Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Защитить NT4 от атаки извне ... ? 05.12.01 15:50
Автор: IsAdmin Статус: Незарегистрированный пользователь
|
Есть сервак под NT4 на нем WinRoute + Apache + RAdmin + мелочь вроде HASP-ов,из внешней сети - выделенный IP, внитренняя сеть - по NAT-у
Просвятите, что можно придпринять ради защищенности извне, это конечно звучит немного некорректно,но все же.
Как отследить/предотвратить сканирование портов, (Snoof ?) Nuke-бомбежки ?
Можно поподробнее описать правила настройки FW ?
Как вообще можно предотвратить любое несанкционированное проникновение ?
и последнее Как быть с Аськой ???
Зарание спасибо.
|
|
Защитить NT4 от атаки извне ... ? 05.12.01 17:27
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
> Есть сервак под NT4 на нем WinRoute + Apache + RAdmin +
> мелочь вроде HASP-ов,из внешней сети - выделенный IP,
> внитренняя сеть - по NAT-у
выбить машину под сервак... ведь для шлюза достаточно даже 4-ки с малым винтом.. и натянть на нее ФриБСД... это как план дальнейшего развития.. потому как НТевый сервак все же лучше держать внтури сети без реального ИП...
как меры текущие - накатать СП (если их нет)
от скана рекомендую snort - хороший логгер попыток скана...
поставить ФВ - рекомендую CheckPoint Firewall-1...
сложно? а кто говорил что безопасность дается легко
но я бы настоятельно советовал в качестве шлюза поставить ФриБСД, настроить CVSup и ра в (месяц) обновлять систему и перекмпиливать (make world).. после всего этого будешь чувствовать уверенно.. сломать твою систему из-за глюков и дырок в софте будет ОЧЕНЬ сложно...
> Просвятите, что можно придпринять ради защищенности извне,
> это конечно звучит немного некорректно,но все же.
> Как отследить/предотвратить сканирование портов, (Snoof
> ?) Nuke-бомбежки ?
> Можно поподробнее описать правила настройки FW ?
> Как вообще можно предотвратить любое несанкционированное
> проникновение ?
> и последнее Как быть с Аськой ???
это как? уточни вопрос
|
| |
Защитить NT4 от атаки извне ... ? 10.12.01 13:18
Автор: IsAdmin Статус: Незарегистрированный пользователь
|
Прошу извинить за такую Огромную задержку с ответом (праздники ....)
> > Есть сервак под NT4 на нем WinRoute + Apache + RAdmin +
> > мелочь вроде HASP-ов,из внешней сети - выделенный IP,
> > внитренняя сеть - по NAT-у
> выбить машину под сервак...
Есть HPNetserv (166MMX) =(((
> ведь для шлюза достаточно даже
> 4-ки с малым винтом..
Просто он стоит не только как шлюз а еще и как почтовый сервак (mdaemon) + домен сети+роутер+интранетовский HTTP+mysql+главна кладовая мусора (архивы)+1С+FW+...
>и натянть на нее ФриБСД... это как
> план дальнейшего развития..
> потому как НТевый сервак все же
> лучше держать внтури сети без реального ИП...
> как меры текущие - накатать СП (если их нет)
Можно этот пункт поподробнее ?
Политику пользователей - это сделано, а вот с FW ...
на пинги не отвечать/нетбиос извне закрыт/
открыт 80/25/110 порты с маппингом
остальное по нат-у
Пожалста расскажите поподробнее какие пути надо закрывать в первую очередь ?
> от скана рекомендую snort - хороший логгер попыток скана...
> поставить ФВ - рекомендую CheckPoint Firewall-1...
стоит в составе WinRoute... чем он не фаирвалл ?
> сложно? а кто говорил что безопасность дается легко
>
> но я бы настоятельно советовал в качестве шлюза поставить
> ФриБСД, настроить CVSup и ра в (месяц) обновлять систему и
> перекмпиливать (make world).. после всего этого будешь
> чувствовать уверенно.. сломать твою систему из-за глюков и
> дырок в софте будет ОЧЕНЬ сложно...
[...]
> > и последнее Как быть с Аськой ???
> это как? уточни вопрос
Т.е. внутри сети все привыкли пользоваться аськой направо и налеве, им теперь проще по клаве постучать чем набирать на тел-не номер.
Прикрыть ее нельзя. может поставить небольшой Socks5 и пустить всех через нее ?
P.S. Где можно поситать о Linux-e вообще и о FreeBSD конкретно, начиная с самого начала, мой опыт Linux-a ограничивается попыткой использования Mandrake8.1-а на домашнем компьютере (плачевном опыте)
P.P.S. Выбить доп. комп наверное будет трудновато =(
Но можно попробовать что нибудь сделать на cisco2501 ( =) есть под рукой такая, но у нее снесли как-то ее IOS и так руки и не дошли ее восстановить, а самая главная причина, это то, что конфигурировать ее намного сложнее, чем например WinRoute или WinGate в связке с mDaemon)
P.P.S. Дошло наконец про идею с доп. машиной, как один из вариантов попробую уломать.
P.P.P.S. Еще раз прошу прощения за задержку с ответом
|
| | |
Защитить NT4 от атаки извне ... ? 10.12.01 13:52
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
> Просто он стоит не только как шлюз а еще и как почтовый
> сервак (mdaemon) + домен сети+роутер+интранетовский
> HTTP+mysql+главна кладовая мусора (архивы)+1С+FW+...
> >и натянть на нее ФриБСД... это как
> > план дальнейшего развития..
> > потому как НТевый сервак все же
> > лучше держать внтури сети без реального ИП...
> > как меры текущие - накатать СП (если их нет)
> Можно этот пункт поподробнее ?
я бы сдела так:
1. решение с новым хостом
берем хост с двумя интерфейсами (с внутренним и внешним ИП)
натягиваем на него какрй-нить *nix. Подымаем на нем мыльный снервер, апач, сквид, сокс, днс, файрвол, может быть для некоторых ИП адресов НАТ, если надо - DHCP
2. решение без нового хоста:
закрываем НАТ, подумаем прокси сервер и сокс (есть такие типа Midpoint в котором есть много сервайсов)
почему первый вариант лучше - не надо ни за что платить - весь софт
бесплатный (кроме как за денег за старое железо). юниха надежнее, требует меньше ресурсов, легче настраиваются и имею более гибкие настройки.
> Политику пользователей - это сделано, а вот с FW ...
> на пинги не отвечать/нетбиос извне закрыт/
> открыт 80/25/110 порты с маппингом
> остальное по нат-у
> Пожалста расскажите поподробнее какие пути надо закрывать в
> первую очередь ?
прежде всего НАТ - он на фиг не нужен. Это неконтролируемый траффик.
> > от скана рекомендую snort - хороший логгер попыток
> скана...
> > поставить ФВ - рекомендую CheckPoint Firewall-1...
> стоит в составе WinRoute... чем он не фаирвалл ?
пойдет
> Т.е. внутри сети все привыкли пользоваться аськой направо и
> налеве, им теперь проще по клаве постучать чем набирать на
> тел-не номер.
> Прикрыть ее нельзя. может поставить небольшой Socks5 и
> пустить всех через нее ?
да именно его.
> P.S. Где можно поситать о Linux-e вообще и о FreeBSD
> конкретно, начиная с самого начала, мой опыт Linux-a
> ограничивается попыткой использования Mandrake8.1-а на
> домашнем компьютере (плачевном опыте)
правильно - пробовать лучше дома... Если выбираешь FreeBSD то вот полезные ресурсы:
www.freebsd.org
www.frebsdg.org.ru
www.frebsdg.org.ua
на последних есть hadbook переведенный... А вообще если с чтением английских док нет проблем - то манов и хендбука хватит с головой
> P.P.S. Выбить доп. комп наверное будет трудновато =(
> Но можно попробовать что нибудь сделать на cisco2501 ( =)
> есть под рукой такая, но у нее снесли как-то ее IOS и так
> руки и не дошли ее восстановить, а самая главная причина,
> это то, что конфигурировать ее намного сложнее, чем
> например WinRoute или WinGate в связке с mDaemon)
дык у тя такая моща под рукой, а ты молчишь... Ясен пень что подумать ее надо и настраивать ФВ на ней. Если подымешь ее то новый хост в принципе не нужен - циска будет резать все на входе. ИОС - не проблема, достать можно любой
> P.P.S. Дошло наконец про идею с доп. машиной, как один из
> вариантов попробую уломать.
> P.P.P.S. Еще раз прошу прощения за задержку с ответом
ничего страшного - сам на выходных отсутсвую в нете
|
| | | |
Защитить NT4 от атаки извне ... ? 10.12.01 14:14
Автор: IsAdmin Статус: Незарегистрированный пользователь
|
[..]
> > Можно этот пункт поподробнее ?
> я бы сдела так:
> 1. решение с новым хостом
> берем хост с двумя интерфейсами (с внутренним и внешним ИП)
> натягиваем на него какрй-нить *nix. Подымаем на нем мыльный
> снервер, апач, сквид, сокс, днс, файрвол, может быть для
> некоторых ИП адресов НАТ, если надо - DHCP
>
> 2. решение без нового хоста:
> закрываем НАТ, подумаем прокси сервер и сокс (есть такие
> типа Midpoint в котором есть много сервайсов)
> почему первый вариант лучше - не надо ни за что платить -
> весь софт
> бесплатный (кроме как за денег за старое железо). юниха
> надежнее, требует меньше ресурсов, легче настраиваются и
> имею более гибкие настройки.
>
> > Политику пользователей - это сделано, а вот с FW ...
> > на пинги не отвечать/нетбиос извне закрыт/
> > открыт 80/25/110 порты с маппингом
> > остальное по нат-у
> > Пожалста расскажите поподробнее какие пути надо
> закрывать в
> > первую очередь ?
> прежде всего НАТ - он на фиг не нужен. Это неконтролируемый
> траффик.
Понял уже прикрыл.
[..]
> > Т.е. внутри сети все привыкли пользоваться аськой
> направо и
> > налеве, им теперь проще по клаве постучать чем
> набирать на
> > тел-не номер.
> > Прикрыть ее нельзя. может поставить небольшой Socks5 и
> > пустить всех через нее ?
> да именно его.
А какой рекомендуешь (MidPort или может что нибудь попроще)?
> > P.S. Где можно поситать о Linux-e вообще и о FreeBSD
> > конкретно, начиная с самого начала, мой опыт Linux-a
> > ограничивается попыткой использования Mandrake8.1-а на
> > домашнем компьютере (плачевном опыте)
> правильно - пробовать лучше дома... Если выбираешь FreeBSD
> то вот полезные ресурсы:
> www.freebsd.org
> www.frebsdg.org.ru
> www.frebsdg.org.ua
> на последних есть hadbook переведенный... А вообще если с
> чтением английских док нет проблем - то манов и хендбука
> хватит с головой
С этим проблем не возникнет, спасибо.
> > Но можно попробовать что нибудь сделать на cisco2501 ( =) )
> > есть под рукой такая, но у нее снесли как-то ее IOS и так
> > руки и не дошли ее восстановить, а самая главная
> > причина, это то, что конфигурировать ее намного сложнее, чем
> > например WinRoute или WinGate в связке с mDaemon)
> дык у тя такая моща под рукой, а ты молчишь... Ясен пень
> что подумать ее надо и настраивать ФВ на ней. Если подымешь
> ее то новый хост в принципе не нужен - циска будет резать
> все на входе. ИОС - не проблема, достать можно любой
Где ? прошить не проблема, сейчас на ней IP Plus без FW,
пробовал ftp search по с2500-*.bin ... ничего кроме старого 11.0(6) не нашлось.
PS Что можно использовать что бы разделять полосу на пользователей
т.е. к примеру группе пользователей 10Kb/s другой 5Kb/s другим все остальное(как в Eserv-e), самое главное:
ситуация: разделение полосы пропускания 10/5/8/2/20 всего 45
требуется: если канал простаивает, т.е. пользователи 1,2,3 не пользуются интернетом, то их полосу отдать пользователю 5.
Вообщем если есть активность пользователей то предоставить им ограниченную полоссу, а если активности нет, то отдать все другому конкретному пользователю.
На циске можно жестко задать значения для каждого пользователя, но динамически их варьировать она не умеет.
Может я в чем то ошибся в рассуждениях ?
Попросту говоря, один качает Боольшой файл, доругие просто гуляют по страницам или вообще только аськой пользуются, если всем разграничить полосы то часть канала просто будет простаивать, а если никому не ограничивать то возникнет перегрузка (тот кто качает будет просто не давать нормально работать остальным). Что тут делать ?
|
| | | | |
Защитить NT4 от атаки извне ... ? 11.12.01 10:20
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
> А какой рекомендуешь (MidPort или может что нибудь
> попроще)?
не знаю - по софту под вин32 не спец... просто слышал что народ хвалил MidPoint.. что еще? - WinGate (не уверен есть ли там сокс)
> > все на входе. ИОС - не проблема, достать можно любой
> Где ? прошить не проблема, сейчас на ней IP Plus без FW,
> пробовал ftp search по с2500-*.bin ... ничего кроме старого
> 11.0(6) не нашлось.
скока памяти на циске? уточни какая у тя точно циска а еще лучше какой те нужен ИОС (версия и желательно имя файла - это облегчит поиск)
> PS Что можно использовать что бы разделять полосу на
> пользователей
> т.е. к примеру группе пользователей 10Kb/s другой 5Kb/s
> другим все остальное(как в Eserv-e), самое главное:
> ситуация: разделение полосы пропускания 10/5/8/2/20 всего
> 45
> требуется: если канал простаивает, т.е. пользователи 1,2,3
> не пользуются интернетом, то их полосу отдать пользователю
> 5.
под НТ есть пара тулзей для этого - iNetShaper, IPShaper
BCB - http://bsb.net.ru/bins/bsb16.zip
а первые две поиском найдешь
вот чем мне нарвится БСД - это тем что в ней все это можно сделать без внешних тулзей а вот в даже в в2к - никак :-((
> Вообщем если есть активность пользователей то предоставить
> им ограниченную полоссу, а если активности нет, то отдать
> все другому конкретному пользователю.
>
> На циске можно жестко задать значения для каждого
> пользователя, но динамически их варьировать она не умеет.
> Может я в чем то ошибся в рассуждениях ?
>
> Попросту говоря, один качает Боольшой файл, доругие просто
> гуляют по страницам или вообще только аськой пользуются,
> если всем разграничить полосы то часть канала просто будет
> простаивать, а если никому не ограничивать то возникнет
> перегрузка (тот кто качает будет просто не давать нормально
> работать остальным). Что тут делать ?
динамически - это очень трудно. Для начала было бынеплохо проанализировать загрузку канала вообще. Рекомендую как поднимешь циску поставь себе MRTG. Может даже ничего разграничивать не надо - он тебе покажет как загружен канал (как натянуть его на вин32 читать тут http://snmpboy.rte.microsoft.com/)
А как сделать динамический шейпинг канала - тут я не советчик (во всяком случае под НТ точно)
удачи
|
| | | | | |
Защитить NT4 от атаки извне ... ? 11.12.01 18:06
Автор: IsAdmin Статус: Незарегистрированный пользователь
|
[..]
> > А какой рекомендуешь (MidPort или может что нибудь
> > попроще)?
> не знаю - по софту под вин32 не спец... просто слышал что
> народ хвалил MidPoint.. что еще? - WinGate (не уверен есть
> ли там сокс)
Нету, там только HttpProxy/Mailserver
Поробую почитать про MidPort
[..]
> скока памяти на циске? уточни какая у тя точно циска а еще
> лучше какой те нужен ИОС (версия и желательно имя файла -
> это облегчит поиск)
с2501 флеша8 рама8
вчера нашел IOS 12.0(7) ftp://dlt.herzen.spb.ru/pub/cisco/ios/2500
IP Plus и IP/FW поставил последнюю. посмотрим что получиться.
как я понял последующие версии требуют намного больше флеша (чего нет и не будет) Может я заблуждаюсь ?
Вопрос про "огненную стену" попробовал запретить доступ из внешней сети во внутреннюю по UDP по 139 порту(NetB), после этого во внутренней сети никто не мог войти в домен. Такого ведь не должно было случиться ? что бы запретить вообще весь NetBios извне какие порты нужно прикрыть ?
> > PS Что можно использовать что бы разделять полосу на
> > пользователей
[..]
> под НТ есть пара тулзей для этого - iNetShaper, IPShaper
> BCB - http://bsb.net.ru/bins/bsb16.zip
> а первые две поиском найдешь
> вот чем мне нарвится БСД - это тем что в ней все это можно
> сделать без внешних тулзей а вот в даже в в2к - никак :-((
Понял, пошел искать/читать.
[..]
> > Попросту говоря, один качает Боольшой файл, доругие просто
> > гуляют по страницам или вообще только аськой пользуются,
> > если всем разграничить полосы то часть канала просто будет
> > простаивать, а если никому не ограничивать то возникнет
> > перегрузка (тот кто качает будет просто не давать нормально
> > работать остальным). Что тут делать ?
> динамически - это очень трудно. Для начала было бынеплохо
> проанализировать загрузку канала вообще.
Загрузка:
почта раз в 3 минуты проверка, раз в 2/3 часа выкачивает, весь трафик размазан кусками по дню(куски от 20кб до 8Мб)
Аська- весь день напролёт минимальный трафик
Серфинг - ??? как когда, то все одновременно ломанутся читать новости, то кто-то мп3 качать вздумает то никого нет
мои Закачки-круглые сутки с ограниченной днем(5кб)/неограниченной ночью полосой
> Рекомендую как
> поднимешь циску поставь себе MRTG. Может даже ничего
> разграничивать не надо - он тебе покажет как загружен канал
> (как натянуть его на вин32 читать тут
> http://snmpboy.rte.microsoft.com/)
Класс ! то что надо начальству показывать ! Спасибо !
> А как сделать динамический шейпинг канала - тут я не
> советчик (во всяком случае под НТ точно)
> удачи
Спасибо, она мне потребуется =)
|
| |
Защитить NT4 от атаки извне ... ? 05.12.01 21:11
Автор: vaborg <Israel Vaborg> Статус: Elderman
|
действительно поставить фрю или опенбсду
следить за апдейтами
выставить на ней политику ipchains
этого наверное будет достаточно для среднего сервака
|
|
|
подробно о проекте
Анализ криптографических сетевых...
