[Discussie] OS eerst configureren of eerst beveiligen

AV, IPS, IDS & firewall zouden eigenlijk pas op het 2e plan moeten komen, het zijn slechts lapmiddelen. belangrijk is het OS zo correct mogelijk te configureren, met de nadruk op het afsluiten van systeemprocessen die onnodig poorten openzetten en het werken met LUA voor dagelijks gebruik. in de howto pc-beveiliging vind ik daar bijvoorbeeld niets van terug. (niet dat ik wil beweren er alles van af te weten - de 1025 poort in XP is voor mij nog steeds grotendeels een mysterie helaas)

((/me _heretic_:) als je denkt dat dit een schrale topicstart is, dan heb je gelijk - maar dat komt omdat-ie is afgesplitst door een admin - dus deze ts vormt geen excuus noch precedent om zelf deze schraalheid in een eigen b&v-ts in te voeren )

edit:overigens ter verduidelijking:deze commentaar hoort naar mijn mening ook nog steeds in de originele draad, maar dit terzijde. tevens dient hij begrepen te worden in het licht van de thuisgebruiker, en niet van de bedrijfsomgeving.

[ Voor 35% gewijzigd door Anoniem: 113297 op 26-07-2005 21:36 ]

Nee, vind ik niet.. ips, ids, firewallling en andere security aangelegenheden zijn gewoon aparte specialismen die ook in enterprise omgevingen steeds meer worden onderkent.. en wat dus ook een aparte functie is..

OS configuratie ligt meer bij systeembeheer.. uiteraard is er een grijs gebied, maar het OS security alleen kom je er zeker niet

de 'echte' kenners (kuch) zullen nu misschien moord en brand schreeuwen, maar het enige waar de traditionele netwerkfirewall goed voor is, is het afschermen van (systeem)processen die bugs bevatten en exploiteerbaar zijn. zijn die processen vrij van fouten, dan is er helemaal geen behoefte aan een nw-fw. de door de echte kenner verguisde applicatie-fw kan echter wel z'n nut bewijzen vind ik als deze zeer sterk is in het detecteren van code injectie. op dat gebied vond ik ZA pro uitstekend functioneren.
maar goed, ik blijf bij m'n verhaal van poorten dicht en administratortjes toe, dat heeft z'n kracht toch wel bewezen bij dagelijks gebruik.

Niemand is perfect, dus er is ook geen programma dat bug-vrrij is.. En dat zal altijd wel zo blijven (zoalg mensen tenminste programma's schrijven).. Firewalling is lang niet alleen om bekende bugs te beschermen, maar ook de onbekende. M.a.w. onbekende datastromen worden er al uitgepikt voordat deze de applicatie kan bereiken en mogelijk dingen kan doen die niet grappig zijn...

Daarnaast is firewalling en routing ook nog gewoon een bescherming van data voor mensen; een router en firewall kan er erg goed voor zorgen dat bepaalde mensen maar op bepaalde gebieden toegang hebben. Dat kunnen gebieden zijn waar je niet op een simpel wachtwoordje kan en wil vertrouwen..

En dan begin ik nog niet eens over DMZ's etc.. die zouden volgens jou dus ook niet nodig zijn.

Het MKB kan doorgaans wel goed uit de voeten met een goed geconfigureerde server, maar in een enterprise omgeving kan je echt niet zonder..

Anoniem: 113297 schreef op dinsdag 26 juli 2005 @ 01:05:
de 'echte' kenners (kuch) zullen nu misschien moord en brand schreeuwen, maar het enige waar de traditionele netwerkfirewall goed voor is, is het afschermen van (systeem)processen die bugs bevatten en exploiteerbaar zijn. zijn die processen vrij van fouten, dan is er helemaal geen behoefte aan een nw-fw. de door de echte kenner verguisde applicatie-fw kan echter wel z'n nut bewijzen vind ik als deze zeer sterk is in het detecteren van code injectie. op dat gebied vond ik ZA pro uitstekend functioneren.
maar goed, ik blijf bij m'n verhaal van poorten dicht en administratortjes toe, dat heeft z'n kracht toch wel bewezen bij dagelijks gebruik.

Een belangrijk onderdeel van een firewall is de logging - meten is weten immers. Ik ben het dan ook niet eens met je stelling. Daarnaast heb je natuurlijk misconfiguratie, user error.
*knip* niet meer van toepassing

[ Voor 11% gewijzigd door pasta op 26-07-2005 13:26 ]

belangrijk is het OS zo correct mogelijk te configureren

Updaten lijkt me net even iets belangrijker. Een standaard WinXP zonder SP2 of updates is binnen no-time besmet, daar helpt configureren niet aan. Daarna een virusscanner en firewall. Een IDS is zeker voor thuisgebruik niet wenselijk en nodig.

pasta schreef op dinsdag 26 juli 2005 @ 13:29:
Dit is maar een klein gedeelte van beveiliging. Als jij via de mail een onveilig bestand opent kan je nog net zo hard geïnfecteerd worden als via een firewall-loze PC. Zeker met de trend de laatste tijd om een Trojan Downloader bij de infectie te plaatsen ben je nog net zo zwak en heb je een niet al te makkelijke infectie om op te ruimen.

je geeft eigenlijk net een goed voorbeeld van hoe een correct geconfigureerd os in dit geval de gebruiker zou beschermen: gesteld dat ik - in een fit of madness - het is me in m'n 11-jarige emailcarriere nog nooit overkomen - erin zou slagen een volstrekt onbekende executable rechtstreeks vanuit m'n mail uit te voeren met bovenbeschreven eigenschappen, dan is het in mijn omgeving (beperkte gebruiker-geen schrijftoegang tot de diverse opstartlocaties) erg eenvoudig om deze infectie om te keren:eenvoudig uitloggen zal volstaan. ik zou ook de taakbeheerder als administrator kunnen opstarten en het desbetreffende proces killen. zelfs zichzelfbeschermende en herstartende malwareprocessen kunnen zo gemakkelijk verwijderd worden, met de zekerheid dat ze onmiddellijk voorgoed verdwenen zijn.

Je hebt een vrij essentiele edit gemaakt in de TS: mij uitgangspunt is altijd een groot bedrijfsnetwerk,, Waarom? Omdat een thuisnetwerk (of netwerk met bijv 10 gebruiker) totaal niet interessant is en geen uitdaging vormt..

Anyway, op je laatste post:
Je vergeet een cruciaal iets, er is nl een constante strijd bezig: Jij wilt je privacy en voor verschillende partijen is jouw surfgedrag enorm interessant. Jij zal er dus alles aan doen jouw privacy te bewaren en de andere partij zal er alles aan doen jouw surfgedrag te monitoren..

En dus zal die andere partij er veel moeite in steken om de tools die ze gebruiken te verbergen. En dat zal altijd lukken, zeker bij onwetende gebruikers (doorgaans dus mensen die hier op GoT minder aanwezig zijn ) gewoon op dingen (links, iconen, etc) en daarmee een executable alle permissies geven die ze nodig hebben...

Hiervoor is het OS niet te beveiligen, op geen enkele manier. Het OS kan immers niet voor de gebruiker gaan bepalen of een programma goed of fout is. En daar ligt dus sowieso een taak voor de security afdeling.

SysRq schreef op dinsdag 26 juli 2005 @ 13:34:
Updaten lijkt me net even iets belangrijker. Een standaard WinXP zonder SP2 of updates is binnen no-time besmet, daar helpt configureren niet aan. Daarna een virusscanner en firewall. Een IDS is zeker voor thuisgebruik niet wenselijk en nodig.

je hoeft me niet te geloven hoor en ik wil niet opscheppen, maar ik verzeker je dat ik een XP zonder servicepack, firewall noch AV veilig op het internet breng. maar een os is uiteraard niet correct geconfigureerd zonder de bijbehorende updates.