Archief
- De topics van lang geleden
Wat is genoeg?
Mijn sjef is niet te overtuigen van het feit dat het hebben van een Firewall met daarachter een ISA en daarachter het LAN niet echt veilig is. Ik zou voorstander zijn van het inrichten van een DMZ waarin content scanning plaatsvindt zowel op mail verkeer als browse verkeer.
Wat zouden nou pakkende argumenten zijn om hem te overtuigen dat 'zijn' FireWall - ISA - LAN constructie not the way to go is?
Wat zouden nou pakkende argumenten zijn om hem te overtuigen dat 'zijn' FireWall - ISA - LAN constructie not the way to go is?
Reacties (7)
14-08-2003, 10:52 door
Poele
ISA-server
Hangt een beetje van je verdere configuratie af.
Als jullie niet browsen op kantoor en thuis alle webmail lezen is dit meer dan voldoende.
Met andere woorden; hier is geen goed generiek antwoord op te geven.
Je zou kunnen overwegen een 'security breach' te simuleren, mocht je zelf wel een goed idee hebben waar nou exact de zwakke punten binnen het netwerk van jou en je 'sjef', (of hadden jullie nog meer gebruikers op dat netwerk?) liggen.
De groeten.
Als jullie niet browsen op kantoor en thuis alle webmail lezen is dit meer dan voldoende.
Met andere woorden; hier is geen goed generiek antwoord op te geven.
Je zou kunnen overwegen een 'security breach' te simuleren, mocht je zelf wel een goed idee hebben waar nou exact de zwakke punten binnen het netwerk van jou en je 'sjef', (of hadden jullie nog meer gebruikers op dat netwerk?) liggen.
De groeten.
14-08-2003, 12:11 door
Poele
We browsen en mailen vanaf het netwerk (iedereen). Er is geen scanning van het browse verkeer, wel virus scanning. Patchingsniveau van de servers in maar zo zo...
Gebruik Squid-Proxy [http://www.acmeconsulting.it/pagine/opensource/squid/SquidNT.htm] om je UITGAANDE http(s)/ftp/whatever te kunnen beheersen ?
Ik prefereer Squid voor *nix, maar OK.
Gebruik een ESMTP win32 variant voor interne bedrijfsmail, en je bedrijfsmail naar buiten, implementeer blocklists zoals spews/monkeys, en wees bereid tot whitelisting.
Ik prefereer Courier voor *nix, maar OK.
Verbied via je Squid-ACL de meest *foute* webmail-servers/alle webmail, en pak meteen de porno even mee/
Maak een leuke 'Access denied' pagina aan.
Ik preferereer een houten hamer, maar OK.
Vervang je ISA / firewall combinatie door een *nix equivalent ? Monitor/log diep de eerste maand om je nerwerk opnieuw te leren kennen.
Hou je filtering-rules simpel, maar net niet *bot*
En om je baassie te overtuigen is 1 vette crack van binnenuit wel genoeg ;)
Ik prefereer Squid voor *nix, maar OK.
Gebruik een ESMTP win32 variant voor interne bedrijfsmail, en je bedrijfsmail naar buiten, implementeer blocklists zoals spews/monkeys, en wees bereid tot whitelisting.
Ik prefereer Courier voor *nix, maar OK.
Verbied via je Squid-ACL de meest *foute* webmail-servers/alle webmail, en pak meteen de porno even mee/
Maak een leuke 'Access denied' pagina aan.
Ik preferereer een houten hamer, maar OK.
Vervang je ISA / firewall combinatie door een *nix equivalent ? Monitor/log diep de eerste maand om je nerwerk opnieuw te leren kennen.
Hou je filtering-rules simpel, maar net niet *bot*
En om je baassie te overtuigen is 1 vette crack van binnenuit wel genoeg ;)
En al het uitgaande verkeer dat niet bedoeld is voor de mailserver of proxyserver (m.a.w. non HTTP/SMTP/POP/[whatever je toestaat]) gezellig nullrouten.
* hint* Vul op de clients een non-existant gateway in, en vertel PER APP wat de proxy is.. Lock settings..
Veel werknemers denken dat connectie een 'recht' is..
* hint* Vul op de clients een non-existant gateway in, en vertel PER APP wat de proxy is.. Lock settings..
Veel werknemers denken dat connectie een 'recht' is..
Firewall - ISA - LAN: Met dit principe is er dus slechts één belemmering voor kwaadwillende om op het LAN te komen.
Met de huidige virussen is dit niet zo een probleem meer bijvoorbeeld voor het MS Blast virus of andere virussen als trojans.
Een firewall inrichten is niet secure genoeg om je LAN omgeving te beschermen. Een Demillitarized zone of DMZ met twee firewalls waar tussen de DMZ zich bevindt is vele male beter beveiligd.
Zoals je zelf al aangeeft is Contentscanning (Mailmarshal bijv.) een zeer wijs besluit voor de DMZ op deze manier draag je er zorg vor dat je het LAN echt afsluit.
Het nadeel van een Firewall is dus:
Dat je slechts een obstakel hebt. data pakketjes kunnen makkelijk binnen omdat je geen contentscanning etc. voor het LAN uitvoert.
Je LAN is eenvoudig toegangkelijk voor hackers (een firewall is echt een eitje!)
Ik denk dat het belangrijkste is wat je aan kan geven het volgende is.
Stel hem maar eens de volgende vragen.
Hoe erg is het als je netwerk een paar uur plat ligt!
Hoeveel geld kost je dit!
Hoe erg is het als dit meerdere malen gebeurt!
Hoe erg vindt je het als er bedrijfs infomatie gestolen cq verwijderd wordt.
Hoe belangrijk is de data die je nu hebt!
Weeg dit dan eens af tegen de investering die je moet doen voor en DMZ met contentscanning etc. En kijk dan eens hoeveel je eigenlijk hieraan verdient!!!
Groeten Rik Chorus
Met de huidige virussen is dit niet zo een probleem meer bijvoorbeeld voor het MS Blast virus of andere virussen als trojans.
Een firewall inrichten is niet secure genoeg om je LAN omgeving te beschermen. Een Demillitarized zone of DMZ met twee firewalls waar tussen de DMZ zich bevindt is vele male beter beveiligd.
Zoals je zelf al aangeeft is Contentscanning (Mailmarshal bijv.) een zeer wijs besluit voor de DMZ op deze manier draag je er zorg vor dat je het LAN echt afsluit.
Het nadeel van een Firewall is dus:
Dat je slechts een obstakel hebt. data pakketjes kunnen makkelijk binnen omdat je geen contentscanning etc. voor het LAN uitvoert.
Je LAN is eenvoudig toegangkelijk voor hackers (een firewall is echt een eitje!)
Ik denk dat het belangrijkste is wat je aan kan geven het volgende is.
Stel hem maar eens de volgende vragen.
Hoe erg is het als je netwerk een paar uur plat ligt!
Hoeveel geld kost je dit!
Hoe erg is het als dit meerdere malen gebeurt!
Hoe erg vindt je het als er bedrijfs infomatie gestolen cq verwijderd wordt.
Hoe belangrijk is de data die je nu hebt!
Weeg dit dan eens af tegen de investering die je moet doen voor en DMZ met contentscanning etc. En kijk dan eens hoeveel je eigenlijk hieraan verdient!!!
Groeten Rik Chorus
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
