/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Firewall - Software eller Hardware
Fra : Peer Krogh Petersen


Dato : 27-09-03 17:57

Hej

Jeg er i tvivl om hvilken løsning, der er mest sikker ??

Nuværende setup : Hardware Firewall SMC 7004VBR + Norton Antivus 2004.

Overvejer ren software løsning : Norton Internet Security 2004.

Gode råd udbedes.

På forhånd tak

mvh

Peer




 
 
Kasper Dupont (27-09-2003)
Kommentar
Fra : Kasper Dupont


Dato : 27-09-03 18:10

Peer Krogh Petersen wrote:
>
> Hej
>
> Jeg er i tvivl om hvilken løsning, der er mest sikker ??
>
> Nuværende setup : Hardware Firewall SMC 7004VBR + Norton Antivus 2004.
>
> Overvejer ren software løsning : Norton Internet Security 2004.

En hardware firewall har helt klart nogle fordele i forhold til en
software firewall. En hardware firewall kan ikke umiddelbart slås
fra af softwaren på maskinen. En exploit i en software firewall
kan gøre din sikkerhed ringere, end den ville have været uden en
firewall. En hardware firewall vil ikke på samme måde kunne skade
din sikkerhed, i værste fald kan der laves et DoS attack mod din
netforbindelse. Hvis du vil have en software firewall synes jeg
også du skal beholde din hardware firewall.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

Hans Joergensen (29-09-2003)
Kommentar
Fra : Hans Joergensen


Dato : 29-09-03 19:43

Kasper Dupont wrote:
> En hardware firewall har helt klart nogle fordele i forhold til en
> software firewall. En hardware firewall kan ikke umiddelbart slås
> fra af softwaren på maskinen. En exploit i en software firewall
> kan gøre din sikkerhed ringere, end den ville have været uden en
> firewall. En hardware firewall vil ikke på samme måde kunne skade
> din sikkerhed, i værste fald kan der laves et DoS attack mod din
> netforbindelse. Hvis du vil have en software firewall synes jeg
> også du skal beholde din hardware firewall.

Årh .. der kan da også være exploits i hardware-firewalls ... fx.
har jeg flere gange taget livet af en PIX vha. en simpel nmap-scan
af en 3-4 hosts bag den..

// Hans
--
Sidevogn til Russer MC (Ural/Dnepr) samt militær-udstyr til denne
købes for rimelig pris!

Kent Friis (29-09-2003)
Kommentar
Fra : Kent Friis


Dato : 29-09-03 20:16

Den 29 Sep 2003 18:42:33 GMT skrev Hans Joergensen:
>Kasper Dupont wrote:
>> En hardware firewall har helt klart nogle fordele i forhold til en
>> software firewall. En hardware firewall kan ikke umiddelbart slås
>> fra af softwaren på maskinen. En exploit i en software firewall
>> kan gøre din sikkerhed ringere, end den ville have været uden en
>> firewall. En hardware firewall vil ikke på samme måde kunne skade
>> din sikkerhed, i værste fald kan der laves et DoS attack mod din
>> netforbindelse. Hvis du vil have en software firewall synes jeg
>> også du skal beholde din hardware firewall.
>
>Årh .. der kan da også være exploits i hardware-firewalls ... fx.
>har jeg flere gange taget livet af en PIX vha. en simpel nmap-scan
>af en 3-4 hosts bag den..

Men det bliver netværket bare utilgængeligt af.

Worst case hvis man har success med et exploit imod en hardware-firewall
er at man får fuld adgang til firewall'en. Men man står stadig uden
for døren til host'en bagved, man skal altså til at starte et nyt
angreb.

Worst case hvis man har success med et exploit imod en software-
firewall, er at man står med LocalSystem på maskinen. GAME OVER.

Mvh
Kent
--
Demokrati er lige som den 29. februar - begge dele forekommer
en gang hver fjerde år.

Jan Bøgh (30-09-2003)
Kommentar
Fra : Jan Bøgh


Dato : 30-09-03 18:02

"Kent Friis" <leeloo@phreaker.net> wrote in message
news:bla0e4$p02$4@sunsite.dk

> Worst case hvis man har success med et exploit imod en
> hardware-firewall er at man får fuld adgang til firewall'en. Men man
> står stadig uden
> for døren til host'en bagved, man skal altså til at starte et nyt
> angreb.

....mod maskiner, der ikke er ordentligt hardnet fordi de jo netop stod
bagved en PIX.

> Worst case hvis man har success med et exploit imod en software-
> firewall, er at man står med LocalSystem på maskinen. GAME OVER.

Jeg forstår ikke helt, hvor forskellen er.
Hvis vi bruger en såkaldt softwareFW (Smoothwall, IPtables, IPcop eller hvad
de nu hedder) efterlader vi da blackhatten i nøjagtig den samme situation
som ved PIX'en.
Han er vel ikke hverken mere eller mindre på en af de bagved stående
maskiner end i det andet tilfælde.
Fordelen ved PIX'en er IMHO at man må formode at den computer, der er pakket
ind i Ciscoboksen, må formodes at være ordentligt hardnet - hvilket man
måske ikke er helt så sikker på ved de andre nævnte. Men i den sidste ende
er det vel alene et spørgsmål om tillid: Tror man mere på Cisco end på
leverandørerne af de andre /den, der sætter FW'en op skal man selvfølgeligt
vælge PIX'en.

vh
Jan



Kent Friis (30-09-2003)
Kommentar
Fra : Kent Friis


Dato : 30-09-03 18:49

Den Tue, 30 Sep 2003 19:01:43 +0200 skrev Jan Bøgh:
>"Kent Friis" <leeloo@phreaker.net> wrote in message
>news:bla0e4$p02$4@sunsite.dk
>
>> Worst case hvis man har success med et exploit imod en
>> hardware-firewall er at man får fuld adgang til firewall'en. Men man
>> står stadig uden
>> for døren til host'en bagved, man skal altså til at starte et nyt
>> angreb.
>
>...mod maskiner, der ikke er ordentligt hardnet fordi de jo netop stod
>bagved en PIX.

Hvis de ikke er det, har man næppe forstået ret meget om sikkerhed.

>> Worst case hvis man har success med et exploit imod en software-
>> firewall, er at man står med LocalSystem på maskinen. GAME OVER.
>
>Jeg forstår ikke helt, hvor forskellen er.
>Hvis vi bruger en såkaldt softwareFW (Smoothwall, IPtables, IPcop eller hvad
>de nu hedder) efterlader vi da blackhatten i nøjagtig den samme situation
>som ved PIX'en.
>Han er vel ikke hverken mere eller mindre på en af de bagved stående
>maskiner end i det andet tilfælde.

Når vi siger "software firewall", så er det en firewall der kører på
serveren / PC'en.

Når vi siger "hardware firewall", så er det en separat kasse, og det
er uanset om kassen så indeholder en PIX eller en 386 med Linux.

Mvh
Kent
--
NT er brugervenligt - det er bare brugerne der ikke kan finde ud af det
- en NT-administrator

Povl H. Pedersen (30-09-2003)
Kommentar
Fra : Povl H. Pedersen


Dato : 30-09-03 19:30

On 2003-09-30,
Kent Friis <leeloo@phreaker.net> wrote:
> Den Tue, 30 Sep 2003 19:01:43 +0200 skrev Jan Bøgh:
>>"Kent Friis" <leeloo@phreaker.net> wrote in message
>>news:bla0e4$p02$4@sunsite.dk
>>
>>> Worst case hvis man har success med et exploit imod en
>>> hardware-firewall er at man får fuld adgang til firewall'en. Men man
>>> står stadig uden
>>> for døren til host'en bagved, man skal altså til at starte et nyt
>>> angreb.
>>
>>...mod maskiner, der ikke er ordentligt hardnet fordi de jo netop stod
>>bagved en PIX.
>
> Hvis de ikke er det, har man næppe forstået ret meget om sikkerhed.

Helt enig. En firewall er ikke erstatning for at hardne en server,
men en ekstra forhindring for blackhat.
>
>>> Worst case hvis man har success med et exploit imod en software-
>>> firewall, er at man står med LocalSystem på maskinen. GAME OVER.
>>
>>Jeg forstår ikke helt, hvor forskellen er.
>>Hvis vi bruger en såkaldt softwareFW (Smoothwall, IPtables, IPcop eller hvad
>>de nu hedder) efterlader vi da blackhatten i nøjagtig den samme situation
>>som ved PIX'en.
>>Han er vel ikke hverken mere eller mindre på en af de bagved stående
>>maskiner end i det andet tilfælde.
>
> Når vi siger "software firewall", så er det en firewall der kører på
> serveren / PC'en.

Eksempelvis Firewall-1 går jeg ud fra ?
>
> Når vi siger "hardware firewall", så er det en separat kasse, og det
> er uanset om kassen så indeholder en PIX eller en 386 med Linux.

Hvad er forskellen ? Den mindste PIX er en AMD SC520, som er en embedded
AM5x86, med et enkelt PCI slot. PIX-506 har til gengæld en 300MHz Celeron,
32MB RAM, samt 2 integrerede Ethernet porte. For en kvalificeret blackhat,
så er det vel bare en anden maskine man kan smide Linux på.

Der er ikke nogen reel forskel på en hardware- og en softwarefirewall
andet end styresystemet, og firewallsoftwaren.

En PC der korer IOS er en hardwarefirewall, en PC der korer Windows er
en softwarefirewall.

Hans Joergensen (30-09-2003)
Kommentar
Fra : Hans Joergensen


Dato : 30-09-03 20:50

Povl H. Pedersen wrote:
> En PC der korer IOS er en hardwarefirewall, en PC der korer Windows er
> en softwarefirewall.

Nogle ville muligvis betragte en PC der kører Windows som et
sikkerhedshul

// Hans
--
UNIX Admin søger arbejde, http://nathue.dk/?page=cv

Kent Friis (30-09-2003)
Kommentar
Fra : Kent Friis


Dato : 30-09-03 21:11

Den Tue, 30 Sep 2003 18:30:07 +0000 (UTC) skrev Povl H. Pedersen:
>On 2003-09-30,
>Kent Friis <leeloo@phreaker.net> wrote:
>> Den Tue, 30 Sep 2003 19:01:43 +0200 skrev Jan Bøgh:
>>>"Kent Friis" <leeloo@phreaker.net> wrote in message
>>>news:bla0e4$p02$4@sunsite.dk
>>>
>>>> Worst case hvis man har success med et exploit imod en software-
>>>> firewall, er at man står med LocalSystem på maskinen. GAME OVER.
>>>
>>>Jeg forstår ikke helt, hvor forskellen er.
>>>Hvis vi bruger en såkaldt softwareFW (Smoothwall, IPtables, IPcop eller hvad
>>>de nu hedder) efterlader vi da blackhatten i nøjagtig den samme situation
>>>som ved PIX'en.
>>>Han er vel ikke hverken mere eller mindre på en af de bagved stående
>>>maskiner end i det andet tilfælde.
>>
>> Når vi siger "software firewall", så er det en firewall der kører på
>> serveren / PC'en.
>
>Eksempelvis Firewall-1 går jeg ud fra ?

Nej, firewall-1 er mig bekendt en hardware-firewall. Zone-alarm er
en software-firewall.

>> Når vi siger "hardware firewall", så er det en separat kasse, og det
>> er uanset om kassen så indeholder en PIX eller en 386 med Linux.
>
>Hvad er forskellen ?

Lad mig prøve med lidt ascii-art...

Software-firewall:
__________
| Server |
--| Firewall |
|__________|

Hardware-firewall:

__________ ________
| | | |
--| Firewall |--| Server |
|__________| |________|

Det er altså komplet ligegyldigt hvilket OS firewall'en kører, og
hvilket hardware den kører på. Alle firewalls består af både hardware
og software (så egentlig er betegnelsen misvisende). En hardware-
firewall er en separat maskine i forhold til serveren eller PC'en
den skal beskytte, en software-firewall kører på samme maskine som
den skal beskytte.

Mvh
Kent
--
Desuden kan jeg ikke se nogen grund til at springe over hvor gærdet er
lavest, når man kan vente på at det alligevel bliver revet ned fordi
der skal bygges en omfartsvej...
- Claus Frørup og Asbjørn Christensen i dk.snak.

Asbjorn Hojmark (30-09-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 30-09-03 23:20

On Tue, 30 Sep 2003 20:10:37 +0000 (UTC), leeloo@phreaker.net
(Kent Friis) wrote:

> Nej, firewall-1 er mig bekendt en hardware-firewall. Zone-alarm er
> en software-firewall.

Det er jo (som du selv er inde på) et definitionsspørgsmål.

Firewall-1 er også blot software, der kører oven på et OS, der
kan være Windows, SunOS eller noget helt tredje. (En Nokia-kasse
med Firewall-1 er således 'noget helt tredje').

Men selvom det kører på en box, der ikke laver andet end at blive
brugt til firewall, så er det jo stadig software, så betegnelsen
'software-firewall' er misvisende, efter min mening.

En anden udbredt betegnelse er 'personlig firewall', og det
afspejler muligvis bedre den typiske anvendelse.

-A
--
http://www.hojmark.org/

Alex Holst (30-09-2003)
Kommentar
Fra : Alex Holst


Dato : 30-09-03 23:36

Asbjorn Hojmark <Asbjorn@hojmark.org> wrote:
> Men selvom det kører på en box, der ikke laver andet end at blive
> brugt til firewall, så er det jo stadig software, så betegnelsen
> 'software-firewall' er misvisende, efter min mening.

+1

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Povl H. Pedersen (30-09-2003)
Kommentar
Fra : Povl H. Pedersen


Dato : 30-09-03 23:21

On 2003-09-30,
Kent Friis <leeloo@phreaker.net> wrote:
> Den Tue, 30 Sep 2003 18:30:07 +0000 (UTC) skrev Povl H. Pedersen:
>>On 2003-09-30,
>>Kent Friis <leeloo@phreaker.net> wrote:
>>> Den Tue, 30 Sep 2003 19:01:43 +0200 skrev Jan Bøgh:
>>>>"Kent Friis" <leeloo@phreaker.net> wrote in message
>>>>news:bla0e4$p02$4@sunsite.dk
>>>>
>>>>> Worst case hvis man har success med et exploit imod en software-
>>>>> firewall, er at man står med LocalSystem på maskinen. GAME OVER.
>>>>
>>>>Jeg forstår ikke helt, hvor forskellen er.
>>>>Hvis vi bruger en såkaldt softwareFW (Smoothwall, IPtables, IPcop eller hvad
>>>>de nu hedder) efterlader vi da blackhatten i nøjagtig den samme situation
>>>>som ved PIX'en.
>>>>Han er vel ikke hverken mere eller mindre på en af de bagved stående
>>>>maskiner end i det andet tilfælde.
>>>
>>> Når vi siger "software firewall", så er det en firewall der kører på
>>> serveren / PC'en.
>>
>>Eksempelvis Firewall-1 går jeg ud fra ?
>
> Nej, firewall-1 er mig bekendt en hardware-firewall. Zone-alarm er
> en software-firewall.

Firewall-1 kan du kore på alle mulige PC'ere. Se eksempelvis her:
http://www.checkpoint.com/products/choice/platforms/platforms_software.html

her er bundle priser med diverse standard PC hardware.

De sælger også Linux kasser man kan smide FW-1 på, ligesom det korer
på Windows og Solaris.

>
>>> Når vi siger "hardware firewall", så er det en separat kasse, og det
>>> er uanset om kassen så indeholder en PIX eller en 386 med Linux.
>>
>>Hvad er forskellen ?
>
> Lad mig prøve med lidt ascii-art...
>
> Software-firewall:
> __________
> | Server |
> --| Firewall |
> |__________|
>
> Hardware-firewall:
>
> __________ ________
> | | | |
> --| Firewall |--| Server |
> |__________| |________|
>
> Det er altså komplet ligegyldigt hvilket OS firewall'en kører, og
> hvilket hardware den kører på. Alle firewalls består af både hardware
> og software (så egentlig er betegnelsen misvisende). En hardware-
> firewall er en separat maskine i forhold til serveren eller PC'en
> den skal beskytte, en software-firewall kører på samme maskine som
> den skal beskytte.

Ah, det du kalder software firewall er det jeg kalder personlig firewall.

Så en Linux router er en hardware firewall hvis den ikke udbyder alt
for mange services ? (Web admin interface er ihevrtfald lovligt:)

Kent Friis (01-10-2003)
Kommentar
Fra : Kent Friis


Dato : 01-10-03 16:42

Den Tue, 30 Sep 2003 22:21:11 +0000 (UTC) skrev Povl H. Pedersen:
>On 2003-09-30,
>Kent Friis <leeloo@phreaker.net> wrote:
>> Den Tue, 30 Sep 2003 18:30:07 +0000 (UTC) skrev Povl H. Pedersen:
>>>On 2003-09-30,
>>>>
>>>> Når vi siger "hardware firewall", så er det en separat kasse, og det
>>>> er uanset om kassen så indeholder en PIX eller en 386 med Linux.
>>>
>>>Hvad er forskellen ?
>>
>> Lad mig prøve med lidt ascii-art...
>>
>> Software-firewall:
>> __________
>> | Server |
>> --| Firewall |
>> |__________|
>>
>> Hardware-firewall:
>>
>> __________ ________
>> | | | |
>> --| Firewall |--| Server |
>> |__________| |________|
>>
>> Det er altså komplet ligegyldigt hvilket OS firewall'en kører, og
>> hvilket hardware den kører på. Alle firewalls består af både hardware
>> og software (så egentlig er betegnelsen misvisende). En hardware-
>> firewall er en separat maskine i forhold til serveren eller PC'en
>> den skal beskytte, en software-firewall kører på samme maskine som
>> den skal beskytte.
>
>Ah, det du kalder software firewall er det jeg kalder personlig firewall.

Det kommer an på hvad du kalder en personlig firewall. En personlig
firewall er normalt beregnet til en enkelt PC (deraf "personlig"),
og af en kvalitet der lugter langt væk af marketing.

Fx ville jeg ikke kalde Linux' iptables (og formentlig heller ikke
XP's indbyggede, det kender jeg den ikke nok til at vide med sikkerhed)
for personlig firewall, heller ikke selvom de kører på en enkelt-bruger
hjemme-pc. Det er en software-firewall hvis de beskytter maskinen selv.

>Så en Linux router er en hardware firewall hvis den ikke udbyder alt
>for mange services ? (Web admin interface er ihevrtfald lovligt:)

Administration hører naturligvis med, og en Squid eller http
load-balancer kan jeg også gå med til. Altså ting der har med
firwall'ing at gøre.

En PIX er jo også bare en PC med nogen special-connectors der femdobler
prisen på et ekstra netkort. Det der er indeni er stadig software.

Mvh
Kent
--
Linux 0.12 is out
Windows 2003 is now obsolete!!!

Hans Joergensen (01-10-2003)
Kommentar
Fra : Hans Joergensen


Dato : 01-10-03 17:44

Kent Friis wrote:
> Administration hører naturligvis med, og en Squid eller http
> load-balancer kan jeg også gå med til. Altså ting der har med
> firwall'ing at gøre.

Årh .. jeg synes godt en maskine kan kaldes en firewall selvom den
kører en masse andre services også.

Hvis du fx. har en Linux-maskine der på yderside-interfacet spærrer
godt og grundigt for alt uvedkommende trafik, og på det interne
interface kører en filserver/printserver/whatever ..

Jeg ville stadig kalde den en firewall... :)

// Hans
--
Sidevogn til Russer MC (Ural/Dnepr) samt militær-udstyr til denne
købes for rimelig pris!

Kent Friis (01-10-2003)
Kommentar
Fra : Kent Friis


Dato : 01-10-03 18:38

Den 01 Oct 2003 16:44:28 GMT skrev Hans Joergensen:
>Kent Friis wrote:
>> Administration hører naturligvis med, og en Squid eller http
>> load-balancer kan jeg også gå med til. Altså ting der har med
>> firwall'ing at gøre.
>
>Årh .. jeg synes godt en maskine kan kaldes en firewall selvom den
>kører en masse andre services også.
>
>Hvis du fx. har en Linux-maskine der på yderside-interfacet spærrer
>godt og grundigt for alt uvedkommende trafik, og på det interne
>interface kører en filserver/printserver/whatever ..
>
>Jeg ville stadig kalde den en firewall... :)

Men vi snakkede om hardware-firewall vs. software-firewall.

En hardware-firewall er en separat kasse.

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Railroad
Tycoon II and Unreal Tournament run side by side

Hans Joergensen (01-10-2003)
Kommentar
Fra : Hans Joergensen


Dato : 01-10-03 18:54

Kent Friis wrote:
> Men vi snakkede om hardware-firewall vs. software-firewall.
> En hardware-firewall er en separat kasse.

Hmm .. ved nærmere eftertanke vil jeg nærmere kalde
'hardware-firewall' for et buzzword ... det er jo ALTID noget
software der laver firewall-funktionaliteten ...

Den korrekte betegnelse må være dedikeret firewall eller ikke
dedikeret firewall.

// Hans
--
http://rd350.nathue.dk - Breaking the ozone-layer since 1985

Povl H. Pedersen (01-10-2003)
Kommentar
Fra : Povl H. Pedersen


Dato : 01-10-03 22:24

On 2003-10-01,
Hans Joergensen <haj@enterprise-server.dk> wrote:
> Kent Friis wrote:
>> Men vi snakkede om hardware-firewall vs. software-firewall.
>> En hardware-firewall er en separat kasse.
>
> Hmm .. ved nærmere eftertanke vil jeg nærmere kalde
> 'hardware-firewall' for et buzzword ... det er jo ALTID noget
> software der laver firewall-funktionaliteten ...

Ja, men Cisco siger da at deres Layer 3 switche laver routing
og filter matching i hardware. Selvfolgelig er der ikke statefull
inspection, hvilket er Cisco's definition af forskel på router
og firewall.

> Den korrekte betegnelse må være dedikeret firewall eller ikke
> dedikeret firewall.

Korrekt, men en dedikeret firewall kan godt være en proxy cache,
eller en HTTPS accelerator.

Christian E. Lysel (30-09-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 30-09-03 19:32

> Når vi siger "hardware firewall", så er det en separat kasse, og det
> er uanset om kassen så indeholder en PIX eller en 386 med Linux.

Det kan også være et netværkskort,

http://www.snapgear.com/pci630.html



Hans Joergensen (30-09-2003)
Kommentar
Fra : Hans Joergensen


Dato : 30-09-03 20:49

Kent Friis wrote:
>>...mod maskiner, der ikke er ordentligt hardnet fordi de jo netop stod
>>bagved en PIX.
> Hvis de ikke er det, har man næppe forstået ret meget om sikkerhed.

Desværre er det vist mere reglen end undtagelsen at nogle baserer
hele deres sikkerhed på en firewall...

Men for at holde mig til subj kan jeg ikke se at en Cisco PIX skulle
være mere sikker end en Linux/BSD med ingen services kørende
(inklusive sshd) og kun konsoladgang .. iptables/ipf er sikkert nok.

// Hans
--
http://ph33r.dk - Vejen til et fjollet liv

Povl H. Pedersen (30-09-2003)
Kommentar
Fra : Povl H. Pedersen


Dato : 30-09-03 21:00

On 2003-09-30,
Hans Joergensen <haj@enterprise-server.dk> wrote:
> Kent Friis wrote:
>>>...mod maskiner, der ikke er ordentligt hardnet fordi de jo netop stod
>>>bagved en PIX.
>> Hvis de ikke er det, har man næppe forstået ret meget om sikkerhed.
>
> Desværre er det vist mere reglen end undtagelsen at nogle baserer
> hele deres sikkerhed på en firewall...
>
> Men for at holde mig til subj kan jeg ikke se at en Cisco PIX skulle
> være mere sikker end en Linux/BSD med ingen services kørende
> (inklusive sshd) og kun konsoladgang .. iptables/ipf er sikkert nok.

Jeg mener at have læst et sted, at en hærdet Linux firewall
har fået en halt. Så der er ingen process scheduler på den, og
der kan ikke startes processer. Alt korer interrupt-driven.

Det skulle angiveligt være en solid konstruktion - Uanset hvor
mange services du har startet får de ingen CPU tid :)

Kent Friis (30-09-2003)
Kommentar
Fra : Kent Friis


Dato : 30-09-03 21:20

Den Tue, 30 Sep 2003 19:59:51 +0000 (UTC) skrev Povl H. Pedersen:
>On 2003-09-30,
>Hans Joergensen <haj@enterprise-server.dk> wrote:
>> Kent Friis wrote:
>>>>...mod maskiner, der ikke er ordentligt hardnet fordi de jo netop stod
>>>>bagved en PIX.
>>> Hvis de ikke er det, har man næppe forstået ret meget om sikkerhed.
>>
>> Desværre er det vist mere reglen end undtagelsen at nogle baserer
>> hele deres sikkerhed på en firewall...
>>
>> Men for at holde mig til subj kan jeg ikke se at en Cisco PIX skulle
>> være mere sikker end en Linux/BSD med ingen services kørende
>> (inklusive sshd) og kun konsoladgang .. iptables/ipf er sikkert nok.
>
>Jeg mener at have læst et sted, at en hærdet Linux firewall
>har fået en halt. Så der er ingen process scheduler på den, og
>der kan ikke startes processer. Alt korer interrupt-driven.

Det er en mulighed, hvis man vælger at gå i ekstremerne. Til gengæld
er der heller ingen syslog eller noget som helst.

Mvh
Kent
--
F0 0F C7 C8 - Intel Pentium bug

Povl H. Pedersen (30-09-2003)
Kommentar
Fra : Povl H. Pedersen


Dato : 30-09-03 23:15

On 2003-09-30,
Kent Friis <leeloo@phreaker.net> wrote:
>>Jeg mener at have læst et sted, at en hærdet Linux firewall
>>har fået en halt. Så der er ingen process scheduler på den, og
>>der kan ikke startes processer. Alt korer interrupt-driven.
>
> Det er en mulighed, hvis man vælger at gå i ekstremerne. Til gengæld
> er der heller ingen syslog eller noget som helst.

Det er derfor man kan lave Read-Only ethernet sniffer kabler,
det er så du kan placere din logserver så den fanger alt på
kablet.

Nu overvejer jeg så lige, om 2 bokse, en til ud, og en til ind
med hhv read og write kabel ikke vill være en ide ? Så er det svært
at hacke en boks.

Hans Joergensen (01-10-2003)
Kommentar
Fra : Hans Joergensen


Dato : 01-10-03 17:36

Povl H. Pedersen wrote:
> Det er derfor man kan lave Read-Only ethernet sniffer kabler,
> det er så du kan placere din logserver så den fanger alt på
> kablet.

Det lyder som overkill hvis du spørger mig ..

// Hans
--
http://ph33r.dk - Helt galt .. :)
UNIX Admin søger arbejde, http://nathue.dk/?page=cv

Kasper Dupont (01-10-2003)
Kommentar
Fra : Kasper Dupont


Dato : 01-10-03 06:13

Kent Friis wrote:
>
> Det er en mulighed, hvis man vælger at gå i ekstremerne. Til gengæld
> er der heller ingen syslog eller noget som helst.

Kan det ikke lade sig gøre at sende log beskederne
til UDP port 514 på en passende syslog server?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

Kent Friis (01-10-2003)
Kommentar
Fra : Kent Friis


Dato : 01-10-03 16:59

Den Wed, 01 Oct 2003 07:13:00 +0200 skrev Kasper Dupont:
>Kent Friis wrote:
>>
>> Det er en mulighed, hvis man vælger at gå i ekstremerne. Til gengæld
>> er der heller ingen syslog eller noget som helst.
>
>Kan det ikke lade sig gøre at sende log beskederne
>til UDP port 514 på en passende syslog server?

Uden software - nej.

Muligvis kan man få den til at logge på konsollen, som kan være en
serielport, men så meget har jeg ikke roden med konstruktionen.

Mvh
Kent
--
The frozen north will hatch a flightless bird,
who will spread his wings and dominate the earth
And cause an empire by the sea to fall
To the astonishment, and delight of all.

Kasper Dupont (01-10-2003)
Kommentar
Fra : Kasper Dupont


Dato : 01-10-03 17:07

Kent Friis wrote:
>
> Den Wed, 01 Oct 2003 07:13:00 +0200 skrev Kasper Dupont:
> >Kent Friis wrote:
> >>
> >> Det er en mulighed, hvis man vælger at gå i ekstremerne. Til gengæld
> >> er der heller ingen syslog eller noget som helst.
> >
> >Kan det ikke lade sig gøre at sende log beskederne
> >til UDP port 514 på en passende syslog server?
>
> Uden software - nej.
>
> Muligvis kan man få den til at logge på konsollen, som kan være en
> serielport, men så meget har jeg ikke roden med konstruktionen.

Måske netconsole ville kunne klare opgaven.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

Kent Friis (01-10-2003)
Kommentar
Fra : Kent Friis


Dato : 01-10-03 17:20

Den Wed, 01 Oct 2003 18:07:17 +0200 skrev Kasper Dupont:
>Kent Friis wrote:
>>
>> Den Wed, 01 Oct 2003 07:13:00 +0200 skrev Kasper Dupont:
>> >Kent Friis wrote:
>> >>
>> >> Det er en mulighed, hvis man vælger at gå i ekstremerne. Til gengæld
>> >> er der heller ingen syslog eller noget som helst.
>> >
>> >Kan det ikke lade sig gøre at sende log beskederne
>> >til UDP port 514 på en passende syslog server?
>>
>> Uden software - nej.
>>
>> Muligvis kan man få den til at logge på konsollen, som kan være en
>> serielport, men så meget har jeg ikke roden med konstruktionen.
>
>Måske netconsole ville kunne klare opgaven.

Åh ja, den tænkte jeg ikke lige på (er det iøvrigt ikke stadig en
uofficiel patch?). Den burde virke, men jeg tror ikke lige den snakker
syslog. Til gengæld så mener jeg den snakker UDP, og den kræver
ingen svar -> envejs-kablet burde faktisk virke.

Mvh
Kent
--
Journalist: En der har forstand på at skrive artikler, men typisk
ikke på det artiklerne handler om.

Kasper Dupont (01-10-2003)
Kommentar
Fra : Kasper Dupont


Dato : 01-10-03 20:25

Kent Friis wrote:
>
> Den Wed, 01 Oct 2003 18:07:17 +0200 skrev Kasper Dupont:
> >
> >Måske netconsole ville kunne klare opgaven.
>
> Åh ja, den tænkte jeg ikke lige på (er det iøvrigt ikke stadig en
> uofficiel patch?).

Jeg mener ikke den findes i mainstream 2.4 kerner. (Jeg ved ikke
om den er kommet med i 2.6.0-test). Tilgengæld er Red Hat begyndt
at bruge den i deres egne kerner. Ikke overraskende eftersom den
mig bekendt er udviklet hos Red Hat. Deres udgave understøtter
godt nok kun to netkort, men da jeg selv havde brug for den tog
det mig ikke ret lang tid at tilføje support for mit eget netkort.

> Den burde virke, men jeg tror ikke lige den snakker syslog.

Det kommer an på, hvilken version, du bruger. Men jeg er ikke
sikker på, om den faktisk kan sende kerne beskeder direkte som
syslog beskeder. Måske skal de lige en tur omkring usermode
daemonen klogd først.

> Til gengæld så mener jeg den snakker UDP, og den kræver
> ingen svar -> envejs-kablet burde faktisk virke.

Det er envejs kommunikation med UDP pakker. Den går næsten helt
uden om kernens øvrige IP implementation. Du kan sådanset sætte
source IP, port, destination MAC, IP og port fuldstændigt som
du lyster. At formatet så ikke lige er syslog er egentlig ikke
så væsentligt. Det er en ganske simpel daemon der skal til for
at tage imod beskederne.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

Kent Friis (01-10-2003)
Kommentar
Fra : Kent Friis


Dato : 01-10-03 22:19

Den Wed, 01 Oct 2003 21:25:26 +0200 skrev Kasper Dupont:
>Kent Friis wrote:
>>
>> Til gengæld så mener jeg den snakker UDP, og den kræver
>> ingen svar -> envejs-kablet burde faktisk virke.
>
>Det er envejs kommunikation med UDP pakker. Den går næsten helt
>uden om kernens øvrige IP implementation. Du kan sådanset sætte
>source IP, port, destination MAC, IP og port fuldstændigt som
>du lyster. At formatet så ikke lige er syslog er egentlig ikke
>så væsentligt. Det er en ganske simpel daemon der skal til for
>at tage imod beskederne.

Enig. Mener man at man har et behov for at gå så vidt, så er det at
skrive en lytte-daemon den mindste del af problemet.

Mvh
Kent
--
If you think about it, Windows XP is actually the OS that
started as "Microsoft OS/2 NT 3.0"

Kent Friis (30-09-2003)
Kommentar
Fra : Kent Friis


Dato : 30-09-03 21:15

Den 30 Sep 2003 19:48:41 GMT skrev Hans Joergensen:
>Kent Friis wrote:
>>>...mod maskiner, der ikke er ordentligt hardnet fordi de jo netop stod
>>>bagved en PIX.
>> Hvis de ikke er det, har man næppe forstået ret meget om sikkerhed.
>
>Desværre er det vist mere reglen end undtagelsen at nogle baserer
>hele deres sikkerhed på en firewall...
>
>Men for at holde mig til subj kan jeg ikke se at en Cisco PIX skulle
>være mere sikker end en Linux/BSD med ingen services kørende
>(inklusive sshd) og kun konsoladgang .. iptables/ipf er sikkert nok.

*Jeg* har i hvert fald ikke sagt noget positivt om PIX.

Jeg ville altid vælge en linux-maskine fremfor PIX.

Mvh
Kent
--
Indlæringskurven til Linux er stejl, til tider lodret... Men for katten
hvor er udsigten på toppen dog fantastisk
- Michael G. Vendelbo i dk.snak

Alex Holst (30-09-2003)
Kommentar
Fra : Alex Holst


Dato : 30-09-03 23:22

Kent Friis <leeloo@phreaker.net> wrote:
> *Jeg* har i hvert fald ikke sagt noget positivt om PIX.

Mit indtryk er, at du ikke ved ret meget om hverken PIX eller Windows,
men du holder dig ikke tilbage naar det kommer til kritik.

Er det en korrekt opfattelse?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Kasper Dupont (01-10-2003)
Kommentar
Fra : Kasper Dupont


Dato : 01-10-03 06:20

Alex Holst wrote:
>
> Kent Friis <leeloo@phreaker.net> wrote:
> > *Jeg* har i hvert fald ikke sagt noget positivt om PIX.
>
> Mit indtryk er, at du ikke ved ret meget om hverken PIX eller Windows,
> men du holder dig ikke tilbage naar det kommer til kritik.

Jeg har set en PIX gå ned minimum en gang om ugen gennem en lang
periode. Leverandøren snakkede om, at det skyldtes for meget UDP
trafik gennem firewallen.

Hvis jeg personligt skulle bruge en PIX, ville jeg foretrække at
sætte den bagved en iptables firewall.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

Kent Friis (01-10-2003)
Kommentar
Fra : Kent Friis


Dato : 01-10-03 16:56

Den Wed, 1 Oct 2003 00:22:00 +0200 skrev Alex Holst:
>Kent Friis <leeloo@phreaker.net> wrote:
>> *Jeg* har i hvert fald ikke sagt noget positivt om PIX.
>
>Mit indtryk er, at du ikke ved ret meget om hverken PIX eller Windows,

En ting ad gangen...

Min viden om PIX begrænser sig til hvad jeg har af dårlige erfaringer
med firmaets PIX'e og de tilhørende administratorer. Jeg kan ikke
udelukke at det kan være manglende viden hos administratorerne, der
er årsag til problemet. Jeg fik aldrig lov at røre dem, selvom jeg
var den der vidste mest om firewalls på det tidspunkt vi skiftede
fra en linux-firewall (som jeg havde konfigureret) til PIX.

Jeg ville ikke selv bruge (eller anbefale) en PIX på noget tidspunkt,
men det er udfra den betragtning at man opnår bedre sikkerhed med
noget man kender, end med noget man ikke kender.

Min viden om windows "begrænser" sig til at jeg nu har arbejdet i
fem år med windows (og inden det, har jeg brugt det under min
uddannelse), det første halvandet år som supporter, og resten af
tiden som programmør, primært .NET! Hvis man kan være windows-programmør
uden at vide ret meget om windows, så ok med mig.

>men du holder dig ikke tilbage naar det kommer til kritik.

Jeg håber ikke jeg har kritiseret PIX mere end jeg havde belæg for.
Hvad windows angår, har jeg masser af grund til at kritisere det, idet
jeg har bøvlet med det skr*mmel hver eneste dag jeg er på arbejde. Så
meget at det er en hel befrielse at komme hjem foran Linux'en, hvor
alt bare virker.

Mvh
Kent
--
Which one is faster - Lotus Notes or Lotus Esprit?

Klaus Ellegaard (01-10-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 01-10-03 17:06

leeloo@phreaker.net (Kent Friis) writes:

>Min viden om PIX begrænser sig til hvad jeg har af dårlige erfaringer
>med firmaets PIX'e og de tilhørende administratorer.

Jeg har også hørt, at der er mange usikre Linux-installationer
derude, så det kan da kun være inkompetente klaphatte, der vil
risikere at bruge den slags?

Du er lige røget 50 km ned under "Microsoft FUD" i min bog over
troværdighed.

Mvh.
   Klaus.

Kent Friis (01-10-2003)
Kommentar
Fra : Kent Friis


Dato : 01-10-03 17:19

Den Wed, 1 Oct 2003 16:06:07 +0000 (UTC) skrev Klaus Ellegaard:
>leeloo@phreaker.net (Kent Friis) writes:
>
>>Min viden om PIX begrænser sig til hvad jeg har af dårlige erfaringer
>>med firmaets PIX'e og de tilhørende administratorer.
>
>Jeg har også hørt, at der er mange usikre Linux-installationer
>derude, så det kan da kun være inkompetente klaphatte, der vil
>risikere at bruge den slags?

Nu er det ikke lige sikkerheden der primært har været problemer med,
men PIX'e der skal rebootes, elendig kommandolinie, forvirrende måde
at lave opsætnigen og den slags.

>Du er lige røget 50 km ned under "Microsoft FUD" i min bog over
>troværdighed.

Nu skrev jeg faktisk "Jeg har ikke sagt noget positivt om PIX", det
betyder ikke nødvendigvis at jeg betragter det som noget skrammel. Og
den eneste grund til at jeg skrev det, var at det indlæg jeg svarede
på kunne læses som om at han havde misforstået nogen af mine
argumenter for hardware-firewalls som en anbefaling af PIX. Jeg ønsker
ikke at anbefale et produkt jeg ikke selv kan stå inde for, det
overlader jeg til folk der ved mere om produktet.

Mvh
Kent
--
A computer without Windows is like a chocolate cake without mustard.

Povl H. Pedersen (01-10-2003)
Kommentar
Fra : Povl H. Pedersen


Dato : 01-10-03 22:26

On 2003-10-01,
Kent Friis <leeloo@phreaker.net> wrote:
> Den Wed, 1 Oct 2003 00:22:00 +0200 skrev Alex Holst:
>>Kent Friis <leeloo@phreaker.net> wrote:
>>> *Jeg* har i hvert fald ikke sagt noget positivt om PIX.
>>
>>Mit indtryk er, at du ikke ved ret meget om hverken PIX eller Windows,
>
> En ting ad gangen...
>
> Min viden om PIX begrænser sig til hvad jeg har af dårlige erfaringer
> med firmaets PIX'e og de tilhørende administratorer. Jeg kan ikke
> udelukke at det kan være manglende viden hos administratorerne, der
> er årsag til problemet. Jeg fik aldrig lov at røre dem, selvom jeg
> var den der vidste mest om firewalls på det tidspunkt vi skiftede
> fra en linux-firewall (som jeg havde konfigureret) til PIX.

Jeg har hort om ustabile PIX-501, men de storre skulle virke
upåklageligt, og jeg har ikke hort om problemer med 506/515.


Jan Bøgh (01-10-2003)
Kommentar
Fra : Jan Bøgh


Dato : 01-10-03 18:39

"Kent Friis" <leeloo@phreaker.net> wrote in message
news:blcfme$qdk$1@sunsite.dk

>> ...mod maskiner, der ikke er ordentligt hardnet fordi de jo netop
>> stod bagved en PIX.
>
> Hvis de ikke er det, har man næppe forstået ret meget om sikkerhed.

Korrekt. Men i den virkelige verden findes denne problematik ofte.

> Når vi siger "software firewall", så er det en firewall der kører på
> serveren / PC'en.
>
> Når vi siger "hardware firewall", så er det en separat kasse, og det
> er uanset om kassen så indeholder en PIX eller en 386 med Linux.

Jeg vil gerne købe denne definition - men ville nok foretrække at man kaldte
de sidste for dedikerede firewalls. Men jeg formoder så at der er enighed om
at alle firewalls i denne sammenhæng /er/ software - dedikerede eller ej.

vh
Jan



Kent Friis (01-10-2003)
Kommentar
Fra : Kent Friis


Dato : 01-10-03 18:39

Den Wed, 1 Oct 2003 19:39:23 +0200 skrev Jan Bøgh:
>"Kent Friis" <leeloo@phreaker.net> wrote in message
>news:blcfme$qdk$1@sunsite.dk
>
>>> ...mod maskiner, der ikke er ordentligt hardnet fordi de jo netop
>>> stod bagved en PIX.
>>
>> Hvis de ikke er det, har man næppe forstået ret meget om sikkerhed.
>
>Korrekt. Men i den virkelige verden findes denne problematik ofte.
>
>> Når vi siger "software firewall", så er det en firewall der kører på
>> serveren / PC'en.
>>
>> Når vi siger "hardware firewall", så er det en separat kasse, og det
>> er uanset om kassen så indeholder en PIX eller en 386 med Linux.
>
>Jeg vil gerne købe denne definition - men ville nok foretrække at man kaldte
>de sidste for dedikerede firewalls. Men jeg formoder så at der er enighed om
>at alle firewalls i denne sammenhæng /er/ software - dedikerede eller ej.

"Dedikeret" er et af de der dumme ord man aldrig kan huske, når man
skal bruge det.

Og ja, alle firewalls er software.

Mvh
Kent
--
The frozen north will hatch a flightless bird,
who will spread his wings and dominate the earth
And cause an empire by the sea to fall
To the astonishment, and delight of all.

Hans Joergensen (01-10-2003)
Kommentar
Fra : Hans Joergensen


Dato : 01-10-03 18:57

Jan Bøgh wrote:
> Jeg vil gerne købe denne definition - men ville nok foretrække at man kaldte
> de sidste for dedikerede firewalls. Men jeg formoder så at der er enighed om
> at alle firewalls i denne sammenhæng /er/ software - dedikerede eller ej.

Ja +1 .. nu skrev jeg så lige det samme

// Hans
--
RD350 YPVS - Supporting global warming since 1985

Kasper Dupont (01-10-2003)
Kommentar
Fra : Kasper Dupont


Dato : 01-10-03 06:07

"Jan Bøgh" wrote:
>
> ...mod maskiner, der ikke er ordentligt hardnet fordi de jo netop stod
> bagved en PIX.

Det har altid været vigtigere at sørge for en fornuftig opsætning af
sine maskiner end at beskytte dem bag en firewall. Netværket bagved
firewallen skal være konfigureret som om den ikke var der.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

Jan Bøgh (01-10-2003)
Kommentar
Fra : Jan Bøgh


Dato : 01-10-03 18:43

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3F7A610A.85AA2EC4@daimi.au.dk
> "Jan Bøgh" wrote:
>>
>> ...mod maskiner, der ikke er ordentligt hardnet fordi de jo netop
>> stod bagved en PIX.
>
> Det har altid været vigtigere at sørge for en fornuftig opsætning af
> sine maskiner end at beskytte dem bag en firewall. Netværket bagved
> firewallen skal være konfigureret som om den ikke var der.

Enig.
Men jeg kender mange eksempler på at dette ikke er sket.

vh
Jan



Hans Joergensen (01-10-2003)
Kommentar
Fra : Hans Joergensen


Dato : 01-10-03 18:58

Jan Bøgh wrote:
> Enig.
> Men jeg kender mange eksempler på at dette ikke er sket.

Som jeg nævnte tidligere kender jeg flere eksempler på at det ikke
er sket end at det er sket...

// Hans
--
RD350 YPVS - Supporting global warming since 1985

Peer Krogh Petersen (30-09-2003)
Kommentar
Fra : Peer Krogh Petersen


Dato : 30-09-03 20:49

Tak for de mange svar

Jeg beholder min Hardware-Firewall.

mvh

Peer


"Peer Krogh Petersen" <peer@petersen.mail.dk> skrev i en meddelelse
news:3f75c0ed$0$97225$edfadb0f@dread12.news.tele.dk...
> Hej
>



Søg
Reklame
Statistik
Spørgsmål : 177548
Tips : 31968
Nyheder : 719565
Indlæg : 6408803
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste