Re: Anbefaling av switch
David Brown
> David Brown wrote:
>
>> Dermed må du først finne ut hva boksen du har nå heter, og om det
>> virkelig er en NAT router. Hvis ikke, har du PC'en tilkoblet rett til
>> Internettet - og hvis det er en Windows PC, er det bare et
>> tidsspørsmål før du er en del av en botnet.
>
> Ikke at jeg skal anbefale noen å koble en windows boks "rett på nett",
> men jeg har lest en artikkel der de koblet en patchet XP maskin rett på
> nett. Den stod i flere måneder uten å bli tatt. Klarer ikke finne den i
> farten, men jeg mener Bruce Schneier linket til den en gang...
>
Jeg har også hørt om gjennomsnitt tider på rundt 2 timer - med
brannmuren på. Og jeg har sett det i praksis hos andre.
Det er klart at det vil avhenger sterkt av hva du har på systemet
ellers, og på flaks og uflaks ettersom sikkerhetsfeil blir funnet og
fikset. Det er også avhengig av det fins lettere automatiserte måter å
angripe PC'er - hvis en av de "slemme" virkelig vil komme inn i windows
PC beskyttet kun av windows brannmur eller en software brannmur, kan du
regner med at de kommer inn til slutt. Når det er såpass enkelt å ha en
solid router som stopper alt som kommer innover at det er dumt å ikke ha en.
(Jeg jobber bl.a. som IT ansvarlig - jeg får betalt for å være paranoide!)
>> Hvis det du har er allerede en NAT router og brannmur, burde hvilke
>> som helst nettverksswitch fungere - velg en som ser fint ut. Det er
>> ikke nødvendig med Gb switch for de fleste - med 100 Mb tar det et
>> minutt å kopiere en CD (6 minutt for en DVD). Hvis du ofte ønske å
>> kopiere flere CD'er per minute, kjøp en Gb switch.
>>
>> Hvis boksen du har er kun en ADSL modem, trenger du en NAT
>> router/brannmur (helst før du slår på PC'en igjen).
>
> Synes dette er å dra det rimelig langt, hvis man f.eks har enablet
> windows firewall.
> Slik ting har utviklet seg den siste tiden, ville jeg vært mer bekymret
> for en pc med upatchet internet exploder, acrobat reader eller kanskje
> spesielt flash player. Se f.eks http://isc.sans.org/diary.html?storyid=4465
> Her vil hverken en firewall eller NAT router hjelpe deg det minste.
Det er mange måte å få malware inn i PC'en. Det beste måten å bekjempe
det er å kombinere tiltak mot det som kan skje ved uhel, med litt
fornuft og forsiktighet ellers. Dermed burde man ha en solid brannmur
mellom Internett og windows PC'er (enten en NAT router/brannmur, en
Linux/BSD maskin, eller noe annet brannmur) - det stopper alle direkte
angrip og orm. Man skal kjøre alle emailer gjennom en antivirus program
(helst hos ISP'en - de skal være flinke med oppdateringer), og man skal
unngå Microsoft email programmer (Outlook og Outlook Express) og
browserer. Følger man disse enkel regler, må man jobbe litt for å få
malware inn på PC'en - man må gå inn på skumlere deler av Internettet og
laste ned tvilsom programvare, eller tror at uventet emailer med nakne
videoer er faktisk ekte.
I min erfaring, fins det ikke noe som heter "patched internet exploder"
- den må alltid regnes som "upatched". En av de viktigste grunn til at
vi aldri har hatt noe alvorlig malware (og kun to-tre ganger hatt noe
som helst malware i løpet av 15 år) på nettverket på jobben min er at
jeg ikke tillatt bruk av internet explorer.
> I tillegg, i teorien behøver ikke en NAT router å beskytte pc'en din fra
> at maskiner utenfra initierer trafikk mot den (selv om de ofte gjør det).
>
Det er sant at en NAT router kan sleppe igjennom trafikk som kommer
innover, og det er også sant at en brannmur trenger ikke være NAT. Men
det er som regel behov til begge funksjoner i et router mellom
nettverket og Internettet, og som regel er begge funksjoner integrert i
samme boks. For de alle fleste, passer det fint med en enkel
brannmur/NAT router boks som stopper alle trafikk opp til at man bestemt
slepper det igjennom med konfigurasjon av boksen.
mvh.,
David