Brannmur problem i Server 2003`?

[Heineoen]

Hei!

Sliter litt med å få aktivert brannmuren i Windows Server 2003 Standard.

Når jeg skrur den på får ikke maskin klientene logget seg inn, noen går det på, men det går veldig tregt.

Noe jeg må stille på?

Bør jeg bruke en annen brannmur?

 

Takk!

[Gjest Slettet-t8fn5F]

Hvis serveren er en domenekontroller, må du tillate DHCP response og request samt DNS trafikk må være lovlig og satt opp som regler i brannmuren.

Det annbefales ikke å bruke den innebygde brannmuren, men skal det kjøres brannmur på serveren, er ISA 2004 å foretrekke.

Det beste er om du kan ha en ekstern brannmur.

[Heineoen]

Er ISA gratis?

Hordan skal jeg stille på i brannmuren som du sa om DHCP response ++?

Finner ikke noen av disse navnene?

[roac]

Er ISA gratis?

5099002[/snapback]

ISA server er Microsoft sin brannmurløsning, og er slettes ikke gratis. Pris for enprosessorlisens av ISA Server 2004 Standard Edition koster vel ca 15000 inkl mva.

[stigfjel]

Har et godt råd: Skal du ha en kraftig firewall-løsning, installer FreeBSD eller OpenBSD på en egen maskin og lær deg å bruke ipfw (FreeBSD) eller pf (OpenBSD og FreeBSD, pf kommer fra OpenBSD). Både FreeBSD og OpenBSD er helt gratis, men ikke så brukervennlig som windows.

 

Edit: Windows Server 2003 sin innebygde såkalte "brannmur" er bare en dårlig vits, og et helt tragisk verktøy fra M$. Både FreeBSD og OpenBSD har brannmurverktøy som minst er på høyden med ISA Sever 2004, om ikke enda bedre. Dessuten har man lastbalansering med ipfw gjennom dummynet, og med pf gjennom altq.

Endret 9. november 2005 av stigfjel

[Gjest Slettet-t8fn5F]

Både FreeBSD og OpenBSD er helt gratis, men ikke så brukervennlig som windows.

Nå er jo tid penger også. Hvor lang tid tar det å lære seg FreeBSD og OpenBSD?

Kan ikke bare si det er gratis bare på grunn av at det kan lastes ned fra internett. Det krever tid og resurser samt at maskiner som er sertifisert for å kjøre FreeBSD og OpenBSD koster sikkert endel mer. Et firma må kunne kvalitetsikre sine produkter og ha sertifikater på databehandling. Jeg har ikke sett noen maskiner som har godkjenning for FreeBSD og OpenBSD, men det har vel med jeg kun jobber med Microsoft og Intel sine produkter. Tar gladelig imot pepper om noen finner maskiner som er sertifisert for FreeBSD og OpenBSD.

[stigfjel]

BSD-sertifikater er noe som er på vei. Og syntaksen på ipfw og pf er ikke så vanskelig som man skal ha det til. Den er faktisk mer lettfattelig enn f.eks. iptables. Det vet jeg, siden jeg selv har satt opp en FreeBSD brannmur som bruker ipfw (se specs), og den fungerer alldeles utmerket. Har satt opp et regelsett utifra default-to-deny. Det vil si at den blokker alt ved default, og så åpner jeg opp for hva jeg trenger. Dessuten krever FreeBSD/OpenBSD langt mindre av maskinvare i motsetning til Windows Server 2003. FreeBSD/OpenBSD kan kjøre på nesten hva som helst av maskinvare (tenker da på x86-basert maskinvare), bare det ikke er under et år gammelt. Da kan det være enkelte driverproblemer hvis maskinvaren ikke er fra store, kjente leverandører. Og når man først har satt opp en brannmur basert på FreeBSD/OpenBSD kan man bare la den kjøre. Det er også veldig enkelt å sette opp automatiserte script som oppdaterer operativsystemet, slik at man patcher opp for eventuelle sikkerhetshull (selv om de sjelden forekommer, i motsetning til Windows). Dokumentasjonen på hvordan man setter opp brannmur er veldig god. Både FreeBSD og OpenBSD har gode håndbøker som viser hva man bør gjøre.

 

Edit:

Her er en liste over firmaer som tilbyr kommersiell støtte til FreeBSD.

Og her er en tilsvarende liste for OpenBSD.

Endret 9. november 2005 av stigfjel

[roac]

Jeg ser du snakker mye om default-to-deny, og det kan derfor virke som om du mener at det er spesielt for BSD. Jeg tar meg derfor den frihet å nevne at ISA Server 2004 også som standard blokkerer alt. Et hederlig unntak er dersom du bruker Remote Desktop inn til en server som du installerer ISA Server 2004 på, da sørger ISA Server 2004 for at de nødvendige porter er åpne for fremdeles å kunne bruke Remote Desktop.

[stigfjel]

Jeg ser du snakker mye om default-to-deny, og det kan derfor virke som om du mener at det er spesielt for BSD.

5131297[/snapback]

Jeg trekker frem default-to-deny i generell sammenheng, fordi man alltid bør sette opp brannmurer utifra en default-to-deny policy. Slik hindrer man effektivt å uaktsomt åpne porter man ikke trenger.

 

Edit: dessuten, man bør ikke sitte og administrere en brannmur via remote desktop. Helst bør man sitte ved selve maskinen, til nød kan man bruke SSH.

Endret 9. november 2005 av stigfjel

[Gjest Slettet-t8fn5F]

Mottoet til Server 2003 er jo secure by design and default.

Amerikanske forsvaret valgte jo Server 2003 løsning og hvorfor gjorde de det. Det med at Microsoft er dårlig sikkerhet er ikke så relevant lengre etter at 2003 kom, men var meget relevant da 2000 server kom.

Det er bare å lese tråden på forsiden av hardware.no.

Jeg ville nok brukt endel andre løsnnger en Microsoft som kantserver i et større nettverk, men de skal være store de nettverkene og sjansen for å komme for en slik problemstilling er lik null...

[stigfjel]

Problemet med M$-software er at de ikke følger åpne standarder, og at man svært lett blir låst til en M$-plattform. Da får man automatisk høye lisenskostnader. Og Windows Server 2003 bruker unødvendig mye systemressurser hvis det er snakk om å bruke maskinen utelukkende til brannmur. Dessuten, man bør av sikkerhetshensyn dedikere en egen maskin til brannmurtjenester uansett.