nut van blackice achter hardware firewall ?

Mijn grote vraag is dus of deze controle nodig is achter een professionele firewall?

Misschien wel en misschien niet. Hangt van je situatie af.

voor inbound zat het weinig extra but hebben. Als je echter wil controleren welke applicatie nar buiten mag dan heb je toch een software firewall nodig. Die is de enige die kan zien welke applictaie welk verkeer initieert.
Overigens kan dit de volgende keer beter in NT of BV en ook betwijfel ik of dit nooit eerder besproken en benatwoord is.
zie deze search bijvoorbeeld
http://gathering.tweakers...FILTERS%5D=&select_forum=

[ Voor 38% gewijzigd door TrailBlazer op 30-11-2005 17:37 ]

Ik installeer/activeer/... overal waar ik kan firewalls, ookal is er een router met firewall.

Er moet maar 1 besmette laptop binnenkomen en je netwerk ligt plat. Dus elke computer een eigen firewall.

Betwijfel dat mensen hier het verschil tussen een firewall en intrusion detection kennen...

IDS/IPS (Intrusion Detection/Prevention System) kan inderdaad protocollen controleren of alles wel ok is. Bijv. of er geen te lange headers verstuurt worden en/of illegale karakters om maar iets te noemen. IDS doet er meestal niks tegen, maar registreerd het alleen, IPS kan het stoppen afhankelijk van instellingen. Echt grote pakketten dit soort software/hardware hebben bergen met instellingen.

De termen worden nogal al door elkaar gebruikt overigens. Waarschijnlijk ivm de hoeveelheid instellingen .

Doe op www.fortigate.com eens de 'FortiGate Antivirus Firewall Interactive Web-based Demo'. En kijk maar eens in de instellingen. Of kijk bijv. eens op http://www.snort.org/.

Geen idee hoe goed de IDS van BlackIce is tho'

Meer is bijna altijd beter...

Om tot een goede conclusie te komen zal je toch uitgebreider moeten beschrijven wat je wilt. Een beschrijving van de configuratie van de hw firewall, LAN, blackice config en server is wel gewenst als je hier zulke vragen post.

IDS/IPS is *ERG* veel werk om goed te installeren, configureren en om elke dag je logs door te werken om te kijken of er wat ernstig mis is. Verkijk je daar niet op, ze zijn nuttig, maar zeker niet perfect qua detectie en vooral erg goed in het genereren van enorme logfiles die iemand toch zal moeten bekijken.

Het is nogal onzinnig om hierover te gaan discussiëren als je niet weet waarmee je te maken hebt; "een professionele firewall" zegt natuurlijk helemaal niets.

Persoonlijk zou ik zeggen dat IDS/IPS op het interne netwerk nogal overbodig is, dit in tegenstelling tot virusscanners. Verder vind ik het verstandiger om je beveiliging te centraliseren dan op elke client zo'n stuk software te zetten, welke ook geupdate moeten (IDS/IPS scanners hebben ook updates nodig).

Ik heb het dan wel over een omgeving waar de werkplekken van de eindgebruikers via een proxy surfen en niet alleen maar achter een NAT doos. Bij ons zijn de machines die van binnenuit, door onze firewall, direct op het Internet kunnen komen, op één hand te tellen en buiten de webproxy zijn de bestemmingen en poorten ook nog beperkt.

[ Voor 20% gewijzigd door Abom op 30-11-2005 22:16 ]

Abom schreef op woensdag 30 november 2005 @ 22:01:
Persoonlijk zou ik zeggen dat IDS/IPS op het interne netwerk nogal overbodig is, dit in tegenstelling tot virusscanners. Verder vind ik het verstandiger om je beveiliging te centraliseren dan op elke client zo'n stuk software te zetten, welke ook geupdate moeten (IDS/IPS scanners hebben ook updates nodig).

Ik heb het dan wel over een omgeving waar de werkplekken van de eindgebruikers via een proxy surfen en niet alleen maar achter een NAT doos. Bij ons zijn de machines die van binnenuit, door onze firewall, direct op het Internet kunnen komen, op één hand te tellen en buiten de webproxy zijn de bestemmingen ook nog beperkt.

Ook op een intern netwerk heeft een IDS/IPS zin. Een virusscanner herkent enkel virussen die bekend zijn en een NAT firewall laat gewoon verkeer door via poorten die door de gebruiker zijn opengezet en meestal alles naar buiten. Als er dus een nieuw virus is dat verkeer gaat genereren naar buiten wordt die dus nergens door tegengehouden en wordt er waarschijnlijk niets van gemerkt.

Een IDS/IPS kan dit verkeer herkennen en op registreren/blokkeren zodat de administrator gewaarschuwd wordt dat er verdacht verkeer op treed. Ook kan een IDS/IPS pogingen tot hacken van servers herkennen. Aangezien niet alle hackers van buiten de organisatie komen is ook die controlle eigenlijk gewoon noodzakelijk in wat grotere organisaties.

Tot slot de opmerking over "beveiliging centraliseren" Dat werkt in praktijk gewoon niet.
Een werknemer kan zijn notebook mee naar huis nemen. Daar valt het notebook volledig buiten jou beveiliging dus moet je het notebook zelf beveiligen.
Een werknemer kan een besmette CD of USB stick gebruiken. Ook dan moet de desktop de beveiliging afhandelen
En tenslotte kan er via een P2P programma/download accelerator de meest vage rommel ongecontroleert door je firewall heen komen.

Was dat alles? Nou nog eentje dan. Voor de opkomst van WPA was de beveiliging van draadloze netwerken belabberd. Veel bedrijven hebben dat opgelost door de laptops die via wifi verbonden werden via VPN toegang tot het netwerk te verlenen. Prima oplossing..... Toch.....
Nou nee. Je interne netwerk is dan wel beveiligd, maar het notebook van de gebruiker niet. Een andere notebook gebruiker kan via hetzelfde accesspoint connecten en het niet beveiligde notebook aanvallen. En hierna is dat notebook zelf dus weer een prima methode om in het netwerk binnen te komen. Helaas hebben vele bedrijven deze policy nog niet gewijzigd en WPA (2) verplicht gesteld.

De conclusie is dus dat er vele manieren zijn om door de beveiligingsring heen te breken en uiteindelijke elke PC kwetsbaar is en dus zo goed mogelijk beveiligd moet worden.

PS Een webproxy is geen beveiligingsmaatregel. Ik kan een trojan/virus gewoon de proxy settings van IE/firefox e.d. laten overnemen. Communicatie kan via poort 80 en dat mag "altijd"

ik denk dat ik dit maar eens in mijn sig ga zetten. Blijkbaar zijn er nog een hoop zieltjes te winnen over hoe je een goede beveiliging opzet.

[ Voor 4% gewijzigd door Verwijderd op 30-11-2005 22:37 ]

Abom schreef op woensdag 30 november 2005 @ 22:01:
Persoonlijk zou ik zeggen dat IDS/IPS op het interne netwerk nogal overbodig is, dit in tegenstelling tot virusscanners.

Dat vind ik totaal onzin gezien een groot deel van de aanvallen van "binnenuit" komt. Hier is zelfs uitgebreid onderzoek naar gedaan, je kent de statistieken vast wel. Je zal verbaasd staan wat een goed geconfigureerde IPS / IDS op het interne netwerk nog pakt of zal detecteren.

Verwijderd schreef op woensdag 30 november 2005 @ 22:29:
[...]
Ook op een intern netwerk heeft een IDS/IPS zin. Een virusscanner herkent enkel virussen die bekend zijn en een NAT firewall laat gewoon verkeer door via poorten die door de gebruiker zijn opengezet en meestal alles naar buiten. Als er dus een nieuw virus is dat verkeer gaat genereren naar buiten wordt die dus nergens door tegengehouden en wordt er waarschijnlijk niets van gemerkt.

Een IDS/IPS kan dit verkeer herkennen en op registreren/blokkeren zodat de administrator gewaarschuwd wordt dat er verdacht verkeer op treed. Ook kan een IDS/IPS pogingen tot hacken van servers herkennen. Aangezien niet alle hackers van buiten de organisatie komen is ook die controlle eigenlijk gewoon noodzakelijk in wat grotere organisaties.

Dat het geen zin heeft is natuurlijk niet zo. Zoals Bor al aangeeft, heel veel beveiligings problemen zitten intern, maar dat is vaker een probleem wat opgelost moet worden met beleid dan met techniek. Je IPS doet niets tegen het stelen van data.
Verder, IDS/IPS is toch ook gebasseerd op bekende attacks e.d.? Die zullen ook geupdate moeten worden, net zoals virusscanners.

PS Een webproxy is geen beveiligingsmaatregel. Ik kan een trojan/virus gewoon de proxy settings van IE/firefox e.d. laten overnemen. Communicatie kan via poort 80 en dat mag "altijd"

Dat zeg ik ook niet, het zorgt er wel voor dat je je firewall verder dicht kunt zetten dan normaal en normaal verkeer vanaf elke werkplek kunt verbieden. Verder kan je trojan misschien de instellingen van de browser overnemen, maar authoriseren aan de proxy kannie waarschijnlijk niet, dus nee, communicatie via poort 80 mag niet altijd.

[ Voor 4% gewijzigd door Abom op 30-11-2005 23:57 ]

Verwijderd schreef op woensdag 30 november 2005 @ 22:29:
[...]


Was dat alles? Nou nog eentje dan. Voor de opkomst van WPA was de beveiliging van draadloze netwerken belabberd. Veel bedrijven hebben dat opgelost door de laptops die via wifi verbonden werden via VPN toegang tot het netwerk te verlenen. Prima oplossing..... Toch.....
Nou nee. Je interne netwerk is dan wel beveiligd, maar het notebook van de gebruiker niet. Een andere notebook gebruiker kan via hetzelfde accesspoint connecten en het niet beveiligde notebook aanvallen. En hierna is dat notebook zelf dus weer een prima methode om in het netwerk binnen te komen. Helaas hebben vele bedrijven deze policy nog niet gewijzigd en WPA (2) verplicht gesteld.
ik denk dat ik dit maar eens in mijn sig ga zetten. Blijkbaar zijn er nog een hoop zieltjes te winnen over hoe je een goede beveiliging opzet.

Ik heb ervaring met de vpn clients van cisco en van Checkpoint. Beiden vpn clients installeren/configureren een firewall zodat er helemaal niks meer via het lan/wifi binnen kan komen. Dus de kans op hjackpogingen wordt dan al weer een stuk kleiner ook zonder WPA dus