информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеПортрет посетителяСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Phrack #70/0x46 
 Возможно, Facebook наступил на... 
 50 лет электронной почте 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Ну конечно! :)) 16.08.09 22:52  Число просмотров: 2131
Автор: Den <Denis> Статус: The Elderman
Отредактировано 17.08.09 00:41  Количество правок: 1
<"чистая" ссылка>
> > "Просто и дешево" ? Хорошая шутка!!! :)
> > Давай-ка посчитаем, сколько нужно времени и знаний,
> чтобы
> > поставить и сконфигурировать на FreeBSD хотябы
> следующие
> > службы: AD, DNS(AD itegrated), SMB
>
> При наличии знаний - одинаково. Без наличия знаний - нех.
> лезть.

Ну конечно! :))
Ты на вскидку даже не вспомнишь как называется дистрибутив подобия AD для *nix систем - в инете будешь лопатить. Не говоря уже о порядке установки, опциях конфигурирования ldap.conf, необходимости установки и настройки reference дистрибутивов.
Про отсутствие AD integrated в никсовом DNS и особенностях SMB рассказывать бессмысленно. Грамотное конфигурирование всего этого требует огромных временных затрат, если конфигурить руками с нуля без скриптов и темплейтов.

Все еще "одинаково"?

> > по сравнению с тем же набором в Windows Server 2008? Я
> уж
> > не говорю про сервер обновлений, распространение
> политик
> > безопасности, конфигурирование X'ов и пр...
> > И как ты думаешь, где эти службы будут стабильнее
> работать?
>
> А зачем им, вообще работать? Обновления ламеры должны
> получать из рук админа.

Обновления должны ставиться централизованно и желательно автоматически с сервера обновления. На долю пользователя админ может оставить выбор - установить обновления сейчас или при выключении.

> За файрволом в корпоративной сети все "политики"
> дожны рулиться Каталистами С ВЛанами,
> маршрутизацией и фильтрацией между подсетками.

Ты очень узко понимаешь определение "политика" - забываешь про политики безопасности и доступа к ресурсам локальной сети: (почтовые, файловые, БД службы, службы удаленного доступа), политики паролей, аудита, настройки и разрешения/запреты запуска программ и служб на рабочих станциях и т.д.

> Если же фирма девелоперская, то там все "сами с усами",
> а всякие среды разработки, типа Симатика, например,
> вынуждают городить внутри группы такие политики,
> которые не совместимы ни с чем и ни с кем (тока-что
> этой дряни накушался до бровей). Так, что вся эта
> централизация ничего, кроме гимороя не даст.

Смысл политик как раз в централизованном автоматическом распространении на узлы локальной сети, в противном случае, теряется сам смысл поняти "политика". Проблемы несовместимости ПО, мало коррелируются с "политикой".

> > Странное понимаение безопасности.
> > Ты понятия не имеешь о том, что безопасность всей
> локальной
> > сети определяется не безопасностью перимерта, а
> > безопасностью самого слабого узла сети.
>
> Самый слабый узел сети - мозги идиота, а их - не запатчишь.
> Так, что, либо периметр и кусачие админы, либо - привязка
> юзверя к порту свича и фильтрация. Естессно, всякий прямой
> обмен между станциями должен быт запрещен - только общий
> файл-сервер и все результаты работы - только на нем.

Никакой периметр не спасет от атаки изнутри, или подсадки через инет обозреватель вредоносного кода. А про "мозги идиота" в стандартах ISO нет ни слова. :))
Сколько стоит управляемый коммутратор, ограничивающий обмен между портами, против неуправляемого? Бюджетное решение?

> > > Я еще ни разу не встречал юзверя, сидящего
> > > в открытом Интернете, на компе которого не
> > > паслось бы целое стадо вирей и адварей.
> >
> > Зато я встречал. Сам таким пользователям софт
> настраивал. И
> > если эти пользователи следовали моим рекомендациям, то
> > проблем с вирусами не возникало.
>
> Знаешь, это уже не юзверь, если он рекомендациям следует и,
> главное, знает, как им следовать.

А кто? Системный администратор?
Задача пользователя, работающего в организации, соблюдать корпоративные политики, в т.ч. и политику информационной безопасности компании. т.е. следовать рекомендациям отдела ИТ. Не вижу большой разницы между домашним и корпоративным пользователем, тем более, что при современном развитии технологий граница "корпоративный-домашний" размывается все больше и больше.

Ты в тайге совсем одичал. ;)

> > > Безопасность тождественна профессионализму.
> > > И - только.
> >
> > Конечно! И в первую очередь тождественна
> профессионализму
> > разработчиков.
>
> Только потребителя. Иначе, ограничения, встроенные в
> систему будут противоречить Правам Человека. Вообще, дожен
> быть принцип: Каждое юридическое/физическое лицо в сети
> само и только само ответственно за свою безопасность.
> Всякая централизованная безопасность либо - невозможна,
> либо - насильственна. В фирме насильственная безопасность
> правомерна, а дома - и не допустима и не возможна.

Не будут, полюбому!
Если ты покупаешь и используешь продукт, ты соглашаешься со всеми правилами и органичениями на данный продукт, а также на все его особенности и умолчания в т.ч. И не надо тут "ля-ля" про права человека и все такое... Совершенно не уместно.

> Как максимум - сети с ответственной инфой, вообще, в Инет
> не пускать. А для работы и чтобы себе всякие "дырочки" в
> Инет не налаживали (Вон, на ЖД 1й отдел Инет запретил, так
> модемы из дома не тащит и друзьям там Инет не раздает тока
> ленивый и совсем тупой), Ставить отдельные компы в Сети:
> скачал, записал на флешку, предъявил админу.

На ЖД, как и во многих гос.корпорациях, нормальные корпоративные политики либо отсутствуют, либо принципиально не исполняются никем, как раз по причине кумовства. Для нормальных организаций корпоративные политики запрещают отношения "начальник-подчиненный" для родственников.

> > > Прокся на Юниксе, КэшЭнджайн, Пикс.
> > > Для хранения данных - Сторадж, типа
> > > Симметрикса, на крайняк - встраиваемый РЭИД, при
> > условии,
> > > естессно, что система с прогами и данные - на
> разных
> > > дисках.
> >
> > Ага! А еще загрузка рабочих станций по сети для
> "экономии
> > средств на ЖД", оптика по всему офису с коммутатором
> > Cisco... Так?!
>
> Если нужна скорость и безопасность, то только так. Кстати,
> Симметрикс, для которого я некогда писал компаненты
> оптимизатора трафика и размещения данных, на полном серьезе
> доказывает, что централизованный сторадж с бездисковыми
> станциями экономически эффективнее.

Можешь представить расчет экономической целесообразности и сроках окупаемости (с учетом стоимости эксплуатации) данного решения для 10, 20, 30 рабочих станций в локальной сети? Сильно сомневаюсь...

> > Посчитай конечную стоимость и доступность этого
> решения для
> > сегмента малого и среднего бизнеса.
>
> Нашему малому бизнесу никакая безопасностьне доступна ни -
> по уму, ни - по деньгам

С чего это вдруг? Ты не знаком с понятием "аутсорсинг"?

> > Ошибаешься! По статистике, б`ольшая часть взломов,
> > следствие ошибочного выбора набора ПО и использования
> > непропатченного ПО.
>
> А что это, если не глупость и неаккуратность?!

Согласен! Глупо и неаккуратно использовать нелицензионное ПО и таким образом ограничивать его безопасность.
<site updates> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach