Door Anoniem: Door Anoniem: het een sluit het ander niet uit: wat is er mis mee meteen een fatsoenlijke firewall te hebben waar over nagedacht is en onderhouden wordt? easy peasy win win lijkt mij. ook al is dat nog lang niet genoeg, het is een eenvoudige start zo. een no brainer.
Heb je al eens nagedacht over waarom je "firewall erop" als "easy peasy win win" ziet?
ja, inhoudelijke vragen daarover? stel ze gerust.
Ik heb zelf jarenlang computers ongefilterd aan het publieke internet gehad en zou het zo weer doen. Maar niet met *kuch* zekere software *kuch*. Want de ervaring leert, die zekere software wordt geleverd met een afgezakte broek en als je 't de broek laat optrekken zakt'ie zo weer af. Dat is waarom een firewall niet alleen een goed idee is, maar bittere noodzaak...
exact en als je met eennetwerk te maken hebt waar je niet 100% de controle over heb over alle mensen die er maar wat in hangen, dan is een firewall een optie dus. beter is ook nog monitoring erbij.
voor die software. De standaardconfiguratie is (nog steeds) onveilig en het heeft stapels patches nodig om een beetje minder onveilig te lijken. Dit gaat overigens vaak al de doelgroep van die software de pet te boven, dus dan is het "gewoon firewalletje erop en het is wel goed zo" het beste waar ze toe in staat zijn. Denk daar maar even over na.
gedaan. maar je fixeerd je ietwat op een context die niet overal van toepassing is. ik stel niet 'het beste waar...' ik stel het is een eenvoudige doeltreffende maatregel die je als optie hebt en niet moet afdoen alsof het geen bijrdage in het geheel kan hebben.
En als je toch bezig bent, bedenk dat zekere andere software heel anders geleverd wordt en, om in de analogie te blijven, wel, en goed, afkleedt. Als je daar met "waarom geen firewalletje erop, easy peasy win win" aankomt word je vierkant uitgelachen. Gewoon niet nodig, dus waarom die moeite doen? Niet pielen, er is nog meer werk te doen. Shops die zulke andere software gebruiken zijn dan ook gelijk shops die met minder beheerders veel meer computers kunnen beheren.
again, meerder omgevingen meerdere opties en dus niets uitsluiten a priori. security in lagen, dus ook al zou je em strikt niet nodig hebben om je slotgracht architectuur omgeving. ik kies voor meerdere lagen en op elke laag barrieres en dus ook firewalls lokaal en centraal.
kijk als ik op alle werkstations outbound port 25 al beperk tot eenkel de mail relay server, dan zal er geen malware of rot script van een gebruikern een spam run kunnen doen en daarbij onzichtbaar blijven. combi van firewall en monitoring dus weer.
[/quote]"Win-win" gaat over twee partijen die een deal maken waarbij beide beter af zijn. Is dat hier ook het geval?
De fabrikant van de firewall is beter af, want je betaalt 'm voor hun oplapsoftware. De fabrikant van het OS betaal je voor hun broddelwerk. En je krijgt een onveilig onding waarvan je denkt dat je 't nu "veilig gemaakt hebt" met die firewall. Er zijn wel twee partijen die hier beter af zijn maar toch zou ik 't niet als win-win bestempelen. Waarom niet?
[/quote]
again, het een sluit het ander niet uit. alles op orden en dan nog steeds een firewall lijkt mij beter dan alles op orde, geen firewall en toen oeps die vergissing van iemand in de organisatie enzv enzv enzv. again, naast firewalls, ook monitoring pleaze.
the point is misschien ook wel: niet moeilijk theoretiseren en bij een non argumentje tegen meteen maar moelijke woorden spuien als een consultant de uurtje-factuurtje-draai-deur starten en zo niets meer partisch eenvoudig doen. ook al zou een kleuter het kunnen, waarom dan niet doen?
Uurtje-factuurtje levert meer geld op als je meer uurtjes vol kan maken. Zeg maar wat jij "easy peasy win win" noemt, maar dan in zaken. Ook bekend als het consultancy-verdienmodel.[/quote][/quote]
als je firewalls goed uitgedacht (en dus niet annaal ingesteld) en monitoring doet en daarbij zorgt dat updates goed deployed en managed, dan heb je bijna geen brandjes te blussen of dure consultants nodig hoor => geen uurtjes factuurtjes issues :)
denk niet in termen van een slotgracht, denk in termen van laagjes als een ui en elk laagje enkel en alleen zo permeable als functionaliteit behoeft (anders geen bestaansrecht bij een werkt niet meer omgeving) is de clue. het netwerk inside is net zo onbetrouwbaar als de buitenwereld in zijn basis.