מתקינים אצלנו פיירוול של צ'ק פויינט

[papilon7]

מתקינים אצלנו פיירוול של צ'ק פויינט

שלום לכולם סוף סוף שבוע הבא מתקינים לנו פיירוול של צ'ק פויינט, דרך אחד מה ISP ואני מצטט את בקשת המנהל שלי: "תבדוק בבקשה אילו פורטים כדאי לחסום (עם הפורומים שלך) והמלצות משתמשים ברשת כשלנו. -חסימות EMULE, KAZZA, ICQ,, JAVA SCRIPTS" מדובר ברשת עם כ 25 עמדות עם מע' הפעלה שונות. שרת 2000SBS אודה מאוד לעזרתכם. המשך שבוע משובח (מחר כבר יום חמישי) ותודה מראש

 

[פוֹלי]

תעשה את זה יותר פשוט../images/Emo35.gif

תתקין ב default שהכל חסום, כך שמה שישאר לך לפתוח זה דברים בסיסיים (http, ftp, https) ככה אני עשיתי, וזה היה הדבר הכי פשוט שהרצתי, 10 דקות הגדרתי מה כן לפתוח, ואת שאר הדברים הוספתי לפי פידבק מיוזרים, אם מישהו נכנס לאתר ולא מקבל את השורות של user login הולכים ופותחים פורט TCP_Tomcat וכו'... ברב המקרים הדברים שלא יעבדו הם פורטים ספציפיים שצריך לפתוח לפי בקשה של מפעיל מסויים. תתחדש, נורא כיף וקל לעבוד איתו

 

[papilon7]

תודה על תגובותיכם. איזה פורט משמש

ל VPN? מתקינים לנו Safe@office. אני מקווה ללמוד הרבה , מכיוון שעוד לא יצא לי להתעסק עם פיירוול בחברה. למרות שכבר קראתי פה , בעבר, שבדר"כ ה ISP לא נותנים הרשאות . ומנסים לשמור לעצמם את כל הסמכויות. בפועל איך לומדים על תפעולו, ה ISP אמור להשאיר לי קבצי PDF או משהו אחר עם הוראות? ושוב תודה והמשך שבוע משובח

 

[Teo Toriatt]

חסרים פרטים

זה CP מלא? Expree\ss? Safe@office? בכל מקרה מסכים עאם זה 25 אנשים - HTTP , HTTPS FTP וכמובן Domain UDP כמובן שאם לא תפתח מסנג'ר אז מייד יקפצו עליך "האינטרנט לא עובד" כנ"ל ICQ למרות שלדעתי זה משהו שעדיף בלעדיו. Java זה לא פרוטוקול עם פורט אז זה קצת בעיה - למרות שיש Java Script Weeeding זה משהו שכמעט לא משתמשים בו.

 

[antidot]

למה להזניח 53 TCP

גם zone transfers וגם עבור שאילתות גדולות.

 

[Teo Toriatt]

פשוט

ZOnetransfer לחברה של 25 אנשים? למה? ושאילתות גדולות? למייטב ידיעתי גם הן רצות על UDP פשוט כמה ברצף אם היה מוגדר שיש DNS פנימי עם Primery או Secondery בחוץ הייתי מסכים אבל אם לא - TCP מיותר לדעתי כאן

 

[ariev]

DNS משתמש ב-TCP לא רק עבור

zone transfer אלא גם בשאילתות שעליהן התשובה ארוכה מידי... לדוגמה אתרים שעושים DNS load balancing ומגזימים... זה נדיר אבל כשזה יקרה אתה בחיים לא תעלה על הסיבה ללא sniffer וכמה שעות פנויות

 

[Teo Toriatt]

../images/Emo51.gif

 

[Admini]

למה שווה בכלל לחסום את MSN ודומיו ?

ממה שראיתי כמות רוחב הפס שהם תופסים היא מזערית... או שהשיקול הוא שונה ? אצלי הם מורידים עומס אדיר משרת הדואר ויותר נוחים ממנו לא פעם. ובכלל, תמיד יש גם את icq2go או את Web Messenger שצריכים רק HTTP פתוח...

 

[Teo Toriatt]

זה לא רוחב הפס

זה אבטחתה המידע הבעיה היא העברת קבצים. ב Messenger ניתן לחסום את הפורט אבל בICQ לא - אז אפשר לחסום, ומבחינתי אפילו את ICQ2GO כי אין מה לעשות אנשים שלא מבינים יקבלו כל קובץ כולל EXE ו VBS - והנה נכנס וירוס או טרויאני.

 

[Tnalas1]

אבל

ראיתי בICQ2GO שישנן אפשריות להתחבר דרך פורט מוגדר אישית, האם זה אומר שאני יכול לעקוף את הFIREWALL על ידי מציאת פורט פתוח לOUTGOING? ואיך אפשר לחסום ICQ2GO? אממ Admini מזתומרת HTTP, זה ממש יוצא על 80?

 

[Admini]

וירוסים אפשר לקבל גם בדוא"ל

סתם יש לי הרגשה שיותר כיף לעבוד במקום שיש יותר דברים פתוחים

(אני לא קובע עובדה, אני מנסה להבין מה גורם למנהלי רשת לחסום כל דבר שזז למרות שהסיכון שלו הוא קרוב/שווה לאפס)

 

[antidot]

----->

אכן יותר כייף לעבוד במקום בעל מדיניות פחות נוקשה, אבל: 1) אתה לא בא לעבודה רק בשביל הכיף. 2) אף פעם אין לשים נוחיות מעל אבטחת מידע. 3) יש דרכים לספק סביבה מאובטחת עם יכולת IM 4) זה שווירוסים יכולים להגיע בדרכים אחרות לא אומר שלא צריך לצמצם את האפשרויות.

 

[Admini]

אהה... הבנתי ../images/Emo13.gif ../images/Emo51.gif

 

[roy27787]

אממ בקשר לאיסי קיו...

אי סי קיו מלכתחילה לא יעבוד מתחת לפיירוואל אלא אם לא הגדרת לו את זה... ולאחר שהגדרת לו את זה הוא יקבל רק ממישהו בעל הגדרות לא זהות... מה שכן ניתן לעשות כדי לא לאפשר העברת קבצים ,זה להיכנס להגדרות האי סי קיו ואז ל CONNECTIONS...להיכנס ל ADVANCED ולהכתיב לו כמה פורטים לעבוד איתם שיהיו חסומים בפיירוואל,ככה ההעברה לא תעבוד....אבל אם עושים זאת צריך להסתמך על זה שהמשתמש לא ייגש לשם ויוריד את ההגדרה הזאת...