mboost-dp1
unknown
>.<
Sikkerheden er jo aldrig større end som værende i programmet der køres på computeren.
Det er sjældent at den almindelige bruger rent faktisk har behov for at åbne en port for at benytte en applikation, meget få eksempler kan jeg komme i tanke om her og nu.
Her på hjemmenetværket fungerer det fks fint med resten af familien under nat.
Sikkerheden er jo aldrig større end som værende i programmet der køres på computeren.
Det er sjældent at den almindelige bruger rent faktisk har behov for at åbne en port for at benytte en applikation, meget få eksempler kan jeg komme i tanke om her og nu.
Her på hjemmenetværket fungerer det fks fint med resten af familien under nat.
hmm man kan da vel sætte password på portene sådan at det kræver password at gå igennem en port, ville det ikke være en idé ?
Det kan nu også virkelig undre mig nogengange hvorfor noget software bliver designet så det kun virker med en port åben, når andet vil være muligt. Har fx set at diverse Java-chats på websider kræver at man åbner en port. Det burde jo virkelig ikke være nødvendigt at designe et chatsystem sådan at folk skal åbne porte.
Så jeg kan godt følge bekymringen om at det måske bliver brugt hvor det ikke er nødvendigt.
Så jeg kan godt følge bekymringen om at det måske bliver brugt hvor det ikke er nødvendigt.
Hvis der bliver flere programmer, som skal bruge flere åbne porte, må man vel også yde noget mere for at få en bedre sikkerhed.
Det er vel derfor vi køber firewalls og alt det der.
Det er vel derfor vi køber firewalls og alt det der.
Det har aldrig været nogen hemmelighed, at brug af firewall eller masquerading vil skabe problemer for nogle former for kommunikation. Det er den pris man betaler for den lille ekstra sikkerhed en firewall kan give.
Artiklen får det nærmest til at lyde som om det er bedre at designe programmer, så de ikke lytter på nogen porte. Det er ikke rigtigt. Det bedste design afhænger af den konkrete opgave. Og i et P2P system er det oplagt den bedste løsning at lade dem oprette TCP forbindelser til hinanden.
At en firewall så har den virkning at en kommunikation som ellers overholder standarderne pludseligt ikke virker, det burde man bebrejde firewallen.
Mange er begyndt at se en firewall som en magisk løsning på næsten alle sikkerhedsproblemer. Faktum er, at hvis du har et sikkerhedshul i et program på dit system, så er det altså ligegyldigt om det bliver exploitet over en forbindelse, der er åbnet udefra, eller en, der er åbnet indefra.
Ved normalt brug åbner en webbrowser selv alle de forbindelser, den har brug for. Du er ikke afhængig af, at nogen åbner forbindelser til webbrowseren. Alligevel er webbrowsere muligvis den type software, hvor vi oftest hører om sikkerhedshuller.
En firewall er symptombehandling. I stedet for at fokusere så meget på firewalls, så burde man fokusere på de sikkerhedshuller man prøver at skjule bagved sin firewall. Kan man eliminere årsagen er firewallen overflødig.
Artiklen får det nærmest til at lyde som om det er bedre at designe programmer, så de ikke lytter på nogen porte. Det er ikke rigtigt. Det bedste design afhænger af den konkrete opgave. Og i et P2P system er det oplagt den bedste løsning at lade dem oprette TCP forbindelser til hinanden.
At en firewall så har den virkning at en kommunikation som ellers overholder standarderne pludseligt ikke virker, det burde man bebrejde firewallen.
Mange er begyndt at se en firewall som en magisk løsning på næsten alle sikkerhedsproblemer. Faktum er, at hvis du har et sikkerhedshul i et program på dit system, så er det altså ligegyldigt om det bliver exploitet over en forbindelse, der er åbnet udefra, eller en, der er åbnet indefra.
Ved normalt brug åbner en webbrowser selv alle de forbindelser, den har brug for. Du er ikke afhængig af, at nogen åbner forbindelser til webbrowseren. Alligevel er webbrowsere muligvis den type software, hvor vi oftest hører om sikkerhedshuller.
En firewall er symptombehandling. I stedet for at fokusere så meget på firewalls, så burde man fokusere på de sikkerhedshuller man prøver at skjule bagved sin firewall. Kan man eliminere årsagen er firewallen overflødig.
#6 Meget relevant betragtning. Privatpersoner hører ordet "firewall" og tænker automatisk, at så bliver det sikrede mod angreb. Bagefter installerer de alskens programmer og åbner ukritisk for et utal af porte og forventer stadig at sikkerhedsniveauet er uberørt. For de har jo en firewall.
Jeg kan egentlig godt se, at det kan blive et problem for private eller mindre virksomheder, der selv står for eget netværk. Det svarer vel lidt analogt til i den fysiske verden, hvis du har en lås på din dør, så er du sikret mod indtrængen. Dette gælder dog kun, hvis du husker at slå låsen til.
Jeg kan egentlig godt se, at det kan blive et problem for private eller mindre virksomheder, der selv står for eget netværk. Det svarer vel lidt analogt til i den fysiske verden, hvis du har en lås på din dør, så er du sikret mod indtrængen. Dette gælder dog kun, hvis du husker at slå låsen til.
#6
Nutidens firewalls er dog ikke "bare" en firewall mod angreb udefra. De fleste administratorer sætter også regler op for udgående trafik, og dette hjælper altså betydeligt mod idiot brugere.
Det er klart at en firewall ikke yder perfekt beskyttelse, men det er da også et omsonst krav at stille.
Og nu handler det nu egang om firewalls i denne tråd, og jeg vil da mene at bekymringerne er reelle nok. Hvis du åbner en port på dit netværk overlader du din sikkerhed til den applikation der lytter på pågældende port. Det er noget af en tilidsærklæring, og potientialet for misbrug er i særdeleshed tilstede.
Så jeg forstår egentlig ikke hvad der er galt med at gutten fremhæver et område hvor der potientielt er en sikkerhedsrisiko.
Nutidens firewalls er dog ikke "bare" en firewall mod angreb udefra. De fleste administratorer sætter også regler op for udgående trafik, og dette hjælper altså betydeligt mod idiot brugere.
Det er klart at en firewall ikke yder perfekt beskyttelse, men det er da også et omsonst krav at stille.
Og nu handler det nu egang om firewalls i denne tråd, og jeg vil da mene at bekymringerne er reelle nok. Hvis du åbner en port på dit netværk overlader du din sikkerhed til den applikation der lytter på pågældende port. Det er noget af en tilidsærklæring, og potientialet for misbrug er i særdeleshed tilstede.
Så jeg forstår egentlig ikke hvad der er galt med at gutten fremhæver et område hvor der potientielt er en sikkerhedsrisiko.
[url=#9]#9[/url] Onde Pik
Der er i øvrigt set tilfælde, hvor en firewall har forringet sikkerheden. Et sikkerhedshul i firewallen gjorde, at man udefra kunne overtage kontrolen med firewallen. Derfra har man et rigtig godt udgangspunkt for yderligere angreb.
De fleste administratorer sætter også regler op for udgående trafikMen til hvad nytte? Et ondsindet program finder såmænd nok en vej udenom. Der er få tilfælde, hvor det er til nogen hjælp. Hvis man blot vil forhindre sine brugere i at komme til at bruge en usikker protokol, så kan det selvfølgeligt hjælpe. Det kunne også være en god idé at begrænse muligheden for udgående forbindelser til port 25 og 119, så man ikke risikere at blive misbrugt til spaming. Men derudover har jeg svært ved at se fordelene ved regler for udgående trafik.
Hvis du åbner en port på dit netværk overlader du din sikkerhed til den applikation der lytter på pågældende port.Netop derfor gør en firewall ingen forskel. Har du brug for serveren, så er du nødt til at åbne porten, og sikkerheden hænger på applikationen uanset om du har en firewall eller ej. Har du ikke brug for serveren, så kører du den ikke, og firewallen vil være overflødig, fordi man ikke kan angribe en server, der ikke er der.
Der er i øvrigt set tilfælde, hvor en firewall har forringet sikkerheden. Et sikkerhedshul i firewallen gjorde, at man udefra kunne overtage kontrolen med firewallen. Derfra har man et rigtig godt udgangspunkt for yderligere angreb.
Det er da ret simpelt, en firewall blokker for de porte der ikke bliver brugt... Og hvis du så åbner porten så dækker den jo ikke ind over porten mere. Og har du mange programmer der hver bruger sin port for bla. at hente opdateringer, så har du jo en øget risiko for at blive inficeret med trojaner, vira og lign.
#11
Som sagt er en firewall ikke en perfekt løsning og det er såmend heller ikke det der er formålet. De porte som den menige medarbejder behøver have udgående adgang til er somregl begrænset til port 80 og 443. Resten kan du godt lukke. Dette vil faktisk allerede der lukke adgangen for en række mindre effektive trojans. Men port bloking er jo langt fra din eneste mulighed for at blokere trafik. Pakke signaturer og URL filtre er nogle andre ting man bruge til at gøre sit netværk mere sikkert. Og jeg kan da heller ikke forestille mig det vare længe inden man ser firewalls som kan identificere pakker afsendt af trojans ved at have en central database ala den som Spamfighter bruger mod spam, som bliver opdateret hele tiden. (Hvilket måske tilføre en anden type risiko men det er ved siden af pointen)
Jo man kan stadig godt analysere pakker sendt til og fra en bestemt port. Det er måske ikke så udbredt men det er ladesiggøreligt.
Ja bevarres, men det er vel egentlig ikke et argument imod firewalls? Jeg mener, i det tilfælde du omtaler kræver det dog stadig en del at finde og udnytte hullet. Og alt andet lige ville man jo stadig være bedre stillet end hvis man ikke havde firewallen.
Min personlige bekymring ved dit argument her er at firewallen måske kan give en admin en falsk fornemmelse af tryghed. Og dette kan medføre at han ikke bliver opmærksom på fejlen og hvad han skal gøre for at rette den. Det bringer os tilbage til det meneskelige aspekt, og det er vel ikke firewallens skyld hvis denne admin ikke for opdateret firmware/software firewallen vel?
;)
Men til hvad nytte? Et ondsindet program finder såmænd nok en vej udenom. Der er få tilfælde, hvor det er til nogen hjælp. Hvis man blot vil forhindre sine brugere i at komme til at bruge en usikker protokol, så kan det selvfølgeligt hjælpe. Det kunne også være en god idé at begrænse muligheden for udgående forbindelser til port 25 og 119, så man ikke risikere at blive misbrugt til spaming. Men derudover har jeg svært ved at se fordelene ved regler for udgående trafik.
Som sagt er en firewall ikke en perfekt løsning og det er såmend heller ikke det der er formålet. De porte som den menige medarbejder behøver have udgående adgang til er somregl begrænset til port 80 og 443. Resten kan du godt lukke. Dette vil faktisk allerede der lukke adgangen for en række mindre effektive trojans. Men port bloking er jo langt fra din eneste mulighed for at blokere trafik. Pakke signaturer og URL filtre er nogle andre ting man bruge til at gøre sit netværk mere sikkert. Og jeg kan da heller ikke forestille mig det vare længe inden man ser firewalls som kan identificere pakker afsendt af trojans ved at have en central database ala den som Spamfighter bruger mod spam, som bliver opdateret hele tiden. (Hvilket måske tilføre en anden type risiko men det er ved siden af pointen)
Netop derfor gør en firewall ingen forskel. Har du brug for serveren, så er du nødt til at åbne porten, og sikkerheden hænger på applikationen uanset om du har en firewall eller ej. Har du ikke brug for serveren, så kører du den ikke, og firewallen vil være overflødig, fordi man ikke kan angribe en server, der ikke er der.
Jo man kan stadig godt analysere pakker sendt til og fra en bestemt port. Det er måske ikke så udbredt men det er ladesiggøreligt.
Der er i øvrigt set tilfælde, hvor en firewall har forringet sikkerheden. Et sikkerhedshul i firewallen gjorde, at man udefra kunne overtage kontrolen med firewallen. Derfra har man et rigtig godt udgangspunkt for yderligere angreb.
Ja bevarres, men det er vel egentlig ikke et argument imod firewalls? Jeg mener, i det tilfælde du omtaler kræver det dog stadig en del at finde og udnytte hullet. Og alt andet lige ville man jo stadig være bedre stillet end hvis man ikke havde firewallen.
Min personlige bekymring ved dit argument her er at firewallen måske kan give en admin en falsk fornemmelse af tryghed. Og dette kan medføre at han ikke bliver opmærksom på fejlen og hvad han skal gøre for at rette den. Det bringer os tilbage til det meneskelige aspekt, og det er vel ikke firewallens skyld hvis denne admin ikke for opdateret firmware/software firewallen vel?
;)
[url=#13]#13[/url] Onde Pik
Hvis vi nøjes med at kigge på rigtige firewalls, der kører på dedikeret hardware, så burde man være bedre stillet end uden firewall. Men det er da kun, hvis der stadigt sidder en router mellem firewallen og det interne netværk. Ellers kunne kontrol over firewallen benyttes til sniffing og spoofing. Og selv i det gennemtænkte scenarie med en router indenfor firewallen, er der stadig risiko for DoS angreb, hvis der skulle være en fejl i firewallen.
De porte som den menige medarbejder behøver have udgående adgang til er somregl begrænset til port 80 og 443.Det kommer i allerhøjeste grad an på, hvad man bruger netværket til. Personligt tror jeg ssh udgør hovedparten af min kommunikation.
Pakke signaturer og URL filtre er nogle andre ting man bruge til at gøre sit netværk mere sikkert.Det virker bare ikke på krytperede protokoler. Og selv de ukrypterede kan for længt hovedpartens vedkommene nemt bruges til covert channels.
Jo man kan stadig godt analysere pakker sendt til og fra en bestemt port.Man kan, men er det fornuftigt. Jo mere compliceret koden i firewallen bliver, des større er risikoen for sikkerhedshuller i firewallen.
Og alt andet lige ville man jo stadig være bedre stillet end hvis man ikke havde firewallen.Det kommer nu an på omstændighederne. Ser vi på de urimeligt populære software firewalls, så er det ikke rigtigt. I det tilfælde ville en fejl i firewallen betyde total kontrol over den computer, den skulle have beskyttet.
Hvis vi nøjes med at kigge på rigtige firewalls, der kører på dedikeret hardware, så burde man være bedre stillet end uden firewall. Men det er da kun, hvis der stadigt sidder en router mellem firewallen og det interne netværk. Ellers kunne kontrol over firewallen benyttes til sniffing og spoofing. Og selv i det gennemtænkte scenarie med en router indenfor firewallen, er der stadig risiko for DoS angreb, hvis der skulle være en fejl i firewallen.
Min personlige bekymring ved dit argument her er at firewallen måske kan give en admin en falsk fornemmelse af tryghed.Den risiko unlod jeg bevidst at lægge stor vægt på, da det dybest set ikke er firewallens skyld.
Det kommer i allerhøjeste grad an på, hvad man bruger netværket til. Personligt tror jeg ssh udgør hovedparten af min kommunikation.
Nu er det jo heller ikke dig jeg opfatter som "den menige medarbejder". Men jeg ville nu heller ikke være bekymret for lige præcis at du skulle blive en sikkerhedsbrist da du tydeligvis fatter noget. I mange virksomheder har man nødvendige services som mail og sådan liggende lokalt, og de fleste folk behøver kun http(s) adgang. Andre porte kan så åbnes on demand.
Det virker bare ikke på krytperede protokoler. Og selv de ukrypterede kan for længt hovedpartens vedkommene nemt bruges til covert channels.
Jeg tror du fortsat misforstår min pointe. Pointen er, at selvom en firewall ikke er ufejlbarlig kan den hvis den er ordenligt sat op forhindre en farlig masse sikkedsbriste.
Man kan, men er det fornuftigt. Jo mere compliceret koden i firewallen bliver, des større er risikoen for sikkerhedshuller i firewallen.
Hvilket jeg fint selv pointerede.
Det kommer nu an på omstændighederne. Ser vi på de urimeligt populære software firewalls, så er det ikke rigtigt. I det tilfælde ville en fejl i firewallen betyde total kontrol over den computer, den skulle have beskyttet.
Hvilket er hvorfor det anbefalse at bruge disse personal firewalls på det lokale net som allrede er beskyttet af en rigtig firewall.
Hvis vi nøjes med at kigge på rigtige firewalls, der kører på dedikeret hardware, så burde man være bedre stillet end uden firewall. Men det er da kun, hvis der stadigt sidder en router mellem firewallen og det interne netværk. Ellers kunne kontrol over firewallen benyttes til sniffing og spoofing. Og selv i det gennemtænkte scenarie med en router indenfor firewallen, er der stadig risiko for DoS angreb, hvis der skulle være en fejl i firewallen.
Igen beskriver du hvordan man ikke kan være 100% sikker med en firewall. Hvilket jo er banalt accepteret og egentlig ikke behøver forklaring. Hvis du har en god lås på din dør beskytter den jo heller ikke mod en rambuk, men betyder det at din lås er værdiløs? Nej slet ikke.
Og DOS angreb virker på dig ligegyldig om der er en fejl i firewallen eller ej. Som end node, had du ikke rigtig nogen mulighed for at beskytte dig mod DoS. Din firewall er jo nødt til at modtage pakkerne inden at du sinker dem. Og hvis mængden af pakker matcher din båndbredde har problemet absolut intet med firewallen at gøre.
Den risiko unlod jeg bevidst at lægge stor vægt på, da det dybest set ikke er firewallens skyld.
Hvilket jeg også skriver. Jeg mener dog stadig det er værd at tage med i betragtningen da langt størstedelen af kompromiterede netværk skyldes menneskelige fejl og ikke er firewallens skyld.
Anyways, jeg smutter på ferie nu og dette er mit sidst indlæg. Jeg tror dog grundlæggende at vi er rimeligt enige.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund