Oversikten du får her er eksemplifisert uten ipadresser, og har ingen relevans i forhold til C.TYBRING-GJEDDEs nettver, men grunnprinsippet som blir vist i denne mailen er det samme som er blitt benyttet hos C.TYBRING-GJEDDE. Opplegget er relativt greit : En IP range på 2 - 5 adresser Offisiell Ip adresse for firewall Offisiell Mail adresse for mail relay Adresser for HTTP for web-siter (i tilfelle web-siter bør slik trafikk skilles fra SMTP og FTP ben og bør legges til en egen HTTP DMZ som kun tillater HTTP(S) inn). Adresser for FTP for FTP servere (i tilfelle FTP serverer bør slik trafikk skilles fra SMTP og HTTP ben og bør legges til en egen FTP DMZ som kun tillater FTP inn/ut). en yttre firewall med (minst ) tre ben : Yttre ben - Internett Indre ben - Internt i firmaet (NAT'et slik at de indre adressene ikke er synlige på utsiden.) SMTP DMZ - Kun SMTP trafikk er tillatt til dette benet, og SMTP trafikk er kun tillatt til en single adresse på dette benet (firmaet/addressatens offisielle mail adresse) På SMTP DMZ'en sitter en maskin med Linux (vi kjører Slackware 8.0 med en sikkerhetsklarert innstallasjon), og på denne maskinen kjører vi Qmail. Maskin spec for vår del : Compaq Proliant 800 (200 Mhz 4x4.2 Gb disker i RAID 0+1 og dual power supply) Maskinen har F-Secure antivirus programvare innstallert, men en cron jobb som søgrer for oppdateringer av antivirus signaturfiler en gang pr døgn. http://www.europe.f-secure.com/products/anti-virus/firewalls/linux.shtml Firewallen er satt opp slik at SMTP er tillatt from any (alle adresser) inn mot Qmail serveren, og slik er også Qmail satt opp. Videresending (relay) fra Qmail server er kun tillat til en adresse (den interne mailserveren) Definert i Qmail og i den yttre firewall. en indre firewall med (minst) to ben : Yttre ben - mot yttre firewall. Indre ben - Internt i firmaet (NAT'et slik at de indre adresser ikke er synlig på utsiden) Eventuellt en DMZ for forretningskritiske løsninger som må adskilles fra den generelle brukergruppen. Internt bør det benyttes Switch til fordel for HUB'er som er avlyttbare for klartekst brukernavn/passord. Det bør også legges opp rettningslinjer for bruk av datasystemet som gjør det klart at all trafikk inn og ut av nettverket er deres eiendom, og at hver enkelt bruker undertegner på at han/hun forstår og aksepterer at all trafikk i nettverket blir logget, og at ved misstanker til datakriminalitet/brudd på firmaretningslinjer kan slike logger benyttes som bevis i forhold til ansettelsesforhold og strafferetslige forhold. Slik loggføring kan gjøres med enkle midler med servere/sniffere plassert på strategiske plasser. For bruk av sniffere/IDS systemer anbefaler jeg Linux + SNORT, Linux + DSniff (mailsnarf/urlsnarf) + eventuellt tcpdump ---------- kjell-erik.furnes@tybring-gjedde.com, petros.varvaresos@tybring-gjedde.com glenn.paulsen@stfk.no Ang. brannmur og virusfiltrering. Hei "gutter" :-) Det begynner å bli en stund siden vi traff hverandre og snakket om muligheter for Linux på arbeidsflaten hos Tybring. Nå er det på tide at jeg følger et "sidespor" som kom opp når vi traff hverandre med tanke på brannmur og virussjekk med F-prot og qmail med dobbelt NAT-ing. Siden dere fortalte om at Tybring-Gjedde har stoppet over 1200 virus og utnyttere (exploits) i løpet av de fire siste månedene, og dere har gått fra at tre personer bruker flere arbeidsdager i uka med feilretting og Windows-kluss til nå å ha et opplegg som krever minimalt med vedlikehold, så har jeg "reklamert" litt for IT-sjefen i Sør-Trønderlag fylke. Ideen er todelt. 1. Driftsavdelinger kan høste gjensidig økonomisk og faglig gevinst av å utveksle gode løsnigner seg imellom. 2. Man unngår leverandørbinding, og øke datasikkerheten. Som sideeffekt håper jeg at slike bidrag kan øke datasikkerheten i Skolelinux-prosjektet som er beskrevet i kapittel 3 og 4 i Skolelinux-rapporten. [1] Jeg har også lovet Ulsrud videregående skole en gjennomgang forslaget til løsning fra TG siden Ulsrud allerede bruker F-prot[2] på sin skole. Vil i løpet av uka utarbeide et dokument som beksriver opplegget ut fra hvordan jeg husker den. Hadde håpet på innspill fra deg Kjell-Erik? - Knut Yrvin prosjektleder Skolelinux. [1]http://developer.skolelinux.no/info/rapporter/forprosjekt/node6.html [2]http://www.f-prot.com/f-prot/products/fplin.html