/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Personlig FW
Fra : Michael Skarum


Dato : 14-12-03 13:03

Hejsa

Jeg har et række klienter jeg skal have installeret en firewall på. Det
drejer sig mestendels om en række bærbare computere der til dagligt sidder
på en netværk, men bliver slæbt med hjem dagligt.
Der er en blanding af XP og 2000.
På XP maskinerne ville jeg enable den indbyggede firewall. Men jeg ved ikke
rigtigt hvad jeg skal smide på dem. Det skal være muligt at bruge alle de
ting man normalt bruger når man sidder i et windows netværk (Exchange, MSN
Messenger mv.). Jeg er klar over at man kan konfigurere det på den enkelte
klient som man vil, men jeg vil gerne have muligheden for at lave en
konfiguration som man nemt kan smide på alle maskinerne.
En anden feature der ville være rar var også password til konfigurationen,
så brugeren ikke ved en fejl kan komme til at åbne for ting der ikke skulle
åbnes for.

Er der nogen åbenlyse produkter jeg skal benytte eller holde mig fra?? Jeg
har ikke umiddelbart de store præferences mht. pris, men det bliver nok
lettere at få bossen til at spise noget billigt end noget dyrt

Pfh Michael



 
 
Christian E. Lysel (14-12-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 14-12-03 13:09

In article <3fdc5164$0$69968$edfadb0f@dread12.news.tele.dk>, Michael Skarum wrote:
> Hejsa

Hejsa.

> Jeg har et række klienter jeg skal have installeret en firewall på. Det

Hvorfor?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Michael Skarum (14-12-2003)
Kommentar
Fra : Michael Skarum


Dato : 14-12-03 16:20

> > Jeg har et række klienter jeg skal have installeret en firewall på. Det
>
> Hvorfor?

Det er bærbare computerer der bliver slæbt udenfor huset dagligt, og jeg har
ingen anelse om hvilket net de sætter dem til i tide og utide



Alex Holst (14-12-2003)
Kommentar
Fra : Alex Holst


Dato : 14-12-03 13:39

Michael Skarum <michael_sletmig@skarum.net> wrote:
> Messenger mv.). Jeg er klar over at man kan konfigurere det på den enkelte
> klient som man vil, men jeg vil gerne have muligheden for at lave en
> konfiguration som man nemt kan smide på alle maskinerne.

Mange af slags ting kan defineres i AD.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Michael Skarum (14-12-2003)
Kommentar
Fra : Michael Skarum


Dato : 14-12-03 16:21

> Mange af slags ting kan defineres i AD.

Hvilken personal firewall kan du konfigurer via AD?



Alex Holst (14-12-2003)
Kommentar
Fra : Alex Holst


Dato : 14-12-03 16:34

Michael Skarum <michael_sletmig@skarum.net> wrote:
>> Mange af slags ting kan defineres i AD.
>
> Hvilken personal firewall kan du konfigurer via AD?

XP's indbyggede kan kontrolleres via Group Policy.

Jeg ville nok forsoege at lukke unoedvendige services paa maskinerne i
stedet for at lade dem koere endnu mere kode. Man opnaar det samme
(angribere kan ikke faa kontakt til saa mange services) uden at aabne
for andre risici.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Michael Skarum (14-12-2003)
Kommentar
Fra : Michael Skarum


Dato : 14-12-03 16:49

> XP's indbyggede kan kontrolleres via Group Policy.

Hmm - jeg synes ikke jeg kan findet så meget om det ud over:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/network/maintain/security/ipv6fw/hfp01.asp

Og så har vi stadig baladen med 2000 klienterne

>
> Jeg ville nok forsoege at lukke unoedvendige services paa maskinerne i
> stedet for at lade dem koere endnu mere kode. Man opnaar det samme
> (angribere kan ikke faa kontakt til saa mange services) uden at aabne
> for andre risici.

Enig - det er jeg også ved at se på, men jeg vil dog gerne have en FW oveni



Alex Holst (14-12-2003)
Kommentar
Fra : Alex Holst


Dato : 14-12-03 19:38

Michael Skarum <michael_sletmig@skarum.net> wrote:
>> XP's indbyggede kan kontrolleres via Group Policy.
>
> Hmm - jeg synes ikke jeg kan findet så meget om det ud over:
> http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/network/maintain/security/ipv6fw/hfp01.asp
>
> Og så har vi stadig baladen med 2000 klienterne

Ikke hvis jeg kan overbevise dig om at firewall funktionalitet paa
klienter ikke noedvendigvis er det rigtige.

>> Jeg ville nok forsoege at lukke unoedvendige services paa maskinerne i
>> stedet for at lade dem koere endnu mere kode. Man opnaar det samme
>> (angribere kan ikke faa kontakt til saa mange services) uden at aabne
>> for andre risici.
>
> Enig - det er jeg også ved at se på, men jeg vil dog gerne have en FW oveni

Kan du forklare hvorfor? Den ekstra kode ser jeg som en unoedig risiko.
Selvom vi taler om Windows, mindes jeg en kommentar fra en af OpenBSD
udviklerne om at han stolede mere paa en OpenBSD box der kun koerte
OpenSSH i privsep mode, end en OpenBSD box der koerer OpenSSH i privsep
mode plus pf filtering af alt andet end port 22.

Der *er* en oeget risiko i at koere software man ikke har brug for, og
risikoen er ikke platformsspecifik.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Henrik Rask Mortense~ (14-12-2003)
Kommentar
Fra : Henrik Rask Mortense~


Dato : 14-12-03 16:56


"Michael Skarum" <michael_sletmig@skarum.net> wrote in message
news:3fdc7fda$0$69897$edfadb0f@dread12.news.tele.dk...
> > Mange af slags ting kan defineres i AD.
>
> Hvilken personal firewall kan du konfigurer via AD?
>
>

https://www.cert.dk/artikler/artikler/000300A006.shtml

Hele ideen med en Personlig Firewall må efter min mening være:

1) Central kontrol med hvad den enkelte bruger kan benytte af software på
den enkelte PC. (ej godkendt software bliver slået "ihjel")
2) Beskyttelse af den enkelte PC, når denne bevæger sig rundt på netværk,
der ikke kan kontrolléres/styres af virksomheden.

Iøvrigt mener jeg begrebet Personlig Firewall er et forkert navn til denne
type foranstaltning. Applikationskontrol ville efter min mening være bedre.

Mvh
Henrik Rask Mortensen

--
Dette indlæg er sendt som privatperson og afspejler ikke nødvendigvis
holdningen i det firma jeg arbejder for.

Indlægget er heller ikke på nogen måde sendt for at genere nogen eller bryde
nogens regler - skrevne eller uskrevne.



Kent Friis (14-12-2003)
Kommentar
Fra : Kent Friis


Dato : 14-12-03 17:25

Den Sun, 14 Dec 2003 16:56:04 +0100 skrev Henrik Rask Mortensen:
>
>"Michael Skarum" <michael_sletmig@skarum.net> wrote in message
>news:3fdc7fda$0$69897$edfadb0f@dread12.news.tele.dk...
>> > Mange af slags ting kan defineres i AD.
>>
>> Hvilken personal firewall kan du konfigurer via AD?
>>
>>
>
>https://www.cert.dk/artikler/artikler/000300A006.shtml
>
>Hele ideen med en Personlig Firewall må efter min mening være:
>
>1) Central kontrol med hvad den enkelte bruger kan benytte af software på
>den enkelte PC. (ej godkendt software bliver slået "ihjel")

"personlig" og "central kontrol" er modsætninger i denne sammenhæng.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

Henrik Rask Mortense~ (14-12-2003)
Kommentar
Fra : Henrik Rask Mortense~


Dato : 14-12-03 17:29


"Kent Friis" <leeloo@phreaker.net> wrote in message
news:bri2so$raf$1@sunsite.dk...
> Den Sun, 14 Dec 2003 16:56:04 +0100 skrev Henrik Rask Mortensen:
> >
> >"Michael Skarum" <michael_sletmig@skarum.net> wrote in message
> >news:3fdc7fda$0$69897$edfadb0f@dread12.news.tele.dk...
> >> > Mange af slags ting kan defineres i AD.
> >>
> >> Hvilken personal firewall kan du konfigurer via AD?
> >>
> >>
> >
> >https://www.cert.dk/artikler/artikler/000300A006.shtml
> >
> >Hele ideen med en Personlig Firewall må efter min mening være:
> >
> >1) Central kontrol med hvad den enkelte bruger kan benytte af software

> >den enkelte PC. (ej godkendt software bliver slået "ihjel")
>
> "personlig" og "central kontrol" er modsætninger i denne sammenhæng.
>
> Mvh
> Kent
> --
> Help test this great MMORPG game - http://www.eternal-lands.com/


Det personlige går på, at den er installeret på hver enkelt PC og det
centrale går på, at de skal styres fra central hold.

Det ser jeg nu ikke nogen modsætninger i !!

mvh
Henrik
--
Dette indlæg er sendt som privatperson og afspejler ikke nødvendigvis
holdningen i det firma jeg arbejder for.

Indlægget er heller ikke på nogen måde sendt for at genere nogen eller bryde
nogens regler - skrevne eller uskrevne.



Alex Holst (14-12-2003)
Kommentar
Fra : Alex Holst


Dato : 14-12-03 19:34

Henrik Rask Mortensen <henrikrask@mail.dk> wrote:
> Hele ideen med en Personlig Firewall må efter min mening være:
>
> 1) Central kontrol med hvad den enkelte bruger kan benytte af software på
> den enkelte PC. (ej godkendt software bliver slået "ihjel")

Benyt Software Restriction Policies (SRP) i Windows 2000 og XP i stedet.

Produkter som ZoneAlarm, BlackIce, etc indeholder N gange flere linier
kode end Windows' ICF og SRP har tilsammen. Jeg forstaar virkeligt ikke
at nogen toer stole paa de virker.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Povl H. Pedersen (14-12-2003)
Kommentar
Fra : Povl H. Pedersen


Dato : 14-12-03 22:00

On 2003-12-14, Michael Skarum <michael_sletmig@skarum.net> wrote:
> Hejsa
>
> Jeg har et række klienter jeg skal have installeret en firewall på. Det
> drejer sig mestendels om en række bærbare computere der til dagligt sidder
> på en netværk, men bliver slæbt med hjem dagligt.
> Der er en blanding af XP og 2000.
> På XP maskinerne ville jeg enable den indbyggede firewall. Men jeg ved ikke
> rigtigt hvad jeg skal smide på dem. Det skal være muligt at bruge alle de
> ting man normalt bruger når man sidder i et windows netværk (Exchange, MSN
> Messenger mv.). Jeg er klar over at man kan konfigurere det på den enkelte
> klient som man vil, men jeg vil gerne have muligheden for at lave en
> konfiguration som man nemt kan smide på alle maskinerne.

Du lukker bare for det hele. Til normalt brug har man ikke behov for
indgående trafik.

Bare brug den indbyggede i XP.

Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408938
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste