Alle må endre passord - ZoneAlarm og brannmur i windows

Sturla Molden sturla.molden at svt.ntnu.no
Thu Jan 23 14:21:03 2003 

On Thu, 23 Jan 2003 14:15:01 +0100, Jon-Finngard Moe wrote:

> Svært få, og det er jeg glad for. Kaller du ZoneAlarm og liknende
> verktøy for en "velfungerende brannmur" så blir jeg skremt.

Jeg mener ikke ZoneAlarm er en velfungerende brannmur. 
Som du ser skrev jeg skrev jeg "vefungerende brannmur / pakkefiltrerende 
router". ZoneAlarm er slettes ingen "pakkefiltrerende router".
Jeg snakket altså om, eksempelvis, en OpenBSD-basert server med
et nettverkskort tilknyttet internett (med adresse 129.241.noe)
og et annet tilknyttet lokalnettet (med adresse 192.168.0.1). 

Min kontormaskin har IP-adresse 129.241.115.165, noe som er en 
gyldig IP-adresse på internett. Det betyr at hvem som helst kan 
portscanne meg fra hvor som helst i verden. Hvis jeg hadde kjørt 
Windows ME eller et annet defekt OS, ville den vært åpen for hele 
verden. Hvis kontormaskina hadde vært beskyttet av en router/brannmur 
(som skissert) kunne den hatt en IP som ikke kan nås utenfor
lokalnettverket (f.eks. 192.168.0.noe). Da ville det ikke være 
mulig å portscanne maskina fra Langtvekkistan, men den ville likevel 
kunne kommunisere med internett ved å bruke routeren (brannmuren)
som gateway. 

Poenget mitt var ikke at folk skulle bruke "ZoneAlarm". (Spesielt
ikke hvis man bruker Windows XP.) Det jeg ville få fram var at det 
ikke er bra at kontormaskiner står eksponert mot internett med IP som 
er entydig over hele verden. Det er faktisk lagret ganske mye upublisert 
forsking og likende hemmeligheter på de vitenskapelig ansattes 
kontormaskiner. Og sikkerhethull i Windows kan og blir utnyttet til
å tappe slike maskiner. Jeg synes det det blir brukt uforholdmessig 
lite ressurser på å sikre disse maskinene.  


> Om du vil bruke personlig brannmur i Windows har operativsystemet en
> egen brannmur innebygget, som er langt mer "stillegående" enn ZoneAlarm
> med venner. Denne har oversiktlig og enkelt oppsett samt loggfunksjon.

Det gjelder ikke alle versjoner av Windows. 

Det er etter mitt syn ikke heldig å ha "brannmuren" lokalt på 
maskinen som skal beskyttes. Vitsen med en brannmur er jo at maskinene 
som vernes ikke skal være direkte eksponert mot internett. ZoneAlarm 
er bedre enn ingenting, men det er som du skriver en falsk trygghet.


Sturla Molden