vworld Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mullerwest Цитата: в SecureNAT никаких клиентских частей на машину-клиент устанавливать не нужно.   В данном варианте вроде бы не будет учета траффика по пользователям.... А мне это важно например! Всего записей: 2617 | Зарегистр. 13-02-2003 | Отправлено: 14:59 22-10-2003

TROL Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Krechet Цитата: ИМХО ISA - штука очень неплохая Ну хорошо. Убедил. А вот если стоит не ISA предположим а другой сервер. Напрмер Апаче? Я не пользовался ни разу Microsoft Internet Security and Acceleration Server он подойдет в этом случае? Условия таковы сеть 20 компов задача защитить сервер имеющий выход в инет. Используется NAT. MySQL. На сайте стоит интернет магазин. Т.е. через инет осуществляются финансовые операции. Если информация не достаточна то что еще необходимо сказать?   Добавлено И к тому же меня немного смущает сложность настройки. ---------- Ищу поклонников Майкрософт. Найду - убью! Всего записей: 455 | Зарегистр. 07-12-2001 | Отправлено: 18:46 22-10-2003 | Исправлено: TROL, 19:09 22-10-2003

Borgia Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору TROL   Вопервых ISA сервер нужно ставить отдельно от апачи и это должна быть твоя стена которая принимает на себя первый удар. Во вторых не лучше ли будет разделить немного функции . сделать DMZ и в иса сервере опубликовать твой апаче  имхо намного безопаснее. Всего записей: 545 | Зарегистр. 25-08-2001 | Отправлено: 23:39 22-10-2003

TROL Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Borgia Цитата: сделать DMZ   Честно говоря я до сих пор не понимаю что такое сделать DMZ  если я ставлю сервер на комп в сети подключонный по середине между 2 компами на которых установлены фаервулы с задаными строгими правилами то это и будет DMZ ? если да то тогда в чем его преимущество? почему сервер установленный на тот же комп с одним фаервулом считается менее защищонным? И я не совсем понял Цитата: и в иса сервере опубликовать твой апаче Это как? Если можно то немного подробнее. Повторяю иса я ни разу не пользовался. Заранее спасибо. ---------- Ищу поклонников Майкрософт. Найду - убью! Всего записей: 455 | Зарегистр. 07-12-2001 | Отправлено: 13:56 23-10-2003

Borgia Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору TROL DMZ - каменный мешок для хакера http://kv.by/index2002370801.htm     Всего записей: 545 | Зарегистр. 25-08-2001 | Отправлено: 14:20 23-10-2003

Duke Shadow Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Borgia Цитата: ты вначале определись какие задачи перед тобой и твоей сеткой стоят. Задачи клиентов давно определены: Office, программеры работают с MS SQL, остальное локально на компах. Есть отдельный сервер 1С, но до него меня пока не пускают. Цитата: Что от кого и почему ты собираешся защищать Сервер, от своих же, на всякий случай. Контингент разный, да и за всеми не уследишь, испоганят на серваке что-нибудь, а мне потом разбирайся, а не дай Бог ещё и файлы руководства попрут и сдадут кому-нибудь. Цитата: Что за сервер какие его задачи в сети и что на нем стоит Котроллер домена + MS SQL + файлы пользователей, для админов - Terminal Server в Administration Mode - сервер head-less. В будущем думаю поднять MS SMS 2003. Цитата: Очень мало ты даеш информации. о твое конфигурации сети. Можешь считать что обычная локалка - свитч, от него хабы по этажам, далее напрямую к компу. В свитч же воткнут сервер. Цитата: Важно продумать построение сети  ведь очень многое можно и нужно сделать по защите и внутри сети встроенными средствами. Всё уже сделано, политики, профили все заведено, настроено. Backup работает. Windows 2000 Common Criteria Guide зачитан до дыр. Остался фаерволл, причем желательно, чтобы он умел раздавать разрешения по приложениям, как Outpost, но на крайняк можно и по портам - разберёмся как-нибудь. Если ещё вопросы остались - пиши...   Paltry Цитата: майкросовтовский же фаервол (плюс прокся в одном флаконе) Нах мне прокся? Да ещё и клиентов ставить тоже не веселит. Всего записей: 3921 | Зарегистр. 15-02-2003 | Отправлено: 14:46 23-10-2003

Borgia Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Если честно я так и не понял зачем тебе на сервере фаервол.   1 если на сервере папки пользователей создай разрешния с помощью  .NTFS опция секьюрити. Кому куда можно и что можно. включи Аудит поставь аудит на фаилы начальства . в конце концов есть шифрование. Вообще имхо не самая лучшая идея на   Котроллере домена фаилы пользователей. но если нет выбора то нет . Но имхо тебе фаерволл совсем не нужен  на Котроллере домена .  Все что ты сказал делается с NTFS пермишен. Цитата: Остался фаерволл, причем желательно, чтобы он умел раздавать разрешения по приложениям, как Outpost С какими приложениями работают пользователи на Котроллере домена? И какие порты ты собираешся закрывать.?       Добавлено TROL http://www.isaserver.org/ если с английским не туго посмотри здесь там все описано.Очень много статей по исе . если нужна литература обратись через PM.     Добавлено TROL http://www.isaserver.org/ если с английским не туго посмотри здесь там все описано.Очень много статей по исе . если нужна литература обратись через PM. Всего записей: 545 | Зарегистр. 25-08-2001 | Отправлено: 00:09 24-10-2003

Milienko Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Что касаеться антивируса то советую Касперский сервер, могу залить !!! На счет фаервола сказать ни чего не могу, так как сколько людей столько мнений У меня порты айтигуардом перекрыты!!! Всего записей: 113 | Зарегистр. 02-07-2003 | Отправлено: 10:01 24-10-2003

Duke Shadow Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Borgia Цитата: Но имхо тебе фаерволл совсем не нужен  на Котроллере домена .  Все что ты сказал делается с NTFS пермишен. Ага, а трояны, вирусы и иже с ними. А ещё ограничение доступа к портам терминального сервера только с машин админов, а к MS SQL только с тех машин, которым он нужен. Ведь поломают сервер, так трояна подвесят на свободный порт как пить дать, да ещё и логи подчистят. Да и вообще система безопасности без фаервола какая-то хромая получается. Цитата: С какими приложениями работают пользователи на Котроллере домена? Я ж говорил уже: MS SQL + NetBIOS(т.е. файлы складывают), дополнительно админам - Terminal Services. А прошу я фаерволл прикладного уровня исключительно с одной целью - MS SQL Server (а возможно и ещё кто-нибудь) умеет открывать себе дополнительные порты, кроме родного. Так чтобы не мучаться - прописать, что MS SQL имеет право ломиться в сеть на определенные IP-адреса и не нужно отыскивать порты, по которым он это делает, чтобы правильно правила прописать. Всего записей: 3921 | Зарегистр. 15-02-2003 | Отправлено: 12:30 24-10-2003

TROL Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Borgia Спасибо. Интерестная информация. Буду изучать. ---------- Ищу поклонников Майкрософт. Найду - убью! Всего записей: 455 | Зарегистр. 07-12-2001 | Отправлено: 14:40 24-10-2003

Borgia Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Duke Shadow   Цитата: трояны, вирусы и иже с ними Для этого ставится вообще-то антивирус. Цитата: А ещё ограничение доступа к портам терминального сервера только с машин админов  Я не понял у тебя что пассворд админа что все юзеры знают. Посмотри  В актив директори пропертис юзера.     Организация IP брандмауэра встроенными средствами Windows 2000 и XP http://www.pseudology.org/Cable/win2000_firewall.htm   А еще извини но у тебя не совсем правильные представления о безопасности в сети и организации безопасности на контроллере домеина. да и вообще сервера в сети .   Если тебе для полной картины не хватает фаервола  так поставь любой серверный вариант. Но это имхо не спасет тебя от того что ты написал, без правильного и четкого определения  кто и куда имеет доступ и что может делать на сервере . ну и последнее мои совет. Убрать с DC  базу данных -MS SQL  и фаилы пользователей . . Так как нечего им там делать Это мое имхо. В будущем это избавит тебя от многих проблем. Всего записей: 545 | Зарегистр. 25-08-2001 | Отправлено: 16:17 24-10-2003 | Исправлено: Borgia, 19:08 24-10-2003

Timon_Crazy Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору согласен с последним посланием. надо ГРАМОТНО все настроить и не будет голавников, одназначно...................... плиз, дайте линк на Касперский Сервер + кряку. если он меня устроит куплю. Всего записей: 353 | Зарегистр. 16-08-2003 | Отправлено: 09:27 25-10-2003

TROL Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Timon_Crazy Цитата: плиз, дайте линк на Касперский Сервер + кряку. Это вопрос в варезник. http://forum.ru-board.com/topic.cgi?forum=35&topic=0276&start=360#lt ---------- Ищу поклонников Майкрософт. Найду - убью! Всего записей: 455 | Зарегистр. 07-12-2001 | Отправлено: 17:46 25-10-2003 | Исправлено: TROL, 17:51 25-10-2003

Milienko Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Timon_Crazy Могу кинуть на мыло или залить те на фтп... Всего записей: 113 | Зарегистр. 02-07-2003 | Отправлено: 08:30 27-10-2003

Duke Shadow Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Borgia Цитата: Для этого ставится вообще-то антивирус. От чего-нибудь самописного вряд ли поможет Цитата: Я не понял у тебя что пассворд админа что все юзеры знают. Посмотри  В актив директори пропертис юзера. Ты имеешь в виду те опции, которые находятся на закладочке Terminal Services Profile? Не получится, всё равно доступ администраторам давать нужно, а на другие и ломиться не будут. Цитата: Организация IP брандмауэра встроенными средствами Windows 2000 и XP Конечно посмотрю, но что-то не очень хочется этому недоделке доверять. Цитата: да и вообще сервера в сети Т.е. ты предлагаешь фаерволлы не ставить? Цитата: Если тебе для полной картины не хватает фаервола  так поставь любой серверный вариант. Твой выбор можно узнать? Цитата: Но это имхо не спасет тебя от того что ты написал, без правильного и четкого определения  кто и куда имеет доступ и что может делать на сервере Я же говорил уже, что Common Criteria Guide прочитан, списки пользователей составлены, кто куда имеет доступ - прописано, просто фаерволл даст ещё один уровень безопасности. Цитата: ну и последнее мои совет. Убрать с DC  базу данных -MS SQL  и фаилы пользователей. Так как нечего им там делать. Это мое имхо. В будущем это избавит тебя от многих проблем. Я бы с радостью - но пока никак. Всего записей: 3921 | Зарегистр. 15-02-2003 | Отправлено: 14:30 28-10-2003

TROL Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Borgia Цитата: Организация IP брандмауэра встроенными средствами Windows 2000 и XP   Попробовал я его.... что то он мне не понравился. Во многих случаях, все перечислять не имеет смысла, работает не коректно. Всетаки я предпочитаю фаервулы сторонних разработчиков и на мой взгляд Виснетик и антивирус Касперского наиболее удачное сочетание. Возможно я не прав. Если бы еще найти и поставить Real Secure от ISS был бы полный порядок. ---------- Ищу поклонников Майкрософт. Найду - убью! Всего записей: 455 | Зарегистр. 07-12-2001 | Отправлено: 18:53 28-10-2003

Borgia Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Duke Shadow  Ну даже не знаю что сказать В твоем случае. Если у вас люди пишут вирусы. Хм Значит бардак в организации. ( ну у нас тоже не без этого бардак на любой фирме есть но у всего есть границы и не на таком уровне как вирусописательство .)   Могу тебе сказать сеть - где я работаю это смешаная сеть более 4000 тысяч юзеров более 70 серверов вин2к ,2003  порядка 40 серверов Novell + маинфремм. (Я заведую небольшим подразделением плюс дополнительные обязаности в центре) Не на одном из них нет фаерволла . Есть конечно чекпоинт  но это совсем другой уровень и другие задачи. есть иса опять же другие задачи. Есть четкая политика что можно держать на компьютерах и куда есть доступ . и за что можно полететь с работы и получить повестку в суд и попасть на бабки. Включен аудит идут бекаппы плюс с каждого сервера снят имидж. Жесткая аутентификация и политика смены паролей И четко разграниченно у кого куда есть доступ.   На DC у юзеров вообще нет доступа. Есть фаил сервера где им четко выделенны квоты под их фаилы.   Вот и все. Сеичас хотят вводить аутентификацию через смарт кард. (посмотрим).     TROL Цитата: Попробовал я его.... что то он мне не понравился. Во многих случаях, все перечислять не имеет смысла, работает не коректно Это просто как дополительная возможность. Всего записей: 545 | Зарегистр. 25-08-2001 | Отправлено: 20:08 28-10-2003

ALX Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Borgia Цитата: Если у вас люди пишут вирусы. Хм Значит бардак в организации. ( ну у нас тоже не без этого бардак на любой фирме есть но у всего есть границы и не на таком уровне как вирусописательство .)   Речь не идет, как я понял, о вирусе занесенном изнутри. Сценарий следующий: Вирус/троян-поделка присылается кому-нибудь по почте и внедряется на один из компов ну и например эксплуатировается неизвестная уязвимость почтового клиента/броущера/ОС для получения дополнительных привелегий. Такую хрень по определению не отловишь сразу ни антивирусом ни вайерволом. Для этого сценария, в большой и серьезной организации, нужны активные средства обнаружения атаки/проникновения в сеть. Насколько я знаю, подобные проблемы разрешаются в серьезных конторах простым ежедневным восстановлением образов пользовательских машин и централизованное наблюдение за изменением пользовательских файлов на файлсерверах. Но все равно, почта это еще та дыра, если конечно принудительно не разрешать ничего кроме plain text без аттачментов в почте   Мне кажется, что приемлемая схема для небольших организаций это : - хороший железный файервол на входе в сеть - Ms ISA как вторичный фильтр и прокся - KAV на сервере и мэйлсервере - Если серверов 2 или более, то антивирусы разные на разных (KAV + SAV) и ночное взаимное выборочное сканирование в случае особой паранои - Symantec Antivirus Corporate на клиентах - регулярный анализ логов   А вообше все зависит от конторы, средств, компетентности персонала и желания руководства Всего записей: 428 | Зарегистр. 30-01-2002 | Отправлено: 23:25 28-10-2003

Duke Shadow Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Borgia Цитата: Ну даже не знаю что сказать В твоем случае. Если у вас люди пишут вирусы. Да вроде пока замечены не были, но кто их знает. Тем более, что простенький троян для профессионала - дело десяти минут. И ведь не зря же рекомендуют на *nix-системах доступ на ssh дополнительно фильтровать фаерволлом.   ALX Цитата: Речь не идет, как я понял, о вирусе занесенном изнутри. Да не обязательно. Дырку в RPC можно пользовать откуда угодно. Borgia конечно возразит, что есть де патчи от MS, обновления антивирусрв, но ведь патчи и обновления выходят _после_ обнаружения уязвимости/вируса. Вот я просто и хочу лишнее прикрыть, чтобы спать спокойнее. Всего записей: 3921 | Зарегистр. 15-02-2003 | Отправлено: 11:44 29-10-2003

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Защита от атак: выбор фаервола и антивируса для сисадмина

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование