Professionele Internet beveiliging

Ik dacht dat hardmatige firewalls beter waren dan software matige maar dat weet ik niet zeker, dus je moet daar eens naar kijken.

Beveiligen is doodeenvoudig. Het probleem is altijd dat sommige dingen nog wel moeten kunnen.

Verder wordt van je verwacht dat je zelf onderzoek doet, het is tenslotte jouw baas die het aan jou vraagt. Uitzoeken of uitbesteden.

Ik zou om te beginnen tegen je baas zeggen dat je een beveiligingsplan niet in een halve dag maakt...
Vertel eerst eens wat er wel moet kunnen:
* draai je eigen servers (web, ftp, mail, etc.)?
* hoe ziet het netwerk er nu fysiek uit (workstations, server(s), internetaansluiting, software/OS, etc.)
* wat moeten de users wel en niet kunnen (mailen, surfen, ftp, irc, pr0n, you name it), hoeveel users zijn het (2? 2000? 20.000?)
* wat mag het kosten (denk je richting 100 of 100.000 euro?)

Op zich kom je in eerste instantie een aardig eind met een goede firewall (kan als software op een centrale router/server, maar hardwarematig kan veiliger zijn). Proxy's gebruik je voornamelijk om users in te perken op internet. Virusscanners zijn zeker geen overbodige luxe, net zoals goede en doordachte (AD-) userpolicies. En zo kan ik nog wel ff doorgaan, maar zonder info van jou (+ 2 weken van jouw baas z'n tijd) schiet dat niet op...

[ Voor 10% gewijzigd door Reptile209 op 11-05-2005 21:01 ]

Als je 100% dicht wil zitten zou ik geen norton of zonealarm gebruiken lol

een goeie hardware matige firewall doet zn werk goed en is betrouwbaar, Anders n ouwe bak met m0n0wall/ipcop erop?

Als ik jou was zou ik zeggen dat ik daar niet genoeg verstand van heb om een alomvattend (en dus waterdicht) antwoord te geven en al zeker niet op zo'n kort tijdsbestek.
Echt goede beveiliging rust op juiste configuratie en dus kennis over wat is toegestaan en via welke methodes.
Een firewall zal e-mails bijvoorbeeld niet beveiligen, een virusscanner versleutelt die e-mails evenmin. Als het echt 100% waterdicht is, laat je baas er dan een professional voor inhuren.

edit: de reden waarom ik het zou zeggen is om jezelf in te dekken. Als jouw advies (met de beste bedoelingen gegeven, en naar jouw kennis 100% correct) niet waterdicht genoeg is, ben jij daar in zekere mate verantwoordelijk voor. Uit jouw houding begrijp ik dat de beveiliging redelijk belangrijk is. Als je dat niet kan garanderen moet je dat -vind ik- niet doen.

[ Voor 29% gewijzigd door samo op 12-05-2005 10:19 ]

100% dicht kan maar op 1 manier => stekker eruit
dat kan je ook tegen je baas zeggen...

Beste oplossing:
Stroom stekker van het modem eruit trekken.

Ook goed:
ISA 2004 en goed dichtimmeren

Tja, op de manier zoals het nu gaat zul je geen of een slechte beveiliging krijgen. Vertel je baas maar dat je eerst vooronderzoek moet doen en aan de hand van die resultaten wel een plan op kan stellen. Dit zou dan uiteraard wel je hele informatiesysteem omvatten, niet alleen een paar werkstations.

- inventariseer eerst welke informatie je wil beschermen, welke risico's er zijn, hoe je die risico's kan minimaliseren en wat dat per risico / asset gaat kosten
- overleg met je baas over het budget en vertel welke punten je daar mee kan aanpakken. maak ook duidelijk welke punten nog zwak blijven
- onderzoek wat voor hardware / software je precies nodig hebt

Als je bijvoorbeeld je e-mail wil beveiligen omdat het vertrouwelijk is zul je toch al diverse zaken moeten regelen. De toegang tot e-mail mogelijkheid van de werknemers, toegang tot de mailserver, toegang tot het netwerk, encryptie, etc.
Diverse maatregelen zijn dan: authenticatie, encryptie, anti-virus, firewall, eventueel intrusion detection (host of network based).

Zoals je ziet gaat het veel tijd kosten om het goed op te zetten. Voordeel is wel dat je beter bewust bent van eventuele risico's en kosten.

[CSC]Outlaw schreef op donderdag 12 mei 2005 @ 17:17:
[...]

[...]


Jup, zei mijn baas ook al, hij zoekt eigenlijk een alternatieve manier omdat hij weet dat de concurrent gespecialiseerde mensen heeft ingehuurd om in te breken (en schijnbaar is dat allemaal legaal enzo, vast een of andere loop hole). Anyways normale methodes zullen dus niet werken om dat ze zie echt wel kennen. Maar ik heb al aardig wat info uit dit topic verkregen om hem te vertellen dat het onmogelijk is

Ehm, w8 ff hoor....

Inhuren...hackers....hoe serieus moeten we dit nemen. Ik bedoel kom op hé, geloof je dit zelf?

En om maar even terug te komen op jouw vraag, beveiling verzorg je niet met alleen een firewall.

Zorg voor een goede firewall, soft- of hardwarematig. (en config dat ding goed!)
Zet een proxy server tussen je clients
Zorg voor een goede en up-to-date virusscanner op de server(s) en de clients
Maak gebruik van logging, kijk wat voor verkeer er allemaal gaande is

En dan nog ben je niet waterdicht, maar wel een stukje de goede richting op....

[CSC]Outlaw schreef op donderdag 12 mei 2005 @ 17:17:
[...]
Je hebt helemaal gelijk en ik vertel hem dus ook dat het nooit 100% dicht is te rkijgen maar hij wil zeg maar een boeren manier zodat het absoluut waterdicht is. Er zijn al profesionele mensen bij geweest die hier in zijn gespecialiseerd, maar die willen ook niet 100% garanderen, denk dat niemand dat doet..
[...]
Jup, zei mijn baas ook al, hij zoekt eigenlijk een alternatieve manier omdat hij weet dat de concurrent gespecialiseerde mensen heeft ingehuurd om in te breken (en schijnbaar is dat allemaal legaal enzo, vast een of andere loop hole). Anyways normale methodes zullen dus niet werken om dat ze zie echt wel kennen. Maar ik heb al aardig wat info uit dit topic verkregen om hem te vertellen dat het onmogelijk is

Nou het antwoord ligt er al, het kan nooit 100% waterdicht, maar er zijn wel een paar mogelijkheden mo naar die 100% toe te werken al zal je nooit helemaal in de buurt komen.

Mogelijkheden die je hebt is een aparte gateway aanmaken waardoor al het internet verkeer loopt. De kan beveligd worden door een firewall en virusscanner. Aangezien er al hardwarematige firewall besproken zijn zou je ook kunnen denken aan een router ervoor.

Naast de standaard opties (firewall en virusscanner) kan je ook denken aan een packetscanner. De scanner draaien software matig en is te installeren op de gateway/server. je zou bijvoorbeeld eens kunnen kijken naar "Protowall". Dit is een packet scanner die een heleboel ip-adressen tegehoud die allemaal naar eigen wens zijn aan te passen. Inmiddels wordt er bij mij thuis op de server meer dan 3 miljard ip-adressen geblockeerd, waarbij de meeste ip-adressen komen uit landen (oost-blok etc) waar men toch nooit komt en instanties die spyware/malware/adware verspreiden.

Als het gewoon voor thuisgebruik is en je gebruikt Windows, zorgt dat je XP SP2 draait met alle updates (ik zou beginnen met een schone partitie, zorg ook voor meedere partities).

Bij gebruik van internet zorg ervoor dat je "modem" als router werkt en je dus gebruik maakt van NAT (helpt maar een klein beetje voor je beveiliging maar alle beetjes helpen).
Installeer op alle PC's daarnaast nog een softwarematige firewall zoals Zone Alarm Pro, configureer die goed (is niet moeilijk).

Installeer een goede virusscanner op elke pc, zoals MCafee 9 (voor xs4all gebruikers gratis).
Installeer een Anti Spyware programma zoals bv Lavasoft Adaware en scan regelmatig de pc's op spyware.

Voor de rest gebruik je verstand en open niet elke link die je toegestuurd krijgt per email oid... Zorg ervoor dat je software op je PC up-to-date is (zeker voor Office producten).

Ik heb zelfs klanten die zo psychotisch en bang zijn, dat ik een internet-netwerk moet opzetten en een lan-netwerk. Heb je wel je 100% veiligheid.

Trouwens:

Jup, zei mijn baas ook al, hij zoekt eigenlijk een alternatieve manier omdat hij weet dat de concurrent gespecialiseerde mensen heeft ingehuurd om in te breken (en schijnbaar is dat allemaal legaal enzo, vast een of andere loop hole).

Legaal? Leg uit..... Ik vind het een beetje een sterk verhaal.....

[ Voor 57% gewijzigd door Verwijderd op 12-05-2005 22:11 ]

natuurlijk, je concurent huurt hackers in, ik denk het ook...
Naja, wat basistips dan maar:

file/database servers altijd op interne ip adressen
iedere machine een eigen firewall voor in en uitgaande verbindingen + virusscanner
duidelijk patch beleid
alle onnodige services uitzetten
1 firewall tussen je publieke en interne netwerk die alleen bepaalde poorten vanaf bepaalde ip's toelaat (van buiten bijv alleen poort 80)
php/apache in safemode + chrooten
constant netwerk monitoring (hoeveel data, welke poorten, welke machine)
strikte password policy's
goede personeelsvoorlichting
beperkte rechten voor gebruikers

dat was het wel zo'n beetje geloof ik.....
maarre, als professionele bedrijven geen 100 % garanderen, iedereen hier zegt dat 100% geen optie is en je zelf donders goed weet dat je de kennis voor deze klus niet in huis hebt, waarom begin je er dan aan?

dichter de 100% naderen impliceert onder andere:
alleen nog maar plain-text email, geen attachments
usb/firewire poosten dichtkitten, computers dichtlassen, floppy's & cd's verbieden, toetsenbord connectors vastlijmen
personeel screenen
postbode weigeren
internetten (http) op kantoor pc's verbieden/blokeren
msn verbieden/blokeren
telnet/ftp/ssh/scp verbieden/blokeren

ik noem er maar een paar

[ Voor 20% gewijzigd door Rac-On op 12-05-2005 17:48 ]

Verwijderd schreef op donderdag 12 mei 2005 @ 17:38:
Ik heb zelfs klanten die zo psychotisch en bang zijn, dat ik een internet-netwerk moet opzetten en een lan-netwerk. Heb je wel je 100% veiligheid.

Dat is wel de enige manier voor 100% veiligheid, hoewel... zodra je bestanden over moet zetten tussen beide kunnen daar ook weer virussen bij zitten

Zorg voor slimme gebruikers.
Heb je die toevallig niet? Helaas, dan zal je systeem nooit in de buurt van 90%+ beveiliging komen.
Beveiliging behelst meer dan alleen het technische aspect. Het vereist ook een zekker kennis danwel waarnemings niveau bij je gebruikers.

Verder de eerder genoemde tip: installeer een *nix machine als gateway, en draai hier IP-Masquerade + NAT en Snort op. Verder: zorg voor een strict iptables script.

[ Voor 59% gewijzigd door r0b op 12-05-2005 18:00 ]

Verwijderd schreef op donderdag 12 mei 2005 @ 17:48:
[...]

Dat is wel de enige manier voor 100% veiligheid, hoewel... zodra je bestanden over moet zetten tussen beide kunnen daar ook weer virussen bij zitten

Met je memorystick in een aparte-virusscan-computer en vervolgens weer in het lan-netwerk

[CSC]Outlaw schreef op woensdag 11 mei 2005 @ 20:53:
Niemand? Sorry voor het bumpen, maar ik heb het morgen al nodig baas kwam er vandaag mee die zijn altijd zo lekker op tijd

Misschien tijd voor een consultant of even wat uitzoek/naslag werk om je in de materie te verdiepen. Gewoonweg vragen of iemand je kan helpen hier is niet de bedoeling. Specificeer je vraag en leg uit wat je al wel/niet hebt gevonden/bedacht/ingeschakeld etc.

't Is hier niet een 'helpdesk' voor al uw computer vragen immers.