Hoe een webserver in huis te halen

Je eisen/wensen:
1. Simpel te doen, zowel IIS als Apache kunnen dat, beveiligde mappen enz
2. Ook simpel: Exchange of MDaemon (windows), eventueel icm virusscan
3. Dat bepaal je zelf, Apache = af en toe bijhouden, IIS is iets meer werk, zelfde geld voor je OS
4. Zeker weten dat je 'm lokaal wilt doen? Veel data = veel bandbreedte nodig = duur

Omzetten is geen probleem, kwestie van 1 DNS record aanpassen (of 2, als mail ook mee over moet)

Suggestie: Gooi als je het perse in eigen beheer wilt er 1 of 2mbit SDSL neer, met een goede kwaliteitsfactor.
Alle grote data (downloads, kaarten enz) laat je bij je hoster staan, op een bredere pijp.
Je eigen lijn gebruik je dan alleen voor je echte data, je ontziet dan al het lompe verkeer..

echt goede snelle verbinding is gewoon erg duur... Dus je doet er erg verstandig aan om die kaartenzooi extern te gooien imho

p0tissimus schreef op 29 augustus 2002 @ 10:15:
Hahaha, sorry hoor. Maar als jullie daarvoor GoT gaan raadplegen i.p.v de echte specialisten zijn jullie erg verkeerd bezig ! Maar goed, da's mijn mening.

En wie zegt dat er hier niet veel meer en betere specialisten aanwezig zijn op het forum. Zeker nog niet zo lang op GoT.

En misschien eerst even rondvragen en verdiepen voordat ie verder gaat. Volgens mij niet zo gek gedacht om hiet GoT voor te gebruiken.

Quinie schreef op 29 augustus 2002 @ 10:01:

Een paar eisen/wensen aan de website zijn:
1. bestuurders moeten bij afgeschermde informatie komen

via een webinterface waarbij er ingelogd moet worden (SSL) lijkt mij het makkelijkst, zeker als de server in een DMZ (gaat) staat, met wat rules die dit soort connecties alleen vanaf het LAN toelaat.

4. De website gaat veel data versturen (grafische kaarten)

van of naar het internet of het LAN?

De planning is de website te plaatsen in een DMZ afgescherm door firewalls. Echter de keuze voor firewalls is nog niet gemaakt. Zelf gaat de voorkeur uit naar hardware. maar je zou ook kunnen denken aan een linux bakje.

linux is het goedkoopst lijkt me, maar een Cisco PIX is erg , en naar mijn ervaring/idee zijn beide oplossingen even goed

De webserver zelf zal waarschijnlijk IIS worden. Mede omdat we ook een intranet willen implementeren vroeg ik mij af of dit samen op 1 machine kan (veilig).

Dit moet op zich kunnen, maar hou er rekening mee dat mocht je internet server gehackt worden, je intranet server ook niet veilig is (en daar staan doorgaans iets gevoeliger info op)
Als er geen koppelingen tussen intranet- internet server zit de intranet server gewoon op een andere server in je LAN parkeren.

Ook de koppeling naar Exchange in dit verhaal heb ik nog niet echt voor ogen maar lijkt me ook niet te moeilijk (OWA).

Daar heb je helemaal gelijk in, OWA opzetten, poorten openen, klaar

Waar ik wel mee zit is hoe gaat het nu in zijn werk om een draaiend webserver van een hostings bedrijf om te zetten naar een eigen hosting. wat kost dit aan band breedte hoe zet ik DNS om zodat mijn server straks nog wel te bereiken is.

wat dit aan bandbreedte gaat kosten is niet te zeggen vanaf hier, kijk eens naar de stats van de huidige internetsite. Maar als de content heftig gaat veranderen heb je hier ook niets aan. Lijkt me dat de mensen die de nieuwe site gaan ontwikkelen hier een goede berekening van kunnen geven. En anders een deal maken met een ISP dat je instapt op een bepaalde bandbreedte en dit later gemakkelijk kan ophogen mocht dit nodig zijn.

al met al een kleine discussie dus om van Webhosting naar Eigen hosting te gaan.
graag hoor ik jullie ideeen, ervaren enzo..

Als de webserver IIS word, waarom dan meteen niet ISA erbij ?
Zeker icm exchange een leuke optie.
Plus dat je meteen een proxy hebt voor je LAN.

momenteel werk ik bij een waterschap. Dit waterschap heeft een website welke op dit moment redelijk wordt gebruikt. Nu wil het bestuur de burgers meer interactief betrekken bij het doen en laten van het waterschap. hieruit volgde al snel de conclusie dat daarom de website maar vanaaf eigen locatie moet worden gehost.

Ik zie die hele conclusie eigenlijk niet zo... Je wilt waarschijnlijk wel een eigen server hebben, omdat je dingen met ssl wilt, maar ik zie eigenlijk de voordelen van een server op je eigen locatie niet zo.
Tenzij je natuurlijk grote hoeveelheden data heen-en-weer stuurt naar die server, en dat aanzienlijk meer is dan je heen-en-weer naar internet stuurt. Maar vergeet niet dat bijvoorbeeld met een SDSL abonnement je maximale upload 2 Mbit is, terwijl die nu waarschijnlijk iets van 100 Mbit is. Bij grote plaatjes scheelt dat behoorlijk. En als je die server zelf wilt hosten moet je wel een betrouwbare verbinding regelen (niet je doorsnee ADSL-abonnement), een UPS, eventueel airco, etc.

vink schreef op 29 augustus 2002 @ 13:08:
[...]


Ik zie die hele conclusie eigenlijk niet zo... Je wilt waarschijnlijk wel een eigen server hebben, omdat je dingen met ssl wilt, maar ik zie eigenlijk de voordelen van een server op je eigen locatie niet zo.
Tenzij je natuurlijk grote hoeveelheden data heen-en-weer stuurt naar die server, en dat aanzienlijk meer is dan je heen-en-weer naar internet stuurt. Maar vergeet niet dat bijvoorbeeld met een SDSL abonnement je maximale upload 2 Mbit is, terwijl die nu waarschijnlijk iets van 100 Mbit is. Bij grote plaatjes scheelt dat behoorlijk. En als je die server zelf wilt hosten moet je wel een betrouwbare verbinding regelen (niet je doorsnee ADSL-abonnement), een UPS, eventueel airco, etc.

Ik neem aan dat door die "interactieve" internetsite zeg 80% van het verkeer naar die site door het "bestuur" gegenereerd gaat worden. In zo'n geval loont het best wel om die box in huis te halen.

Ik ben dan wel geen specialist, maar wil toch even mijn duit in 't zakje doen

hardware firewalls of linux. terwijl de linux kennis hier nihil is.

In dat geval zou ik gewoon voor safe gaan en een hardware firewall nemen. Daar kan over het algemeen minder mis mee gaan en als het dan toch misgaat is een reboot vaak voldoende

Ook is het mij ook nog niet duidelijk of het nu wijs is om de intranet en de webserver op 1 machine te plaatsen. Dit schelt natuurlijk in de kosten (1 machine) echer 1 bak storing is alles plat. ook krijg je dan natuurlijk een extra opening je dmz in (netwerk naar webserver)

Als het om echt belangrijke informatie gaat zou ik persoonlijk de gok niet nemen. Dan bedoel ik gegevens die pertinent niet gewijzigd mogen worden door niet-rechthebbenden.

En hoe gaat het precies in zijn werk met het omzetten van de DNS ik neem aan dat zo iets gebeurd bij het aanschaffen van de lijn bij een leverancier.

Ligt eraan waar je het domein hebt gekocht. Zodra de lijn opgeleverd is en je een vast ip-adres toegewezen hebt gekregen kun je via het bedrijf waar je het domein gekocht hebt de zone gegevens wijzigen. Vaak kun je dit ook zelf doen via een beheertje op de site van de registrar of hoster.

Quinie schreef op 29 augustus 2002 @ 13:40:
Goed om zaken toch wat uit te breiden. Waarom server in eigen beheer.

De server zal zeer interactive worden dit houdt in dat er een directe koppeling komt met onder andere Oracle en Gis applicatie. Het is in onze ogen bijna onmogelijk om dan de webserver buitenhuis te houden.

Je kunt hierbij denken aan inzoomen op je eigen perceel en alle afwaterings kanaalen/ schouw sloten te zien. dus in huis is gewoon een vereiste. en die discussie is dus ook niet relevant.

Dat is wel cool. Hoop dat het ook lukt dit zo te implementeren. Ik ben hier zelf een jaar of 6 geleden mee bezig geweest bij een waterleiding bedrijf, maar de techniek toen was onvoldoende om dit te realiseren. Het zal nu een stuk makkelijker zijn met alle nieuwe technieken die er zijn op web gebied, dus veel suc6 ermee.

wat betreft de overige servers ISA is aanwezig (proxy 2.0 op het moment) en exchange ook. Daarom ook het gebruik van OWA.

Dan heb je toch al een firewall ? Ik zou gewoon een 2de ISA als firewall in je DMZ zetten. Voldoet prima. Ik doe niet anders.

hardware firewalls of linux. terwijl de linux kennis hier nihil is.

Zoals ik hierboven al zeg --> ISA. Daar is de kennis voor aanwezig (tenminste mag ik hopen als er al 1 is), dus goed te onderhouden.

Ook is het mij ook nog niet duidelijk of het nu wijs is om de intranet en de webserver op 1 machine te plaatsen. Dit schelt natuurlijk in de kosten (1 machine) echer 1 bak storing is alles plat. ook krijg je dan natuurlijk een extra opening je dmz in (netwerk naar webserver)

Naar mijn mening is dat niet wijs. Ik zou je Internet en Intranet applicaties altijd op afzonderlijke servers zetten. Zowiezo hoeft je intranet waarschijnlijk niet in je DMZ te staan, dus weinig kans dat die gehacked wordt. Overigens zie ik ook dat je wat koppelingen met Oracle gaat doen vanaf je Internet site ? Al enig idee hoe je dat gaat oplossen ? Als er geen schrijfacties in de Oracle db gedaan worden vanaf de Internet applicatie zou ik een Readonly Mirror van je Oracle in je DMZ zetten en daar je Intranet applicatie naar laten connecten. Is wat veiliger dan je internet applicatie naar je productie (schrijfbare) Oracle te laten connecten.

Ik ga er van uit dat de meeste tweakers toch een aardige kennis in huis hebben zeker in PNS. Vaak werken deze mensen ook bij bedrijven die dit eerder bij de hand hebben gehad.
Waarom dan ook niet voort bouwen op hun ervaringen. Geen enkel advies is heilig pas meerdere....

en tevens dacht ik dat men het altijd wel leuk vond om over verschillende inrichtingen te discusseren

Je hebt hier helemaal gelijk mee vind ik. Er is veel kennis aanwezig hier op GoT en het is ook leuk om te discusseren.

absoluut gaan voor hardware firewall (software firewalls zijn leuk voor thuis of als 2de firewall... je isa bijv).

wat intranetwebserver betreft is het in principe mogelijk... aangezien je al ISA hebt levert dit geen extra gat op (ik neem tenminste aan dat de internet site ook bereikbaar moet zijn). maar zoals al gezegd is, wil je het risico lopen om als je internetsite gehackt wordt ook je intranet site in gevaar te brengen.

wat dns betreft dat kan je op elk moment om laten zetten. echter aan het oorspronkelijk (SOA) record hangt een TTL (time to live), meestal iets van 8 uur, maar het kan ook best 24 uur zijn. Dit houd in dat als een dns request wordt gedaan vanaf een andere dns server, de dnsrequest gecached wordt gedurende de TTL. en het kan dan dus zijn dat de website niet te bereiken is voor het publiek, omdat ze nog naar het oude ip nummer resolven. (vb 1 mins voordat de dnswijziging plaatsvind wordt er op de oude website gekeken door een chello gebruiker... je dnsnaam wordt gecached op de chello dnsserver en bijna iedere chello gebruiker komt niet op de nieuwe site gedurende de TTL).

dit is natuurlijk wel eenvoudig op te lossen... maar je moet er wel even bij stil staan.

Verwijderd schreef op 29 augustus 2002 @ 14:46:
absoluut gaan voor hardware firewall (software firewalls zijn leuk voor thuis of als 2de firewall... je isa bijv).
[knip]

gebasseerd op?
En is een "hardware firewall" ook niet software ?
Als je alleen isa op een machine hebt staan, valt dat dan ook niet onder een hardware firewall ?

M.a.w.
Ik weet niet of je isa kent, maar is niet bepaald een thuispakketje.

Remc0 schreef op 29 augustus 2002 @ 15:24:
[...]

M.a.w.
Ik weet niet of je isa kent, maar is niet bepaald een thuispakketje.

hear hear In elk geval nog iemand die snapt wat ISA is en kan doen

En ja ISA is van Microsoft, maar als iets van Microsoft is houdt dat niet per definitie (niet meer sinds ze ISA, Win2k en E2k uitbrachten althans) in dat het slecht is. ISA is naar mijn mening een van de beste Firewall producten op de markt op dit moment.

Remc0 schreef op 29 augustus 2002 @ 15:24:
[...]

gebasseerd op?
En is een "hardware firewall" ook niet software ?
Als je alleen isa op een machine hebt staan, valt dat dan ook niet onder een hardware firewall ?

M.a.w.
Ik weet niet of je isa kent, maar is niet bepaald een thuispakketje.

daar gaat het niet om... als je een probleem hebt met een hardware fw is idd een reboot (10secs ofzo) genoeg.
ook zal je een software fw veel vaker moeten patchen en problemen die kunnen ontstaan zijn vaak veel lastiger op te lossen... buiten dat is mijn ervaring dat hardware firewalls eigenlijk nooit een hardware probleem hebben...

ik ken isa vrij goed, maar ik zou het NOOIT direct aan internet hangen... voor finetuning (leuke mogelijkheden in AD) is isa naar mij idee wel zeer geschikt, beter dan linux
(overigens ik ben absoluut geen MS hater... check my name )

nog even aan de topicstarter... als je linux kernel problemen geeft wat doe je dan??

overigens ArcIms van ESRI.... yuk

emmm je firewall werkt niet meer... dus dat zit er niet in

Verwijderd schreef op 29 augustus 2002 @ 11:55:
[...]

SSL is the answer

SSL alleen doet niet veel (alleen het verkeer encrypten) voor het beveiligen van die mappen zal je toch nog wel een username / password nodig hebben.

Of nog mooier een digitaal certificaat . Dan kan de directie gelijk secure e-mail gaan bedrijven. Integreer die hele 'zooi' in een Active Directory i.c.m. Exchange en je heb een 'kick-ass' PKI omgeving.

Je kan als 'leverancier' klanten laten betalen voor secure toegang (op basis van een door jouw uitgegeven Verisign certificaat)... Als je er genoeg heb (klanten wel te verstaan), kan je je hele netwerk ook nog enigszins terug gaan verdienen

(b.t.w. wel Verisign certs gaan gebruiken.... M$ certs zijn niet volledig X.509 compliant)

* BlaTieBla draaft weer door.......

Quinie schreef op 29 augustus 2002 @ 15:48:
Echter dit kan zeker nog veranderen afhankelijk van wat het bestuur wil. wil men bijvoorbeeld enkele documenten van huis uit zien of het gehele intranet. en misschien moet ik dan zelfs wel gaan denken aan gewoon inbellen.

Waarom inbellen ? Gewoon VPN'en via Internet door je ISA Firewall heen. Is net zo veilig hoor.

echter de firewalls blijft voor mij een dub. Persoonlijk gaat mijn voorkeur op het moment uit naar een linux firewall.

de reden hiervoor is: iedere firewall draait uiteindelijk software. Linux is standaard van het net te plukken met standaard configs. het is voor mij enkel en alleen via een tooltje dit configje aanpassen wat ik ook zou moeten doen met een hardware firewall. [stukje geknipt] Ook vereist deze implementatie geen kennis van linux echter enkel en alleen van het tooltje voor de firewall. (en zo leer ik linux ook nog eens )

Ja en wat als je je Linux moet patchen of je Kernel moet compilen ? Of even een extra poortje open zetten, etc, etc, etc. Wordt toch vrij lastig zonder Linux kennis denk ik. (niet dat dat niet op te doen is, maar om als reden voor Linux aan te voeren "zo leer ik linux ook nog eens" lijkt me toch niet echt jofel. Dan neem je toch je werk niet serieus naar mijn mening)

Isa valt af omdat ik het product nog niet goed genoeg vind en zeker kwa kosten meer zal wezen dan hardware of linux.

Wat is er mis met ISA ? Kostprijs is inderdaad niet al te laag, maar dan heb je ook wel wat + je krijgt netjes professionele ondersteuning van Microsoft.

MrCyber schreef op 29 augustus 2002 @ 17:19:
[...]
[knip]

Wat is er mis met ISA ? Kostprijs is inderdaad niet al te laag, maar dan heb je ook wel wat + je krijgt netjes professionele ondersteuning van Microsoft.

mwah,
de ondersteuning kan je wel vergeten.
Maar gelukkig is er isaserver.org

Als je een dedicated Linux router/firewall bouwt die ook alleen _dat_ doet is ie net zo veilig als een cisco pix firewall te gebruiken. Het enige wat je dan up-to-date moet houden is je kernel en je iptables software? nou dat is wel te doen Kwestie van alle traffic droppen en alleen doorlaten wat nodig is (incl. state matching firewall etc). Maar het is een kwestie van beschikbaar geld en kennis Ikzelf zou voor een Linux oplossing kiezen.


IIS aan het Internet is een bad idea, evenals ISA server van Microsoft, je blijft rebooten door allerlei updates.

Wat ik gedaan heb om het noodzakelijke kwaad (OWA) toch via Internet bereikbaar te maken is een Apache reverse proxy er voor te zetten. Dan heb je iig geen last van Nimda en the like. Je moet namelijk de exacte (virtual) hostname gokken als worm zijnde

Ik kan het toch niet laten

grrr... als je 2 patches in het laatste halfjaar veel vind... (hoeveel waren het ook weer voor apache)

http://news.com.com/2100-1001-955442.html

Zoals je misschien wel merkt ben ik niet echt een MSFT lover.

1. HARDWARE firewall!!!! total cost of ownership is veel lager. alleen af en toe updaten met flashtooltje om je te beschermen tegen nieuwste hack-attacks. Als er al iets mis gaat met je firewall reset je hem en hij doet het weer. En normaal gesproken hoef je een hardware firewall nooit te resetten.

2. Zou zelf, als dat intranet echt zo belangrijk wordt, dit op een aparte server zetten en zeker niet op je webserver.

Websites heb ik verder niet zo veel verstand van, daar hebben we andere mensen voor dus kan ik je niet zo veel over vertellen. DNS omzetten is kwestie van recordje laten aanpassen door je ISP. Verder zou ik idd iets van SDSL laten aanleggen waar dan alleen jullie website op zit.

Quinie schreef op 29 augustus 2002 @ 15:48:
Goed tot op heden kom ik uit op

de reden hiervoor is: iedere firewall draait uiteindelijk software. Linux is standaard van het net te plukken met standaard configs. het is voor mij enkel en alleen via een tooltje dit configje aanpassen wat ik ook zou moeten doen met een hardware firewall. Isa valt af omdat ik het product nog niet goed genoeg vind en zeker kwa kosten meer zal wezen dan hardware of linux. Ook vereist deze implementatie geen kennis van linux echter enkel en alleen van het tooltje voor de firewall. (en zo leer ik linux ook nog eens )

Je vind isa server nog niet goed genoeg maar je bent wel bereid om zonder linux kennis een linux firewall op te zetten?
Welke distro had je in gedachten? Mandrake ofzo?

Sorry maar voor zoiets moet je niet gaan klooien met dingen die je niet kent, dan moet je gewoon iets nemen wat werkt. Liever nu wat meer investeren in een duurzame oplossing dan straks met een lek netwerk zitten lijkt mij?

Even een heel ander vraagje, maar welke gegevens wil je via je website beschikbaar maken ? Ook zaken die in bijvoorbeeld in Orbis (for example) zitten ?

Verwijderd schreef op 29 augustus 2002 @ 20:24:
IIS aan het Internet is een bad idea, evenals ISA server van Microsoft, je blijft rebooten door allerlei updates.

Wat ik gedaan heb om het noodzakelijke kwaad (OWA) toch via Internet bereikbaar te maken is een Apache reverse proxy er voor te zetten. Dan heb je iig geen last van Nimda en the like. Je moet namelijk de exacte (virtual) hostname gokken als worm zijnde

http://news.com.com/2100-1001-955442.html

A large share of the blame should fall on network administrators inside banks and other organizations who fail to install Microsoft's software properly , he said

oftewel grootendeels config... verder is ook linux niet bugfree. (ik ben geen linux/unix hater, maar verzet me altijd wel tegen het valse vertrouwen die mensen hebben in die producten... config blijft alles!)

Een paar eisen/wensen aan de website zijn:
1. bestuurders moeten bij afgeschermde informatie komen
Middels IIS en (mijn voorkeur) Apache uitvoerbaar. SSL zou ik zeker meenemen.
2. Waarschijnlijk zullen zij ook email van de zaak krijgen
Tip: ga eens kijken bij www.altn.com. Zij maken een schitterende e-mail server: MDaemon. Compleet met LDAP server, webbased mail (met eigen themes, aanpasbaarc) etc. Voor een fractie van de prijs van Exchange ($67 per aansluitbaar device op de Exchange server om nog maar niet te spreken over de "instapprijs", MDaemon kost 2000 EUR voor de unlimited Pro versie). Wij hebben het draaien en qua beheer is het super simpel en de bobo's die over de centjes gaan zijn ook blij.
3. De website moet goed beveiligd zijn.
Nog een tip: neem een ISA server. Een http request komt nl. niet rechtstreeks op de webserver aan (je komt dus niet fysiek het netwerk op). Ze gebruiken een soort tunneling: de aanvraag komt bij ISA aan maar daarna neemt ISA de controle over, haalt zelf de gevraagde info op geeft deze aan de requester (de requester staat ahw bij de voordeur te wachten tot ISA met de data komt). ISA snapt hostheaders en je kunt een request naar elke destination laten wijzen. ISA heeft enigszins moeite met hostheaders en certificaten tesamen (wordt hopelijk opgelost in de opvolger).
4. De website gaat veel data versturen (grafische kaarten)
Tip: zet het niet op een aparte server maar op de webserver zelf (desnoods een copy van het origineel). Je netwerk erachter kan nl. behoorlijk belast raken (meegemaakt bij een bekende touroperator die Feijenoord sponsord). Daar was speciale software ontwikkeld om te checken of het vakantieplaatje al op de webserver stond, zoniet dan pas werd het van een image repository server getrokken (in feite hadden ze zo hun eigen implementatie van caching gemaakt).
Een ander voordeel is dat ISA ook een geweldige cache heeft en dus ook niet meteen alles van de achterliggende webserver trekt.

Quinie schreef op 02 september 2002 @ 11:06:
Begrijp ik het goed dat 1 ISA server het werk kan doen van 2 firewall. en daarmee dus gelijk geen DMZ meer implementeren. Dat ISA dus de brug vormt tussen de bose buitenwereld en mijn netwerk.

nee ISA staat gelijk aan 1 firewall. echter persoonlijk geef ik de voorkeur aan 2 firewalls... situtatie:

www---firewall(1)---dmz---firewall(2)---intern

wat ook prima kan is ipv firewall(1) een router met acceslist (een grove scheiding maken)... en firewall(2) voor finetuning gebruiken.
die situatie is naar mij idee VEEL beter dan:

www
|
firewall---intern
|
dmz

Je ziet beide situtaties regelmatig... ook weer de firewall die aan www zit altijd hardware laten zijn.
geen dmz gebruiken is helemaal niet slim.

Toch kun je met een ISA server en 2 NICs hetzelfde trucje uithalen zonder DMZ. Zit trouwens ook nog wat handige anti DoS opties in. Je kunt ook nog rules over in- en outbound verkeer gooien en mooie logs tevoorschijn toveren (standaard logs) of met LoggerRythm (als je de hits & unique users e.d. op je website wilt tonen, wel WEBEXTD log file aanzetten). En het is gratis!

Wij hebben nu ISA draaien op een pII 800 256 Mb met 9 Gb SCSI.
Deze loopt prima, en is nog geen een keer uitgevallen sinds februari/maart ongeveer.
Ook zijn er geen reboots nodig geweest.

Wat betreft linux,
dat is de aloude discussie/keuze die op gang komt.
Ik ben ook best wel gecharmeerd van linux, maar wat het probleem is, ik beheers het niet zoals ik novell of microsoft producten beheers.
Wat resulteert in inhuren, grotere downtime, grotere installatie duur, grotere beheersduur.
Dit zijn allemaal kosten die keer op keer terugkomen.

Je moet niet vergeten dat hard/software eenmalige kosten zijn, die ook nog eens afgeschreven kunnen worden.

Ik denk dat je na een aantal jaar zeker goedkoper uitkomt met isa, als je geen linux beheerst (dus moet inhuren etc ... etc...)

Aan jou de keus.
Is het management het wel eens met een "probeer"keuze naar linux ????

Volgens mij is een hardware firewall gewoon een PC in een doosje met een uitgeklede Linux distro waar je veels te veel voor betaald en waar verder ook helemaal niets meer mee kan.
Of zie ik dat nou verkeerd ?

Quinie schreef op 29 augustus 2002 @ 10:01:
momenteel werk ik bij een waterschap.
De webserver zelf zal waarschijnlijk IIS worden

Een wetenschappelijk onderzoek heeft laatst aangetoond dat overheden opensource moeten gebruiken.

Dus apache + linux in dit geval.

Ver heeft een ander onderzoek al aangetoond dat linux servers velen malen goedkoper zijn dan windows.

en..... het is mijn belastinggeld ook !

Verwijderd schreef op 05 september 2002 @ 11:53:
[...]


Een wetenschappelijk onderzoek heeft laatst aangetoond dat overheden opensource moeten gebruiken.

bron ?

Dus apache + linux in dit geval.

Ver heeft een ander onderzoek al aangetoond dat linux servers velen malen goedkoper zijn dan windows.

en..... het is mijn belastinggeld ook !

Er vanuit gaande dat er geen externe partij ingehuurd moet worden voor de installatie/onderhoud.

Remc0 schreef op 05 september 2002 @ 11:57:
[...]

bron ?

tweakers.net

[...]
Er vanuit gaande dat er geen externe partij ingehuurd moet worden voor de installatie/onderhoud.

dat maakt uiteraard niet uit. Linux is goedkoper dan windows. Met name doordat de linuxspecialist veel minder werk heeft dan de windowsspecialist.

wat ik denk dat je zou moeten doen als volgt (dit is op basis van MS met IIS maar andere opties zijn ook mogelijk) Zet een DMZ neer. De firewall van buiten -> DMZ is van merk1 bijv cisco de 2e firewall (DMZ -> Binnen) is van merk 2 nokia bijv. als ze maar niet van hetzelfde merk zijn. je zou in de DMZ een frontend server neer kunnen die een static route heeft naar een webserver aan je binnenkant waar je je intranet, extranet en OWA op hebt staan. wat betreft de bandbreedte. deze zou je kunnen inkopen bij bijv btignite of enertel. je zou ook kunnen beslissen om hun de externe firewall te laten beheren en dit een HW firewall te laten zijn en de interne DMZ->binnen ISA dit heeft als voordeel dat je iets flexibeleren bent en ook nog wat zelf in beheer hebt. kijk maar wat je ermee kunt

Mijn idee ook. Echter je gaat hier nu volledig uit van kost prijs en latere kosten voor onderhoud. Begrijp ik hieruit dat het niet uit maakt welke vorm van firewall je gebruikt als het gaat op schaalbaarheid, beveiliging, etc....

Qua schaalbaarheid en beveiliging is GNU/Linux beter dan windows. Al een behoorlijke tijd geleden heeft een verzekeringsmaatschappij (geen idee meer welke) besloten _minder_ premie te vragen aan bedrijven die gebruik maken van unix/linux servers en niet van windowsserver. Dat zijn toch duidelijke aanwijzingen voor de kwaliteit van Linux.

Wat betreft firewall etc..: Ik gebruik al geruime tijd linux servers en windows servers, maar windowsserver hang ik _nooit_ rechtstreeks aan internet. Ik zet er altijd een linuxserver tussen omdat linux veel beter veilig te krijgen is. Windows gebruik ik gewoon ook liever niet als server, alleen als het moet.

Helaas zijn er nog veel mensen die linux niet kennen, en daarom voor windows kiezen, aangemoedigd door microsoft die hun een risico probeert aan te praten.

Gelukkig zijn er nog veel minder mensen die voor windows kiezen als ze linux eenmaal ook kennen. En dit forum draait natuurlijk ook niet voor niets op linux, terwijl microsoft best wel wil sponsoren.

Verwijderd schreef op 05 september 2002 @ 11:44:
Volgens mij is een hardware firewall gewoon een PC in een doosje met een uitgeklede Linux distro waar je veels te veel voor betaald en waar verder ook helemaal niets meer mee kan.
Of zie ik dat nou verkeerd ?

dat zie je verkeerd. het "os" is totaal anders. de functie is weliswaar hetzelfde, maar kijk eens in de sourcecode van iptables dan zie je dat het geen firewall is, zoals een hardware firewall dat is.
wat betreft een ms machine direct aan internet hangen, daar ben ik het mee eens... maar in een professionele (grote) omgeving doe je dat ook niet met linux!!!


voor de topicstarter... ik begrijp je echt niet... je wilt een goede verbinding hebben en vervolgens wil je linux als firewall gebruiken op een goedkope DESKTOP!

[off-topic]
voor de ms haters:
Linux is a follower, not an innovator
[/off-topic]

Quinie schreef op 06 september 2002 @ 11:20:
[...]
Tevens kom je met de stelling dat je linux liever niet aan het internet hangt. waarom niet onderbouw dat eens..

alweer?
een hardware firewall is gewoon veel betrouwbaarder... niet alleen qua security (en os als windows en linux hebben nu eenmaal veel meer security issues), maar ook qua hardware... er kan veel minder kapot gaan. functioneert de firewall niet goed meer, dan is een reboot vaak genoeg en de reboot duurt hooguit 1 minuut.

Eigenlijk ben ik dus ook nog geen onderbouwing tegen gekomen dat een linux bak op een "ouder" desktop zich niet kan meten met een hardware firewall of ISA

heb je gelijk je onderbouwing hiervoor... het gaat niet om hoe de firewall werking is, maar wat er mis kan gaan. worst case scenario dus...

Verwijderd schreef op 05 september 2002 @ 12:56:
wat ik denk dat je zou moeten doen als volgt (dit is op basis van MS met IIS maar andere opties zijn ook mogelijk) Zet een DMZ neer. De firewall van buiten -> DMZ is van merk1 bijv cisco de 2e firewall (DMZ -> Binnen) is van merk 2 nokia bijv. als ze maar niet van hetzelfde merk zijn. je zou in de DMZ een frontend server neer kunnen die een static route heeft naar een webserver aan je binnenkant waar je je intranet, extranet en OWA op hebt staan. wat betreft de bandbreedte. deze zou je kunnen inkopen bij bijv btignite of enertel. je zou ook kunnen beslissen om hun de externe firewall te laten beheren en dit een HW firewall te laten zijn en de interne DMZ->binnen ISA dit heeft als voordeel dat je iets flexibeleren bent en ook nog wat zelf in beheer hebt. kijk maar wat je ermee kunt

Hmm, dit is een lastige. Aan de ene kant ben ik het eens dat als er een exploit zit in je firewall zelf (hardware of software), je dit probleem niet in beide firewalls hebt. Aan de andere kant moet je nu wel twee verschillende firewalls leren beheren en configureren, wat dus meer tijd kost en een langer leerproces is. Ook heb je een grote kans dat als je beide firewalls door dezelfde persoon laat configureren dat je mogelijk dezelfde soort fouten in beide configuraties krijgt ondanks de verschillende syntax/configuratie van beide firewalls.

Verder zie ik hier een nogal uitgebreide discussie over welke firewall je nu moet nemen. Ik denk dat er maar kleine verschillen zijn tussen de verschillende firewalls en de kwaliteit ook voor een groot deel afhankelijk is van de persoon die hem configureert. In ieder geval zou ik je aanraden om te kijken naar een firewall die op zijn minst statefull is en liefst ook statefull inspection ondersteund. Dit kan mist goed toegepast een voordeel bieden ten opzichte van een normale packet filter firewall. Maar zowiezo moet je met elke firewall voldoende tijd uittrekken voor de configuratie, want er is geen goede default click en klaar firewall. Voldoende kennis van verschillende protocollen is dus absoluut noodzakelijk.

Een ander punt waar alleen maar kort over gesproken is, is het netwerk design. Onderschat vooral ook dit punt niet, want een verkeerd geplaatste firewall is nutteloos en geeft een vals gevoel van veiligheid. Ik heb zeer recent mijn afstudeeropdracht over netwerk beveiliging gedaan en ik heb praktijk voorbeelden gezien van foute netwerk ontwerpen. Maak dus voor je zelf een duidelijk tekening van hoe je je netwerk wilt inrichten (met DMZ). Een goed boek wat ik op dit gebied zeker kan aanraden is Building Internet firewalls (2nd edition) van O'reilly. Dit boek bespreekt veel gebruikte veilige netwerk designs met DMZ en database backend, want vooral die database backend is vaak nogal lastig veilig te implementeren.

Verder zou ik in je kostenplaatje ook geld reserveren voor opleidingen, zeker als alle kennis gecentraliseerd is in een persoon binnen de organisatie. Als deze persoon ontslag neemt of onder de tram loopt is alle kennis in een keer weg. Welk produkt je ook kiest je zal bijna altijd opleiding nodig hebben (boeken, zelfstudie, cursussen). Neem in die analyse ook het huidige kennisniveau mee van bijvoorbeeld de verschillende opties die je hebt (Linux, Windows, IIS, Apache, etc). Dit zou je kostenplaatje wel eens ingrijpend kunnen veranderen en dan is ineens een ander produkt goedkoper.

Verder zou ik je willen adviseren om ook een security policy te schrijven. In zo'n security policy neem je richtlijnen op voor bijvoorbeeld goede passwords, configuratie en upgrade beheer (met betrekking tot security), wat je precies probeert te beschermen en tegen wie. Als je eenmaal zo'n policy hebt en die wordt ook ondersteund door het management, dan kan je met technische middelen zoals firewalls en DMZ's die policy uitvoeren. Zo'n policy dwingt je om na te denken wat je nu precies probeert te beveiligen, hoe en waarom.

Een link die ik je echt kan aanraden is de SANS institute reading room http://rr.sans.org. Hier vind je veel artikelen over security policies en security in het algemeen

[ Voor 0% gewijzigd door Verwijderd op 06-09-2002 16:25 . Reden: stukje over firewalls iets uitgebreid. ]

Verwijderd schreef op 29 augustus 2002 @ 14:46:
absoluut gaan voor hardware firewall (software firewalls zijn leuk voor thuis of als 2de firewall... je isa bijv).

Grappenmaker... de beste firewall is nog altijd FireWall-1 van Checkpoint.
http://www.checkpoint.com/products/protect/firewall-1.html

En wat dacht je wat er op die hardware doosjes zoals die Cisco Pixjes en Nokia doosjes draait? Juist, SOFTWARE. Dus als je niet weet waar je het over hebt, zeg dan niets.

En dan ook nog van dit soort opmerkingen durven maken?

Verwijderd schreef op 29 augustus 2002 @ 12:32:
ik ben overigens ook van mening dat er niet al te veel specialisten rondlopen... vooral de tools/proggie vragen vind ik altijd wel lachen... daar komt namelijk meestal niet het beste product uit (qua security, performance, etc), maar het product waar iemand mee kan werken.

Geez...

warp schreef op 06 september 2002 @ 16:38:
[...]


Grappenmaker... de beste firewall is nog altijd FireWall-1 van Checkpoint.
http://www.checkpoint.com/products/protect/firewall-1.html

En wat dacht je wat er op die hardware doosjes zoals die Cisco Pixjes en Nokia doosjes draait? Juist, SOFTWARE. Dus als je niet weet waar je het over hebt, zeg dan niets.

En dan ook nog van dit soort opmerkingen durven maken?


[...]

Geez...

Mag ik vragen waar jij je op basseert dat checkpoint de beste is?

Het grote probleem met het firewall gevecht wat ontstaan is in deze thread, dat niemand zijn stelling onderbouwt. Ik denk dat IIS5_rulez met zijn laatste zin wel gelijk heeft. Veel mensen kennen maar een firewall en roepen dan dat die de beste is omdat zij er mee werken.

Ik wil ook absoluut niet zeggen dat ik een firewall expert ben, maar ik ben wel erg geinteresseerd in firewalls. Ik heb tijdens mijn stage met zowel een Cisco PIX als met een Checkpoint FW-1 (een korte tijd, helaas) kunnen werken en ik heb bij beide firewalls een aantal punten gezien die ik positief of negatief vind. Ik zal het kort toelichten en dit is ook mijn persoonlijke mening.

De Cisco PIX is inderdaad een zogenaamde hardware firewall, met wel degelijk een OS in flash en ram, maar geen harddisk. Dat is dus gelijk al een voordeel. Minder bewegende onderdelen. Een aantal nadelen zijn dat de PIX vrij lastig te configureren is via de console. Ik weet dat er ook een webclient is, maar voor ingewikkelde configuraties en geavanceerde opties moet je toch via de console aan de slag. Een ander minpunt is de beperkte ruimte voor logging. Doordat er geen harde schijf aanwezig is, is de ruimte voor de log files beperkt en zul je dus als je langere tijd je logs wil bewaren een remote syslog server moeten inzetten. Hier kun je ook makkelijker met de nodige tools je firewall logs filteren.

De checkpoint FW-1 kun je configureren via een webinterface. Dit werkt erg gemakkelijk, maar ik heb gemerkt dat je snel fouten maakt in de configuratie omdat je meerdere groepen van servers en meerdere protocollen per regel kan openzetten. Als je firewall regels niet overzichtelijkheid of een duidelijk systeem voor bedenkt zet je al snel teveel poorten open. Voordeel is dat er een normale harde schijf in de server zit en dat je daar je log files op kan slaan. Of dit uit het oogpunt van security handig is en je misschien die log files toch remote op kan slaan laat ik even in het midden. Belangrijkte nadeel van de FW-1 vind ik dat je geen interfaces kan specificeren in je regels en alleen maar source en destination ip's en poorten. Dit beperkt je soms behoorlijk en soms heb je meerdere regels nodig om hetzelfde effect te bereiken als dat je wel interfaces kon specificeren. En meer regels betekent weer sneller onoverzichtelijk.

Ik denk dat het veel verstandiger is om te kijken wat firewalls wel en niet kunnen en ondersteunen (remote logging, statefull of niet, gemak configuratie, ondersteuning complexe protcollen zoals ftp/netmeeting, enz...) ipv een schreeuw wedstrijd ervan te maken welke nu het beste is. Ik hierboven even een voorbeeld gegeven van mijn ervaring met twee genoemde producten. Ik heb met beide maar kort gewerkt zonder cursus of iets dergelijks, dus het kan zijn dat ik opties over het hoofd heb gezien. Maar ik hoop dat het idee duidelijk is.

warp schreef op 06 september 2002 @ 16:38:
[...]
Grappenmaker... de beste firewall is nog altijd FireWall-1 van Checkpoint.
http://www.checkpoint.com/products/protect/firewall-1.html

En wat dacht je wat er op die hardware doosjes zoals die Cisco Pixjes en Nokia doosjes draait? Juist, SOFTWARE. Dus als je niet weet waar je het over hebt, zeg dan niets.

als je wat meer van mijn posts had gelezen, had je geweten dat ik dat ook wel weet...

ik ken overigens fw1 ook... ik heb het zelfs thuis gedraait, maar niet direct aan inet, alhoewel dat voornamelijk was omdat ik geen licentie had

Apache is the best voor webservers..Voor bedrijven én "gewone" mensen.. ja toch?

ik werk met 2 type firewalls nokia's en watchguards.
nokia's zijn leuk alleen betaal je voor elk ipadres die erdoor heen moet.
imho haal je de beste prijs kwaliteit verhouding bij watchguard.
een watchguard firebox 700 kost ongeveer 3500 pleuro en heeft ook een DMZ.
http://www.watchguard.com

ik zou trouwens zeker gaan voor de hardware firewall met een webserver en een isa server op de dmz. isa server zou je dan bv weer multihomed kunnen maken met je interne netwerk

Verwijderd schreef op 06 september 2002 @ 11:03:
dat zie je verkeerd. het "os" is totaal anders. de functie is weliswaar hetzelfde, maar kijk eens in de sourcecode van iptables dan zie je dat het geen firewall is, zoals een hardware firewall dat is.
wat betreft een ms machine direct aan internet hangen, daar ben ik het mee eens... maar in een professionele (grote) omgeving doe je dat ook niet met linux!!!

Linux is imho wel in een professionele omgeving aan internet te hangen als firewall. Microsoft heeft een extern bedrijf dat de firewall verzorgt. Dat bedrijf heeft _nadat_ de microsoft site uit de lucht was gehaald door hackers GNU/Linux computers ingezet om de beveiliging te waarborgen. Inmiddels zijn die weer vervangend door hardwarefirewalls.

voor de ms haters:
Linux is a follower, not an innovator

Dat vind ik persoonlijk nog het meest irritante aan microsoft. Het overtreedt niet alleen wetten, het liegt bovendien dat het groen en geel gedrukt staat. Gelukkig heeft een rechter onlangs microsoft verboden nog verder zulke onzin naar buiten te brengen. Helaas niet met terugwerkende kracht.

Ik ga me lekker niet mengen in de firewall discussie.
Maar er stond ergens een enkel regeltje dat nu al 10 minuten door mijn hoofd spookt.
Topicstarter, je schreef dat Linux lekker weinig kosten met zich meebrengt omdat je dat nog wel op een desktopje kan installeren die je over hebt.
In hemelsnaam, je gaat toch geen Single Point of Failure creeren op een DESKTOP? Die zijn er niet voor gemaakt om langdurig onder hoge belasting te werken. Het zal gerust een tijd goed gaan, maar als je nu echt serieus bezig wilt zijn dan zal je toch op zijn minst eisen moeten stellen aan de hardware in je linux server. Je komt dan toch al gauw uit op 'echte' servers die verkocht worden, misschien ergens een 2e handsje omdat je geen hoge eisen stelt ... maar alles beter dan een desktop. Bedenk echt goed dat als dat ding uitvalt je hele website onbereikbaar is.

Ik denk dat uiteindelijk de hoofdlijn niet vergeten moet worden. In de thuis situatie is geld een grotere zorg dan als je in een corporate omgeving zit. thuis heb je een strak budget dus ga je aan de gang met ipchains of iptables op een linux bak of ics of een hw firewall/router. zit je in een corporate omgeving dan heb je meer geld te besteden en heb je budget om het te outsourcen bij een externe partij (bt/ignite, energis, at&t,e.a) of je kan het in eigen huis halen. maar je hebt tijd om het te testen. laat verschillende leveranciers hun product maar zien hoe het werkt. Dus je budget is groter en je hebt meer tijd, uiteindelijk heeft alles zijn voordeel en alles zijn nadeel en het is alleen belangrijk de juiste combinatie te kiezen. Het is nooit verstandig uit te gaan van 1 product, maar altijd meerdere te gebruiken. en voordat je gaat kiezen zorg dat je design zowel procestechnisch als hardware technisch in orde is. weet wat je wilt implementeren als eerste softwarematig en daarna ga je pas keuzes maken over de hardware. Als je servers gaat gebruiken bezuinig er niet op want als je goedkope servers koopt dan ben je uiteindelijk duurder uit aan maintenance en downtime voor reparatie of iets anders dan dat je duurdere machines zou kopen met bijv meerdere voedingen dan dat je een enkele voeding hebt en de voeding begeeft het.

dus denk er goed over na en weet wat je gaat doen. heb je het proces klaar ga dan kijken desnoods met een externe leverancier hoe je het het beste kan inrichten. misschien moet je een extern bureau als ibm, deloitte en touche, e.a inhuren om je daarbij te helpen. niet iedereen kan alles weten.

Verwijderd schreef op 05 september 2002 @ 11:44:
Volgens mij is een hardware firewall gewoon een PC in een doosje met een uitgeklede Linux distro waar je veels te veel voor betaald en waar verder ook helemaal niets meer mee kan.
Of zie ik dat nou verkeerd ?

Beetje laat maar toch nog maar even een reactie hierop... Een hardware firewall *KAN* inderdaad een pc met linux zijn waar iemand zelf een stickertje op plakt. Dat hoeft alleen niet zo te zijn; vaak wordt een eigen OS gebruikt voor een dergelijke firewall. Soms gebaseerd op bestaande software (linux, freebsd, netbsd, etc...), en soms helemaal zelfgeschreven (sorry zo geen voorbeeld bij de hand).

Vaak wordt er dan ook nog speciale hardware gebruikt (accelerator cards voor VPN, vaak flash-based geheugen ipv een harddisk omdat dat langer meegaat, etc).

Kijk bijvoorbeeld maar eens hier (gnatbox demotje), en dan onder reports -> hardware. Een aantal device-namen zullen je ongetwijfeld aan een BSD-variant laten denken, en helemaal onderaan staat de flashdisk...