/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Anbefaling light
Fra : Morten Snedker


Dato : 07-02-05 11:22

Med mine tidligere indlæg/spørgsmål har jeg jo erfaret, at de
spørgsmål jeg stiller om lidt, har ca. 5^13 svar. Men jeg forsøger nu
alligevel.

Vi sidder to i en edb-afdeling. Vor ekspertise ligger i
programudvikling, og således ikke på sikkerhed/netværk. Det ændrer dog
ikke på, at netværket har vi dels selv sat op, dels fået lidt hjælp
til udefra.

Nu har vi så langt om længe besluttet os for, at nu vil vi have os en
egentlig sikkerhedspolitik.

Vi har én server, som fungerer både som filserver for virksomheden
internt, samt som webserver og MS-SQL server.

Serveren er en SBS-2000 med ISA-server. Lige foran den en Zyxell
firewall. Sidstnævnte er egentlig kun implementeret af praktiske
årsager i forbindelse med noget VPN, som vi ikke kunne få til at virke
på SBS.

Jeg skal nu lave et oplæg. Hvilke sikkerhedsmæssige problematikker kan
I se i ovenstående oplysninger?

Har ISA-server nogle fordele/ulemper værende en softwareløsning,
fremfor en HW-firewall?

Bør fil-, web- og SQL-server være tre seperate maskiner, set ud fra et
sikkerhedssynspunkt?

Vi skal have lavet hjemmearbejspladser. I den forbindelse er jeg
tilhænger af Remote Destop, hvor hver medarbejder kan få hul igennem
til egen klient i virksomheden. Igen spørgsmål omkring problematik og
evt. et overordnet løsningsforslag.

Og så til sidst: hvem hyrer man som konsulent, hvis man vil ha'
"nogen" til at kigge forbi?



På forhånd tak for tid og input brugt på dette indlæg.



mvh /Snedker
---
http://dbconsult.dk
Email: mortenatdbconsultdotdk

 
 
Alex Holst (07-02-2005)
Kommentar
Fra : Alex Holst


Dato : 07-02-05 14:10


Du kan med fordel forsoege at besvare de spoergsmaal som stilles i
OSS'en (fx. hvad beskytter du og fra hvem?):

   http://sikkerhed-faq.dk/indledning#bedste

Morten Snedker wrote:
[..]
> Nu har vi så langt om længe besluttet os for, at nu vil vi have os en
> egentlig sikkerhedspolitik.
[..]

Du siger du vil skrive en sikkerhedspolitik men de fleste af dine
spoergsmaal handler om teknik. Det er der for saa vidt ikke noget i
vejen med, men du skal vaere klar over hvilken retning du gaar i.

*Hvis* du vil gaa i retningen af en sikkerhedspolitik skal du have en
fornemmelse for prisen af jeres data - ikke noedvendigvis i kroner, men
hvert fald i kategorierne "hoej", "medium" og "lav." - hvad koster det i
mandetimer at genskabe jeres setup? Hvad koster det i mandetimer at
komme sig oven paa at andre faar fat i jeres data?

> Vi har én server, som fungerer både som filserver for virksomheden
> internt, samt som webserver og MS-SQL server.

Er det en ekstern webserver som hele verdenen tilgaar?

Jeres interne data skal ikke vaere ret meget vaerd for det let kan
betale sig at flytte websitet ud i byen som opdateringer saa skubbes ud
til naar de er klar. Det vil flytte en del risiko vaek fra jeres data.

Saaledes kan jeres angrebsflade reduceres til VPN serveren og de
klientprogrammer (mail klienter, PDF readers, picture viewers, media
players, etc) der modtager data fra tilfaeldige kilder.

> Serveren er en SBS-2000 med ISA-server. Lige foran den en Zyxell
> firewall. Sidstnævnte er egentlig kun implementeret af praktiske
> årsager i forbindelse med noget VPN, som vi ikke kunne få til at virke
> på SBS.
>
> Jeg skal nu lave et oplæg. Hvilke sikkerhedsmæssige problematikker kan
> I se i ovenstående oplysninger?

Small Business Server bryder kraftigt med reglen om at firewalls ikke
boer lave andet end at firewalle. Derfor kan man sige at produktet er et
problem i sig selv, men praecist hvor linen mellem acceptabelt og
uacceptabelt gaar er svaer at sige naar man ikke har nogen ide om hvilke
oekonomiske rammer vi taler om.

> Har ISA-server nogle fordele/ulemper værende en softwareløsning,
> fremfor en HW-firewall?

Det er foerst og fremmest to forskellige typer produkter. ISA kan lave
content inspection saa den kan tillade eller stoppe bestemte typer
trafik. De fleste appliances kun kan lave IP filtering der udelukkende
kigger paa IP adresser og portnumre.

Hvis det er billigere for jer at flytte websitet ud af jeres netvaerk
kan man sige at spoergsmaalet er irrelevant.

> Bør fil-, web- og SQL-server være tre seperate maskiner, set ud fra et
> sikkerhedssynspunkt?

Det kommer an paa.

Hvis det kun er interne medarbejdere der kan tilgaa maskinerne og deres
data er dit stoerste problem ofte tilgaengelighed: Maskinen springer i
luften - eller hele bygningen goer.

Alternativt at en sur medarbejder tager dataene med sig naar han siger
op eller at uvedkommende faar kontrol med en medarbejders PC og tilgaar
dataene paa den maade.

> Vi skal have lavet hjemmearbejspladser. I den forbindelse er jeg
> tilhænger af Remote Destop, hvor hver medarbejder kan få hul igennem
> til egen klient i virksomheden. Igen spørgsmål omkring problematik og
> evt. et overordnet løsningsforslag.

Naar virksomheden ikke ejer og styrer de maskiner som medarbejderne
logger ind fra, giver det god mening at antage der sidder en keystroke
logger paa klientmaskinen. Invester i en token-baseret loesning saa
angribere i det mindste ikke umiddelbart kan udgive sig for at vaere
jeres medarbejder.

Overvej om der skal vaere adgang til de mest foelsomme data, og overvej
om medarbejderne maa sidde og skrive foelsomme email svar naar deres
tasteslag bliver optagede.

Men det kommer igen an paa jeres oekonomi som vi ikke ved noget om.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408925
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste