/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Hvad er en nat-firewall??
Fra : Den rigtige fotograf


Dato : 17-07-06 10:16

Hej

Er der nogen der kan forklare mig, hvad en nat-firewall er? og om den er nem
og sætte op?

Mvh

Per



 
 
Bertel Lund Hansen (17-07-2006)
Kommentar
Fra : Bertel Lund Hansen


Dato : 17-07-06 10:28

Den rigtige fotograf skrev:

> Er der nogen der kan forklare mig, hvad en nat-firewall er?

Det er to forskellige ting.

NAT = Network Address Translation er betegnelsen for at en router
opererer med internetadresser på den ene side og LAN-adresser på
den anden (eller egentlig bare to forskellige sæt adresser), og
så skal den hele tiden oversætte mellem de to slags. Det kan
enhver router (det er sådan set definitionen på en router).

Det at routeren oversætter adresser på den måde, giver en ekstra
beskyttelse selv om det ikke var formålet.

En firewall er et ekstra apparat som man skyder ind foran sit
system. Det skal så modtage al trafik fra begge sider og
undersøge om den er problemfri og blokere den hvis den ikke er.

Nogle kraftidioter har så fundet på begrebet "personlig firewall"
som er et stykke software der kører på en af de maskiner det skal
beskytte. Det er en rigtig skidt idé, for hvis maskinen bliver
kompromitteret, er det en smal sag for hærværksprogrammet at få
det til at se ud som om firewallen virker som den skal.

Desuden har de selvsamme kraftidioter lavet det sådan at denne
"personlige firewall" dukker op i tide og utide og giver alarm
eller stiller spørgsmål. Det har de gjort af reklamehensyn, men
resultatet er at brugeren bliver forvirret og giver lov til for
meget eller helt slår den fra.

De fleste routere er udstyret med en firewall. Det er fint nok,
for den ligger jo netop adskilt fra de maskiner den skal
beskytte. Desuden har firewallen i de to apparater som jeg har
erfaring med, kørt fuldstændig diskret - altså uden at brugeren
opdager det. Det er sådan det skal være.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

gil (17-07-2006)
Kommentar
Fra : gil


Dato : 17-07-06 10:56

Bertel Lund Hansen skrev:
>
> Nogle kraftidioter har så fundet på begrebet "personlig firewall"
>
> Desuden har de selvsamme kraftidioter lavet det sådan at denne
>

Tumling.

--
gil

Palle (17-07-2006)
Kommentar
Fra : Palle


Dato : 17-07-06 22:57

On 17 jul 2006, gil wrote in dk.edb.sikkerhed:

>> Nogle kraftidioter har så fundet på begrebet "personlig firewall"
>>
>> Desuden har de selvsamme kraftidioter lavet det sådan at denne
>>
>
> Tumling.

Bertel har lært at stoppe services på sin XP. Derfor er alle der ikke
gør det samme nu kraftidioter.


--
Venlig hilsen / Regards
Palle Jensen

Henning Præstegaard (18-07-2006)
Kommentar
Fra : Henning Præstegaard


Dato : 18-07-06 09:59

Palle wrote:

>>> Nogle kraftidioter har så fundet på begrebet "personlig firewall"
>>>
>>> Desuden har de selvsamme kraftidioter lavet det sådan at denne
>>>
>>
>> Tumling.
>
> Bertel har lært at stoppe services på sin XP. Derfor er alle der ikke
> gør det samme nu kraftidioter.
>
Det er nu ikke brugerne Bertel galber over, men dem der har lavet
programmerne.

mvh
Henning



Kent Friis (17-07-2006)
Kommentar
Fra : Kent Friis


Dato : 17-07-06 10:57

Den Mon, 17 Jul 2006 11:28:03 +0200 skrev Bertel Lund Hansen:
> Den rigtige fotograf skrev:
>
>> Er der nogen der kan forklare mig, hvad en nat-firewall er?
>
> Det er to forskellige ting.
>
> NAT = Network Address Translation er betegnelsen for at en router
> opererer med internetadresser på den ene side og LAN-adresser på
> den anden (eller egentlig bare to forskellige sæt adresser), og
> så skal den hele tiden oversætte mellem de to slags. Det kan
> enhver router (det er sådan set definitionen på en router).

Nopes. En router flytter pakker mellem to netværk, normalt er der
ikke nogen form for oversættelse imellem. NAT er ikke noget krav
for at det er en router.

Men på små routere til hjemme-netværk (SOHO-routere), er opgaven
typisk at route til/fra internettet, og da de fleste udbydere kun
tildeler et offentligt ip-nummer, er NAT en nødvendighed.

På et større netværk vil det typisk være firewall'en (fx en Cisco
PIX) der foretager NAT, og routerne bruges til deres egentlige
formål - nemlig at route trafikken imellem forskellige netværks-
segmenter.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Klaus Ellegaard (17-07-2006)
Kommentar
Fra : Klaus Ellegaard


Dato : 17-07-06 11:11

Kent Friis <nospam@nospam.invalid> writes:

>På et større netværk vil det typisk være firewall'en (fx en Cisco
>PIX) der foretager NAT, og routerne bruges til deres egentlige
>formål - nemlig at route trafikken imellem forskellige netværks-
>segmenter.

I praksis ser man ofte, at PIX'en er indbygget i switchen (f.eks.
i Catalyst 6500), som også kan agere router. Endvidere er det også
switchen, der agerer strømforsyning for diverse klienter ude på
desktoppen - typisk IP-telefoner og/eller tynde klienter.

Endvidere er en "switch" i dag ikke det, en switch var tidligere.
I dag kan man have ACLs på mange niveauer (helt til hver enkelt
port), der er antispoofing, DoS-mitigation, QoS og - f.eks. igen
på Catalyst 6500 - decideret packet inspection i switchen.

Hele den klassiske opdeling af "arbejdsopgaver" er stort set væk,
og ofte er det altså den fysiske switch, der switcher, router,
firewaller, NAT'er, inspicerer og strømforsyner.

Mvh.
   Klaus.

Kent Friis (17-07-2006)
Kommentar
Fra : Kent Friis


Dato : 17-07-06 11:23

Den Mon, 17 Jul 2006 10:11:23 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>På et større netværk vil det typisk være firewall'en (fx en Cisco
>>PIX) der foretager NAT, og routerne bruges til deres egentlige
>>formål - nemlig at route trafikken imellem forskellige netværks-
>>segmenter.
>
> I praksis ser man ofte, at PIX'en er indbygget i switchen (f.eks.
> i Catalyst 6500), som også kan agere router. Endvidere er det også
> switchen, der agerer strømforsyning for diverse klienter ude på
> desktoppen - typisk IP-telefoner og/eller tynde klienter.

Det gælder så kun et rent Cisco-miljø... Med HP ProCurve switche
er der i hvert fald ikke nogen PIX indbygget

> Hele den klassiske opdeling af "arbejdsopgaver" er stort set væk,
> og ofte er det altså den fysiske switch, der switcher, router,
> firewaller, NAT'er, inspicerer og strømforsyner.

Jeg har nu lidt svært ved at forestille mig en switch der kan snakke
frame relay og hvad man ellers har af protokoller routeren plejer at
sørge for. For slet ikke at nævne de fysiske stik (X.21, V.35,...), der
typisk ikke minder det mindste om ethernet.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Klaus Ellegaard (17-07-2006)
Kommentar
Fra : Klaus Ellegaard


Dato : 17-07-06 11:47

Kent Friis <nospam@nospam.invalid> writes:

>Det gælder så kun et rent Cisco-miljø... Med HP ProCurve switche
>er der i hvert fald ikke nogen PIX indbygget

s/PIX/firewall/ - whatever.

>Jeg har nu lidt svært ved at forestille mig en switch der kan snakke
>frame relay og hvad man ellers har af protokoller routeren plejer at
>sørge for. For slet ikke at nævne de fysiske stik (X.21, V.35,...), der
>typisk ikke minder det mindste om ethernet.

Der bliver mindre og mindre af den slags skrammel. Især i de store
organisationer, hvor man for alvor bruger modulare switche. Stort
set al ekstern kommunikation i den slags netværk foregår på fiber,
men det termineres dog stadig i separate routere, selvom de fleste
faktisk nemt kune termineres i en switch.

Det ændrer dog ikke på, at der er en lang række routing-opgaver i
selve organisationen, som ligger helt ude i nærheden af brugeren og
routes fra og til Ethernet.

Det lille kontor vil nok have en 2 Mbps eller lignende, men ikke
engang sådan én leveres typisk på V.35-snit længere, snarere på
G.703. Men i den centrale ende vil termineringen typisk være noget
Ethernet-agtigt, da de fleste vil vælge at bruge MPLS til at sætte
mindre kontorer på nettet. Der er altså ingen grund til at blande
andre standarder end Ethernet ind i routerne på større lokationer.

Det lille kontor har nok både en lille, separat router, en fysisk
firewall og en switch fra Aldi. Men det var ikke dem, denne del-
tråd handlede om.

Mvh.
   Klaus.

Asbjorn Hojmark (17-07-2006)
Kommentar
Fra : Asbjorn Hojmark


Dato : 17-07-06 20:55

On 17 Jul 2006 10:23:06 GMT, Kent Friis <nospam@nospam.invalid> wrote:

> Jeg har nu lidt svært ved at forestille mig en switch der kan snakke
> frame relay og hvad man ellers har af protokoller routeren plejer at
> sørge for. For slet ikke at nævne de fysiske stik (X.21, V.35,...),
> der typisk ikke minder det mindste om ethernet.

Well, det kan man altså også på Catalyst 6500, som Klaus nævnte.

-A
--
http://www.hojmark.org/

B. Nice (17-07-2006)
Kommentar
Fra : B. Nice


Dato : 17-07-06 10:28

On Mon, 17 Jul 2006 11:15:50 +0200, "Den rigtige fotograf"
<denrigtigefotograf@ofir.dk> wrote:

>Hej
>
>Er der nogen der kan forklare mig, hvad en nat-firewall er? og om den er nem
>og sætte op?
>
>Mvh
>
>Per
>

En NAT-firewall er en NAT router med firewall egenskaber.

Om den er nem at sætte op, er vel relativt. Du kan få nogen der er
mere eller mindre klar til bare at sætte et par stik i.

Der er lidt om NAT her:
http://www.net-faq.dk/faq.pl?get=nat

eller her:
http://da.wikipedia.org/wiki/NAT

/B. Nice

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste