Forum Mjukvara Linux och övriga operativsystem Tråd Inlägg

233 mhz:are som brandväggsrouter/lokal filserver/ssh server för internet styrning

1 2
Skriv svar
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Nova1007
Förresten, om jag nu har routern/brandväggen uppe som är färdigkonfad så behöver jag väl inte nån brandvägg i de lokala datorerna? Just nu kör jag Norton Internet Security. Men antivirus behöver jag väl fortfarande (eftersom jag kanske inte kör det på routern)?

Frågar igen eftersom ingen besvarat den

Redigera
Citera flera Citera
Permalänk
Medlem

jag kör inte med lokal firewall utan bara m0n0wall+lokala antivirus

men det hindrar inte att du klickar på ett mail och installerar något den vägen...

Visa signatur

Har varit på detta forum på tok för länge...

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Qaztaz
Säger du att Linux skulle vara en betydligt slöare kärna med fler processorer? Det var väl inte ens länge sedan tex FreeBSD överhuvudtaget fick smp-stöd?

FreeBSD släppte sin första release med stöd för SMP den 16:e oktober 1998 (det är 2005 nu, ifall du missat det). Innan dess fanns stödet i CURRENT-branchen, där kod och inspiration kom från BSD/OS. Du kanske borde kolla upp dina källor lite bättre till nästa gång...

Citat:

Ursprungligen inskrivet av Qaztaz
Nu var det rätt länge sedan jag läste något om det men *bsd brukar ju få ganska ordentligt med spö i prestandatester mot linux.

Har du färska tester som visar det? Det var riktigt längesedan jag såg ett test där FreeBSD fick "ordentligt" med spö i konfigurationer om 2 processorer.

Citat:

Ursprungligen inskrivet av Qaztaz
Så jag tror nästan att du får dra fram något som visar vad du menar om du ska utala dig sådär .

Du gick i precis samma fälla som Neco.

Visa signatur

"Linux is good because it keeps people out of real kernels"

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Citat:

Ursprungligen inskrivet av Kent-Mustafa
FreeBSD släppte sin första release med stöd för SMP den 16:e oktober 1998 (det är 2005 nu, ifall du missat det). Innan dess fanns stödet i CURRENT-branchen, där kod och inspiration kom från BSD/OS. Du kanske borde kolla upp dina källor lite bättre till nästa gång...

Skriver man "väll" och slutar med '?' så menar man väl att man inte är alls säker? Det kanske är obsd eller netbsd det hjällde, eller så är det fel helt och hållet eller hjälde något annat.

Citat:

Ursprungligen inskrivet av Kent-Mustafa

Har du färska tester som visar det? Det var riktigt längesedan jag såg ett test där FreeBSD fick "ordentligt" med spö i konfigurationer om 2 processorer.

Om det var "länge sen jag läste något om det", så har jag väl inga färska tester att plocka fram? Dessutom var det inte menat specifikt för smp-konfigurationer, utan i allmänhet. När det gäller riktigt många processorer (128st och liknande) var ju inte linux så lysande med gamla schedulern. Jag tror dock fortfarande att linux är den (eller i alla fall en av de) snabbaste "större" kärnorna (dvs tex små rt-kärnor och liknande borträknade), over all. Har du några bra tester att länka till vore det trevlig läsning. Senaste jag läste hjällde tcp/ip-stacken, och till fördel för linux framför någon av bsd-smakerna.

Citat:

Ursprungligen inskrivet av Kent-Mustafa

Du gick i precis samma fälla som Neco.

Hade jag haft källor hade jag utalat mig betydligt säkrare...

Skillnaden är nog ganska marginell (som jag skrev redan från början) vid normal användning.

Citat:

Ursprungligen inskrivet av Nova1007

Förresten, om jag nu har routern/brandväggen uppe som är färdigkonfad så behöver jag väl inte nån brandvägg i de lokala datorerna? Just nu kör jag Norton Internet Security. Men antivirus behöver jag väl fortfarande (eftersom jag kanske inte kör det på routern)?

Egentligen bör man ha brandväggar på alla burkar även internt. Man bör inte lita blint på en brandvägg, och verkligen inte om man släpper egenom portar till en server på innsidan. Ofta sätter man servrar som man kommer åt utifrån på ett så kallat DMZ. Dvs ett eget litet LAN. Routern brandväggar sedan såväl mellan DMZ och det vanliga LAN som mellan DMZ och och internet och mellan LAN och internet. På så sätt är datoerna på sitt interna lan skyddade även om servern blir knäckt.

DMZ kanske är lite att ta i för en hemmanvändare. Men har man en server på det interna lanet som man kan komma åt utifrån bör man nog överväga att ha brandvägger på alla datorer på lanet också.

Visa signatur

motor.holy.se - Projekt "Tüsk MiniJänk med Engelsk V8"
"Bingolotto, till och med Loket har trötnat" - Loesje
"Och jag som trodde att världens häftigaste moderator inte existerade!" - Robbster

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Qaztaz

Egentligen bör man ha brandväggar på alla burkar även internt. Man bör inte lita blint på en brandvägg, och verkligen inte om man släpper egenom portar till en server på innsidan. Ofta sätter man servrar som man kommer åt utifrån på ett så kallat DMZ. Dvs ett eget litet LAN. Routern brandväggar sedan såväl mellan DMZ och det vanliga LAN som mellan DMZ och och internet och mellan LAN och internet. På så sätt är datoerna på sitt interna lan skyddade även om servern blir knäckt.

DMZ kanske är lite att ta i för en hemmanvändare. Men har man en server på det interna lanet som man kan komma åt utifrån bör man nog överväga att ha brandvägger på alla datorer på lanet också.

Hmm, kanske borde utforska lite mer om DMZ innan jag kommenterar över det men har en snabb fråga: om servern blir knäckt på DMZ, hur kan det inte påverka LAN:et? Menar du att det finns ytterligare en server (på LAN) som är ansluten till denna DMZ-brandväggen? I så fall kan jag ju förstå det. Men om man inte har en ytterligare server på LAN:et utan routern/brandväggen som man har, är på LAN:et redan. Då kvittar det väl.

Också tillbaka till min senaste fråga. Varför behövs det brandväggar på mina lokala datorer när då alla ändå är anslutna via routern/brandväggen. Om jag t.ex. öppnar port 23 på min router (port-forwarding till min lokala dator), då måste jag ju naturligtvis öppna port 23 på min lokala dator också. Så om jag förstått rätt, varför behöver jag då en lokal brandvägg då de MÅSTE ha samma öppna port/samma konfigurationer?

Redigera
Citera flera Citera
Permalänk
Medlem

Om din enda brandvägg blir knäckt, hackad, får ryck :p, what ever så känns det ju bätrre att ha en backup.

Typ som att säga:

Varför ska dykarna ha 2 munstycken till sina tuber?
- så att om nån behöver den som backup.
Ja men han/hon har ju en tub på i sin egen utrustning!

Vääääääälllldiiigt dåligt exempel men du fattar :D!

Visa signatur

Macbook Vit | Macbook Unibody | D80 | iPod Touch | iPhone 3GS

Redigera
Citera flera Citera
Permalänk
Medlem

Jag vet att det är bra att ha backup. Men just när det gäller brandväggar förstår jag inte hur det hänger ihop med MER säkerhet då de måste ha samma konfigurationer för att förbindelserna ska fungera. Anta att som jag sa tidigare att routern portforwardar 23 till den lokala dators port 23. Då måste routern ha sin port öppen. Och om den lokala datorn också har brandvägg MEN spärrar sin port 23, då blir det ingen förbindelse ändå om någon (förmodligen jag då) försöker ssh:a till min dator från skolan t.ex. Och om porten är öppne på min lokala dator men inte på routern så funkar det heller inte. De måste ha samma konfigurationer och då har jag svårt för att förstå hur det kan höja säkerheten.

Det är ungefär som att 2 bilar som kör i 80 km/h, är lika snabba som 1 bil i samma hastighet.

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Nova1007
Hmm, kanske borde utforska lite mer om DMZ innan jag kommenterar över det men har en snabb fråga: om servern blir knäckt på DMZ, hur kan det inte påverka LAN:et? Menar du att det finns ytterligare en server (på LAN) som är ansluten till denna DMZ-brandväggen? I så fall kan jag ju förstå det. Men om man inte har en ytterligare server på LAN:et utan routern/brandväggen som man har, är på LAN:et redan. Då kvittar det väl.

Du kan ha 3 nätverkskort i brandväggen/routern. Ett till WAN, ett till LAN och ett till DMZ. Sedan har du hårda regler för vad som får komma in och gå ut ur DMZ. Kan tyckas vara lite overkill för den vanliga användaren.

Citat:

Ursprungligen inskrivet av Nova1007
Också tillbaka till min senaste fråga. Varför behövs det brandväggar på mina lokala datorer när då alla ändå är anslutna via routern/brandväggen. Om jag t.ex. öppnar port 23 på min router (port-forwarding till min lokala dator), då måste jag ju naturligtvis öppna port 23 på min lokala dator också. Så om jag förstått rätt, varför behöver jag då en lokal brandvägg då de MÅSTE ha samma öppna port/samma konfigurationer?

Jag tycker det kan vara trevligt att ha då man har mer koll på vad som tillåts att passera ut, med t.ex. MD5-kontroll av program osv.. Men inåt brukar det inte vara så stor skillnad nej.

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Citat:

Ursprungligen inskrivet av Nova1007
Hmm, kanske borde utforska lite mer om DMZ innan jag kommenterar över det men har en snabb fråga: om servern blir knäckt på DMZ, hur kan det inte påverka LAN:et? Menar du att det finns ytterligare en server (på LAN) som är ansluten till denna DMZ-brandväggen? I så fall kan jag ju förstå det. Men om man inte har en ytterligare server på LAN:et utan routern/brandväggen som man har, är på LAN:et redan. Då kvittar det väl.

Också tillbaka till min senaste fråga. Varför behövs det brandväggar på mina lokala datorer när då alla ändå är anslutna via routern/brandväggen. Om jag t.ex. öppnar port 23 på min router (port-forwarding till min lokala dator), då måste jag ju naturligtvis öppna port 23 på min lokala dator också. Så om jag förstått rätt, varför behöver jag då en lokal brandvägg då de MÅSTE ha samma öppna port/samma konfigurationer?

Säg att du har en www-server, en egen arbetsdator och så din morsas dator. Om du sätter en brandvägg ytterst mot internet för att brandvägga och för att nat'a ("dela internet"). Om någon sedan knäcker din www-server, då är denne "inne" på dit lan. Elakingen kan då attakera dina andra datorer som då är helt oskyddade. Samma sak gäller även om din brandvägg blir knäckt eller inte fungerar (tex pga felkonfiguering)

Det är samma filosofi dragen ett steg till att sätta servern på ett dmz. En knäckt server på ett ensamt dmz är inget hot för ens andra datorer.

Dessutom kan man (som sagt) strya hårt vad som tillåts från och till dmz. Tex att bara port 80 mellan internet och dmz, och bara om det initieras utifrån, och ssh mellan dmz och lan, men bara om det initieras från lanet.

Vad som är overkill och inte beror lite på hur paranoid man är (eller hur illa det är om någon kommer in på fel ställen).

Största risken är väl att man konfiguerar något fel och därmed gör sin brandvägg värdelös.

Visa signatur

motor.holy.se - Projekt "Tüsk MiniJänk med Engelsk V8"
"Bingolotto, till och med Loket har trötnat" - Loesje
"Och jag som trodde att världens häftigaste moderator inte existerade!" - Robbster

Redigera
Citera flera Citera
Permalänk
Medlem

Ok nu har jag läst lite om vad det innebär att implementera en DMZ. Själv har jag inget intresse av att t.ex. sätta upp en webbserver och dessutom har jag bara 3 datorer i hemmet. Så det med DMZ verkar vara som sagt FÖR mkt. Men det är ju bara för att jag är en hemmaanvändare, passar perfekt annars i stora nätverk.

Så vi antar nu att jag bara har 3 datorer, en - routern/brandväggen - som är mellan internet och de övriga två LAN-datorerna. Om en hacker tar sig in i min router. Vad är det som gör att de övriga två datorerna utsätts för fara om de inte har några tjänster aktiva - ssh, ftp etc - och inte heller några brandväggar. Det är ju tjänsterna som kan vara felkonfigurerade eller buggade som gör att hackers kan ta sig in. Men om jag inte har på några tjänster, bör det ju inte vara några problem (tror jag).

Nån som vill kommentera lite?

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Nova1007: Om du delar ut nått eller nått sånt så är det ju en risk att blackhat:en kan ta sig in till dessa filer!

Visa signatur

Macbook Vit | Macbook Unibody | D80 | iPod Touch | iPhone 3GS

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Filleokus
Nova1007: Om du delar ut nått eller nått sånt så är det ju en risk att blackhat:en kan ta sig in till dessa filer!

Om vi dessutom antar att jag inte delar ut nåt liksom. Ingen samba och sånt. Då måste det vara ganska svårt för hackern att ta sig in i mina lan-datorer trots allt.

Redigera
Citera flera Citera
Permalänk
Medlem

Jo men du säger altså att dina workstations;

1 Inte kommer ha några portar öppna för tex, steam eller P2P
2 Inte kommer dela ut någonting på lanet

Men du kan ju ha mjukvaru brandväggen som backup, för om delar filer eller har massa portar öppna så är det ju en säkerhetsrisk!

Visa signatur

Macbook Vit | Macbook Unibody | D80 | iPod Touch | iPhone 3GS

Redigera
Citera flera Citera
Permalänk
Medlem

Jooo vi antog ju att jag inte hade några tjänster , portar öppna

Nåja...ja tror jag förstår ändå.

Redigera
Citera flera Citera
1 2
Skriv svar