---

Hej,

Kan I anbefale en personal firewall til brug på nogle Windows 2000 servere?
(kan I overhovedet anbefale at bruge personal firewalls?
eller bør man "blot" sikre sig fornuftigt med en "gammeldags" firewall?")

Serverenes roller er primært webservere og mailservere.

Mvh
Thomas Damgaard

---

In article <402bd905$0$94999$edfadb0f@dread11.news.tele.dk>, Thomas Damgaard Nielsen wrote:
> Kan I anbefale en personal firewall til brug på nogle Windows 2000 servere?

Hvilken sikkerhedspolitik skal implementeres og hvordan er denne defineret.

> (kan I overhovedet anbefale at bruge personal firewalls?
> eller bør man "blot" sikre sig fornuftigt med en "gammeldags" firewall?")

Hvad er forskellen på en personlig firewall og en gammeldags firewall?

> Serverenes roller er primært webservere og mailservere.

Generelt mener jeg du altid bør bruge mest tid på at hardne serveren,
til dette kan du fx starte med kun at lade den kører det som
er nødvendigt.

"netstat -na" er et udmærket værktøj til at se om du er nået i mål,
således bør kun port 25/tcp og 80/tcp være åbent i ovenstående setup.

Læs evt. også i gruppens OSS.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Christian E. Lysel wrote:

> Hvilken sikkerhedspolitik skal implementeres og hvordan er denne defineret.

Den er ikke defineret endnu.
Men et led i at definere den, er at jeg undersøger disse ting.


>>(kan I overhovedet anbefale at bruge personal firewalls?
>>eller bør man "blot" sikre sig fornuftigt med en "gammeldags" firewall?")
>
> Hvad er forskellen på en personlig firewall og en gammeldags firewall?

En personlig firewall er afaik fx. noget som Tiny Personal Firewall,
Sygate Personal Firewall, Norton Personal Firewall, Kerio Personal
Firewall, McAfee Personal Firewall, Zone Alarm, Black Ice, osv.

Tror det typisk er noget man bruger på windowsmaskiner.

Jeg ser det tit som noget software som prøver at være noget andet end en
konventionel firewall.
Altså ikke et pakke-filter/gateway, men noget som fx. bestemmer om en
bestemt .exe-fil/DLL - eller lign, må få adgang til nettet (og nogle
gange flere ting)...
(sandboxing-agtigt)

Ved du hvad for en type software jeg mener?


>>Serverenes roller er primært webservere og mailservere.
>
>
> Generelt mener jeg du altid bør bruge mest tid på at hardne serveren,
> til dette kan du fx starte med kun at lade den kører det som
> er nødvendigt.

Naturligvis.
Det bliver der også gjort :)
Men derfor kan det jo godt være at det skal sikres yderligere ved at man
måske kun vil tillade enkelte ting som kører at gøre nogle bestemte
ting, etc.


> "netstat -na" er et udmærket værktøj til at se om du er nået i mål,
> således bør kun port 25/tcp og 80/tcp være åbent i ovenstående setup.

Jep. Plus nogle enkelte andre services som bruges til at administrere
dem med. (bliver muligvis MS Terminal Services, Citrix ICA, VNC, eller
lignende)
Det klarer den "gammeldags" firewall.


> Læs evt. også i gruppens OSS.

Læser jeg tit i

Mvh
Thomas Damgaard

---

In article <402BFD3B.1060704@peps.dk>, Thomas Damgaard Nielsen wrote:
> Christian E. Lysel wrote:
>
>> Hvilken sikkerhedspolitik skal implementeres og hvordan er denne defineret.
>
> Den er ikke defineret endnu.
> Men et led i at definere den, er at jeg undersøger disse ting.

Hvad skal webserveren og mailserveren udfører af opgaver.

Hvilke trusler er et problem for dig?

Er der brug for at webserveren fx har en komponent der skal have adgang til
en netværksresource, eller omvendt.

> Jeg ser det tit som noget software som prøver at være noget andet end en
> konventionel firewall.

Jeg ser det som en marketingsafdeling, der prøver at skille
sig ud af mængeden af konkurrenter.

> Altså ikke et pakke-filter/gateway, men noget som fx. bestemmer om en
> bestemt .exe-fil/DLL - eller lign, må få adgang til nettet (og nogle
> gange flere ting)...
> (sandboxing-agtigt)
>
> Ved du hvad for en type software jeg mener?

Ja, desværrer har leverandørende typisk svært ved at dokumententere
hvordan de har implementeret deres produkt....så det er svært
at sige hvor nemt det er at omgåes.

Der har været flere eksempler på at omgåes dem.

> Naturligvis.
> Det bliver der også gjort :)
> Men derfor kan det jo godt være at det skal sikres yderligere ved at man
> måske kun vil tillade enkelte ting som kører at gøre nogle bestemte
> ting, etc.

Jeg ville fortrække en minimalistisk software installation, fremfor
at installere en virus scanner/personlig firewall/hvad man nu kan finde
på.

> Jep. Plus nogle enkelte andre services som bruges til at administrere
> dem med. (bliver muligvis MS Terminal Services, Citrix ICA, VNC, eller
> lignende)
> Det klarer den "gammeldags" firewall.

Så du har en filter firewall, der kun giver dig adgang til ovennævnte
services?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Christian E. Lysel wrote:

> Hvad skal webserveren og mailserveren udfører af opgaver.

Webservere:
Der en udviklingsserver og nogle produktionsserver og en "content-server".
Content-serveren skal servere statisk indhold.
(billeder, xml feeds, osv.)
De andre servere skal tilbyde dynamisk indhold vha. ASP, PHP4,
..vbs-genereret indhold.


> Hvilke trusler er et problem for dig?

Hmm...
Vel de trusler som almindeligvis er forbundet med at have en maskine på
det farlige internet
En anden væsentlig trussel er forskellige huller/bugs som jo jævntligt
bliver opdaget i softwaren. (IIS fx.)


> Er der brug for at webserveren fx har en komponent der skal have adgang til
> en netværksresource, eller omvendt.

Ja.
Der skal være adgang til nogle database servere (MSSQL og MySQL) og til
indholdsserveren.


>>Jeg ser det tit som noget software som prøver at være noget andet end en
>>konventionel firewall.
>
>
> Jeg ser det som en marketingsafdeling, der prøver at skille
> sig ud af mængeden af konkurrenter.

Tjaeh sikkert.
Jeg har personligt aldrig brugt disse slags software, men i virksomheden
jeg er ansat i, bliver de brugt flittigt.


>>Ved du hvad for en type software jeg mener?
>
>
> Ja, desværrer har leverandørende typisk svært ved at dokumententere
> hvordan de har implementeret deres produkt....så det er svært
> at sige hvor nemt det er at omgåes.

Ikke helt forstået?
Mener du det er svært at sige hvor sikre/usikre de er?


>>Men derfor kan det jo godt være at det skal sikres yderligere ved at man
>>måske kun vil tillade enkelte ting som kører at gøre nogle bestemte
>>ting, etc.
>
>
> Jeg ville fortrække en minimalistisk software installation, fremfor
> at installere en virus scanner/personlig firewall/hvad man nu kan finde
> på.

OK.
(er nødt til at indrømme at det var det jeg gerne ville høre
Her er folk meget glade for antivirus og den slags...


>>Det klarer den "gammeldags" firewall.
>
>
> Så du har en filter firewall, der kun giver dig adgang til ovennævnte
> services?

Ja.
Dog glemte jeg godt nok at nævne et par services (såsom fjernadgang til
mssql databaseserveren), men princippet er vel det samme?

Mvh
Thomas Damgaard

---

Thomas Damgaard Nielsen skrev:

> Christian E. Lysel wrote:

>>> Men derfor kan det jo godt være at det skal sikres yderligere ved at man
>>> måske kun vil tillade enkelte ting som kører at gøre nogle bestemte
>>> ting, etc.

>> Jeg ville fortrække en minimalistisk software installation, fremfor at
>> at installere en virus scanner/personlig firewall/hvad man nu kan finde
>> på.

> OK. (er nødt til at indrømme at det var det jeg gerne ville høre
> Her er folk meget glade for antivirus og den slags...

Jamen ok, hvis du gerne vil gøre de folk glade, kan du fortælle at du skam
filtrerer trafik, du bruger blot de indbyggede ting i OSet til at gøre det
(det sidste behøver du vel ikke nødvendigvis at fortælle dem).

Hvis du udelukkende vil filtrere og ikke anvende tredieparts produkter, kan
du kigge lidt på denne gennemgang:

http://homepages.wmich.edu/~mchugha/w2kfirewall.htm

Det er nok nemmere at skrive filtrereringsreglerne, hvis du anvender dette
program (som ekstra bonus får du også adgang til en logfil, så du overfor
chef-agtige-typer kan bevise at internettet er befolket af bøller der kun
vil jeres servere det værste):

http://www.hsc.fr/ressources/outils/pktfilter/index.html.en

Labmice har en større artikelsamling om IPSec her:

http://labmice.techtarget.com/networking/ipsec.htm

Kig eventuelt i gpedit.msc hvad du har af muligheder med Software Restricti-
on Policies (under Local Computer Policy | Computer Configuration | Windows
Settings | Security Settings). Så kan du eventuelt også slippe af med anti-
virus-programmet.

Kig eventuelt på NSAs anbefalede setup af W2K:

http://www.nsa.gov/snac/win2k/

Andre NSA-anbefalinger: http://www.nsa.gov/snac/

SANS Reading Room ligger også inde med god information om W2K:

http://www.sans.org/rr/catindex.php?cat_id=66

---

Thomas Damgaard Nielsen wrote:
> Webservere:
> Der en udviklingsserver og nogle produktionsserver og en "content-server".
> Content-serveren skal servere statisk indhold.
> (billeder, xml feeds, osv.)
> De andre servere skal tilbyde dynamisk indhold vha. ASP, PHP4,
> .vbs-genereret indhold.

Jeg ser dit dynamiske indhold som dit største problem.

>> Hvilke trusler er et problem for dig?
>
> Hmm...
> Vel de trusler som almindeligvis er forbundet med at have en maskine på
> det farlige internet

Det svarer ikke på mit spørgsmål.

> En anden væsentlig trussel er forskellige huller/bugs som jo jævntligt
> bliver opdaget i softwaren. (IIS fx.)

Der er ikke mange huller i IIS når du har hardnet den ordenligt!

>> Er der brug for at webserveren fx har en komponent der skal have adgang til
>> en netværksresource, eller omvendt.
>
> Ja.
> Der skal være adgang til nogle database servere (MSSQL og MySQL) og til
> indholdsserveren.

Hvor står disse resourcer i forhold til webserveren?

Er der adgang til disse resourcer fra Internet?

> Jeg har personligt aldrig brugt disse slags software, men i virksomheden
> jeg er ansat i, bliver de brugt flittigt.

Har du spurgt hvorfor?

>> Ja, desværrer har leverandørende typisk svært ved at dokumententere
>> hvordan de har implementeret deres produkt....så det er svært
>> at sige hvor nemt det er at omgåes.
>
> Ikke helt forstået?
> Mener du det er svært at sige hvor sikre/usikre de er?

Ja. Hvis en producent ikke kan finde ud af fortælle hvordan
deres produkt er implemeneret ville jeg aldrig bruge det.

Jeg er holdt op (for 6 år siden) med at stole på at
producenterne ved bedst. Dog har jeg hos Novell oplevet
at deres marketingsmatriale holder det som de lover.


I mit sidste VPN projekt fandt jeg flere implementationsfejl,
som først viste sig når man smider en pakkesniffer på.

Det lader til det VPN projekt dør, for i øjeblikket venter vi
på producenten tager sig sammen til at rette fejlene.

>> Jeg ville fortrække en minimalistisk software installation, fremfor
>> at installere en virus scanner/personlig firewall/hvad man nu kan finde
>> på.
>
> OK.
> (er nødt til at indrømme at det var det jeg gerne ville høre

Hvis der et behov, kan det fx være hvis kunder skal kunne ligge filer
op på serveren som andre skal kunne afvikle i fx word...her
kan jeg da godt se berettigelsen for at have en scanner der kigger
på filerne.

Men ellers ikke...i dag er det trivielt at angribe en maskine, så
hverken antivirus scannere og ad-aware scanner kan se angrebet.
Til dette formål findes der mange root-kits.

> Her er folk meget glade for antivirus og den slags...

Fordelen ved antivirus er jo at man "kun" skal lærer at trykke "next"
i et software uden at fatte hvad det gør, eller ude at
fatte hvad ens trusel er.



Jeg var engang ude hos en kunde, der efter en episode havde installeret
antivirus på alle deres servere, istedet for at løse det virkelige problem.

Deres chef var kommet ind med en maskine der "kørte langsomt", supporteren
loggede på, den kørte langsomt ja.. Derefter ville han se om der
var nogen forskel hvis han loggede ind som domain administrator, den
kørte langsomt, inkl. alt andet i windows domainet.

Nu var alle servere inficeret igennem default shared "c$".

Hvis serveren var hardnet var det aldrig sket.
Hvis antivirus scanneren på brugerens maskine virkede, var det
aldrig sket.
Hvis supporteren ikke havde domain administrator passwordet, var det aldrig
sket.

Alligevel var deres løsning at installere antivirus, og ikke ændre på de
3 ovenstående forhold.

>>>Det klarer den "gammeldags" firewall.
>> Så du har en filter firewall, der kun giver dig adgang til ovennævnte
>> services?
>
> Ja.
> Dog glemte jeg godt nok at nævne et par services (såsom fjernadgang til
> mssql databaseserveren), men princippet er vel det samme?

Det ved jeg ikke, du har ikke fortalt nok om dit setup... kan ikke hjælpe
dig på den baggrund.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Christian E. Lysel wrote:
> Thomas Damgaard Nielsen wrote:
>
>>Webservere:
>>Der en udviklingsserver og nogle produktionsserver og en "content-server".
>>Content-serveren skal servere statisk indhold.
>>(billeder, xml feeds, osv.)
>>De andre servere skal tilbyde dynamisk indhold vha. ASP, PHP4,
>>.vbs-genereret indhold.
>
>
> Jeg ser dit dynamiske indhold som dit største problem.

Ja, helt sikkert.


>>>Hvilke trusler er et problem for dig?
>>
>>Hmm...
>>Vel de trusler som almindeligvis er forbundet med at have en maskine på
>>det farlige internet
>
>
> Det svarer ikke på mit spørgsmål.

OK?
Så er jeg ikke sikker på at jeg forstår helt hvad du spørger om.
Kan du prøve at spørge lidt mere specifikt så?


>>En anden væsentlig trussel er forskellige huller/bugs som jo jævntligt
>>bliver opdaget i softwaren. (IIS fx.)
>
>
> Der er ikke mange huller i IIS når du har hardnet den ordenligt!

Nej, men der kan (og vil) jo stadig komme nogle som man ikke lige har
opdaget endnu.


>>>Er der brug for at webserveren fx har en komponent der skal have adgang til
>>>en netværksresource, eller omvendt.
>>
>>Ja.
>>Der skal være adgang til nogle database servere (MSSQL og MySQL) og til
>>indholdsserveren.
>
>
> Hvor står disse resourcer i forhold til webserveren?

Lige nu på en offentlig IP.
Men de vil blive flyttet ind bag samme firewall, så de kommer på LAN med
webserverne.


> Er der adgang til disse resourcer fra Internet?

Ja, P.T.
Men det vil jeg gerne have lavet om


>>Jeg har personligt aldrig brugt disse slags software, men i virksomheden
>>jeg er ansat i, bliver de brugt flittigt.
>
>
> Har du spurgt hvorfor?

Ja.
Men får svar som at "vi tør ikke køre uden..." og den slags.
Jeg får ikke nogle argumenter for hvorfor det skulle være en hjælp.
Og mine argumenter for at lade være med at bruge udødigt software
preller af.


>>>Ja, desværrer har leverandørende typisk svært ved at dokumententere
>>>hvordan de har implementeret deres produkt....så det er svært
>>>at sige hvor nemt det er at omgåes.
>>
>>Ikke helt forstået?
>>Mener du det er svært at sige hvor sikre/usikre de er?
>
>
> Ja. Hvis en producent ikke kan finde ud af fortælle hvordan
> deres produkt er implemeneret ville jeg aldrig bruge det.

Hehe. Nej det kan der være noget om.


> Jeg er holdt op (for 6 år siden) med at stole på at
> producenterne ved bedst. Dog har jeg hos Novell oplevet
> at deres marketingsmatriale holder det som de lover.
>

OK.


> I mit sidste VPN projekt fandt jeg flere implementationsfejl,
> som først viste sig når man smider en pakkesniffer på.
>
> Det lader til det VPN projekt dør, for i øjeblikket venter vi
> på producenten tager sig sammen til at rette fejlene.

OK.
Tough luck


>>>Jeg ville fortrække en minimalistisk software installation, fremfor
>>>at installere en virus scanner/personlig firewall/hvad man nu kan finde
>>>på.
>>
>>OK.
>>(er nødt til at indrømme at det var det jeg gerne ville høre
>
>
> Hvis der et behov, kan det fx være hvis kunder skal kunne ligge filer
> op på serveren som andre skal kunne afvikle i fx word...her
> kan jeg da godt se berettigelsen for at have en scanner der kigger
> på filerne.

Jep, men det har vi ikke.


> Men ellers ikke...i dag er det trivielt at angribe en maskine, så
> hverken antivirus scannere og ad-aware scanner kan se angrebet.
> Til dette formål findes der mange root-kits.

Jep.


>>Her er folk meget glade for antivirus og den slags...
>
>
> Fordelen ved antivirus er jo at man "kun" skal lærer at trykke "next"
> i et software uden at fatte hvad det gør, eller ude at
> fatte hvad ens trusel er.

Uhh!
Det ville jeg ikke turde sige her!
(men tænker det dog tit )


[...]
> Hvis serveren var hardnet var det aldrig sket.
> Hvis antivirus scanneren på brugerens maskine virkede, var det
> aldrig sket.
> Hvis supporteren ikke havde domain administrator passwordet, var det aldrig
> sket.

Nej, netop.
Men det er svært at forklare til folk her :(


> Alligevel var deres løsning at installere antivirus, og ikke ændre på de
> 3 ovenstående forhold.

Hehe.
Det er jo næsten sørgeligt sådan noget.
Men desværre nok meget typisk.


>>>>Det klarer den "gammeldags" firewall.
>>>
>>>Så du har en filter firewall, der kun giver dig adgang til ovennævnte
>>>services?
>>
>>Ja.
>>Dog glemte jeg godt nok at nævne et par services (såsom fjernadgang til
>>mssql databaseserveren), men princippet er vel det samme?
>
>
> Det ved jeg ikke, du har ikke fortalt nok om dit setup... kan ikke hjælpe
> dig på den baggrund.

Nej, men bevæger vi os ikke en smule ud af denne tråds topic efterhånden?
Det jeg ville med tråden, var egentlig at undersøge om det kunne betale
sig at få fat i en Personal Firewall til vores servere, og hvis ja, så
hvilke I kunne anbefale herinde.
Det ser ud til at svaret er, at det slet ikke kan anbefales at bruge
personal firewalls.

Tak for alle svarene.

Mvh
Thomas Damgaard

---

Thomas Damgaard Nielsen wrote:
>> Jeg ser dit dynamiske indhold som dit største problem.
>
> Ja, helt sikkert.

Hvad gør i ved det?

>>>Vel de trusler som almindeligvis er forbundet med at have en maskine på
>>>det farlige internet
>> Det svarer ikke på mit spørgsmål.

Hvilke trusler er der ved at forbinde en webserver til det
farlige internet?


> Nej, men der kan (og vil) jo stadig komme nogle som man ikke lige har
> opdaget endnu.

Tallet er stadigvæk lavt.

>>>Der skal være adgang til nogle database servere (MSSQL og MySQL) og til
>>>indholdsserveren.
>>
>>
>> Hvor står disse resourcer i forhold til webserveren?
>
> Lige nu på en offentlig IP.

Det lyder dumt.

> Men de vil blive flyttet ind bag samme firewall, så de kommer på LAN med
> webserverne.

Det lyder klogt...evt. kan de blive stående udefor, på private adresserum
som webserveren også kan route til.

> Men det vil jeg gerne have lavet om

Er dette laver prioriteret end fx antivirus?

>> Har du spurgt hvorfor?
>
> Ja.
> Men får svar som at "vi tør ikke køre uden..." og den slags.
> Jeg får ikke nogle argumenter for hvorfor det skulle være en hjælp.
> Og mine argumenter for at lade være med at bruge udødigt software
> preller af.

Kik på antallet af trusler antivirus har kunne løse på en webserver,

Jeg kan kun huske én orm, og denne gemte sig ikke på filsystemmet, så
antivirus produkter der kun indeholdt en filscanner kunne ikke se denne.


Er én orm, som kun halvdelen af producenterne kunne se,
virkelig argumentation for at installere antivirus?

Løsningen med ormen var at patche webservere, da den udnyttede en
gammel kendt sårbarhed.


Hvis folk på dit arbejde kan komme op med andre trusler der bliver
løst, glæder jeg mig til at hører om det.

>> Hvis serveren var hardnet var det aldrig sket.
>> Hvis antivirus scanneren på brugerens maskine virkede, var det
>> aldrig sket.
>> Hvis supporteren ikke havde domain administrator passwordet, var det aldrig
>> sket.
>
> Nej, netop.
> Men det er svært at forklare til folk her :(

Hvorfor?

> Nej, men bevæger vi os ikke en smule ud af denne tråds topic efterhånden?
> Det jeg ville med tråden, var egentlig at undersøge om det kunne betale
> sig at få fat i en Personal Firewall til vores servere, og hvis ja, så
> hvilke I kunne anbefale herinde.

En der løser dit behov!

> Det ser ud til at svaret er, at det slet ikke kan anbefales at bruge
> personal firewalls.

Hvis kan opstille et behov hvor du gerne vil have styr
på hvad en applikation laver på dit netværkskort, lyder
det da udmærket...ellers ikke.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Thomas Damgaard Nielsen wrote:
> Hej,
>
> Kan I anbefale en personal firewall til brug på nogle Windows 2000 servere?
> (kan I overhovedet anbefale at bruge personal firewalls?
> eller bør man "blot" sikre sig fornuftigt med en "gammeldags" firewall?")
>
> Serverenes roller er primært webservere og mailservere.
>
> Mvh
> Thomas Damgaard

Umiddelbart vil jeg mene, at fornuftig anvenddelse af *gratis* tiltag
såsom hærdning/minimering af OS, patching af de anvendte programmer + OS
,er vejen frem.

En personlig/softwarebaseret firewall på en server er efter min mening
en misforståelse. Udover at være et skridt tilbage i arbejdet med at
minimere/hærde services (en firewall er jo bare endnu en sårbar
applikation), kræver de fleste firewalls en vis grad af personlig
indblanding, der er umulig/upraktisk på en server. Desuden kan den
kørende "firewall" give problemer med de services du rent faktisk gerne
vil give adgang til.

Som en anden i gruppen på et tidspunkt skrev, skal serveren i sig selv,
være så sikker at du kan sætte den på Internettet uden yderligere
beskyttelse i form af firewall og div. antivirus løsninger. Om du så tør
det er en anden sag

mvh
/michael