Archief - De topics van lang geleden

Wat is genoeg?

14-08-2003, 09:50 door Poele, 7 reacties
Mijn sjef is niet te overtuigen van het feit dat het hebben van een Firewall met daarachter een ISA en daarachter het LAN niet echt veilig is. Ik zou voorstander zijn van het inrichten van een DMZ waarin content scanning plaatsvindt zowel op mail verkeer als browse verkeer.

Wat zouden nou pakkende argumenten zijn om hem te overtuigen dat 'zijn' FireWall - ISA - LAN constructie not the way to go is?
Reacties (7)
14-08-2003, 10:52 door Anoniem
wat is isa ?
14-08-2003, 10:52 door Poele
ISA-server
14-08-2003, 11:29 door Anoniem
Hangt een beetje van je verdere configuratie af.
Als jullie niet browsen op kantoor en thuis alle webmail lezen is dit meer dan voldoende.
Met andere woorden; hier is geen goed generiek antwoord op te geven.

Je zou kunnen overwegen een 'security breach' te simuleren, mocht je zelf wel een goed idee hebben waar nou exact de zwakke punten binnen het netwerk van jou en je 'sjef', (of hadden jullie nog meer gebruikers op dat netwerk?) liggen.

De groeten.
14-08-2003, 12:11 door Poele
We browsen en mailen vanaf het netwerk (iedereen). Er is geen scanning van het browse verkeer, wel virus scanning. Patchingsniveau van de servers in maar zo zo...
14-08-2003, 15:00 door Anoniem
Gebruik Squid-Proxy [http://www.acmeconsulting.it/pagine/opensource/squid/SquidNT.htm] om je UITGAANDE http(s)/ftp/whatever te kunnen beheersen ?
Ik prefereer Squid voor *nix, maar OK.

Gebruik een ESMTP win32 variant voor interne bedrijfsmail, en je bedrijfsmail naar buiten, implementeer blocklists zoals spews/monkeys, en wees bereid tot whitelisting.
Ik prefereer Courier voor *nix, maar OK.

Verbied via je Squid-ACL de meest *foute* webmail-servers/alle webmail, en pak meteen de porno even mee/

Maak een leuke 'Access denied' pagina aan.
Ik preferereer een houten hamer, maar OK.

Vervang je ISA / firewall combinatie door een *nix equivalent ? Monitor/log diep de eerste maand om je nerwerk opnieuw te leren kennen.
Hou je filtering-rules simpel, maar net niet *bot*


En om je baassie te overtuigen is 1 vette crack van binnenuit wel genoeg ;)
14-08-2003, 15:04 door Anoniem
En al het uitgaande verkeer dat niet bedoeld is voor de mailserver of proxyserver (m.a.w. non HTTP/SMTP/POP/[whatever je toestaat]) gezellig nullrouten.

* hint* Vul op de clients een non-existant gateway in, en vertel PER APP wat de proxy is.. Lock settings..

Veel werknemers denken dat connectie een 'recht' is..
22-08-2003, 14:21 door Anoniem
Firewall - ISA - LAN: Met dit principe is er dus slechts één belemmering voor kwaadwillende om op het LAN te komen.

Met de huidige virussen is dit niet zo een probleem meer bijvoorbeeld voor het MS Blast virus of andere virussen als trojans.

Een firewall inrichten is niet secure genoeg om je LAN omgeving te beschermen. Een Demillitarized zone of DMZ met twee firewalls waar tussen de DMZ zich bevindt is vele male beter beveiligd.

Zoals je zelf al aangeeft is Contentscanning (Mailmarshal bijv.) een zeer wijs besluit voor de DMZ op deze manier draag je er zorg vor dat je het LAN echt afsluit.

Het nadeel van een Firewall is dus:
Dat je slechts een obstakel hebt. data pakketjes kunnen makkelijk binnen omdat je geen contentscanning etc. voor het LAN uitvoert.

Je LAN is eenvoudig toegangkelijk voor hackers (een firewall is echt een eitje!)

Ik denk dat het belangrijkste is wat je aan kan geven het volgende is.

Stel hem maar eens de volgende vragen.

Hoe erg is het als je netwerk een paar uur plat ligt!
Hoeveel geld kost je dit!
Hoe erg is het als dit meerdere malen gebeurt!
Hoe erg vindt je het als er bedrijfs infomatie gestolen cq verwijderd wordt.
Hoe belangrijk is de data die je nu hebt!

Weeg dit dan eens af tegen de investering die je moet doen voor en DMZ met contentscanning etc. En kijk dan eens hoeveel je eigenlijk hieraan verdient!!!

Groeten Rik Chorus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search