P0nduz Skrevet 31. mars 2011 Del Skrevet 31. mars 2011 Hei Er i starten av å konfigurere en brannmur (zywall usg-100) for en mindre bedrift med ca 20 ansatte. I den forbindelse trenger jeg noen tips til hva som lønner seg å gjøre. Bedriften har ikke egene IKT ansatte med kunnskaper til å gjøre noe med løsningen i ettertid. Løsningn nr 1: La alle porter ut være åpne på Ansattnett og kun åpne for http/https på gjestenett. Kjøpe lisens på antivirusscann og IDP - intrusjonsdefinisjonsoppdatering som skal kjøre på brannmuren. Åpne nødvendige porter inn Løsningn nr 2: Kun åpne ønskede porter ut på Ansattnett og åpne http/https på gjestenett Ingen antivirus eller IDP på brannmur Åpne nødvendige porter inn Vil det være like stor sikkerhet i løsningn 1 som 2 eller vil løsningn 2 by på en mye bedre sikkerhet? Økonomisk sett vil vel løsning 1 være bedre for bedriften mener jeg da de ikke trenger å kontakte konsulenter hver gang de må åpne en port i brannmuren. De skal ikke ha noen ssl/vpn oppkoblinger kun en Web/FTP server som de ansatte skal nå utenfra. Takker på forhånd for alle gode innspill JC Lenke til kommentar
harald_ Skrevet 5. april 2011 Del Skrevet 5. april 2011 Hadde jeg vært deg hadde jeg stått over IPS systemet, har rett og slett ikke troa på at såpass simplet system kan legge til noe særlig verdi. NAT er forferdelig, men ingen ting er så galt at det ikke er godt for noe. NAT bidrar til å gjemme klienter i lokalnettverket fra trussler på utsiden i tilstrekkelig grad for ditt miljø. I tillegg, når du sier at du vil sperre alt annet enn HTTP/HTTPS - husk at sperring av porter ikke gir så mye sikkerhet. Om det ikke er noe dyp pakkeinspeksjon på plass for å sjekke at det faktisk er HTTP trafikk kan man med enkelhelt benytte disse portene til SSH/VPN/etc tuneller. Lenke til kommentar
P0nduz Skrevet 5. april 2011 Forfatter Del Skrevet 5. april 2011 Har sett på dett litt i ettertid men blir jo et kostnadsspørmål. Har du en god ips boks å anbefalle? Lenke til kommentar
CrZy_T Skrevet 5. april 2011 Del Skrevet 5. april 2011 Tror jeg ville foreslått alt åpent ut fra ansattnett og fra gjestenettet ville jeg åpnet http, https, ftp og standard remote- og vpnløsninger. Lenke til kommentar
v3g4rd Skrevet 18. juni 2011 Del Skrevet 18. juni 2011 Oppliving av gammel tråd på gang, men jeg ville bare nevne at det også finnes firmaer som tilbyr IDS-tjenester, hvor det konstant sitter analytikere og overvåker nettene som det opprettes avtaler på. Telenor Sikkerhetssenter er et eksempel, eventuelt Secode eller Mnemonic. Lenke til kommentar
lhegdal Skrevet 4. oktober 2011 Del Skrevet 4. oktober 2011 Hvor avansert du setter den opp har vel med spørsmålet om hvor godt du får betalt for support. For mange bedrifter er det nok med en gateway som filtrer bort pakker på uønskede porter, og som gjemmer publisering med NAT. Så kan du heller benytte f.eks. Telenor SOC til å kjøre IDS, men det hjelper lite om ingen kan utbedre angrepene/virusene de finner. Kjører de en god AV løsning på innsiden og på mailrelay beskytter det godt mot de fleste virus angrep. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå