Webserver firewall

welk OS komt op die server

als het 2000 of 2003 is kan je ook simpelweg met wat tcp/ip filtering alles dichtzetten en de poorten die je nodigbent openhouden

die 3com dingen hebben geen 2 poorten die 100mbit aankunnen (de lan kant wel maar de wan kant zeker niet)

maw: dan heb je gelijk een bottleneck

[ Voor 33% gewijzigd door Zwelgje op 07-03-2004 11:33 ]

Wat wil je er precies mee doen / configureren? Hoeveel wil en kun je besteden? Ik zou zeggen lees de manuals eens (die kun je bij 3com downloaden) en maak op basis daarvan je beslissing.

Wat heb je zelf al uitgezocht

[ Voor 10% gewijzigd door Bor op 07-03-2004 11:33 ]

Professional Networking & Servers -> Beveiliging & Virussen

Ik kan uit je verhaal niet echt opmaken wát die firewall precies moet gaan doen. Welke eisen hebben jullie? Welke toekomstperspectieven zitten er in de situatie?

Nou ja, als het een eenmalige aanschafprijs is, en je betaalt er verder niets voor, zou ik voor optie 2 gaan. Dan kun je van buiten bijvoorbeeld alleen poort 80 open zetten naar binnen, en voor remote beheer kun je met een VPN 'inbellen'.

Als je er 329 per maand voor moet gaan lappen zou ik het met een ipSec portfilter op die machine zelf doen

Die server wil je waarschijnlijk van afstand kunnen beheren ALs je dat zou willen kun je het beste de VPN nemen, want daarmee kun je een vpn verbinding (beveiligde verbinding) opzetten met het bedrijfs netwerk of eigen netwerk (ligt eraan waar je het voor wilt gebruiken). Verder zal het niet zoveel uitmaken denk ik.

Op de manier van instellen zou ik me niet zo druk over maken, meestal spreekt dat voor zich.

eghie schreef op 07 maart 2004 @ 11:36:
Die server wil je waarschijnlijk van afstand kunnen beheren ALs je dat zou willen kun je het beste de VPN nemen, want daarmee kun je een vpn verbinding (beveiligde verbinding) opzetten met het bedrijfs netwerk of eigen netwerk (ligt eraan waar je het voor wilt gebruiken). Verder zal het niet zoveel uitmaken denk ik.

Op de manier van instellen zou ik me niet zo druk over maken, meestal spreekt dat voor zich.

RDC kan ook encrypted hoor, daar heb je geen vpn voor nodig

Ja, natuurlijk moet een firewall beveiliging brengen. Maar wélke bescherming. Een firewall aanschaffen is op zichzelf niet bevordelijk voor de beveiliging, je moet wel weten wát je wil buitensluiten en/of aan restricties onderwerpen.

Ok, het enige dat je wil is dus portfiltering? Geen stateful packetinspection etc.?

Dan zou ik persoonlijk echt geen honderden euro's gaan uitgeven voor één server. Je gaat toch ook geen F1-auto kopen omdat je naar de winkel moet en geen zin hebt om te fietsen?

[ Voor 4% gewijzigd door Verwijderd op 07-03-2004 14:33 ]

hardware firewall voor 1 server die je zelf beheert en met een OS dat zelf ook makkelijk firewall software kan draaien: lijkt me extra hardware wat overdreven.

Even een inkoppertje - garanderen kan je op internet niets. Een firewall van 750 euro kan je zeker niet beschermen tegen een DDoS (en duurdere ook al nauwelijks )

De meest belangrijkse beveiliging op een server is toch een combinatie van een firewall, als een goed beheer, dus zorgen dat je met sterke regelmaat patched, dat je sterke passwoorden gebruikt, en een goed backup plan hebt.

Je kunt wel een hele mooie hardwarematige firewall aanschaffen, maar als jij daarvan enkel de portfilter gebruikt heb je nog €500 voor niets uitgegeven. Daarnaast zijn hardwarematige firewalls eigenlijk altijd lastiger te configureren dan beperktere softwarematige, al was het alleen maar om het extra aantal mogelijkheden/settings die jou dan in de weg zitten.
Bovendien geeft een te ingewikkelde firewall meer kans tot fout configureren - iets dat dodelijk is omdat je je veilig waant.

Daarnaast is, zoals elevator al aangeeft, een goede firewall nog niet eens een kwart van het werk voor een veilig systeem. Het is dus onzin om daar veel geld in te pompen, besteed dat liever aan extern beheer of redundancy in je server.

Katwijck1 schreef op 07 maart 2004 @ 16:44:
Aha, nou dan is de keuze snel gemaakt.

De server is al aardig redundant (2 psu's , raid 1 schijven opstelling , eerder genoemde backup).

Nog aanraders op softwaregebied ? Zit zelf te denken aan Symantec.

http://www.idrci.net/packetfilter/html/index.html

fijne statefullpacketfilter voor 2003 en nog gratis ook

Antivirus op een webserver lijkt me totaal niet nodig aangezien je niet 'werkt' achter de console van zon machine is de kans op een virusinfectie 'op' de server niet groot/niet aanwezig,

Katwijck1 schreef op 07 maart 2004 @ 17:22:
[...]


Heb het over een softwarematige firewall..

Maar waarom zou er geen anti-virus op komen ?
Mensen krijgen de mogelijkheid om files erop te zetten en ook weer af te halen.
Zou vervelend zijn als andere gebruikers daar problemen door krijgen.

mja ok als je idd files gaat 'sharen' op die manier dan wel ja, maargoed er zijn weinig betaalbare AV's voor 2003, (tenzij je illegaal wilt?)

en over die softwarematige firewall volg ik je niet helemaal, je wilde toch een softwarefirewall dan is chx-i je vriendje, (of je gebruikt de boordmiddelen van 2003)

Katwijck1 schreef op 07 maart 2004 @ 17:22:
[...]


Heb het over een softwarematige firewall..

Maar waarom zou er geen anti-virus op komen ?
Mensen krijgen de mogelijkheid om files erop te zetten en ook weer af te halen.
Zou vervelend zijn als andere gebruikers daar problemen door krijgen.

Waarom zou je er AV opzetten? Ik hoop niet dat mensen op die server lokaal programma's kunnen draaien. Zo lang iemand een virus eropzet en het niet opent gebeurd er ook niks. Gelukkig heb je daar nog userinput voor nodig...

Als je er al een AV op wil zetten zou je kunnen gaan voor een Norton Antivirus Corporate Edition (gewoon de client) kost je misschien 75/100 euro.

En kun je in Windows Server 2003 (en in 2000 ook al, maar die neem je waarschijnlijk toch niet) met ingebouwde ipSec policies werken om poorten te filteren. Net als de ingebouwde TCP/IP filtering, maar dan 'beter'.

meer info: http://www.microsoft.com/...s/columns/using_ipsec.asp

Een virus shield lijkt me wel raadzaam ,
indien de mogelijkheid gemaakt wordt om op de FTP ook te kunnen uploaden.

Zelf draaien wij hier de Vshield van Bitdefender
Deze scand alle in en uitgaande verkeer - extrern en intern naar de webdevelopper console.

En werkt prima , tevens regelmatige update ( gratis ) wanneer dit nodig is .
En het programma kost bijna niets

Katwijck1 schreef op 08 maart 2004 @ 13:51:
Nog iemand een suggestie met betrekking tot een software firewall die werkt met windows 2003 ?

isa server 2000/2004