[TiTaNiC]

idézet:

---

Ezt írta kasparek:
Emitt, Cisco PIX tûzfalak vannak használatban....
Kérdés: a fentebb említett szoftveres megoldások bíztonsága, gyorsasága összevethetõ-e ezekkel?
Bocs, ha túl nagy hüleséget kérdeztem....[/quote]

Persze. A PIX-ekben Intel procik ketyegnek, nem is olyan nagy sebesseggel. Igaz, egy direkt erre kihegyezett OS van alatta, es kernel szintu FW. De azert vannak Szoftveres tuzfalak, amik egy jo vason jobb telljesitmenyt tudnak nyujtani. Nem beszelve a bovites koltsegeirol, vagy a konfiguralhatosagrol, modularitasrol. Jo a PIX nagyon, de kivalthato olcso(bb) megoldassal.

[grt]

[QUOTE]Ezt írta TiTaNiC:
[QB]

Köszönöm a választ, igazán kimerítõ és részletes volt.
Ui.: Az apache-ot azóta frissítettem, a Squid beállításai jók (próbáltam kívülrõl) a többi tanácson elgondolkodom (még emésztenem kell kicsit), a NAV-ot központi adatbázisból frissítgetem.

[pepus]

Sziasztok!

Örülök, hogy rábukkantam erre a fórumra, így rögtön szeretnék is segítséget kérni azoktól, akik ebben a témában járatosak és tudnak megoldást találni a problémámra!

Egy kisebb hálózatot szeretnék létrehozni 1 serverrel és 5 klienssel. Természetesen csak a szerveren lenne internet elérés és ezt szeretném szétosztani a másik 5 gépre helyi hálózaton keresztül. A hardware és minden egyéb szükséges dolog adott, a lényeg viszont az lenne, hogy mindegyik gépen, beleértve a szervert is, Windows-t akarok használni. Azt tudom, illetve már kipróbáltam, hogy szerverként Linux üzemelt és probléma nélkül ment is a net elérés mindegyik gépen, viszont mindenféle képpen a szerveren is Windowsnak kell lennie.
Szóval a lényeg, hogy hogyan kell beállítanom a szervert illetve a többi gépet ahhoz, hogy minden probléma nélkül menjen? Milyen programok kellenek ehhez mindkét oldalon, illetve egyáltalán a Win98 alkalmas-e arra, hogy ezt megoldja? Kell-e valamilyen proxy-programot használnom, illetve milyet? És még egy nagyon fontos kérdésem lenne: a felcsatlakozást az internetre csak a szerver gépen tudom megoldani, vagy létezik olyan megoldás, program, amivel a másik szobában lévõ kliensrõl is létre tudom hozni a kapcsolatot (persze akkor, ha a szerver be van kapcsolva?) Ezt Linuxon egy Putty nevezetû programmal már megvalósítottam korábban, de ahogy említettem, most csak Windows-t akarok használni erre a célra!

Segítségeteket elõre köszönöm: Cselõtei József

[grt]

Hali!

Példának az otthoni megoldásomat tudom hozni, ott egy windows XP osztja meg az internetet a többi gép felé, de lehetne win98se vagy winme is. Ezekben az oprendszerekben a szolgáltatás alapból benne van, internet kapcsolatmegosztásnak nevezik, 98se és me alatt külön telepíteni kell a vezérlõpult/programok hozzáadása/windows telepítõ fül alatt.
Ha beüzemeled a rendszert, a windows masquerading-olni fog, névkiszolgáló és DHCP szolgáltatást nyújt (192.168.0.x-es ipket oszt a többi gépnek) - igaz, mindezt tökéletesen konfigolhatatlanul.
A dolog annyiban korlátos, hogy a belsõ hálózatos gépek nem tudnak kifelé szolgáltatásokat nyújtani (ez windows XP alatt már nem teljesen így van) ez miatt pl. az IRC és az FTP problémás lehet.
Az internet-kapcsolatmegosztás beállítható úgy is, hogy ha szükség van rá, a gép azonnal kapcsolódik (ezzel vigyázni kell, mert esetleg drága lehet ha napközben felmegy a géped a netre csak azért, hogy megnézze a windows update-ket).
Ha ebben a megoldásban nem bízol, akkor windows-t is lehet távolról vezérelni, létezik egy VNC nevû free program (http://carcass.eng.cam.ac.uk/vnc), ezt telepítsd fel és máris eléred a desktop-ot bárhonnan.
A biztonságról nem nagyon tudok nyilatkozni, szerintem ezek nem igazán ipari megoldások, win98se alatt próbáltam ezt egyszer tûzfallal kombinálni, elég siralmas eredménnyel. XP alatt mûködõképes lehet a dolog, hisz beépített tûzfal van, igaz inkább problémákat okoz, mint megoldja õket.

[pepus]

Köszömöm a segítséget, szinte tökéletesen sikerült megoldani a dolgot! Letöltöttem egy proxy server programot, ez fut a kiszolgáló gépen, a klienseket pedig ennek megfelelõen konfiguráltam. A VNC pedig pont az a program volt, ami kellett, tökéletesen el lehet vele érni a modemet bármelyik géprõl!
Szóval minden rendben megy, már csak egyetlen problémát kellene megoldanom. Szerintem ez egy egyszerû beállítás kérdése lehet, de egyenlõre még nem mûkszik. Szóval a serveren tökéletesen fut az Outlook, tudok rendesen leveleket küldeni és fogadni, ahogy kell, viszont ugyanezt még nem sikerült megoldanom a klienseket. Egyszerûen nem érik el a mail-szervert, egyáltalán nem tudok rajtuk levelezni. Nem tudom, egyáltalán lehetséges lenne-e ez, bár gondolom igen. Vagy valami port beállítás nem jó, vagy más probléma lehet. A serveren egyébként a rideway nevû program fut, ennek segítségével építem fel az internet kapcsolatot, illetve ezzel sikerült megosztanom az internet elérést a többi géppel.
Ha esetleg ehhez is tudnál (tudnátok) segítséget adni, nagyon örülnék neki!

Elõre is köszönöm: Cselõtei József

[grt]

A levelezés jó eséllyel azért nem megy, mert proxy szerverrel oldottad meg a net megosztását (Nem ismerem a proxydat, de szerintem az csak HTTP/FTP proxy lehet nem?).
Szerintem telepítsd fel a windowsba beépített internet kapcsolatmegosztást is és akkor a gépek minden porton ki tudnak majd menni a netre mintha valós netes címük lenne.

[the wizard]

[QUOTE]Ezt írta oscar:
[QB]

udv

Az XP tuzfalaban meg megbiznek, ha mernek bizni az IP vermeben...
[QB]

Szerintem nagy bátorság lenne egy folyamatosan a neten levõ PC-t "csupaszon", akár csak az XP tûzfalával fenthagyni. Lassan fél éve vagyok a szerencsések klubjában és kábelen nyomulok a neten. Ez alatt az idõ alatt sajan megtapasztaltam, hogy rengetegen kiváncsiak a gépemre. Az XP tûzfala a betörési kisérletekrõl eleve nem ad tájékoztatást, amikor pedig szétcseszik az adataimat, akkor érthetõ módon kussol...

Ezért az elsõ két betörés után jobbnak láttam kikapcsolni és a ZoneAlarm Pro 3 és a Norton Antivírus 2002 párosítást használni helyette.

Naponta 20-25 kisérletet regisztrál a tûzfal, azok jól nyomon követhetõek és dokumentáltak is.

Javaslom, az XP és egyáltalán az MS tûzfalakban ne bízz meg!

Salute!

Phil

[Fungo]

Sziasztok,

Orommel olvasom, hogy letezik ilyen topic is. Sajna nem volt idom az osszes hozzaszolast elolvasni, de gondoltam azert en is hozza tudnek tenni a dolgokhoz.
Eloszor is Cisco PIX:
Ez is csak egy PC megfelelo OS-sel. Pl egy Cisco 525-os PIX a sh ver parancsra a kovetkezot dobja:
Hardware: PIX-525, 256 MB RAM, CPU Pentium III 600 MHz
A kartyak is PCI-osak (bar az aruk a PC-s kartyak tobbszorose). Amit ez a rendszer tud az asztali PC-kkel szemben az a Stateful Failover funkcio (persze ha megvettuk a megfelelo szoftver kulcsot hozza). Ez egy eleg fontos dolog uzleti alkalmazasoknal. Persze az operacios rendszer is a tuzfal funkciora van kielezve. A konfiguralas egyszeru es konnyen atlathato.
Nokia: A Nokia dobozok manapsag mar Check Point tuzfal szoftvert alkalmaznak. Nem sok elonyet tudnam megemliteni a dolognak. En csak a CryptoCluster sorozattal talalkoztam, ami csak kezdetleges tuzfalszeru funkciokkal volt ellatva. A Nokia termekek altalaban nagyon dragak. Elonyuk, hogy ugynevezett Clusterek epithetoek veluk, azaz tobb termek osszekapcsolasa reven teljesitmenyuk osszeadodik. (A PIX Stateful Failover funkcional az egyik tuzfal aktiv a masik nem csinal semmit, csak az aktiv tuzfalat figyeli.)
Netscreen: Nem tudom mennyien hallottatok mar errol a termekrol, de szerintem egy nagyon igeretes dolog. Ez tenyleg hardveresen csinalja a funkcioi nagyreszet. Elsodlegesen VPN es tuzfal funkciokkal rendelkezik, de QoS, Routing, IDS, HA (High Avability) funkciok is be vannak epitve a dobozba (ezekkel a Nokia is rendelkezik, termeszetesen felarert adnak mindent). A specialis ASIC-nak koszonhetoen nagyon gyorsak. Termeszetesen nem egy teljes IDS dobozt kapsz a penzedert, de kezdetleges tamadasokat felismer, valamint egyuttmukodik a legnevesebb IDS termekekkel. WebSence tamogatasa is van URL filteringhez (URL filtering manualisan konfiguralhato). Sokkal tobbet tud a tobbi ceg termekenel es lenyegesen olcsobb. Persze nem maganszemelyeknek fejlesztik, de a legkisebb termek mar 500$ koruli aron kaphato (4 Mbyte encryption, Firewall, QoS). Osszehasonlitaskeppen a Nokia CryptoCluster 2500-as 12.000$ korul mozog (erre meg rajon a Check Point licensz, QoS licensz, IDS licensz) es korulbelul 40 Mbytenyi forgalmat tud titkositani masodpercenkent.

Most ennyi.

Koszonom.

[oscar]

idézet:

---

Ezt írta the wizard:

Javaslom, az XP és egyáltalán az MS tûzfalakban ne bízz meg!

Phil[/QB][/quote]

Hali

Egyetlen windowst futtato gepet sem hasznalok internet-eleresre. Nem buggyantam meg... Tele vannak alkalmazas szintu bajokkal. A bongeszon es az email kliensen at nagy kart lehet bennuk tenni.

Az idezett mondat ironikus volt. Az a tuzfal aminek az ember az IP vermeben nem bizik meg, az ugye nem megbizhato. De ez ugyanugy vonatkozik az MS oprendszerekre raaggatott vacakokra is. Mivel az OS IP verme egy kalap tragya, nem lehet ezekben sem megbizni.

bye

[oscar]

Hali

Talalkoztam a Nokia IP sorozat nagyobbacska tagjaival.
Modositott freebsd fut bennuk x86 vason.
Elsosorban routernek keszulnek, annak nagyon jok. hotswap PCI kartyak vannak bennuk, baratsagos kis gepek. Ha akarsz tuzfalat (nem a freebd ipfw-t amin egyebkent van rajta), akkor venni kell CheckPoint Firewallt ra. Ami draga...
De legalabb egy elfogadhatoan jo allapotorzo csomagszuro.

Ha igazi tuzfalat szeretnel, akkor nem erdemes a Gauntletnel lejjebb adni.
Alkalmazas szintu, modularis joszag, es elfut OpenBSD-n. Ami azert eleg kellemes kis OS biztonsagi szempontbol.

Az ara ennek is, mint a legtobb enterprise megoldasnak, elegge magas.
Ha draganak ez mind tunik van Zorp. Az is alkalmazasszintu. Meg allitolag jo is.
Meg ott van az ipfilter meg az obsd packet filter ami allapotorzo csomagszuro, meg jo is.


Ez persze mind szubjektiv maganvelemeny. Sajnos nem volt lehetosegem mindet tesztelni.