koderne i clear text som FTP gør..
>
> Hvis han meget gerne vil være sikker.. Kan han gå over til SSH over
> FTP !
Og hvis han vil være rigtig sikker, så rykker han kablerne ud af maskinen,
og går over til sneakermetoden.
Manden har tre maskiner, som han sætter bag en firewall. Hvis han
konfigurerer sin firewall nogenlunde fornuftigt op, så er sftp måske en
kendelde overkill? Det er jo heller ikke gratis, i CPU-henseende, at
kryptere triviel trafik.
--
Karsten H.
Som har skrevet sin mail-adresse baglæns for at narre fjenden i Aalborg.
| |
Kasper Dupont (07-12-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 07-12-02 19:10 |
|
"Karsten H." wrote:
>
> Det er jo heller ikke gratis, i CPU-henseende, at
> kryptere triviel trafik.
Nej, men du skal vist have en hurtig netforbindelse
og en langsom CPU for at det betyder noget i praksis.
>
> --
> Karsten H.
> Som har skrevet sin mail-adresse baglæns for at narre fjenden i Aalborg.
Hvem er den fjende?
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";
| |
Karsten H. (07-12-2002)
| Kommentar Fra : Karsten H. |
Dato : 07-12-02 20:11 |
|
Kasper Dupont <kasperd@daimi.au.dk> wrote in news:3DF2395D.81135D69
@daimi.au.dk:
> Nej, men du skal vist have en hurtig netforbindelse
> og en langsom CPU for at det betyder noget i praksis.
Bestemt. Vi snakker jo også LAN i denne forbindelse, hvor 100mbit
efterhånden er ret almindeligt. Og når maskinen skal til at kryptere ti
megabyte i sekundet, så begynder den at knirke lidt i min erfaring.
--
Karsten H.
Som har skrevet sin mail-adresse baglæns for at narre fjenden i Aalborg.
| |
Kasper Dupont (07-12-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 07-12-02 22:32 |
|
"Karsten H." wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> wrote in news:3DF2395D.81135D69
> @daimi.au.dk:
>
> > Nej, men du skal vist have en hurtig netforbindelse
> > og en langsom CPU for at det betyder noget i praksis.
>
> Bestemt. Vi snakker jo også LAN i denne forbindelse, hvor 100mbit
> efterhånden er ret almindeligt. Og når maskinen skal til at kryptere ti
> megabyte i sekundet, så begynder den at knirke lidt i min erfaring.
Mine eksperimenter med scp kommandoen over 100mbit netværk og
1GHz P3 CPUer i hver ende viste, at jeg kunne overføre 10MB
på 3 sekunder og 110MB på 12.5 sekunder. Når vi ser bort fra
initialisering var der altså tale om en 85mbit/s.
Det var CPUen på modtager computeren, der var flaskehalsen,
på afsenderen var belastningen på 70-80%. Hvis man havde en
lidt hurtigere CPU eller lidt langsommere netværksforbindelse
ville det altså være netværksforbindelsen der satte grænsen.
Hvis man samtidig kører andre CPU tunge opgaver, er det
selvfølgelig en anden sag. Men hvor mange gør faktisk det?
>
> --
> Karsten H.
> Som har skrevet sin mail-adresse baglæns for at narre fjenden i Aalborg.
Hvem *er* den fjende?
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";
| |
Karsten H. (07-12-2002)
| Kommentar Fra : Karsten H. |
Dato : 07-12-02 22:47 |
|
Kasper Dupont <kasperd@daimi.au.dk> wrote in
news:3DF268CE.B63C7EBF@daimi.au.dk:
> Det var CPUen på modtager computeren, der var flaskehalsen,
> på afsenderen var belastningen på 70-80%. Hvis man havde en
> lidt hurtigere CPU eller lidt langsommere netværksforbindelse
> ville det altså være netværksforbindelsen der satte grænsen.
>
> Hvis man samtidig kører andre CPU tunge opgaver, er det
> selvfølgelig en anden sag. Men hvor mange gør faktisk det?
Nu kan jeg se du kører Linux. Det er ikke helt til at udelukke at det også
kan spille ind - Måske er det lidt mere effektivt end windows på det punkt.
> Hvem *er* den fjende?
Tyskerne.
Og spammerne.
--
Karsten H.
Som har skrevet sin mail-adresse baglæns for at narre fjenden i Aalborg.
| |
Kasper Dupont (07-12-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 07-12-02 22:54 |
|
"Karsten H." wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> wrote in
> news:3DF268CE.B63C7EBF@daimi.au.dk:
>
> > Det var CPUen på modtager computeren, der var flaskehalsen,
> > på afsenderen var belastningen på 70-80%. Hvis man havde en
> > lidt hurtigere CPU eller lidt langsommere netværksforbindelse
> > ville det altså være netværksforbindelsen der satte grænsen.
> >
> > Hvis man samtidig kører andre CPU tunge opgaver, er det
> > selvfølgelig en anden sag. Men hvor mange gør faktisk det?
>
> Nu kan jeg se du kører Linux. Det er ikke helt til at udelukke at det også
> kan spille ind - Måske er det lidt mere effektivt end windows på det punkt.
Jeg har svært ved at se hvordan OS kan spille ind på
effektiviteten af en kryptering/dekryptering, der er
implementeret i userspace. Men hvis der bruges
forskellige implementationer er det straks en helt
anden sag.
Men hvis man bruger cygwin burde openssh vel også
kunne bruges under Windows. Er der nogen som har
erfaringer med hastigheden af openssh under hhv.
Linux og cygwin?
>
> > Hvem *er* den fjende?
>
> Tyskerne.
> Og spammerne.
Nå, jeg troede ikke de sad i Aalborg.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Hvem er fjenden i Aalborg?
| |
Karsten H. (07-12-2002)
| Kommentar Fra : Karsten H. |
Dato : 07-12-02 23:04 |
|
Kasper Dupont <kasperd@daimi.au.dk> wrote in
news:3DF26DF7.F814BB45@daimi.au.dk:
> Jeg har svært ved at se hvordan OS kan spille ind på
> effektiviteten af en kryptering/dekryptering, der er
> implementeret i userspace. Men hvis der bruges
> forskellige implementationer er det straks en helt
> anden sag.
Det bør det heller ikke, men windows har noget mere overhead på
netværksoperationer end linux har. Og hvis f.eks. explorer.exe får lyst til
at æde 40% af cpuen fordi en skal kopiere, så påvirker det også
krypteringen i negativ retning.
Det er selvfølgelig et grelt eksempel, men generelt spytter linux gerne
ukrypterede bytes igennem æteren hurtigere end windows.
> Nå, jeg troede ikke de sad i Aalborg.
>
Gammel dansk historie.
--
Karsten H.
Som har skrevet sin mail-adresse baglæns for at narre fjenden i Aalborg.
| |
Jesper Louis Anderse~ (08-12-2002)
| Kommentar Fra : Jesper Louis Anderse~ |
Dato : 08-12-02 01:04 |
|
On Sat, 07 Dec 2002 22:53:59 +0100, Kasper Dupont <kasperd@daimi.au.dk> wrote:
>
> Jeg har svært ved at se hvordan OS kan spille ind på
> effektiviteten af en kryptering/dekryptering, der er
> implementeret i userspace. Men hvis der bruges
> forskellige implementationer er det straks en helt
> anden sag.
Hvis man nu har hardwarekrypteringsenheder som givent OS kan udnytte.
Hvis driverimplementationen er sløv....
--
Jesper
| |
Kasper Dupont (08-12-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 08-12-02 11:03 |
|
Jesper Louis Andersen wrote:
>
> On Sat, 07 Dec 2002 22:53:59 +0100, Kasper Dupont <kasperd@daimi.au.dk> wrote:
> >
> > Jeg har svært ved at se hvordan OS kan spille ind på
> > effektiviteten af en kryptering/dekryptering, der er
> > implementeret i userspace. Men hvis der bruges
> > forskellige implementationer er det straks en helt
> > anden sag.
>
> Hvis man nu har hardwarekrypteringsenheder som givent OS kan udnytte.
> Hvis driverimplementationen er sløv....
Det blev diskuteret på Linux kerne mailing listen for nylig.
Her er Linus Torvalds mening om den sag:
http://groups.google.com/groups?selm=fa.o9ppe6v.i4i4rf%40ifi.uio.no
Men det er bare et af mange indlæg i diskutionen.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Hvem er fjenden i Aalborg?
| |
Alex Holst (08-12-2002)
| Kommentar Fra : Alex Holst |
Dato : 08-12-02 11:51 |
|
Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Jesper Louis Andersen wrote:
>>
>> Hvis man nu har hardwarekrypteringsenheder som givent OS kan udnytte.
>> Hvis driverimplementationen er sløv....
>
> Det blev diskuteret på Linux kerne mailing listen for nylig.
> Her er Linus Torvalds mening om den sag:
> http://groups.google.com/groups?selm=fa.o9ppe6v.i4i4rf%40ifi.uio.no
Han har tydeligvist ikke proevet at benytte en (tilstraekkelig) crypto
accelerator.
Der er mange situationer hvor det giver teknisk og oekonimisk mening at
benytte sig af en crypto accelerator. Jeg gaetter paa, at hverken Linus
eller Alex ved nok om *dine* krav til at du skal lade dem fortaelle dig
noget som helst. Foretag din egen vurdering.
> Hvem er fjenden i Aalborg?
Det kunne vaere mig; jeg bor jo i Aalborg.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Arne Schwerdtfegger (07-12-2002)
| Kommentar Fra : Arne Schwerdtfegger |
Dato : 07-12-02 14:16 |
|
"Thomas Nielsen" <thomas.nielsen@tdn.dk> wrote in
news:nDlI9.61475$HU.4231282@news010.worldonline.dk:
> Ja det kune man. Men så skal du også stole på den FW agtige at det
> virker.
>
> Og i det mindste sender den ikke koderne i clear text som FTP gør..
>
> Hvis han meget gerne vil være sikker.. Kan han gå over til SSH over
> FTP !
1: du quoter elendigt.
2: du staver elendigt.
3: du lider af begrebsforvirring.
4: hah, kalder du en tcp-prober for it-sikkerhed? det bedste ved din side
er julelooket.
--
Knud
| |
Kasper Dupont (07-12-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 07-12-02 14:18 |
|
Thomas Nielsen wrote:
>
> Kan han gå over til SSH over FTP !
Du mener vel sftp?
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";
| |
|
|