Geschikte Firewall voor Colocation

maandag 27 december 2004 19:48

Je zou het eventueel via IPSec kunnen doen, dat heb ik ook gedaan voor mijn colocated server. En... ik heb er toevallig ook nog een korte how-to over geschreven, welliswaar in het engels, maar moet te doen zijn:
IPSec: Putting some bars in front of the Windows

Acties:

Verwijderd

ik denk dat je met een PIX 501 prima uit de voeten kan...

maandag 27 december 2004 20:00

Acties:

Verwijderd

Yalopa schreef op maandag 27 december 2004 @ 19:43:

[...]

deny alles behalve poort x en y lijkt me firewalling?

Ehm ik bedoel om voor één server een hardware firewall aan te schaffen.... Als je in principe toch alleen je ssh en http poort nodig hebt, dan kan dat ook gewoon door iptables oid gebeuren (windows heeft ook zoiets in de opties bij je nic zitten)

[ Voor 26% gewijzigd door Verwijderd op 27-12-2004 20:00 ]

maandag 27 december 2004 20:01

Acties:

moto-moi

Ja, ik haat jou ook :w

Yalopa schreef op maandag 27 december 2004 @ 19:43:
Hoe scheiden julie het grote boze internet dan van je interne lan? moet toch een soort firewall tussenzitten?

Gewoon een hippe switch die je in kunt delen met meerdere netwerken

God, root, what is difference? | Talga Vassternich | IBM zuigt

maandag 27 december 2004 20:04

Acties:

DJSmiley

Als je een software-firewall wil kun je ook kijken naar http://www.kerio.com/ksf_home.html

Een losse PIX oid voor 1 server is misschien een beetje overkill.

moto-moi schreef op maandag 27 december 2004 @ 20:01:
[...]

Gewoon een hippe switch die je in kunt delen met meerdere netwerken

Volgens mij wil TS maar 1 server plaatsen dus dan is dat niet echt relevant.

Bij meerdere servers is dat idd het makkelijkst ja.

[ Voor 51% gewijzigd door DJSmiley op 27-12-2004 20:05 ]

maandag 27 december 2004 20:31

Acties:

StevenK

Is 't niet veel makkelijker om een colo-provider te zoeken die de firewalling voor je doet ? Gewoon afspreken dat alleen poort 80 (of welke poorten je ook nodig hebt0 open mag en daarbij 3389 voor alleen een specifiek ip adres.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

dinsdag 28 december 2004 09:18

Acties:

Verwijderd

Mij lijkt bovenstaande of gewoon wat poortjes filteren op de bak zelf het beste idee. Voor één server een PIX aanschaffen lijkt me een beetje teveel van het goede.

PNS > NT trouwens.

dinsdag 9 augustus 2005 10:46

Acties:

dinsdag 9 augustus 2005 10:53

Ik wil de discussie graag even voortzetten.

Hoe is het met de TS gegaan? Heeft deze uiteindelijk een PIX gekocht of toch voor een ander product.

Ik zit zelf namelijk ook in een soortgelijke situatie en ben eigenlijk op zoek naar een professionele firewall software voor windows 2003 server. Het gaat om 2 servers waar windows 2003 server op draait met een IIS website. Heeft iemand hier ervaring mee?

Acties:

Verwijderd

Move NT > PNS

dinsdag 9 augustus 2005 11:00

Acties:

PcDealer

HP ftw \o/

Racemol schreef op dinsdag 09 augustus 2005 @ 10:46:
[...]
Ik zit zelf namelijk ook in een soortgelijke situatie en ben eigenlijk op zoek naar een professionele firewall software voor windows 2003 server. Het gaat om 2 servers waar windows 2003 server op draait met een IIS website. Heeft iemand hier ervaring mee?

Kijk eerst eens hier:
Welke firewall/proxy te kiezen*
Ervaring met "Proxy" servers / appliances
Nieuwe proxy/firewall oplossing implementeren voor 250 man *

Genoeg info te vinden lijkt mij.

LinkedIn WoT Cash Converter

dinsdag 9 augustus 2005 11:17

Acties:

dinsdag 9 augustus 2005 11:26

PcDealer schreef op dinsdag 09 augustus 2005 @ 11:00:
[...]

Kijk eerst eens hier:
Welke firewall/proxy te kiezen*
Ervaring met "Proxy" servers / appliances
Nieuwe proxy/firewall oplossing implementeren voor 250 man *

Genoeg info te vinden lijkt mij.

Het gaat daar voornamelijk over ISA server en andere firewall/proxy programma's om een heel netwerk te beveiligen.

Ik ben opzoek naar een software matige firewall die de machine waar het op staat beveiligd en meer niet. Dan kom je al meer bij de symantec producten, maar voor een professionele webserver ben ik daar niet echt over te spreken. Het enige pakket wat ik ben tegen gekomen en mij geschikt lijkt is Kerio ServerFirewall

Acties:

dinsdag 9 augustus 2005 11:30

Welke functionaliteit verwacht je van die firewall?

Acties:

PcDealer

HP ftw \o/

jochemd schreef op dinsdag 09 augustus 2005 @ 11:26:
Welke functionaliteit verwacht je van die firewall?

Alleen NAT?

http://www.microsoft.com/...rview/connectnetwork.mspx Check Word-document.

[ Voor 4% gewijzigd door PcDealer op 09-08-2005 11:30 ]

LinkedIn WoT Cash Converter

dinsdag 9 augustus 2005 11:53

Acties:

dinsdag 9 augustus 2005 12:37

Ik zou graag kunnen filteren op poorten. Dus bepaalde poorten (80 en 25 bijvoorbeeld) door willen laten en de rest niet. Ook wil ik bepaalde poorten alleen open zetten voor een bepaalde ip-range..

Acties:

dinsdag 9 augustus 2005 12:59

Daar heb je helemaal geen firewall voor nodig, gewoon de ingebouwde IPSec Policy Agent configureren.

Acties:

PcDealer

HP ftw \o/

jochemd schreef op dinsdag 09 augustus 2005 @ 12:37:
Daar heb je helemaal geen firewall voor nodig, gewoon de ingebouwde IPSec Policy Agent configureren.

Check http://www.microsoft.com/...orking/ipsec/default.mspx

LinkedIn WoT Cash Converter

dinsdag 9 augustus 2005 14:24

Acties:

dinsdag 9 augustus 2005 15:01

En dat is veilig genoeg om een 2003 server rechtsreeks aan internet te hangen?

Acties:

leon1e

Racemol schreef op dinsdag 09 augustus 2005 @ 14:24:
En dat is veilig genoeg om een 2003 server rechtsreeks aan internet te hangen?

Als je weet waar je mee bezig bent, ja

. Niet vergeten overbodige service's uit te schakelen, want iets wat niet "luistert" hoef je ook niet af te schermen

.

[ Voor 21% gewijzigd door leon1e op 09-08-2005 15:02 ]

dinsdag 9 augustus 2005 15:13

Acties:

dinsdag 9 augustus 2005 15:36

Racemol schreef op dinsdag 09 augustus 2005 @ 14:24:
En dat is veilig genoeg om een 2003 server rechtsreeks aan internet te hangen?

Het doet waar jij om vroeg. Hoe moet ik weten of hetgeen wat jij vroeg veilig genoeg is?

Acties:

dinsdag 9 augustus 2005 18:53

jochemd schreef op dinsdag 09 augustus 2005 @ 15:13:
[...]

Het doet waar jij om vroeg. Hoe moet ik weten of hetgeen wat jij vroeg veilig genoeg is?

Oke schoolkindertjes.. dan doe ik het zo

Waar ik om vroeg is dat veilig genoeg?

Om het helemaal even te tekenen:

Is het veilig om een Windows 2003 server met alleen IPSEC geconfigureerd direct, dus zonder firewall of andere NAT router/proxy aan het internet te hangen?

leon1e schreef op dinsdag 09 augustus 2005 @ 15:01:
[...]
Als je weet waar je mee bezig bent, ja . Niet vergeten overbodige service's uit te schakelen, want iets wat niet "luistert" hoef je ook niet af te schermen .

Bedankt.. Ik zal even serieus naar IPSEC gaan kijken..

[ Voor 26% gewijzigd door Racemol op 09-08-2005 15:46 ]

Acties:

dinsdag 9 augustus 2005 19:19

Racemol schreef op dinsdag 09 augustus 2005 @ 15:36:
[...]

Oke schoolkindertjes.. dan doe ik het zo

Waar ik om vroeg is dat veilig genoeg?

Om het helemaal even te tekenen:

Is het veilig om een Windows 2003 server met alleen IPSEC geconfigureerd direct, dus zonder firewall of andere NAT router/proxy aan het internet te hangen?

[...]

Bedankt.. Ik zal even serieus naar IPSEC gaan kijken..

Ik heb al bijna een jaar een colocated server met Windows 2003 met alleen IPSec als "firewall" draaien en geen centje pijn.

Wat ik wel eerst even zou doen is SP1 installeren, daarna de Security Configuration Wizard installeren en daarmee alle onnodige services uitschakelen. Sla hierbij het firewall gedeelte over en gebruik in plaats daarvan IPSec. Veel veiliger wordt het niet

Acties:

woensdag 10 augustus 2005 00:40

Racemol schreef op dinsdag 09 augustus 2005 @ 15:36:
Oke schoolkindertjes.. dan doe ik het zo

Waar ik om vroeg is dat veilig genoeg?

Om het helemaal even te tekenen:

Is het veilig om een Windows 2003 server met alleen IPSEC geconfigureerd direct, dus zonder firewall of andere NAT router/proxy aan het internet te hangen?

Hoe moeten wij dat weten? Ja, dat is veilig genoeg voor een huis-tuin-en-keuken servertje. Nee, daar mag je geen dossiers van medische patienten verwerken.

Acties:

Movinghead

ing.

Een switch met VLANs moet voldoende zijn

Je servers uitrusten met 2 nics 1 voor LAN 1 voor WAN

en op de WAN zet je nog een poort filter op de NIC probleem opgelost

http://www.linksys.com/se...2FCommon%2FVisitorWrapper

Deze switch zit rond de 200 euro zie pricewatch

woensdag 10 augustus 2005 08:31

Acties:

leon1e

Movinghead schreef op woensdag 10 augustus 2005 @ 00:40:
Een switch met VLANs moet voldoende zijn

Je servers uitrusten met 2 nics 1 voor LAN 1 voor WAN

en op de WAN zet je nog een poort filter op de NIC probleem opgelost

http://www.linksys.com/se...2FCommon%2FVisitorWrapper

Deze switch zit rond de 200 euro zie pricewatch

Waarom een LAN creëren als je maar 1 server hebt?

woensdag 10 augustus 2005 08:43

Acties:

Luppie

www.msxinfo.net

Heb 2 jaar een Windows Server 2003 op een co-location gehad zonder Firewall en zonder IPsec.
Wel alle overbodige services uitgeschakeld en Client voor Microsoft Networking uitgeschakeld.

Tot nu toe 1x ge-hacked, omdat ik vergeten was op mijn MySQL de toegang alleen van localhost toe te staan, heb toen een defacement gehad.

Verder nooit een downtime o.i.d. gehad.

Heb wel een tijdje met ISA gedraaid maar dit vond ik geen ideale situatie, ISA is niet echt gemaakt om alleen op localhost te draaien.

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.

woensdag 10 augustus 2005 11:29

Acties:

Verwijderd

volgens mij heb je niet perse een firewall nodig, gewoon indd je server dicht timmeren.. alle overbodige services uit zetten, alleen de poorten op die open moeten staan en zorgen dat de services die daar op draaien up2date zijn.. ISA server is ook niet echt geschikt als personal firewall, het voordeel van de ISA is natuurlijk wel de application layer filtering maar of dat in jou geval nodig is? Anders kan er wellicht gewoon een packet filtering router tussen ofzo? Daar laat je dan alleen de poorten mee door die open moeten staan aan de internet kant..

zaterdag 13 augustus 2005 01:48

Acties:

Verwijderd

ik heb een pix 501 voor me servertje staan in het netwerk.. Vind het prettig om een ipsec vpn op te kunnen zetten met de pix voordat ik de server remote kan beheren. Er draaien mailservers en een webserver achter, werkt prima zo.

dinsdag 6 september 2005 11:03

Acties:

dinsdag 6 september 2005 12:27

Ik wil dit topic toch een klein kickje geven:

Ik zoek een HW firewall voor mijn colocated servers (4 atm, komen er meer). Ik heb veel over de pix 506e gelezen en mijn oog WAS gevallen op de juniper netscreen 5 serie (xg/xt) hoewel ik dat meer een interne firewall voor een netwerk vind dan echt een DC geschikte firewall. Het budget ligt rond de 400-500 euro, 2e hands is geen enkel probleem. de FW moet voor mijn switch komen, dus ingebouwde switch/router is niet nodig

100 mbit --> HW FW --> switch --> servers

En is het mogelijk per IP op te geven welke poorten open moeten en welke niet (1 webserver, aantal gameservers). Servers hebben meestal 2 ip's toegewezen gekregen. Wil vooral een FW waar ik over 1/2 jaar nog wat aan heb (moet dus beetje berekend zijn op uitbereiding)

[ Voor 10% gewijzigd door DutchTSE op 06-09-2005 11:04 ]

Acties:

hanhoo

Ik zeg maar 1 ding:

www.watchguard.com

Check de CORE modellen uit de Firebox reeks.

Eenvoudig in beheer, GUI based configfile bouwen en een bedrijf wat zich dedicated hiermee bezighoud. Bovendien een concurrerende prijsstelling ten opzichte van (serieuze) concurrenten. ICSA gecertificeert.

Werk al jaren met die lui. Zojuist een 2xPeak X8000 in Active Load Balancing geplaatst op een Gigabit internet backbone. Helemaal geweldig!

dinsdag 6 september 2005 12:54

Acties:

dinsdag 6 september 2005 13:01

allemaal wel leuk, ze zijn alleen een stuk duurder

nieuwprijs 1000 euro is max, dan kan ik hem 2e hands nog voor een redelijke prijs krijgen

Acties:

KoeKk

DutchTSE schreef op dinsdag 06 september 2005 @ 11:03:
Ik wil dit topic toch een klein kickje geven:

Ik zoek een HW firewall voor mijn colocated servers (4 atm, komen er meer). Ik heb veel over de pix 506e gelezen en mijn oog WAS gevallen op de juniper netscreen 5 serie (xg/xt) hoewel ik dat meer een interne firewall voor een netwerk vind dan echt een DC geschikte firewall. Het budget ligt rond de 400-500 euro, 2e hands is geen enkel probleem. de FW moet voor mijn switch komen, dus ingebouwde switch/router is niet nodig

100 mbit --> HW FW --> switch --> servers

En is het mogelijk per IP op te geven welke poorten open moeten en welke niet (1 webserver, aantal gameservers). Servers hebben meestal 2 ip's toegewezen gekregen. Wil vooral een FW waar ik over 1/2 jaar nog wat aan heb (moet dus beetje berekend zijn op uitbereiding)

We draaien hier al enige tijd met een netscreen 5GT en we zijn zeer tevreden met het apparaat.We gebruiken enkelt de firewall mogenlijkheden en die zijn ruim voldoende voor ons (we gebruiken al iets anders als VPN service. Afhankelijk van de licentie die je koopt kan je een aantal rules aanmaken, per rule kan je meerdere poorten openzetten van/naar verschillende IPs. Daarnaast kan je ook simpel ip's groeperen en deze weer gebruiken in rules.

Het mooiste is dat heel het apparaat simpel te configureren is, soms moet je de commandline in duiken (bijvoorbeeld als je het apparaat in bridged of transparent mode wil draaien), maar de rest is allemaal via de webinterface te doen.

dinsdag 6 september 2005 13:12

Acties:

hanhoo

DutchTSE schreef op dinsdag 06 september 2005 @ 12:54:
allemaal wel leuk, ze zijn alleen een stuk duurder
nieuwprijs 1000 euro is max, dan kan ik hem 2e hands nog voor een redelijke prijs krijgen

Ik hou binnenkort een sloot PIX501-tjes en 506jes over. Die waren van NL-tree. Door glasvezel heb ik geen VPN/Firewall's per vestiging meer nodig. Interesse?

dinsdag 6 september 2005 14:37

Acties:

dinsdag 6 september 2005 18:47

@ koek: bedankt voor je comment

mijn voorkeur gaat idd als 1e uit naar de netscreen 5gt, maar omdat ik de indruk kreeg dat het meer voor intern gebruik was liet ik hem beetje varen. Daarna kwam ik op die cisco pix uit.

@ hanhoo:
Ik ga ff kijken hoe het zit met die netscreens. Hoeveel vraag je voor die 501 en 506e?
Alvast bedankt. Mail me de prijs maar, emailadres staat in profiel

mailAThalf-life-2.nl

komt ie altijd aan

[ Voor 6% gewijzigd door DutchTSE op 06-09-2005 19:42 ]

Acties:

Boeri

hanhoo schreef op dinsdag 06 september 2005 @ 13:12:
[...]

Ik hou binnenkort een sloot PIX501-tjes en 506jes over. Die waren van NL-tree. Door glasvezel heb ik geen VPN/Firewall's per vestiging meer nodig. Interesse?

Mij mag je ook altijd je prijs laten weten mailATboeri.be , dankjewel.

dinsdag 6 september 2005 20:33

Acties:

Verwijderd

Met het risico dat het hele topic naar 'vraag en aanbod' verbannen wordt; rtimmAThomeDOTnl voor wat betreft de Cisco's . . .

dinsdag 6 september 2005 23:10

Acties:

Verwijderd

kvind het toch vreemd dat veel mensen hun eigen configs op server gebied niet vertrouwen.

dinsdag 6 september 2005 23:27

Acties:

dinsdag 6 september 2005 23:35

Verwijderd schreef op dinsdag 06 september 2005 @ 23:10:
kvind het toch vreemd dat veel mensen hun eigen configs op server gebied niet vertrouwen.

Inderdaad, en dat ze er ook niet blindelings vanuit gaan dat die miljoenen regels code die hun server draaiende houden volledig foutloos zijn kan ik al helemaal niet begrijpen.

Iedere laag beveiliging die je om je systeem aanlegt is weer een extra hindernis voor virussen en tuig die maar wat graag je server overhoop halen.

Acties:

Keen must die!

King_Louie schreef op dinsdag 06 september 2005 @ 23:27:
[...]

Inderdaad, en dat ze er ook niet blindelings vanuit gaan dat die miljoenen regels code die hun server draaiende houden volledig foutloos zijn kan ik al helemaal niet begrijpen.

Iedere laag beveiliging die je om je systeem aanlegt is weer een extra hindernis voor virussen en tuig die maar wat graag je server overhoop halen.

Vraagje: gebruik jij nu ook een losse extra firewall of toch alleen ipsec?

Als DutchTSE zou ik uitkijken dat hij niet geheel afhankelijk wordt van die ene firewall. Eén foutje of storing en al jouw servers zijn plat

dinsdag 6 september 2005 23:40

Acties:

dinsdag 6 september 2005 23:46

DaMorpheus schreef op dinsdag 06 september 2005 @ 23:35:
[...]

Vraagje: gebruik jij nu ook een losse extra firewall of toch alleen ipsec?

IPSec, voornamelijk door budgetaire redenen.

Verandert niets aan het feit dat er in ieder netwerk aan de grenzen beveiliging aanwezig moet zijn, én op de machines zelf. De ellende komt niet altijd van buiten. Nu staat mijn server in z'n uppie met niet echt kritieke data, dus is IPSec in dit geval voor mij voldoende.

Acties:

dinsdag 6 september 2005 23:55

ik ga voor de hardwarematige firewall simpelweg omdat ik een ongelofelijke, niet te beschrijven, gruwelijke hekel aan softwarematige FW's heb. (ok heb dan alleen ervaring met norton maar tis gewoon zo

) Daarnaast neemt softwarematige firewall ook weer extra cpu/geheugen enz in op de servers, wat dus niet nodig is.

Daarnaast vind ik een hardwarematige firewall betrouwbaarder dan softwarematige.

Je kan het niet met me eens zijn

maar daar gaat ut topic niet over

daarnaast vraag ik me af of IPSec meerdere ip's ondersteunt (alleen poort 1 op ip 1 open en alleen poort 3 op ip 2 enz)

[ Voor 24% gewijzigd door DutchTSE op 06-09-2005 23:52 ]

Acties:

dinsdag 6 september 2005 23:55

DutchTSE schreef op dinsdag 06 september 2005 @ 23:46:
ik ga voor de hardwarematige firewall simpelweg omdat ik een ongelofelijke, niet te beschrijven, gruwelijke hekel aan softwarematige FW's heb. (ok heb dan alleen ervaring met norton maar tis gewoon zo ) Daarnaast neemt softwarematige firewall ook weer extra cpu/geheugen enz in op de servers, wat dus niet nodig is. Daarnaast vind ik een hardwarematige firewall betrouwbaarder dan softwarematige

Tja, daar noem je ook een firewall... Norton...

Niet alle firewalls zijn zo slecht hoor. De Windows firewall in 2003 SP1 is een verdomd goed stukje software, waar echt niets mis mee is. Je zit alleen met wat beperkte configuratiemogelijkheden, en zoals je al aangeeft lever je in op performance. IPSec werkt ook erg goed omdat het verkeer filtert nog voordat het ook maar verwerkt wordt door de machine, maar ook hier zit je weer met een stukje overhead wat weer vertraging op kan leveren. Heb jij een server die continue flink staat te stampen, dan red je het niet met een softwarematige firewall, en moet je dus naar de zwaardere Cisco Pix of Juniper Netscreen modellen gaan kijken.

Acties:

Keen must die!

@DutchTSE: die cisco 506e kan max 100 Mbps aan, die netscreen 70 Mbps.
Is dat wel genoeg? Uit ervaring kan ik vertellen dat je daar snel overheen gaat, al zijn het maar bursts van enkele minuten.

Een aanrader voor als je wat groter bent: Netscreen 500. Kost 20.000, maar je heb je wel iets prachtigs!.
Helaas zit er in de netscreen serie een enorm groot gat tussen de 500 en de 200 serie. De 200 serie heeft geen gigabit adapters maar wél de power om enkele honderden Mbps te verwerken.

[ Voor 24% gewijzigd door Stewie! op 06-09-2005 23:58 ]

woensdag 7 september 2005 00:01

Acties:

woensdag 7 september 2005 00:04

DaMorpheus schreef op dinsdag 06 september 2005 @ 23:55:
@DutchTSE: die cisco 506e kan max 100 Mbps aan, die netscreen 70 Mbps.
Is dat wel genoeg? Uit ervaring kan ik vertellen dat je daar snel overheen gaat, al zijn het maar bursts van enkele minuten.

Een aanrader voor als je wat groter bent: Netscreen 500. Kost 20.000, maar je heb je wel iets prachtigs!.
Helaas zit er in de netscreen serie een enorm groot gat tussen de 500 en de 200 serie. De 200 serie heeft geen gigabit adapters maar wél de power om enkele honderden Mbps te verwerken.

haha 20.000 das echt iets buiten het budget

en ongelofelijk overkill voor mijn situatie

ik ga me maar eens verdiepen in IPSec, als ik de verhalen zo hoor moet ut iets geweldigs zijn

en wil uit principe geen softwarematige firewall, naast performance heb je ook nog eens dat je moet uitzoeken welke poorten open moeten voor de service die je wilt draaien (http en mail weten we wel, maar die extra poorten die bijv CS gebruikt, dat soort gedoe moet ik gewoon niet hebben

)

probleem is dat ik IPSec zo moeilijk kan testen voor ik mezelf en de rest van de gebruikers van de server afsluit (en thuis testen is ook geen oplossing omdat ik achter NAT zit)

[ Voor 9% gewijzigd door DutchTSE op 07-09-2005 00:02 ]

Acties:

Keen must die!

DutchTSE schreef op woensdag 07 september 2005 @ 00:01:
[...]

haha 20.000 das echt iets buiten het budget en ongelofelijk overkill voor mijn situatie
ik ga me maar eens verdiepen in IPSec, als ik de verhalen zo hoor moet ut iets geweldigs zijn
en wil uit principe geen softwarematige firewall, naast performance heb je ook nog eens dat je moet uitzoeken welke poorten open moeten voor de service die je wilt draaien (http en mail weten we wel, maar die extra poorten die bijv CS gebruikt, dat soort gedoe moet ik gewoon niet hebben )

Dat weet ik, maar over een jaar bekijk je dit topic nogmaals en dan weet je wat je moet nemen

En als je nu een netscreen koopt die maar 70 mbit aankan loop je denk ik zeer snel tegen zijn limiet aan

Overigens: lees even dit topic van King_Louie door: [rml][ HOWTO] Een Windows 2003 webserver[/rml]
Genoeg tips mbt ipsec

[ Voor 6% gewijzigd door Stewie! op 07-09-2005 00:05 ]

woensdag 7 september 2005 00:07

Acties:

MissingDog

Ik heb aan den lijve..nou ja...aan den server ondervonden dat een plain stupid iptables oplossing geen 100% garantie geeft bij persoontjes met een ochtendhumeur of grudge tegen een van je klanten. Zeker in 't geval van dos-attacks, httpd/php/asp-exploitjes is een automatisch updatende hardware firewall met content-filter, pattern detection, intrusion detection en actieve countermeasures enzovoorts geen overbodige luxe.
Natuurlijk is niks een 100% garantie en is 't afhankelijk van wat je allemaal host, maar door schade en schande zijn wij inmiddels zo wijs geworden dat er een hardware-doos met VLAN support en meerdere WAN-poorten aan zit te komen (al is 't maar omdat er meerdere servers achter moeten hangen en de klant koning is).

woensdag 7 september 2005 00:10

Acties:

Keen must die!

MissingDog schreef op woensdag 07 september 2005 @ 00:07:
Natuurlijk is niks een 100% garantie en is 't afhankelijk van wat je allemaal host, maar door schade en schande zijn wij inmiddels zo wijs geworden dat er een hardware-doos met VLAN support en meerdere WAN-poorten aan zit te komen (al is 't maar omdat er meerdere servers achter moeten hangen en de klant koning is).

En welk model hebben jullie gekozen? En waarom dát model?

[ Voor 4% gewijzigd door Stewie! op 07-09-2005 00:11 ]

woensdag 7 september 2005 00:16

Acties:

vrijdag 9 september 2005 11:19

MissingDog schreef op woensdag 07 september 2005 @ 00:07:
Natuurlijk is niks een 100% garantie en is 't afhankelijk van wat je allemaal host, maar door schade en schande zijn wij inmiddels zo wijs geworden dat er een hardware-doos met VLAN support en meerdere WAN-poorten aan zit te komen (al is 't maar omdat er meerdere servers achter moeten hangen en de klant koning is).

Hier zit ik dus ook mee, liever wat extra betalen voor goede beveiliging dan een gehackte server waardoor je klanten gaat teleurstellen. Ik ben op ut moment bezig met het instellen van IPSec, mocht het verkeerd gaan dan rij ik nog ff naar amsterdam om alles uit te zetten

IPSec werkt idd wel, met de teamspeak server kon ik iig niet connecten tot ik die poort had toegevoegd

webserver draait nu icm IPsec, en volgens GRC zijn alle (naast de benodigde) poorten stealth

[ Voor 16% gewijzigd door DutchTSE op 07-09-2005 01:30 ]

Acties:

Verwijderd

King_Louie schreef op dinsdag 06 september 2005 @ 23:27:
[...]

Inderdaad, en dat ze er ook niet blindelings vanuit gaan dat die miljoenen regels code die hun server draaiende houden volledig foutloos zijn kan ik al helemaal niet begrijpen.

Iedere laag beveiliging die je om je systeem aanlegt is weer een extra hindernis voor virussen en tuig die maar wat graag je server overhoop halen.

Lol, en jij denkt dat de code van firewalls foutloos is ? Think again.

vrijdag 9 september 2005 21:58

Acties: