---

Hejsa

Jeg har et række klienter jeg skal have installeret en firewall på. Det
drejer sig mestendels om en række bærbare computere der til dagligt sidder
på en netværk, men bliver slæbt med hjem dagligt.
Der er en blanding af XP og 2000.
På XP maskinerne ville jeg enable den indbyggede firewall. Men jeg ved ikke
rigtigt hvad jeg skal smide på dem. Det skal være muligt at bruge alle de
ting man normalt bruger når man sidder i et windows netværk (Exchange, MSN
Messenger mv.). Jeg er klar over at man kan konfigurere det på den enkelte
klient som man vil, men jeg vil gerne have muligheden for at lave en
konfiguration som man nemt kan smide på alle maskinerne.
En anden feature der ville være rar var også password til konfigurationen,
så brugeren ikke ved en fejl kan komme til at åbne for ting der ikke skulle
åbnes for.

Er der nogen åbenlyse produkter jeg skal benytte eller holde mig fra?? Jeg
har ikke umiddelbart de store præferences mht. pris, men det bliver nok
lettere at få bossen til at spise noget billigt end noget dyrt

Pfh Michael

---

In article <3fdc5164$0$69968$edfadb0f@dread12.news.tele.dk>, Michael Skarum wrote:
> Hejsa

Hejsa.

> Jeg har et række klienter jeg skal have installeret en firewall på. Det

Hvorfor?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

> > Jeg har et række klienter jeg skal have installeret en firewall på. Det
>
> Hvorfor?

Det er bærbare computerer der bliver slæbt udenfor huset dagligt, og jeg har
ingen anelse om hvilket net de sætter dem til i tide og utide

---

Michael Skarum <michael_sletmig@skarum.net> wrote:
> Messenger mv.). Jeg er klar over at man kan konfigurere det på den enkelte
> klient som man vil, men jeg vil gerne have muligheden for at lave en
> konfiguration som man nemt kan smide på alle maskinerne.

Mange af slags ting kan defineres i AD.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

> Mange af slags ting kan defineres i AD.

Hvilken personal firewall kan du konfigurer via AD?

---

Michael Skarum <michael_sletmig@skarum.net> wrote:
>> Mange af slags ting kan defineres i AD.
>
> Hvilken personal firewall kan du konfigurer via AD?

XP's indbyggede kan kontrolleres via Group Policy.

Jeg ville nok forsoege at lukke unoedvendige services paa maskinerne i
stedet for at lade dem koere endnu mere kode. Man opnaar det samme
(angribere kan ikke faa kontakt til saa mange services) uden at aabne
for andre risici.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

> XP's indbyggede kan kontrolleres via Group Policy.

Hmm - jeg synes ikke jeg kan findet så meget om det ud over:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/network/maintain/security/ipv6fw/hfp01.asp

Og så har vi stadig baladen med 2000 klienterne

>
> Jeg ville nok forsoege at lukke unoedvendige services paa maskinerne i
> stedet for at lade dem koere endnu mere kode. Man opnaar det samme
> (angribere kan ikke faa kontakt til saa mange services) uden at aabne
> for andre risici.

Enig - det er jeg også ved at se på, men jeg vil dog gerne have en FW oveni

---

Michael Skarum <michael_sletmig@skarum.net> wrote:
>> XP's indbyggede kan kontrolleres via Group Policy.
>
> Hmm - jeg synes ikke jeg kan findet så meget om det ud over:
> http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/network/maintain/security/ipv6fw/hfp01.asp
>
> Og så har vi stadig baladen med 2000 klienterne

Ikke hvis jeg kan overbevise dig om at firewall funktionalitet paa
klienter ikke noedvendigvis er det rigtige.

>> Jeg ville nok forsoege at lukke unoedvendige services paa maskinerne i
>> stedet for at lade dem koere endnu mere kode. Man opnaar det samme
>> (angribere kan ikke faa kontakt til saa mange services) uden at aabne
>> for andre risici.
>
> Enig - det er jeg også ved at se på, men jeg vil dog gerne have en FW oveni

Kan du forklare hvorfor? Den ekstra kode ser jeg som en unoedig risiko.
Selvom vi taler om Windows, mindes jeg en kommentar fra en af OpenBSD
udviklerne om at han stolede mere paa en OpenBSD box der kun koerte
OpenSSH i privsep mode, end en OpenBSD box der koerer OpenSSH i privsep
mode plus pf filtering af alt andet end port 22.

Der *er* en oeget risiko i at koere software man ikke har brug for, og
risikoen er ikke platformsspecifik.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

"Michael Skarum" <michael_sletmig@skarum.net> wrote in message
news:3fdc7fda$0$69897$edfadb0f@dread12.news.tele.dk...
> > Mange af slags ting kan defineres i AD.
>
> Hvilken personal firewall kan du konfigurer via AD?
>
>

https://www.cert.dk/artikler/artikler/000300A006.shtml

Hele ideen med en Personlig Firewall må efter min mening være:

1) Central kontrol med hvad den enkelte bruger kan benytte af software på
den enkelte PC. (ej godkendt software bliver slået "ihjel")
2) Beskyttelse af den enkelte PC, når denne bevæger sig rundt på netværk,
der ikke kan kontrolléres/styres af virksomheden.

Iøvrigt mener jeg begrebet Personlig Firewall er et forkert navn til denne
type foranstaltning. Applikationskontrol ville efter min mening være bedre.

Mvh
Henrik Rask Mortensen

--
Dette indlæg er sendt som privatperson og afspejler ikke nødvendigvis
holdningen i det firma jeg arbejder for.

Indlægget er heller ikke på nogen måde sendt for at genere nogen eller bryde
nogens regler - skrevne eller uskrevne.

---

Den Sun, 14 Dec 2003 16:56:04 +0100 skrev Henrik Rask Mortensen:
>
>"Michael Skarum" <michael_sletmig@skarum.net> wrote in message
>news:3fdc7fda$0$69897$edfadb0f@dread12.news.tele.dk...
>> > Mange af slags ting kan defineres i AD.
>>
>> Hvilken personal firewall kan du konfigurer via AD?
>>
>>
>
>https://www.cert.dk/artikler/artikler/000300A006.shtml
>
>Hele ideen med en Personlig Firewall må efter min mening være:
>
>1) Central kontrol med hvad den enkelte bruger kan benytte af software på
>den enkelte PC. (ej godkendt software bliver slået "ihjel")

"personlig" og "central kontrol" er modsætninger i denne sammenhæng.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

"Kent Friis" <leeloo@phreaker.net> wrote in message
news:bri2so$raf$1@sunsite.dk...
> Den Sun, 14 Dec 2003 16:56:04 +0100 skrev Henrik Rask Mortensen:
> >
> >"Michael Skarum" <michael_sletmig@skarum.net> wrote in message
> >news:3fdc7fda$0$69897$edfadb0f@dread12.news.tele.dk...
> >> > Mange af slags ting kan defineres i AD.
> >>
> >> Hvilken personal firewall kan du konfigurer via AD?
> >>
> >>
> >
> >https://www.cert.dk/artikler/artikler/000300A006.shtml
> >
> >Hele ideen med en Personlig Firewall må efter min mening være:
> >
> >1) Central kontrol med hvad den enkelte bruger kan benytte af software
på
> >den enkelte PC. (ej godkendt software bliver slået "ihjel")
>
> "personlig" og "central kontrol" er modsætninger i denne sammenhæng.
>
> Mvh
> Kent
> --
> Help test this great MMORPG game - http://www.eternal-lands.com/


Det personlige går på, at den er installeret på hver enkelt PC og det
centrale går på, at de skal styres fra central hold.

Det ser jeg nu ikke nogen modsætninger i !!

mvh
Henrik
--
Dette indlæg er sendt som privatperson og afspejler ikke nødvendigvis
holdningen i det firma jeg arbejder for.

Indlægget er heller ikke på nogen måde sendt for at genere nogen eller bryde
nogens regler - skrevne eller uskrevne.

---

Henrik Rask Mortensen <henrikrask@mail.dk> wrote:
> Hele ideen med en Personlig Firewall må efter min mening være:
>
> 1) Central kontrol med hvad den enkelte bruger kan benytte af software på
> den enkelte PC. (ej godkendt software bliver slået "ihjel")

Benyt Software Restriction Policies (SRP) i Windows 2000 og XP i stedet.

Produkter som ZoneAlarm, BlackIce, etc indeholder N gange flere linier
kode end Windows' ICF og SRP har tilsammen. Jeg forstaar virkeligt ikke
at nogen toer stole paa de virker.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

On 2003-12-14, Michael Skarum <michael_sletmig@skarum.net> wrote:
> Hejsa
>
> Jeg har et række klienter jeg skal have installeret en firewall på. Det
> drejer sig mestendels om en række bærbare computere der til dagligt sidder
> på en netværk, men bliver slæbt med hjem dagligt.
> Der er en blanding af XP og 2000.
> På XP maskinerne ville jeg enable den indbyggede firewall. Men jeg ved ikke
> rigtigt hvad jeg skal smide på dem. Det skal være muligt at bruge alle de
> ting man normalt bruger når man sidder i et windows netværk (Exchange, MSN
> Messenger mv.). Jeg er klar over at man kan konfigurere det på den enkelte
> klient som man vil, men jeg vil gerne have muligheden for at lave en
> konfiguration som man nemt kan smide på alle maskinerne.

Du lukker bare for det hele. Til normalt brug har man ikke behov for
indgående trafik.

Bare brug den indbyggede i XP.