Brandvägg! Företag

[Björn5]

Ett företag med 10 datorer i ett nätverk som nu sitter på modem. Vi kommer att skaffa Tiscalis satelit "bredband" då detta är vårt enda alternativ idag. Tyvärr har Tiscali ett modem till sin utrustning som anslutes via USB. Detta blir ju ett problem då jag inte kan koppla denna direkt till en hårdvarubrandvägg (eller finns det sådana hårdvaru-brandväggar?).

 

Idag delar via 56K-linan med hjälp av ett proxy program på vår filserver. Denna filserver har Norton Personal Firewall installerad på sig. Detta tyckte jag borde räcka då vi satt på modem och inte var uppkopplade hela tiden.

 

Nu känner jag däremot att jag börjar bli lite rädd då vi kommer att vara uppkopplade konstant. Jag skulle ju kunna göra som tidigare bara att jag delar ut linan till det nya Satelitmodemet istället, men jag tycker det känns osäkert med att ha filservern längst ut i nätverket även om vi har en brandvägg där.

 

Är det någon som har ett tips för hur jag skall göra. Vi har relativt känslig information på våra burkar och den informationen får inte komma ut.

 

Tanken jag hade var att sätta upp en tom "proxy-dator" med brandvägg som bara förmedlar internet, men detta kanske är lika osäkert/säkert som att ha filservern.

 

Vad jag förstått det som verkar ju en Router med inbyggd brandvägg vara väldigt säker, men vad jag förstår så kan jag ju inte använda mig av det.

 

Snälla hjälp mig!

 

*konspirations teoretikern*

[Weyland]

_ändrat_

Oj, tänkte mig inte för riktigt. Frågan är juh om det finns drivrutiner till tiscalis sattellitbredband till linux...

 

Men det går juh å köra windows å NAT oxå, även om det kanske kan kräva lite mer arbete för att säkra burken ordentligt. Finns bra verktyg för detta hos Microsoft dock...

 

_tidigare svar_

En tom routerdator är en bra lösning, kör NAT på den förstås - finns färdiga linuxdistributioner på diskett för detta, med brandvägg och allt.. (lcp hette en av dem på den tiden då det begav sig

 

--

.Weyland

 

2. Everything around us can be represented and understood through numbers.

[inlägget ändrat 2002-10-29 18:50:35 av Weyland]

[Björn5]

Jag förstår att detta är ett bra alternativ, men jag söker nog helst ett enklare alternativ om det finns. Finns det ingen mjukvara som klarar av att göra det du beskrev direkt?

 

NAT, är det en "adressomvandlare" eller har jag missuppfattat det.

 

Jag har aldrig hållt på med något liknande förut därav min låga IQ i sammanhanget.

 

Är otroligt tacksam för flera alternativ från fler personer.

 

[Weyland]

Problemet som jag ser det är att du behöver något som funkar med "tiscalis utrustning" till att börja med, vilket du har förstått och därför sållat bort inbäddad router/brandvägg i en liten låda.

 

Så en vanlig dator, precis som er filserver, som håller i internetlinan och sköter brandväggen torde vara enklast och tillräckligt säkert.

 

Kräver tiscalis utrustning att du kör Windows på datorn som håller i linan? Microsoft har ett verktyg vid namn MSBA som kollar igenom en windowsdator och pekar ut svagheter ur säkerhetssynpunkt, samt förklarar hur du fixar det. Detta ihop med alla senaste patchar torde duga.

 

NAT är nätadressöversättning ja, det har du förstått rätt. Detta innebär egentligen att ingen dator utanför NAT-routern kommer att kunna komma åt någon dator innanför NAT-routern då dessa inte existerar ute på internet. Således blir den enda möjliga akilleshälen själva natroutern, intrång eller felkonfiguration.

 

En vanlig personlig brandvägg i internetdatorn torde räcka, tillsammans med något så enkelt som windows internetdelning. Känner du dig extremt paranoid kan du juh kombinera, stoppa dit en så'n där trevlig hårdvarubrandvägg mellan internetdatorn och resten av ert nätverk?

 

--

.Weyland

 

2. Everything around us can be represented and understood through numbers.

 

[Björn5]

Tiscali kräver Windows.

 

Jag kan tänka mig att sätta upp en tom burk med 2000Professional på, men jag har inte plats för det rent utrymmesmässigt tyvärr. Men om detta är mycket säkrare än att använda min filserver för internetdelning så får jag göra plats i sådan fall.

 

Det enda jag är orolig för är att det är "lätt" att ta sig in direkt i filservern med inte vidare. Men det kanske är så att om man har kommit in i filservern så kommer man lätt vidare?

 

Som du hör är jag relativt paranoid. En av dom viktigaste datorerna med data på är ju givetvis min filserver, så därav min paranoida inställning.

 

Tanken jag hade med att sätta upp en tom burk skulle vara att jag skulle ha en brandvägg i filservern och en i routerdatorn. Dessa två skulle inte få kommunicera med varandra, men dock med resten av nätverket. Kan man på så sätt förhindra ännu mer att någon utifrån kommer åt filservern? Låter detta meningslöst/överdrivet?

 

Om jag förstod dig rätt så har microsoft NAT-program för nedladdning?

 

[ZanY]

Windows har inbygd NAT så det ska inte vara några problem. Men om du nu är riktigt paranoid så var Weylands förslag med en brandvägg mellan windows-burken och LAN:et bra.

 

Installera helt enkelt en så strippad Windows-maskin som möjligt, konfigurera internetanslutningen och se till att den fungerar. Köp sedan en liten router/brandvägg, gärna hårdvarubaserad och enkel. Sätt den mellan windowsburken och erat övriga nätverk.

 

Om någon lyckas hacka er windows-burk som står längst ut så kan de inte göra så mycket. Det värsta skulle vara om de installerade en sniffer och tittade på all er internettrafik, men förhoppningsvis kör ni redan allt känsligt krypterat.

 

Nackdelen skulle kunna vara att både brandväggen och windowsburken routar (och ev. NAT:ar) all internettrafik, vilket kan skapa problem.

 

Lycka till!

 

/Mn

Slartibartfast: Is that your robot? Marvin: No. I’m mine.

 

 

[Björn5]

Ja, det verkar ju var det bästa alternativet verkar det som. Det får nog bli den lösningen antar jag.

 

Jag skulle ju kunna ha en mjukvarubrandvägg brandvägg i "router-burken" som bara är basic inställd. Och sedan ha en hårdvarubrandvägg efter den till resten av nätverket. Detta torde ju vara väldigt säkert tycker jag. Men då är du inte jag som sitter inee med hackar-kunskaperna.

 

Paranoid?

 

[jockebr]

Om USB verkligen måste användas(vilket låter jättedumt, oftast brukar det gå att välja mellan USB eller vanlig nätverkskontakt) och du därmed är begränsad till Windows så finns det inte så många alternativ. Alternativet att koppla modemet till din filserver, som därmed agerar router, kan du stryka direkt om du är bekymrad om säkerheten. Din router vill du ha på en fristående burk som definitivt inte innehåller någon viktig information.

 

Jag ser två alternativ för dig:

 

1) Installera modemet på en ny burk med Windows 2000 och installera Microsoft ISA server, som är en komplett brandvägg som även innehåller en cache-proxy funktion som kan vara bra om man inte har en så snabb Internetanslutning.

 

2) Installera modemet på en ny burk med Windows 2000/XP och aktivera routning med NAT. Kan kompletteras med en personlig brandvägg, typ ZoneAlarm eller BlackIce el. dyl. Sedan kan du även, som redan föreslagits, installera en "riktig" brandvägg mellan routern och ditt nätverk.

 

Vilket alternativ du väljer är upp till dig. Microsoft ISA är lika hatad som älskad, så beroende på vem du frågar är Alternativ 1 antingen jättebra eller helt värdelöst. Alternativ 2 blir förmodligen lite säkrare då du får ytterligare ett hinder för hackare att ta sig igenom, men det blir eventuellt också dyrare både i inköpskostnad och i administration.

 

Lycka till,

 

J.B