"utesallo" hardveres tuzfal
hwsw famulus
hwsw at famulus.hu
Sat Aug 20 09:32:19 CEST 2005
A normal irodai gepek vedelmehez eleg lesz elsokorben szinte barmelyik jobb
hw tuzfal dobozka aminek a neveben a gateway szerepel.
(Draytek Vigor sorozatabol pl. www.gamaxnet.hu )
Felteve, hogy nem mukodik semmilyen szolgaltatas a kulvilag fele (webserver
pl)
Ha van valamilyen szolgaltatas kifele is akkor mar
az egyszem tuzfal nem feltetlenul elegseges megoldas.....
Az inkabb megfelelo felepiteshez a kulcsszo
"demiltarizalt zona" ebben laknak a kulvilaggal is erintkezo
gepek+alkalmazasok
Azaz
kulsotuzfal----szerverek+alkalmazasok---belsotuzfal---vedettgepek+adatok
Ilyenkor a kulsotuzfal, sot a szerverek feltorese se tul nagy tragedia.
Az adatokat ugyanis meg a szerverek is egy masik a belsotuzfal mogul
kapjak...
Tehat eleg sok munka eljutni az adatokig.
A szerverek pedig funkcioenkent kulon pc-ken laknak
azaz kulon gep a webserver, az adatbazisserver, a mailserver, az ftpserver..
De a tamadasok jelentos resze trojai modon indul manapsag !!!!!
Vagyis becsempesznek valamit mail-ben, letoltes-kent, weboldali scriptkent,
stb,
es aztan az belulrol nyit csatornat maganak.
Ez ellen semmilyen tuzfal nem igazn tud megvedeni, hiszen
a tamadas a vedett vonalon belurol indul
onnan pedig elvileg barmit szabad csinalni....
Ez a terulet mar a virus es spy vedelem terulete.
Sokkal nehezebb terulet, mert itt BARMIT megtehet a bejutott tamado,
mivel a teljes windows arzenal a rendelkezesere all, akar a securityt is
felul irhatja :-(
A vedekezes alapja, hogy
akadalyozni kell az ellenorizetlen prg kodok telepiteset, futtatasat.
(a NET framework alapu alkalmazasoknal mar alairt/jogositott kodok is
letezhetnek)
Ez igen szigoru rendszabalyokat kivan, amit a pongyolasaghoz szokot userek
nem dijaznak
es ebbol allando anyazas szokott kialkulni......
mert minden szir-szarert a rendszergazdahoz kell fordulni.
Radasul a "rendszergazdak" nagyon-nagy tobbsege
nem is ismeri ilyen melysegben a windows policy lehetosegeit :-(
(sot azt se tudja, hogy vannak.egyaltalan..)
Altalanosan igaz, hogy kello melyegu ismeretek nelkul
nehez ugy jo vedlemet kialakitani, mert
nincs boltban veheto kesz megoldas.....
KJ
> Udv a listasoknak,
>
> valami jo kis hardveres tuzfalat keresek, persze nem aranyarban.
>
> Az irodank bejovo, fix IP-s ADSL-je mogotti 4-5 gepet kene megvedeni.
> Eloszor egy linuxos, megfeleloen konfigolt PI-es gepre gondoltam, de....
> Komoly rendszergazdaktol hallotam eleg elgondolkodtato dolgokat, megpedig
> hogy egy igazan kepzett hacker (vagy cracker, most ez tokmindegy) egy
> ejszaka atjutott egy 200 gepes rendszert vedo Novell auth szerveren es a
> mogotte levo Linuxos tuzfalgepen is, pedig mindket gep szepen
> karbantartott, konfiguralt es patchelt volt. Hiszen vannak ugye olyan
> buffer overflow, trace es pingelesi trukkok valamint opsystem hibak, amik
> kiskaput nyitnak meg ezekben a "biztonsagos" rendszereken is, ha igazan
> komoly tudasu ember probalkozik. Mint tudjuk, nemreg jelent meg az IT
> hirekben az is, hogy
> megszereztek a Cisco routerek forraskodjat (!) es ebbol rogton sok hack
> szuletett es eleg nagy balhe van.
>
> A lenyeg:
>
> Arra gondoltam, hogy valami tok egyszeru, "szinte egychipes" hardveres
> tuzfal kellene, ami olyan buta, hogy utni-vagni lehet, es egyuttal olyan
> hmmm "primitiv" is, hogy egyaltalan nem lehet ravenni semmi rosszra.
> Biztos van itt olyan profi, aki egy linux-al is tud koszikla szoftveres
> tuzfalat csinalni, amiben megbizik, de az nem en vagyok.
> Azt hallottam, hogy bizonyos D-link routerek beepitett tuzfala
> attorhetetlen(?), pedig hat az nem is nagy marka. De talan olyan egyszeru
> es a maga nemeben "makacs" a kis firmware benne, hogy nem lehet atverni es
> megzavarni.
>
> Mit javasoltok, ami mar bizonyitott? A szokasos (http 80 stb.) portokat
> kene atengedni, a tobbit, ami veszelyes, pedig _atomstabilan_ kene zarni,
> pingeles es "denial of service" ellen is.
> Azt akarom, hogy a legjobb hacker is lepattanjon, ha ez egyaltalan
> lehetseges... eppen a rendszer primitiven egyszeru volta miatt.
>
> Udv:
>
> H. Peter
>
>
> -----------------------------------
> Szponzorunk: http://tonerbolt.hu/
>
>
> --
> No virus found in this incoming message.
> Checked by AVG Anti-Virus.
> Version: 7.0.338 / Virus Database: 267.10.13/78 - Release Date:
> 2005.08.19.
>
>
More information about the Elektro
mailing list