internet sharing met zone alarm

[gamefreak977]

Voor het moment heb ik zone alarm pro ik heb telenet en een netwerk met 2 pc's erop.
Ik heb voor dat beide pc's weer eens formatje kregen, er al eens in geslaagt om het internet te delen en toch nog goede beveiliging te behouden.
Mijn vraag is nu hoe kan je je network goed tot heel goed beveiligen tegen hackers etc. maar toch nog internet, printers enzo delen ?

[Heatryn]

Natuurlijk is het mogelijk om je netwerk heel goed te beveiligen en toch nog de dingen overhouden die handig kunnen zijn als printerdeling en die dingen.

Maar zou je wat meer informatie kunnen geven van welke operating systems er op die computers staan? Welke netwerkhardware je gebruikt en die dingen. Ik werk hier met een router waarbij een firewall is ingeschakeld en ik kan nog steeds printerdeling gebruiken en dergelijke en volgens mij is mijn netwerk toch niet makkelijk te hacken.

100% safe is uit den boze, dat bestaat gewoon niet. Je kan het natuurlijk wel altijd zo goed mogelijk proberen te maken.

Ik heb gisteren "The Core" gezien op DVD en ik moet zeggen: een heel goede film. Daarin kwam er ook zo iemand in voer die gewoon alles bijna kon hacken en in werkelijkheid zal dit ook wel mogelijk zijn.

[gamefreak977]

ah ja, the core ook trailers van gezien, ik boek geleze ging over mensen met bovennatuurlijke krachten en met die krachten konden ze zichzelf ontwikkelen tot een soort super hackers .
Het komt er op neer dat zowel server als client pc draaien onder XP pro. 64 bit versie.
100 % dat bestaat denk ik ook niet, misschien CIA ofzo die hebben dat maar ik denk vele bedrijven zijn ook niet 100 % kijk naar microsoft een virus heeft lekker under servers down gekrege (ze hadde wel back-up server maar toch).
Zo nu eens graag informatie welke protocols, welke poorten ik moet toelaten om internet sharing (op een high beveiligings level voor de internet zone) toch nog te laten werken.
alvast bedankt

[meon]

Een (goeie) router kan je zodanig instellen dat die geen enkele inkomende connectie toestaat en zelfs niet reageert op de aanvragen. Voor veel hackertooltjes lijkt het dus gewoonweg of je niet bestaat. De router staat wel intern netwerkverkeer toe.
Internet, bestanden en printers delen is daardoor niet echt een security probleem. Routers werken namelijk via het NAT principe, namelijk: what goes out, can go in. Met andere woorden, enkel connecties die vanaf je eigen pc worden geinitieerd mogen een bidirectionele connectie maken. Dus de enige threaths waar je nu nog schrik voor moet hebben is virussen en trojans, maar daar dienen virusscanners voor. Met zo'n oplossing is dus zelfs een personal firewall niet meer nodig, maar heb je enkel een router/firewall nodig. (personal firewalls werken in de TCP/IP-stack op applicatie-niveau, terwijl een router-firewall meer werkt op transport-niveau (dus tcp/udp aanvragen))

[gamefreak977]

geef eens een vb. van dat soort firewall/router en wat kosten zo dingen, specificaties etc., BTW kan ik ik in plaats van hardware firewall niet gewoon een pc instellen zoals die hardware firewall, ik heb altijd liever pc's dan andere hardware.
En ik zoek nog altijd naar een manier hoe ik dit met zone alarm moet doen.

[Heatryn]

Er zit wel een help bij die ZoneAlarm en er bestaat ook Google waar dat zeker op te vinden is. Nu, je kan zeker een pc instellen als router/firewall. Je neemt gewoon een oude computer, zet daar Unix op en steekt daar een modem + netwerkkaart in. Die netwerkkaart verbind je dan met een hub/switch waaruit dan alle UTP's vertrekken naar jouw andere computers. Dit zou normaal safe moeten zijn. Als je de routingtable goed insteld zou het toch al heel veilig moeten zijn. Daarbij natuurlijk ook nog een virusscan op die server en er kan je toch maar heel weinig overkomen.

In onze school hebben ze twee servers: eerst een Linux server waarop telenet binnenkomt. Deze verbinding wordt dan doorgestuurd naar een Windows server en dan gaat het pas door onze school. Op elke pc staat dan nog eens antivirus + firewall terwijl er al op die 2 servers een antivirus + firewall opstaat. Tevens wordt alles geblockt behalve de poorten dat zij openzetten. Ik denk toch dat dit al vrij safe is.

Als je toch van plan bent een "router only" toestel te kopen zou ik gaan voor de SMC's (http://www.smc.com) die zeer goed zijn en heel handig te configureren vallen.
Als je iets degelijk wilt mag je toch wel rekenen op een €150 hoor.

[gamefreak977]

of mijn school heeft niet van beveiliging, nu beginne ze een prehistorisch syteem te gebruiken omdat ze merke dat er toch enorm veel problemen zijn, namelijk je schrijft in een schriftje welk lesuur wie op welke pc gezeten heeft.
Bij ons op school kunne ze geen virusscanners instaleren op sommige computers want op sommige staat nog windows 3.1 (of hoe noemt de voorganger van 95 alweer) dus fantastische brol, ik kan er niet tege heb al verschillende keren zin gehad om heel het netwerk daar plat te legge en alles te wissen voor dat ik dat deed want dat was makkelijk zat heb eens op een van de pc's op school windows dir verwijderd vanuit een andere pc op het netwerk, vette beveiliging .
Ik vind dat school toch goede voorbeeld zou moeten geven.

[Weetgraag]

Ik zit met een "router only" van SMC met ingebouwde firewall en ook met NIS en printerdeling gaat heel goed met de printerserver van de router.
Ik denk dat ik goed beveiligd ben maar je weet natuurlijk nooit. Als ik een test doe ben ik altijd onzichtbaar voor die scanners en sta in "stealth"
dus zit ik wel goed.

(dit dan offtopic)
Wat een schoolnetwerk betreft kan ik kort zijn, het budget is altijd een reden voor de tekortkomingen in een schoolnetwerk. Ik doe zelf samen met een ICTleerkracht het schoolnetwerk en weet welke budgetten er maar beschikbaar zijn of de budgetten worden slecht beheerd.

Greetz
Weetgraag

[The Oddity]

Heatryn,

op alle clients in een netwerk ook nog een firewall.. das echt wel overkill zenne.. tenzij men bang is voor hacks van binnen het eigen netwerk...Indien er een deftige firewall op die linux zit.. dan is het gebakken.. geen andere brol op die clients.. is overbodig en neemt enkel resources in beslag.

Wat betreft die routers en firewalls waar gamefreak om vraagt: use search helemaal bovenaan deze pagina en ge zult vinden: veel info over verschillende types..

[gamefreak977]

thx voor de info, zo word ik toch elke dag wat wijzer .
Maar weetgraag hoe oud ben je want op ons school wete ze echt wel geen zak van computers en ze vertrouwen de leerlingen nooit want ze denken dat ze de pc kapot gaan maken, wat maakt het na uit als:
1. die pc's zijn altijd kapot (da's op veel scholen zo)
2. kinderen niet gemonitord worden en kunne doen wat ze willen zonder dat de leraaren er meestal iets van weten
3. Er zijn veel leerlingen die stukke meer van kenne dan welke leraar dan ook maar nee die moge niet mee helpen (ik zou wel graag wille meehelpen)
4. ...
Ik haat mijn school als het op pc's aankomt.
Ik ga eens mailen naar hun denk ik, met het adres van mijn pa.

[CueBoy]

Ik ga eens mailen naar hun denk ik, met het adres van mijn pa.

Ik begrijp je frustratie : het moet héél oninteressant zijn om thuis met de allernieuwste, modernste hard- en software te kunnen werken, en dan op school op koffiemolens uit het jaar stillekens... maar je voornemen om hen te mailen in naam van je vader, zou ik je toch uit het hoofd willen praten.
Probeer je maar voor te stellen wat er gebeurt als je geklist wordt, en ik ben er behoorlijk zeker van de je gaat geklist worden.

Nu, dat leerlingen het nog altijd aanvoelen dat de IT-verantwoordelijken hun job slecht doen (of zelfs niet kunnen), dan verbaast me toch.
Ok, in mijn schooltijd was dat zeker zo : ik spreek nu over toestanden 15 jaar geleden waar wij - de leerlingen - de informaticalerares uitlegden hoe een bepaald pakket moest gebruikt worden, of hoe je iets moest programmeren (in TurboPascal ).
Ik had toch eigenlijk gehoopt dat de leerlingen van nu de kennis van hun leerkrachten al beter/hoger in zouden schatten.


Dus : bezint eer ge begint


On topic : ik denk wel dat op een school de beveiliging niet hoog genoeg kan zijn (in tegenstelling tot wat ze nu blijkbaar doen op de school van GameFreak ) : er zullen wel altijd een paar nozems zijn die eens "iets" willen uitproberen

[The Oddity]

Cueboy:

policy van hogent: laptops krijgen steeds zelfde ip via mac-adres, in case of abuse, kunnen ze nagaan wie het was.

Vaste pc's: allemaal users accounts en geloof mij.. ge kunt zelf niet aan het klokje in de systray.. het is allemaal secured. En in multimedialokaal en bib hebben we zelf geen pc's maar terminals die via Citrix Metaframe draaien.. maw: kunt ge zeker niks op doen

Internet: alleen poort 80 en 21 staat open. Al de rest is potte dicht.
Nog ping-replies, zelf nen tracert timed-out

Ik ben van hetzelfde gedacht.. kan niet goed genoegd beveiligd zijn..maarja.. ze moeten de kennis en het budget ervoor hebben

[Sensei Zeon]

bij mij op school:

er is geen netwerkbeheerder, 2x per jaar komt er daar een bedrijf voor langs

op veel pc's wordt er standaard ingelogged met de admin account,
de andere pc's (buiten de server) hebben allemaal hetzelfde passwd dat de leerkrachten mij gewoon verteld hebben

tijdens de middag is er op de pc's in de lokalen geen inet dit is ook omzeild
msn staat gewoon installed op de pc's, zelfs kazaa staat op sommige pc's

de informatica leerkrachten kennen het deel waarover ze les geven, ze hadden problemen met de projector aan te sluiten :s

[gamefreak977]

zeon lijkt mij nog slechter of bij mij maar ceu boy of je mij nu gelooft of niet ik onderschat die leraar niet het is gewoon zo.
Zeker de andere leraars kunne er niets van er is maar een leraar die er iestske van kan.
En die denkt altijd dat de leerlingen hetzelf niet kunne en denkt altijd dat we iets verkeerd gaan doen op de pc's dat soort dingen.
Maar moest hij er wat van kunnen zouden die pc's beter beveiligd zijn dan ze nu zijn want ze hebben monitor software maar die kan je zo uitzetten zonder dat je pass nodig hebt.
Bij ons eens de account die door iedere leerling gebruikt word een administrator account en daar staat geen paswoord op die account dus iedereen kan er zomaar op.
Vree slechte beveiliging dus.

[Heatryn]

Ik kan wel ergens begrijpen dat de leerlingen niet mogen helpen: niet iederen gaat het zo goed voor hebben als u hé. Er zullen er inderdaad wel tussen zitten die slechte bedoelingen hebben hiermee.

Wat bedreft die firewall op elke client: ze kunnen niet goed genoeg beveiligen daar op school. En natuurlijk vrezen ze ervoor dat er eens een paar leerlingen gaan zijn die alles naar de vaantjes willen helpen en daarvoor wil de school voorbereid zijn.

En ja, je kan het overkill noemen, maar buiten Office en een IDE voor Turbo Pascal heb je daar niet veel opstaan, dus dat gaat nog wel lukken.

[The Oddity]

Nah, ik vind op iedere client nen firewall overkill. Het netwerk en de pc's moeten zodanig geconfigged zijn dat abuse onmogelijk is.. maw clients sterk beperken: geen install rechten etc etc.. dan kunnen ze niks anders dan: surfen, en de software gebruiken die is goedgekeurd in het software beleid van het OS.

Alle resources kan je best nuttig besteden en niet aan hetzelfde hangen...

[gamefreak977]

Monitor software, een linux pc die dient als firewall router van daaruit kunne ze dan alle beperkingen kwa internet toegang opleggen en beperkingen opleggen zal moeilijk zijn want 98 kan je voor zover ik weet bij het intikken van het paswoord altijd cancel klikke en toch zeide binnen (ik ben natuurlijk geen pro).
Dus monitor software, een MAIN pc waar enkel BEVOEGD schoolpersoneel op kan, spy of monitor software (hoe je het ook wilt noemen) en wat voor mij handig lijkt (praktijk gezien waarschijnlijk onmogelijk maar gewoon iedereen zijn eigen account met zodat ze altijd weten wie, wat op welke pc gedaan heeft en wanneer hij dat gedaan heeft.
En ik vind het zo'n zever bij ons dat je enkel educatieve dingen mag doen op die pc's (ik vind ook dat er beperkingen moeten zijn aan wat mag en wat niet maar), ik bedoel we zitte al hele dag te leren en al op school en als we dan eens studie hebben moge we nog niet eens een beetje ontspannen op de pc's.

[The Oddity]

Op school = educatief, school materiaal
Thuis = doe je wat je wilt, eigen materiaal

Geloof mij vrij, nen deftige sysadmin beperkt Win98 of wat dan ook meer dan éénvoudig.. nooit gehoord van Crowd Control? Je beperkt alles wat niet mag

[gamefreak977]

da's het probleem die hebben we niet op school (een domme leraar, weet niet eens wat pc betekent (spreekwoordelijk gezegt)).
En ja, je hebt wel gelijk wat die regel betreft van enkel educatief op school maar toch, ik vind dat ze kinderen toch iets vrijer mogen laten

ff iets om aan te tonen dat het er echt wel slecht aan toe is op mijn school:

Mijn vrienden zijn er al eens ingeslaagt documenten van de pc op het leerlingen secetariaat te veranderen (dat staat gewoon open, geen hacking nodig gehad voor dat te kunne doen)
En veel pc's hebben al hun resource gedeeld over heel het netwerk (geen beperkingen alles mag, niets dat je niet vanuit een pc in dat netwerk met een andere pc zijn resources niet kunt doen).
Dus om dan eens te zegge wat er wel niet mogelijk is,
Een leraares kom in mediatheek (studio lokaal) ze heeft een disketje met rapport cijfers steekt het in een willekeurige pc, nu een leerling heeft dit gezien/gehoord hij gaat het netwerk binne gaat op dat diskette station en kan alles lezen wat op dat disketje staat en daarbovenop kan hij het ook nog eens allemaal veranderen.
DUS DAS WEL ECHT ERG GESTELT.

[The Oddity]

Wat betreft dat iets vrijer laten:

- de gelegendheid maakt de dief.. maw als je de boel van in het begin strict houdt, gaat het nooit ontsporen.. als je ze vrij laat.. gaan ze zeggen van hey, ik kan aan de cmdline, volgende stap is...het ik kan drive mappen, ... , .. totdat ze komen bij "hey ik kan die kerel zijn files wissen"
-> maw: bad idea. In mijn systeem zou het zijn: school property -> school policy, maw: deftic restricted en enkel educatief.. dus rootzooi als msn en kazaa etc-> vergeet et dus eh .

Wat betreft die leerkrachten.. mja, ik kan dat verstaan ze.. meestal wordt dat in iemands schoenen geschoven, of chinees vrijwilliger..en als die er dan niet véél van kent ja dan hebt ge miserie eh... Ik ken verschillende ICT leerkrachten. En voor 4 van de 3 (persoonlijk, dus ni voor school) monteer ik hun pc's, doe ik de software config en config ik hun thuisnetwerkje van 2pc's. Dusja.. nen deftige zou dat al zelf doen niet waar .

1 Ervan heeft er interesse voor.. heeft geleerd.. op zichzelf..hulp gezocht.. en stap voor stap is hij het schoolnetwerk beginnen reorganiseren: conclusie: vroeger een mesthoop en nu kunnen ze geen 'net send' meer doen .

Ik wil maar zeggen, voor een kleine school (niet hoger) is dat niet van primair belang (nog niet) en is daar dus geen eigen budget voor of een minimaal budget... en ja.. dat intereseert de meesten niet.. is héél moeilijk in secundair..

[Weetgraag]

Bij ons gaat het "maar" om een basischool en is er begin dit schooljaar een Internetprotocol opgemaakt zowel voor leerkrachten als leerlingen.
Tot nu toe word dit redelijk opgevolgt, iedere pc heeft internettoegang maar kan niet in de andere pc's op het netwerk. Volgende week doen we terug een onverwachte controle en we halen de "zondaars" er zo uit en dat zijn dan over het algemeen dan nog de leerkrachten zelf. Let wel, wij (ik en de ICTleerkracht) doen dit heel vrijwillig en onbezoldigd, reden geen budget en onze passie voor IT op school. Haal er die etters(ook leerkrachten) uit en je bent al een stapje verder, je moet ze er dan ook over durven aanspreken en een directeur hebben die ook zijn leerkrachten durft aan te pakken. Leerlingen van het 5 & 6 e leerjaar durven ook wel zondigen maar als we ons oor te luisteren leggen zijn de meeste heel blij dat ze op school kunnen surfen en emaillen al is het dan nog van school naar school voor èèn of ander project. Hetgeen Gamefreak hier aantoont is een voorbeeld van slecht beleid en desintresse van de directie en dat zijn dan de eersten die klagen dat ze geen subsidie krijgen. Wij hebben nu terug een succesvolle wafel-en truffelverkoop achter de rug en kunnen weer 4 "nieuwe" pc's kopen, die we zelf wel moeten in elkaar steken maar het loont.

Greetz
Weetgraag