veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vovney Цитата: isa ессно уступает freebsd по безопасности в качестве шлюза. да ее еще и изнутри обойти легче Ссылку приведите, пожалуйста, на независимое сравнение ISA Server и любого *nix-решения. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 13:11 16-09-2008

slay1212 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Не слушайте "добрых" советов, типа "Windows - сакс, Linux - рулит!"    А так никто и не советовал. Все равно безопасность шлюза на винде на порядок ниже - почитайте статистику - процент серверов и шлюзов. Просто тот же элементарный нат настроить на Linux или винде - две большие разницы (на винде обязательно серверная ось и куча не нужных служб типа rras, либо что-то вроде traf inspector). А наверно оптимальный вариант не требующий долгого изучения мануалов (fm) - железный роутер типа dlink di604 или dir 100. Настроил и забыл. Стоит менее 30 $ . А ису товарищ быстро и хорошо не освоит и не поднимет, как и линух - времени нужно много .    А шлюзы на винде как раз пионэры и любят искать и долбить.  Постоянно долбят по виндовым портам .     Мой вывод - есть время и желание - настраивать виндовый/или nix  шлюз, нет - ставить роутер и забыть о проблеме.     Единственно вкусности типа балансировки каналов, сложные правила котроля трафика на дешевых железках не будет - здесь только циски могут помочь Всего записей: 336 | Зарегистр. 28-05-2008 | Отправлено: 16:54 16-09-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору slay1212 Цитата: Все равно безопасность шлюза на винде на порядок ниже - почитайте статистику - процент серверов и шлюзов. Десять тысяч мух не могут ошибаться? Статистика мне не нужна. Скооперируйтесь с товарищем vovney и дайте мне одну ссылку на независимое адекватное сравнение ISA Server и любого *nix-решения.   Цитата: А шлюзы на винде как раз пионэры и любят искать и долбить.  Постоянно долбят по виндовым портам И? Пусть долбят. Толку-то... ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 17:08 16-09-2008

slay1212 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору veryom  Ну ты сам себе самокат ясно. Не работал с исой последней или 2004, а в 2000-2003 гг. это было жуткое уе..ще. По крайней мере по сравнению с линуксом. Допускаю что положение радикально изменилось за 7 лет Но скажи, сколько надо времени для создания с нуля эффективно работающей системы товарищу не имеющему опыта, с использованием исы например. Не один месяц. Для линукса не меньше, возможно больше, согласен.     А останется ли он на работе все это время, если его система будет дырявой как решето? Не факт. Выход только железка -дешевая или дорогая по вкусу  ps ну например получить права админа/системы в любой винде сложно? и сколько тут уязвимостей. И сравни с линуксом. Впрочем выше об этом говорили "сломать изнутри". А убеждать я тебя ни в чем не буду. Каждый работает с чем ему лучше. Всего записей: 336 | Зарегистр. 28-05-2008 | Отправлено: 17:55 16-09-2008 | Исправлено: slay1212, 18:00 16-09-2008

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору slay1212 и все остальные любители громко кричать о том, какой линух-писец-безопасный. Читаем вот это: http://www.securityfocus.com/news/11532   Обращаем особое внимание, что во все дырки поимели не маленькую фирму "Рога и копыта", у которых линухом рулит студент Вася, а наверное самого крупного линух-вендора. Кто-то считает, что серверы RH поддерживается "студентами Васями"? не забываем пройтись по ссылкам в статье и ужаснуться.     Отдельно желающим рассказать про "*BSD-не-линукс-у-него-такого-нет": коммерческие дистрибутивы, основанные на linux поддерживаются гораздо бодрее (патчи, изменения, шагание в ногу со временем, если хотите), чем *BSD. Про минидистрибутивы, поддерживаемые только энтузиастами, думаю и говорить не стоит. ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 18:07 16-09-2008

slay1212 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору G14  Не собираюсь ни с спорить - в ответ можно привести кучу ссылок по винде не сходя с руборда. По поводу этой новости - хакеры более плотно занялись линуксом, только и всего. Ничего особо криминального невижу .     Давайте ближе к теме треда (безопасность для чайников), а поспорить можно в соответствующем разделе.     Какие еще варианты возможны, кроме дешевого железного файрволла. Кстати есть ли ссылки на расчет пропускной способности инет каналов с использованием железок. Т.е. где заканчиваются способности того же dlink dir100 (например 200 пользователей инет, скорость инет канала 2 мбит.сек, какова средняя скорость канала). Всего записей: 336 | Зарегистр. 28-05-2008 | Отправлено: 09:26 17-09-2008

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору slay1212 Цитата: в ответ можно привести кучу ссылок по винде не сходя с руборда. Уже в этой теме подобные заявления слышно не первый раз. ГДЕ ссылки\факты? Конкретные и серьезные найденные и использованные уязвимости (для которых есть рабочие эксплойты или факты использования их в "боевых условиях")? Не proof-of-concept. Цитата: Давайте ближе к теме треда   А ближе к теме есть только одно: безопасности "для чайников" не бывает. Вообще. Безопасность для чайников это то же самое, что хирург у которого во время операции в одной руке скальпель, а в другой учебник по хирургии для первого курса мединститута.     Цитата: хакеры более плотно занялись линуксом, только и всего Ну да. Интересно, что же будет когда хакеры займутся линуксом хотя бы на 50% так же плотно, как Windows? Если линукс затрещал по швам от "немного более плотного интереса" к нему?   ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 10:37 17-09-2008

zeliboba Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору G14   Цитата: А ближе к теме есть только одно: безопасности "для чайников" не бывает. Вообще. Безопасность для чайников это то же самое, что хирург у которого во время операции в одной руке скальпель, а в другой учебник по хирургии для первого курса мединститута.     Я лучше буду "хирургом с учебником", и буду нормальных людей слушать и не стесняться советоваться, а не гнуть пальцы в стороны. Когда я таких вижу или читаю, мне сразу анекдот на ум приходит, когда "новый русский" приехал в магазин покупать новый джип, потому что у него пепельница полная.   Я не орал, что все знаю, а просто спросил совета и нашлись люди, помогают, советуют.   G14, а ты наверное уже родился сисадмином и в 3 года уже серваки собирал?!   Спасибо всем за помощь, если еще ни у кого не отпало желание продолжать эту тему, я буду постоянно следить, пробовать, испытывать на своей сети предложенное и говорить спасибо! Ведь все когда то начинали, кто раньше кто то позже!!! Всего записей: 319 | Зарегистр. 16-09-2004 | Отправлено: 12:47 17-09-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору zeliboba Цитата: Я лучше буду "хирургом с учебником" М-да... Сочувствую той организации, где вы работаете, хотя... это может быть какая-нибудь говноконтора...   Цитата: буду нормальных людей слушать Поверьте, G14 - уважаемый здесь человек. У вас мало знаний и много агрессии - таким не место на форумах. Вам стараются помочь люди с практическим опытом работы, а вы, вместо того, чтобы внимательно читать (и записывать), начинаете "бычиться"... тем более, что по отношению к вам G14 ничего не высказывал.   Все дальнейшие ваши возражения мне - в эту тему: Флейм для сисадминов. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 15:21 17-09-2008

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору zeliboba Цитата:  ты наверное уже родился сисадмином и в 3 года уже серваки собирал?!   "Нет.Он не такой!" Но пробовать что-либо на живой сети, тем более всё, что касается безопасности - по меньшей мере глупо, по большей - преступно. Вот тебе how do план на год: 0. Юзаем гугл. 1. Читаем RFC по всем известным протоколам 2. Читаем документацию вендоров 3. Создаем лабораторию 4. Качаем любой анализатор трафика, учимся им пользоваться. 5. Подписываемся на все баг-траки, которые найдешь. 6. Изучаем основные методы взлома, обхода защит и инсайдерства. 7. Понимаем, что защищенный сервер - это отключенный от сети, от питания и закопанный на глубине 3 км в свинцовом бункере. Остальные - "как-то защищены", и всё зависит только от желания их поломать и финансовых возможностей заказчика. (кто не согласен - см. CERN). И не важно какая ОС на нем стоит. Совершенных программ нет. 8. Делаем выводы.   А вот такие посты типа "я всё знаю, а вы мне посоветуйте" - это только разжигание межосевой розни и провокация к флейму. ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3799 | Зарегистр. 16-07-2004 | Отправлено: 16:33 17-09-2008

zx12r Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 1. Бэкапы должны делаться на всех серверах и желательно на важных рабочих станциях типа банк-клиент, директор, главбух (в идеале). Не понимаю, почему тут кто-то говорил, что бэкап файлового сервера не нужен. Поверьте, это сэкономит вам кучу времени при проблемах. Часто там не только доки лежат, а стоят справочные базы Консультант и проч. Да и время восстановления имеет значение. Ну и бэкапов несколько должно быть типа вчерашний ночной и недельной давности. Бывает, что проблема вылазит не сразу, а когда нужно откатывать состояние системы, то она уже и в бэкапе есть. ОБЯЗАТЕЛЬНО ВТОРОЙ контроллер домена, с ДНС и DHCP.     2. Обновления. Тут на ваш выбор. Серверы должны апдейтится всегда. Рабочие станции как хотите. Можете просто образ апдейтить и все. Периодически он обходит все компы...   3. Антивирус везде и всегда свежий. С серверной частью (для мониторинга и проч.).   4. Доступ в интернет только по заявкам, ограниченному кругу лиц и через какой-нить нормальный файлволл на отдельном компе, с подсчетом траффика. Ну а безопасность файрволла зависит от того, как вы его настроили. Будть линух или винда - это всего лишь инструменты.   5. Если делаете шары, пользуйтесь вложенными группами - это и удобно и контроллируется лучше. Используйте скрытые шары по-возможности, работайте точечно, т.е. не давайте доступ тем, кто не будет пользоваться.   6. Запрет доступа к внешним накопителям, флэшки, CD и проч. (только согласуйте с руководством). Запрет скачивания исполняемых файлов. Запрет пересылки исполняемых файлов.   7. Подменный фонд. Если у вас есть в запасе пару блоков питания или готовый системник с виндой и софтом, бесперебойник, дополнительный простенький сервак - это удобно.     8. Тестовый сервак. Есть место для маневров и проработки внедрения чего-либо.   9. Вся работа за компом должна быть регламентирована документально и донесена до сведения пользователей, типа это можно, это нельзя, а за это сразу по лицу.   10. Разделение обязанностей. Если в перерывах между настройкой репликации и поиском баги в работе почтового сервера менять картрижди и помогать кому-то работать в ворде то можно получить нервное расстройство... как впринципе и получается.   11. Рэйд-массивы везде, это и так понятно. В "важных" серваках с Hotspare, не жалейте 100-300 баксов. Ломается все. Летят рэйды, брэндовые серваки и бесперебойники быстро изнашиваются.     12. Ну и железа побольше для повышения избыточности системы, не совмещайте 4в1 типа терминал, контроллер, файловый. Сгорает ОДИН блок питания и все.... ваш зад в распоряжении любого...   Оцените стоимость обслуживаемой вами информации и потери на бумаге для мотивации апгрейда и покупки железа перед руководством. Мля. просто как в сказке....   Всего записей: 74 | Зарегистр. 16-02-2007 | Отправлено: 16:43 17-09-2008

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору slay1212 Цитата: Жаль что полностью позволить себе это может 1-2 % контор Позволить себе это может ЛЮБАЯ контора... На машине Core2Duo/4Гб можно развернуть 4-5 машин. Такой комп будет стоить копейки, рабочая станция дороже. ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3799 | Зарегистр. 16-07-2004 | Отправлено: 18:42 17-09-2008

PhoenixUA Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору slay1212 Контроллеров не меньше двух. Один из них спокойно может крутиться на виртуалке, если железо не позволяет... Всего записей: 2184 | Зарегистр. 17-11-2005 | Отправлено: 19:02 17-09-2008

Mushroomer Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору zx12r Цитата: 1. Бэкапы должны делаться на всех серверах и желательно на важных рабочих станциях типа банк-клиент, директор, главбух (в идеале). Не понимаю, почему тут кто-то говорил, что бэкап файлового сервера не нужен. Это говорил я. Но хотелось бы разделить бэкап информации на файл-сервере и бэкап System State файлового сервера. В случае контроллера домена тут никаких сомнений даже и быть не моджет, а вот в случае файлового сервера возможно варианты Но у меня бэкапится System State и файлового сервера тоже. Цитата: 6. Запрет доступа к внешним накопителям, флэшки, CD и проч. (только согласуйте с руководством) Это имхо мера уже по безопасности сети. Всего записей: 22844 | Зарегистр. 19-01-2002 | Отправлено: 19:40 17-09-2008 | Исправлено: Mushroomer, 19:55 17-09-2008

zx12r Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2Mushroomer аааа ведь бэкапите SystemState   2all Впринципе, под тестовый сервак можно найти какой-нить "лишний" компик после апгрейда серваков или компа главбуха, главное памяти чтоб побольше. Все же лучше, чем виртуалка на собственном компе. Правда контроры разные есть, не везде найдется...   Под второй контроллер домена тоже самое. У них требования к ресурсам минимальные. Лишь бы "винда запускалась". У вас ведь не более 500 пользователей. от P3-700 и от 256 ram.   У меня родительский домен два раза падал. Без второго контроллера теперь ни-ни...   Ну флэшки...... тут я думаю, как способ защиты от того, что юзеры на них могут принести. Трояны и все такое... Антивирус ведь не панацея... хотя б по минимуму залочить. Всего записей: 74 | Зарегистр. 16-02-2007 | Отправлено: 21:11 17-09-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору zx12r Цитата: Ну флэшки...... тут я думаю, как способ защиты от того, что юзеры на них могут принести. Трояны и все такое... Антивирус ведь не панацея... хотя б по минимуму залочить. Software Restriction Policies помогут. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 22:23 17-09-2008

slay1212 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Думаю человеку для начала немного ссылок дать: - почитать про NAT,и защиту сети; - про порты кратко на английском ; -настройка файрволлов про порты и тд;   -немного о протоколах TCP - по домену (если он будет ) здесь подборка ruborda  Ну это для начала  FreemanRU Ты имел ввиду виртуальные сервера в своем посте или реальные? Виртуальных можно хоть десять завести, если ресурсы позволяют.  Очень много контор которым одного wk23 Small Business сервака вполне достаточно. Если говорить о конторах где 40-50 и более компов, есть фирменная почта, вебсайт или портал, терминалсервер  - да два DC нужно + отдельно компы для сервер приложений, ТС. Но таких контор у нас в провинции немного     Всего записей: 336 | Зарегистр. 28-05-2008 | Отправлено: 09:32 18-09-2008 | Исправлено: slay1212, 09:48 18-09-2008

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Безопасность сервера для чайников

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование