Ny hardware brannmur?

[andy1234]

Er det noen som har noen formening om hvor fort en brannmur blir "foreldet".

Vi har en Zywall 10 fra zyxel som det ikke har kommet noen oppdateringer til det siste året.

Må den skiftes ut?

[joachimsandvik]

Tror ikke det skal være noe problem. Det er vanligvis værre med de portene man har åpnet inn.

 

Har man f.eks åpnet port 25 inn til mail serveren så bør man tenke over at man ikke har noen brannvegg på port 25 mot mailserveren.

 

Er vel nesten 6mnd sider jeg oppdaterte vår checkpoint brannvegg, og jeg er ikke spesiellt bekymret.

[MrHaugen]

Brannmurer trenger sjelden å oppdateres.

Brannmurer stenger på port-nivå, filtrerer ut fra "state" på pakkene og noen filterer også på innhold av data i pakkene.

 

Dette er ting som ikke trenger oppdatering. Eneste man må oppdatere er sin egen kunnskap om trusselbildet og prøve å blokkere for det som til en hver tid er potensielt farlig.

[wsp]

Man bør igrunnen følge med når det kommer oppdateringer til firewaller også. Det hender faktisk at det er vettuge ting som blir fikset der også.

 

En annen ting er at firewaller gjerne ikke er bare firewaller lenger. Det blir også mer og mer vanlig at firewallene analyserer pakkene og på denne måten beskytter mot angrep. Hos Checkpoint kalles denne teknologien SmartDefense og denne bør man oppdatere jevnlig for at nye angrepsmønstre skal være oppdatert. Man bør også oppdatere med siste HFA (Hot Fix Accumulator).

 

Med teknologi som SmartDefense vil da port 25 (om man åpner den) ikke være åpen for all slags trafikk, men likevel ha et filter mot "fientlig kode". Dette betyr ikke at man skal la være å patche systemene bak firewallen. Slik teknologi beskytter aldri 100% og derfor bør man sikre i "alle bauer og kanter" for å være mest mulig sikker.

 

Nå vet jeg fint lite om Zywall-firewallen din, men det kommer jo også an på hvordan infrastrukturen er; om dere tilbyr tjenester mot internett osv.