作者 主題: 軟體防火牆真的如此不安全?  (閱讀 35049 次)

0 會員 與 1 訪客 正在閱讀本文。

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 於: 2002-08-13 20:21 »
最近我們公司想要買個防火牆,
所以就有很多廠商來公司洽談了。

在天南地北胡扯瞎扯中,
某個廠商的業務對於軟體防火牆就很不屑了:

業務:那些軟體防火牆,像是 Linux 之類的,
   沒有一個是合格的。
   每一種防火牆都給人家隨隨便便就破掉了,
   所以說軟體防火牆是絕對不用去考慮的!
小四:(笨笨的)Linux 真的那麼差嗎?
業務:那還用說。我們的工程師在測過之後都說不敢用!
小四:是哦~~
   那 Microsoft 的 ISA Server 呢?
   聽說它有通過 ICSA 的認証了,
   應該是不算太糟吧?
   不知道 Linux 的 Iptables 有沒有通過 ICSA 的認証呀?
業務:拜託!Microsoft 的東西你敢拿來當防火牆呀?
   我們的工程師沒幾下子隨隨便便就破掉了。
   用 ISA Server 簡直是找死嘛~~
   從來沒有聽過有哪家公司用 ISA Server 來當防火牆的。
小四:Microsoft 的那些 Service Pack 都裝起來也沒有用嗎?
業務:當然!Microsoft 的產品問題那麼多,
   Service Pack 能補得了什麼?
小四:喔。(沈默)
   (好想請你們家的工程師來表演一下哦。)

請問一下各位大大,
Linux 的 Iptables 和 Microsoft 的 ISA Server 真的那麼差嗎?
Iptables 玩過,覺得非常不錯呀?
聽他那麼說,
本來想用 Linux 來架防火牆的念頭一下子大大動搖了。
而 Cisco 的 PIX 系列到底好在哪裡?
真的好迷惑哦~~~

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #1 於: 2002-08-13 20:28 »
你們有沒有檢測防火牆的方法?

Cisco PIX 畢竟是個成熟的產品!

假如你有興趣,
我可以給你幾個linux base的firewall網址,
你可以先抓回來玩玩試試看...
再比教一下成本效益比!

小穎

  • 俺是博士!
  • *****
  • 文章數: 1005
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #2 於: 2002-08-13 21:10 »
鄧肯大…小弟有興趣!^^
設定一個好的Firewall需要具備相當程度的網路知識
就算東西在好,用不出來它的價值也是白費!
CheckPoint如何?Software喔 ^^

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #3 於: 2002-08-13 21:32 »
引述: "duncanlo"
你們有沒有檢測防火牆的方法?

Cisco PIX 畢竟是個成熟的產品!

假如你有興趣,
我可以給你幾個linux base的firewall網址,
你可以先抓回來玩玩試試看...
再比教一下成本效益比!


真的??
如果您能提供,那真是太好了。
期待中~~

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #4 於: 2002-08-13 21:37 »
引述: "小穎"
鄧肯大…小弟有興趣!^^
設定一個好的Firewall需要具備相當程度的網路知識
就算東西在好,用不出來它的價值也是白費!
CheckPoint如何?Software喔 ^^


據說 CheckPoint 是 Linux Base 的哦,
但是 超~貴~ 的,
那些業務也極力不推薦,
『因為實在太難上手了。』

會不會是因為你們對於 Linux 太不熟了,
只會『下一步』、『下一步』、『完成』,
所以才會說很難上手?
小四心裡是這樣子 以小人之心度君子之腹 想的啦。

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #5 於: 2002-08-13 21:57 »
引述: "Tetralet"
據說 CheckPoint 是 Linux Base 的哦,
但是 超~貴~ 的,
那些業務也極力不推薦,
『因為實在太難上手了。』


我只知道它有很多平台的版本,
設定要搞清楚很多物件間的關係,
難....應該說是龜毛!

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
Re: 軟體防火牆真的如此不安全?
« 回覆 #6 於: 2002-08-13 22:54 »
我們在評估防火牆時,
當然是以-穩固性、安全性、操作性及價錢等等做考量了。

在穩固性方面,硬體防火牆當然比軟體防火牆好太多了,
反正硬體防火牆裡又沒硬碟,故障的機率實在小很多。
Windows 2000 和 Linux 都很穩定,難得當機,也是不錯啦,
但是拖顆硬碟總是差很多。

另一方面,CISCO 號稱可以接受 65,000 以上的 session,
而 MS ISA Server 及 Linux 我猜大概在 3,000 以上就受不了了吧?
不知有沒有人能提供正確數據?

不過有人說 MS ISA Server 及 Linux 只能撐得住大約 50 人的連線,
會不會太慘了點?

安全性方面,
我想硬體防火牆基本上都不錯吧?
硬體防火牆雖然不敢說完全沒有 Bug,
但是由於封閉的系統再加上本身的基本安全要求,
會出問題的機率我想是很少。
再加上廠商的支援服務,真的是固若金湯了。

而軟體防火牆就真的要看 MIS 個人的功力了,
但是想想,一個 MIS 功力再強也應該抵不過 CISCO 裡專門研究防火牆的工程師吧?
所以這方面應該有一定的風險在的。

MS ISA Server 的安全性呢?
MS ISA Server 會和 Windows 2000 的 AD 結合,
加上 Windows 2000 本身的漏洞 MIS 必須要一直去補,
還有各式各樣惱人的病毒問題,
MS ISA Server 的確是有其根本上的問題。

嗯~~如果用了軟體防火牆,
一旦出了問題,小四大概準備回家吃自己了。

在操作介面方面,
現在很多的防火牆都有提供很多的 Log 分析、即時監控、即時警示的工具,
這方面我想 Linux 和 MS ISA Server 都有,但是似乎比較不完備,
(尤其是 Linux,很多都是付之闕如)
但是還是可以接受吧?

另外,CISCO PIX 系列和 Linux 都是用 IP 來做權限控管,
但是 MS ISA Server 可以和 Windows 2000 的 AD 結合,
基本上 MS ISA Server 的管理工作會輕鬆很多,
不過 MS ISA Server 的安全性也就因此降低了一點些。

對了,還有一個大重點:VPN。
這方面就是 CISCO PIX 系列和 MS ISA Server 的強項了,
Linux 就小四所知,有 VPN 的功能,但是實在太陽春了。
(小四有架過,不過真的好像是玩具哦~~)
或者有人能提供一點技術上的指點?

不過 Linux 可以同時提供 DNS 的服務和 Mail Server 的備援,
是一個很令人心動的地方。
MS ISA Server 當然也可以,
但是再弄台 Exchange Server 有點兒小題大做。

對了,那業務說 CISCO 的 PIX 515 有提供 Proxy Server 的功能,
是真是假呀?

在價格方面,
Linux 只要一台 PC 即可,
算是極為誘人吧。
其它像是 CISCO PIX 515 都是十幾萬起跳的,
MS ISA Server 加上授權費大概也要花上十幾萬吧?

請問各位大大的意見如何?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
軟體防火牆真的如此不安全?
« 回覆 #7 於: 2002-08-13 23:27 »
小弟在這裡曾和大家討論過防火牆相關的館點:
http://phorum.study-area.org/viewtopic.php?t=9547

也曾在新聞組上討論過與本題類似的:
http://groups.google.com/groups?hl=zh-TW&lr=lang_zh-TW&ie=UTF-8&oe=UTF-8&frame=right&th=51ee414680d69c1b&seekm=abv8ck%24f9m%241%40news.seed.net.tw#link11

最後,我舉兩個極端:
您在家裡會用哪種 firewall ?
您是大型網路的主管又如何?

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #8 於: 2002-08-14 00:08 »
引述: "netman"
小弟在這裡曾和大家討論過防火牆相關的館點:
http://phorum.study-area.org/viewtopic.php?t=9547

也曾在新聞組上討論過與本題類似的:
http://groups.google.com/groups?hl=zh-TW&lr=lang_zh-TW&ie=UTF-8&oe=UTF-8&frame=right&th=51ee414680d69c1b&seekm=abv8ck%24f9m%241%40news.seed.net.tw#link11

最後,我舉兩個極端:
您在家裡會用哪種 firewall ?
您是大型網路的主管又如何?



哎呀呀呀~~
背上的汗潸潸而下...
原來早有人討論過了...
我這算是佔版面了吧?

不過,還是很認真得回答 Netman 大大的問題。


在家裡,如果是用 Linux,
當然是用 iptables 就太夠了。
在 Windows 下,會用 Norton 的 Firewall (2001版) 吧?
個人感覺上很好用。


如果是大型網路的主管?

講求速度效率,
當然是用 Cisco 的 PIX 為首選。
不過聽說以前的 PIX 會當機,但是已經修正了。

講求易於管理,可能用 MS ISA Server 會比較好。
因為用 IP 來控管權限時,可能要用 DHCP + MAC Address,
或者是所有的使用者都用固定 IP,
不是很好弄。

講求安全性,
當然 CISCO 的 PIX 應該是最好的...
MS ISA Server 和 Linux 的 iptables 應該還是比不上 CISCO 的 PIX...

講求價錢,大公司在乎這個嗎?

講求穩定性,CISCO 的 PIX 應該也是首選。


嗯,說來說去,應該是選擇 CISCO 的 PIX 沒錯吧?



不過,有個很困擾的地方:
不知 Netman 大大知不知道 betwin 這套軟體?
只要在一台主機上接上雙螢幕、
再加上一組 USB 的鍵盤滑鼠,
它可以讓兩個人同時共用一台電腦,
有點像是 Windows 2000 的 Terminal Server。

我們公司為了節省電腦軟硬體支出,
幾乎都是兩、三個人共用一台電腦,
所以,就有兩個人同時共用一個 IP Address 的問題了,
(事實上這兩個人的確不能同時使用『網路上的芳鄰』,會出現錯誤訊息)
如果使用 CISCO 的 PIX 的話,
使用者的權限就很難控管了。
比如說我讓 A 可以用 POP3 對外連線,
但是由於 B 和 A 共用一台電腦,
所以 B 也可以用 POP3 對外連線了,
這個造成權限控管上的困擾。

所以我們在考慮是否要使用 MS ISA Server,
但是對於 MS ISA Server 真的沒什麼好感,
所以還在猶豫不決中....

對此,請教 Netman 大大是否有什麼解決的方法呢?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
軟體防火牆真的如此不安全?
« 回覆 #9 於: 2002-08-14 10:40 »
小四哥客氣了! ^_^

小弟前面所舉的例子不是為了要答案,而是要表達:
不同的場合用不同的方案。

所謂方案,沒甚麼最好的,只有最合適的而已。
但關鑑是評估﹔而評估的關鑑是環境﹔環境的關鍵是客戶需求 ....

又:我也相信另一句話:凡存在的,自有其必然。
所以,硬體  firewall 的存在,也是必然的。至於價格是否何理,並不以廠商說的為依據,而是以自己的投資/回報比為準。

老實說,目前很難給您甚麼意見,尤其是安全方面的,責任實在太大了。
我想,小四哥完全有能力自己選擇最合適的方案。

p.s.
小四哥說 linux 的 vpn 像玩具,不知到"非玩具"的 vpn 是怎麼樣的呢?呵~~ 因為實在不知,故此想開開眼界。

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #10 於: 2002-08-14 10:50 »
我跟你說的Firewall,
其中有一套可以用Windows的帳號作認證,
你看看功能是不是你要的...

假如你想買MS ISA...
那要不要考慮買IBM Firewall?

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
軟體防火牆真的如此不安全?
« 回覆 #11 於: 2002-08-14 10:53 »
軟體式防火牆不是不好
而是在OS及主機上有更多的問題和投資

硬體式是一種趨勢擋也擋不了

建議去參考一下NETSCREEN
不錯的選擇
佈線深似海!
網路高如天!

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #12 於: 2002-08-14 11:01 »
引述: "ZMAN"
建議去參考一下NETSCREEN
不錯的選擇


這東東也不錯,
好像也有支援VPN,
不過...記得換新版的ROM哦!

很多號稱是硬體式的Firewall,
實際上還是軟體式,打開機殼看就知道了...

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
軟體防火牆真的如此不安全?
« 回覆 #13 於: 2002-08-14 11:06 »
對啊

PIX打開可以看到INTEL CPU和RAM和PCI插槽

NETSCREEN是ASIC處理效能不錯
加了頻寬管理功能
VPN則是可選擇要或不要的型號
佈線深似海!
網路高如天!

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
軟體防火牆真的如此不安全?
« 回覆 #14 於: 2002-08-14 11:07 »
我所"以為"的硬體式,應該是將 code 寫在 ROM 上的,甚至連 IC 都是專門設計的。

哈~~ 還是我的想像力過於豐富了?

ericshei

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 2257
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #15 於: 2002-08-14 11:08 »
記得twu2學長,任職的醫院,就是用linux來作firewall,請他說說使用心得,應該會蠻值得參考的~~ :)

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #16 於: 2002-08-14 11:10 »
引述: "duncanlo"
很多號稱是硬體式的Firewall,
實際上還是軟體式,打開機殼看就知道了...


我說的這種,
是它的系統也是跑Linux或NT,
拆它的2.5" HDD到你PC上看就知道了...

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #17 於: 2002-08-14 20:08 »
引述: "netman"

p.s.
小四哥說 linux 的 vpn 像玩具,不知到"非玩具"的 vpn 是怎麼樣的呢?呵~~ 因為實在不知,故此想開開眼界。


是這樣子的。

在學 Linux 之初,(那也才不過一年多前的事)
當然是 DNS、DHCP、WWW 等等各式 Server 都要拿來架架看了,
等到要架 VPN Server 時,慘了,根本不知道該用哪一套軟體來架才行,
也沒聽人家說在 Linux 上是否可以架 VPN,
在網路上找了好久也找不到(我承認我很笨),
問來問去也似乎沒有人知道。

後來,我找到了 Linux PPTP Server 這套軟體,
Linux PPTP Server 基本上真的是超好架的,
稍微編繹、設定一下,下達 pptpd 就開始跑了,
真的是超單純的。(這也是我最喜歡 Linux 的地方)

不過它的使用者認証方式,
是將 帳號/密碼 用『明碼』的方式寫入 /etc/ppp/chap-secrets 這個檔案中,
無法和 Linux 的帳號做結合,
以管理者的角度而言當然是不合格的。

而我在使用 Windows 2000 來和它做連結時,
Windows 2000 的 帳號/密碼 必需使用 明碼 的方式來登入 VPN,
感覺上根本就還不成熟嘛~~

所以後來公司說要用 Windows NT 來架 VPN 時,
小四我都不敢替 Linux 吭一聲...

不過現在想想,Network 不是 Linux 的強項嗎?
怎麼 VPN 會這樣子呢?
我猜大家的 VPN 一定不是用 Linux PPTP Server 架的,
一定是我搞錯了,
所以要請 Netman 大大指教了。

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #18 於: 2002-08-14 20:23 »
引述: "Tetralet"
在學 Linux 之初,(那也才不過一年多前的事)
當然是 DNS、DHCP、WWW 等等各式 Server 都要拿來架架看了,
等到要架 VPN Server 時,慘了,根本不知道該用哪一套軟體來架才行,
也沒聽人家說在 Linux 上是否可以架 VPN
在網路上找了好久也找不到(我承認我很笨),
問來問去也似乎沒有人知道。

後來,我找到了 Linux PPTP Server 這套軟體,
Linux PPTP Server 基本上真的是超好架的,
稍微編繹、設定一下,下達 pptpd 就開始跑了,
真的是超單純的。(這也是我最喜歡 Linux 的地方)


我不知道VPN有沒有確定的作法,
不過有人用ssh來連線傳送資料也算是VPN的一種!

我發現用FreeS/WAN架VPN Gateway還滿不錯的,
老外及一些Firewall也是用這東東來架VPN Gateway,
假如你有需要,我再給你一個網址,
照上面作,就可以用win2k,winxp跟FreeSWAN連了!

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #19 於: 2002-08-14 22:06 »
引述: "duncanlo"
我不知道VPN有沒有確定的作法,
不過有人用ssh來連線傳送資料也算是VPN的一種!

我發現用FreeS/WAN架VPN Gateway還滿不錯的,
老外及一些Firewall也是用這東東來架VPN Gateway,
假如你有需要,我再給你一個網址,
照上面作,就可以用win2k,winxp跟FreeSWAN連了!


光是一天之內,
您就給了我很多十分寶貴的資料,
不知要如何謝謝您才好。

VPN 記得沒錯的話,
我們可能會做像是 Client 連線至公司內部,
或 Site to Site 的 VPN,

做 Site to Site 的 VPN,
我的想法是這樣子的啦:

 首先,A Site 和 B Site 必須是使用不同的 IP 網段,
 如:192.168.1.0/24 和 192.168.2.0/24,

 然後在 A Site 中架設一台 VPN Server 的主機,
 A Site 中的每一台機器的 Default Gateway 都指向這台 VPN Server 主機。

 同時,在 B Site 中架設一台用 VPN Client 連上 A Site 那台 VPN Server 的主機,
 B Site 中的每一台機器的 Default Gateway 也都指向這一台擔任 VPN Client 的主機,
 這樣兩個網段就連在一起了。

 然後修改 A Site 的 VPN Server 的 Routing Table,
 將所有傳向 192.168.2.0/24 的連線都轉到 B Site 的那一台擔任 VPN Client 的主機上,
 B Site 的方法也是一樣,
 將所有傳向 192.168.1.0/24 的連線都轉到 A Site 的那一台擔任 VPN Server 的主機上,
 這樣子 Site to Site 的 VPN 就出現了。

 問題:每一次 B Site 的那一台擔任 VPN Client 的主機連上線時,都必定可以拿到同一個 IP 嗎?

這是小四自己想的,
沒有實作過,
不知這個想法到底對不對?
還請各位大大指教。

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
軟體防火牆真的如此不安全?
« 回覆 #20 於: 2002-08-14 22:10 »
引述: "Tetralet"
不過它的使用者認証方式,
是將 帳號/密碼 用『明碼』的方式寫入 /etc/ppp/chap-secrets 這個檔案中,
無法和 Linux 的帳號做結合,
以管理者的角度而言當然是不合格的。

Windows 2000 的 帳號/密碼 必需使用 明碼 的方式來登入 VPN,
感覺上根本就還不成熟嘛~~


說真的,我沒用過 linux 的 pptp ,但我們須要弄清楚使用 plaint text passwd 的時後,是在 tunnel 建立之前還是之後。如過是之後,還可以接受啦,因為 tunnel 本身就已經加密了。

再,就算在 tunnel 外好了,我們還要了解 CHAP 和 PAP 驗證的不同。基本上,CHAP 是一種 challenge / respone 驗證方式,密碼根本不會參於傳送,完全沒辦法"攔截"到的。當您看完 O'Reilly 之 PPP 網路管理(58-60頁)之後,您將可放心使用 CHAP 了。

至於小弟的,關於 gateway-to-gateway 類型的 vpn 架設經驗,可參考:
http://www.study-area.org/tips/vpn.htm

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #21 於: 2002-08-14 23:12 »
架構有點像...


通常VPN Gateway兩方都是用固定IP,
不然最少也要一方是固定IP,
用VPN連接起來後,
就好像用Router隔開兩個網段一樣.

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
軟體防火牆真的如此不安全?
« 回覆 #22 於: 2002-08-15 10:58 »
引述: "netman"
我所"以為"的硬體式,應該是將 code 寫在 ROM 上的,甚至連 IC 都是專門設計的。

哈~~ 還是我的想像力過於豐富了?


其實業界的花樣很多

像是ROUTING功能來說
有些設備是用軟體方式有些設備是用ASIC
但是外表都是一台機器

我的分法通常是

軟體式
需要USER自己準備或買一台PC或伺服器裝好NT/2000或索拉哩私/LINUX
等作業系統後再來安裝的AP

APPLIANCE
機器含程式作成一台整體賣給USER
這類設備內部硬體可能是PC架構
作業系統可能是精簡型LINUX或專屬系統...

硬體式
整體專屬機器架構大多採ASIC處理

這只是大原則當然變化很多
其實我一再講的各位LINUX高手
只要搞個漂亮的人機介面加個有質感的外殼
就可以賣錢啦
當然要有市場分析及行銷策略.......這是後話
佈線深似海!
網路高如天!

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
軟體防火牆真的如此不安全?
« 回覆 #23 於: 2002-08-15 13:14 »
引述: "ZMAN"
只要搞個漂亮的人機介面加個有質感的外殼


下面這個殼子如何?


duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #24 於: 2002-08-15 13:17 »
不能上機架又超像XBOX,
那我來找個像PS2或小叮噹的...

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
軟體防火牆真的如此不安全?
« 回覆 #25 於: 2002-08-15 18:57 »
自己用還可以
如果要拿來賣質感還不夠
而且要能上19吋機架
還要有燈號
佈線深似海!
網路高如天!

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #26 於: 2002-08-15 20:48 »
引述: "netman"

說真的,我沒用過 linux 的 pptp ,但我們須要弄清楚使用 plaint text passwd 的時後,是在 tunnel 建立之前還是之後。如過是之後,還可以接受啦,因為 tunnel 本身就已經加密了。

再,就算在 tunnel 外好了,我們還要了解 CHAP 和 PAP 驗證的不同。基本上,CHAP 是一種 challenge / respone 驗證方式,密碼根本不會參於傳送,完全沒辦法"攔截"到的。當您看完 O'Reilly 之 PPP 網路管理(58-60頁)之後,您將可放心使用 CHAP 了。

至於小弟的,關於 gateway-to-gateway 類型的 vpn 架設經驗,可參考:
http://www.study-area.org/tips/vpn.htm


了解。
等我研究清楚後會再上來報告的!

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #27 於: 2002-08-15 20:52 »
引述: "duncanlo"

假如你想買MS ISA...
那要不要考慮買IBM Firewall?


IBM Firewall 我去問了,
但是它也是用 IP 來控管的。

不過它有一款是用 Windows NT 當 Kernel 架的,
現在已經不賣了,
不過敢用 Windows NT 架 Firewall,
可真是太厲害了。
(想想它的效能和可能的漏洞及令人傷透腦筋的病毒....)


問個問題:

我記得 iptables 也可以依據使用者來設定權限,
如果我在 Linux 上建好了帳號及密碼,
那 Windows 的使用者如何能夠通過 Linux 的權限認証,
而達到權限控管的目的呢?

如果這個沒問題的話,
那小四就很可能會決定用 Linux 來架 Firewall 了。

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
軟體防火牆真的如此不安全?
« 回覆 #28 於: 2002-08-15 21:02 »
對了,我又想到一招了。

我用 Linux 來架防火牆時,
如果這台 Linux 只提供 DNS、Proxy、Mail 備援和 Firewall 功能,
這時我 不要設定 這台 Linux 的 Default Gateway,
只有在 iptables 中設定對於要外送的 來源 / 目的 為 53、80、25 Port 的連線轉送到 Router 上去,
這樣子是不是可以讓這台 Firewall 完全消失在網路上,
讓安全性更高一些?

不知這個方法可行性如何?請各位大大指教!

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
軟體防火牆真的如此不安全?
« 回覆 #29 於: 2002-08-15 23:55 »
引述: "Tetralet"
問個問題:

我記得 iptables 也可以依據使用者來設定權限,
如果我在 Linux 上建好了帳號及密碼,
那 Windows 的使用者如何能夠通過 Linux 的權限認証,
而達到權限控管的目的呢?


這個我沒實作過,但,我猜,帳號應該是本機上的吧?換句話說:local process 的 owner 。如過 packet 與本機無關,也就與 local process 無關。(走 FORWARD 而非 INPUT / OUTPUT)