информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыПортрет посетителяСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Очередное исследование 19 миллиардов... 
 Оптимизация ввода-вывода как инструмент... 
 Зловреды выбирают Lisp и Delphi 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
если вы видите этот текст, отключите в настройках форума использование JavaScript
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
Защитить NT4 от атаки извне ... ? 10.12.01 13:52  Число просмотров: 1230
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
> Просто он стоит не только как шлюз а еще и как почтовый
> сервак (mdaemon) + домен сети+роутер+интранетовский
> HTTP+mysql+главна кладовая мусора (архивы)+1С+FW+...
> >и натянть на нее ФриБСД... это как
> > план дальнейшего развития..
> > потому как НТевый сервак все же
> > лучше держать внтури сети без реального ИП...
> > как меры текущие - накатать СП (если их нет)
> Можно этот пункт поподробнее ?
я бы сдела так:
1. решение с новым хостом
берем хост с двумя интерфейсами (с внутренним и внешним ИП)
натягиваем на него какрй-нить *nix. Подымаем на нем мыльный снервер, апач, сквид, сокс, днс, файрвол, может быть для некоторых ИП адресов НАТ, если надо - DHCP

2. решение без нового хоста:
закрываем НАТ, подумаем прокси сервер и сокс (есть такие типа Midpoint в котором есть много сервайсов)

почему первый вариант лучше - не надо ни за что платить - весь софт
бесплатный (кроме как за денег за старое железо). юниха надежнее, требует меньше ресурсов, легче настраиваются и имею более гибкие настройки.

> Политику пользователей - это сделано, а вот с FW ...
> на пинги не отвечать/нетбиос извне закрыт/
> открыт 80/25/110 порты с маппингом
> остальное по нат-у
> Пожалста расскажите поподробнее какие пути надо закрывать в
> первую очередь ?
прежде всего НАТ - он на фиг не нужен. Это неконтролируемый траффик.

> > от скана рекомендую snort - хороший логгер попыток
> скана...
> > поставить ФВ - рекомендую CheckPoint Firewall-1...
> стоит в составе WinRoute... чем он не фаирвалл ?
пойдет

> Т.е. внутри сети все привыкли пользоваться аськой направо и
> налеве, им теперь проще по клаве постучать чем набирать на
> тел-не номер.
> Прикрыть ее нельзя. может поставить небольшой Socks5 и
> пустить всех через нее ?
да именно его.

> P.S. Где можно поситать о Linux-e вообще и о FreeBSD
> конкретно, начиная с самого начала, мой опыт Linux-a
> ограничивается попыткой использования Mandrake8.1-а на
> домашнем компьютере (плачевном опыте)
правильно - пробовать лучше дома... Если выбираешь FreeBSD то вот полезные ресурсы:
www.freebsd.org
www.frebsdg.org.ru
www.frebsdg.org.ua
на последних есть hadbook переведенный... А вообще если с чтением английских док нет проблем - то манов и хендбука хватит с головой

> P.P.S. Выбить доп. комп наверное будет трудновато =(
> Но можно попробовать что нибудь сделать на cisco2501 ( =)
> есть под рукой такая, но у нее снесли как-то ее IOS и так
> руки и не дошли ее восстановить, а самая главная причина,
> это то, что конфигурировать ее намного сложнее, чем
> например WinRoute или WinGate в связке с mDaemon)
дык у тя такая моща под рукой, а ты молчишь... Ясен пень что подумать ее надо и настраивать ФВ на ней. Если подымешь ее то новый хост в принципе не нужен - циска будет резать все на входе. ИОС - не проблема, достать можно любой

> P.P.S. Дошло наконец про идею с доп. машиной, как один из
> вариантов попробую уломать.
> P.P.P.S. Еще раз прошу прощения за задержку с ответом
ничего страшного - сам на выходных отсутсвую в нете
<sysadmin>
Защитить NT4 от атаки извне ... ? 05.12.01 15:50  
Автор: IsAdmin Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Есть сервак под NT4 на нем WinRoute + Apache + RAdmin + мелочь вроде HASP-ов,из внешней сети - выделенный IP, внитренняя сеть - по NAT-у

Просвятите, что можно придпринять ради защищенности извне, это конечно звучит немного некорректно,но все же.
Как отследить/предотвратить сканирование портов, (Snoof ?) Nuke-бомбежки ?
Можно поподробнее описать правила настройки FW ?
Как вообще можно предотвратить любое несанкционированное проникновение ?
и последнее Как быть с Аськой ???

Зарание спасибо.
Защитить NT4 от атаки извне ... ? 05.12.01 17:27  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
> Есть сервак под NT4 на нем WinRoute + Apache + RAdmin +
> мелочь вроде HASP-ов,из внешней сети - выделенный IP,
> внитренняя сеть - по NAT-у
выбить машину под сервак... ведь для шлюза достаточно даже 4-ки с малым винтом.. и натянть на нее ФриБСД... это как план дальнейшего развития.. потому как НТевый сервак все же лучше держать внтури сети без реального ИП...
как меры текущие - накатать СП (если их нет)
от скана рекомендую snort - хороший логгер попыток скана...
поставить ФВ - рекомендую CheckPoint Firewall-1...
сложно? а кто говорил что безопасность дается легко

но я бы настоятельно советовал в качестве шлюза поставить ФриБСД, настроить CVSup и ра в (месяц) обновлять систему и перекмпиливать (make world).. после всего этого будешь чувствовать уверенно.. сломать твою систему из-за глюков и дырок в софте будет ОЧЕНЬ сложно...

> Просвятите, что можно придпринять ради защищенности извне,
> это конечно звучит немного некорректно,но все же.
> Как отследить/предотвратить сканирование портов, (Snoof
> ?) Nuke-бомбежки ?
> Можно поподробнее описать правила настройки FW ?
> Как вообще можно предотвратить любое несанкционированное
> проникновение ?
> и последнее Как быть с Аськой ???
это как? уточни вопрос
Защитить NT4 от атаки извне ... ? 10.12.01 13:18  
Автор: IsAdmin Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Прошу извинить за такую Огромную задержку с ответом (праздники ....)

> > Есть сервак под NT4 на нем WinRoute + Apache + RAdmin +
> > мелочь вроде HASP-ов,из внешней сети - выделенный IP,
> > внитренняя сеть - по NAT-у
> выбить машину под сервак...
Есть HPNetserv (166MMX) =(((
> ведь для шлюза достаточно даже
> 4-ки с малым винтом..
Просто он стоит не только как шлюз а еще и как почтовый сервак (mdaemon) + домен сети+роутер+интранетовский HTTP+mysql+главна кладовая мусора (архивы)+1С+FW+...
>и натянть на нее ФриБСД... это как
> план дальнейшего развития..
> потому как НТевый сервак все же
> лучше держать внтури сети без реального ИП...
> как меры текущие - накатать СП (если их нет)
Можно этот пункт поподробнее ?
Политику пользователей - это сделано, а вот с FW ...
на пинги не отвечать/нетбиос извне закрыт/
открыт 80/25/110 порты с маппингом
остальное по нат-у
Пожалста расскажите поподробнее какие пути надо закрывать в первую очередь ?
> от скана рекомендую snort - хороший логгер попыток скана...
> поставить ФВ - рекомендую CheckPoint Firewall-1...
стоит в составе WinRoute... чем он не фаирвалл ?
> сложно? а кто говорил что безопасность дается легко
>
> но я бы настоятельно советовал в качестве шлюза поставить
> ФриБСД, настроить CVSup и ра в (месяц) обновлять систему и
> перекмпиливать (make world).. после всего этого будешь
> чувствовать уверенно.. сломать твою систему из-за глюков и
> дырок в софте будет ОЧЕНЬ сложно...

[...]
> > и последнее Как быть с Аськой ???
> это как? уточни вопрос

Т.е. внутри сети все привыкли пользоваться аськой направо и налеве, им теперь проще по клаве постучать чем набирать на тел-не номер.
Прикрыть ее нельзя. может поставить небольшой Socks5 и пустить всех через нее ?

P.S. Где можно поситать о Linux-e вообще и о FreeBSD конкретно, начиная с самого начала, мой опыт Linux-a ограничивается попыткой использования Mandrake8.1-а на домашнем компьютере (плачевном опыте)
P.P.S. Выбить доп. комп наверное будет трудновато =(
Но можно попробовать что нибудь сделать на cisco2501 ( =) есть под рукой такая, но у нее снесли как-то ее IOS и так руки и не дошли ее восстановить, а самая главная причина, это то, что конфигурировать ее намного сложнее, чем например WinRoute или WinGate в связке с mDaemon)

P.P.S. Дошло наконец про идею с доп. машиной, как один из вариантов попробую уломать.
P.P.P.S. Еще раз прошу прощения за задержку с ответом
Защитить NT4 от атаки извне ... ? 10.12.01 13:52  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
> Просто он стоит не только как шлюз а еще и как почтовый
> сервак (mdaemon) + домен сети+роутер+интранетовский
> HTTP+mysql+главна кладовая мусора (архивы)+1С+FW+...
> >и натянть на нее ФриБСД... это как
> > план дальнейшего развития..
> > потому как НТевый сервак все же
> > лучше держать внтури сети без реального ИП...
> > как меры текущие - накатать СП (если их нет)
> Можно этот пункт поподробнее ?
я бы сдела так:
1. решение с новым хостом
берем хост с двумя интерфейсами (с внутренним и внешним ИП)
натягиваем на него какрй-нить *nix. Подымаем на нем мыльный снервер, апач, сквид, сокс, днс, файрвол, может быть для некоторых ИП адресов НАТ, если надо - DHCP

2. решение без нового хоста:
закрываем НАТ, подумаем прокси сервер и сокс (есть такие типа Midpoint в котором есть много сервайсов)

почему первый вариант лучше - не надо ни за что платить - весь софт
бесплатный (кроме как за денег за старое железо). юниха надежнее, требует меньше ресурсов, легче настраиваются и имею более гибкие настройки.

> Политику пользователей - это сделано, а вот с FW ...
> на пинги не отвечать/нетбиос извне закрыт/
> открыт 80/25/110 порты с маппингом
> остальное по нат-у
> Пожалста расскажите поподробнее какие пути надо закрывать в
> первую очередь ?
прежде всего НАТ - он на фиг не нужен. Это неконтролируемый траффик.

> > от скана рекомендую snort - хороший логгер попыток
> скана...
> > поставить ФВ - рекомендую CheckPoint Firewall-1...
> стоит в составе WinRoute... чем он не фаирвалл ?
пойдет

> Т.е. внутри сети все привыкли пользоваться аськой направо и
> налеве, им теперь проще по клаве постучать чем набирать на
> тел-не номер.
> Прикрыть ее нельзя. может поставить небольшой Socks5 и
> пустить всех через нее ?
да именно его.

> P.S. Где можно поситать о Linux-e вообще и о FreeBSD
> конкретно, начиная с самого начала, мой опыт Linux-a
> ограничивается попыткой использования Mandrake8.1-а на
> домашнем компьютере (плачевном опыте)
правильно - пробовать лучше дома... Если выбираешь FreeBSD то вот полезные ресурсы:
www.freebsd.org
www.frebsdg.org.ru
www.frebsdg.org.ua
на последних есть hadbook переведенный... А вообще если с чтением английских док нет проблем - то манов и хендбука хватит с головой

> P.P.S. Выбить доп. комп наверное будет трудновато =(
> Но можно попробовать что нибудь сделать на cisco2501 ( =)
> есть под рукой такая, но у нее снесли как-то ее IOS и так
> руки и не дошли ее восстановить, а самая главная причина,
> это то, что конфигурировать ее намного сложнее, чем
> например WinRoute или WinGate в связке с mDaemon)
дык у тя такая моща под рукой, а ты молчишь... Ясен пень что подумать ее надо и настраивать ФВ на ней. Если подымешь ее то новый хост в принципе не нужен - циска будет резать все на входе. ИОС - не проблема, достать можно любой

> P.P.S. Дошло наконец про идею с доп. машиной, как один из
> вариантов попробую уломать.
> P.P.P.S. Еще раз прошу прощения за задержку с ответом
ничего страшного - сам на выходных отсутсвую в нете
Защитить NT4 от атаки извне ... ? 10.12.01 14:14  
Автор: IsAdmin Статус: Незарегистрированный пользователь
<"чистая" ссылка>
[..]
> > Можно этот пункт поподробнее ?
> я бы сдела так:
> 1. решение с новым хостом
> берем хост с двумя интерфейсами (с внутренним и внешним ИП)
> натягиваем на него какрй-нить *nix. Подымаем на нем мыльный
> снервер, апач, сквид, сокс, днс, файрвол, может быть для
> некоторых ИП адресов НАТ, если надо - DHCP
>
> 2. решение без нового хоста:
> закрываем НАТ, подумаем прокси сервер и сокс (есть такие
> типа Midpoint в котором есть много сервайсов)

> почему первый вариант лучше - не надо ни за что платить -
> весь софт
> бесплатный (кроме как за денег за старое железо). юниха
> надежнее, требует меньше ресурсов, легче настраиваются и
> имею более гибкие настройки.
>
> > Политику пользователей - это сделано, а вот с FW ...
> > на пинги не отвечать/нетбиос извне закрыт/
> > открыт 80/25/110 порты с маппингом
> > остальное по нат-у
> > Пожалста расскажите поподробнее какие пути надо
> закрывать в
> > первую очередь ?
> прежде всего НАТ - он на фиг не нужен. Это неконтролируемый
> траффик.
Понял уже прикрыл.
[..]
> > Т.е. внутри сети все привыкли пользоваться аськой
> направо и
> > налеве, им теперь проще по клаве постучать чем
> набирать на
> > тел-не номер.
> > Прикрыть ее нельзя. может поставить небольшой Socks5 и
> > пустить всех через нее ?
> да именно его.
А какой рекомендуешь (MidPort или может что нибудь попроще)?

> > P.S. Где можно поситать о Linux-e вообще и о FreeBSD
> > конкретно, начиная с самого начала, мой опыт Linux-a
> > ограничивается попыткой использования Mandrake8.1-а на
> > домашнем компьютере (плачевном опыте)
> правильно - пробовать лучше дома... Если выбираешь FreeBSD
> то вот полезные ресурсы:
> www.freebsd.org
> www.frebsdg.org.ru
> www.frebsdg.org.ua
> на последних есть hadbook переведенный... А вообще если с
> чтением английских док нет проблем - то манов и хендбука
> хватит с головой
С этим проблем не возникнет, спасибо.

> > Но можно попробовать что нибудь сделать на cisco2501 ( =) )
> > есть под рукой такая, но у нее снесли как-то ее IOS и так
> > руки и не дошли ее восстановить, а самая главная
> > причина, это то, что конфигурировать ее намного сложнее, чем
> > например WinRoute или WinGate в связке с mDaemon)
> дык у тя такая моща под рукой, а ты молчишь... Ясен пень
> что подумать ее надо и настраивать ФВ на ней. Если подымешь
> ее то новый хост в принципе не нужен - циска будет резать
> все на входе. ИОС - не проблема, достать можно любой

Где ? прошить не проблема, сейчас на ней IP Plus без FW,
пробовал ftp search по с2500-*.bin ... ничего кроме старого 11.0(6) не нашлось.

PS Что можно использовать что бы разделять полосу на пользователей
т.е. к примеру группе пользователей 10Kb/s другой 5Kb/s другим все остальное(как в Eserv-e), самое главное:
ситуация: разделение полосы пропускания 10/5/8/2/20 всего 45
требуется: если канал простаивает, т.е. пользователи 1,2,3 не пользуются интернетом, то их полосу отдать пользователю 5.

Вообщем если есть активность пользователей то предоставить им ограниченную полоссу, а если активности нет, то отдать все другому конкретному пользователю.

На циске можно жестко задать значения для каждого пользователя, но динамически их варьировать она не умеет.
Может я в чем то ошибся в рассуждениях ?

Попросту говоря, один качает Боольшой файл, доругие просто гуляют по страницам или вообще только аськой пользуются, если всем разграничить полосы то часть канала просто будет простаивать, а если никому не ограничивать то возникнет перегрузка (тот кто качает будет просто не давать нормально работать остальным). Что тут делать ?
Защитить NT4 от атаки извне ... ? 11.12.01 10:20  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
> А какой рекомендуешь (MidPort или может что нибудь
> попроще)?
не знаю - по софту под вин32 не спец... просто слышал что народ хвалил MidPoint.. что еще? - WinGate (не уверен есть ли там сокс)

> > все на входе. ИОС - не проблема, достать можно любой
> Где ? прошить не проблема, сейчас на ней IP Plus без FW,
> пробовал ftp search по с2500-*.bin ... ничего кроме старого
> 11.0(6) не нашлось.
скока памяти на циске? уточни какая у тя точно циска а еще лучше какой те нужен ИОС (версия и желательно имя файла - это облегчит поиск)

> PS Что можно использовать что бы разделять полосу на
> пользователей
> т.е. к примеру группе пользователей 10Kb/s другой 5Kb/s
> другим все остальное(как в Eserv-e), самое главное:
> ситуация: разделение полосы пропускания 10/5/8/2/20 всего
> 45
> требуется: если канал простаивает, т.е. пользователи 1,2,3
> не пользуются интернетом, то их полосу отдать пользователю
> 5.
под НТ есть пара тулзей для этого - iNetShaper, IPShaper
BCB - http://bsb.net.ru/bins/bsb16.zip
а первые две поиском найдешь
вот чем мне нарвится БСД - это тем что в ней все это можно сделать без внешних тулзей а вот в даже в в2к - никак :-((

> Вообщем если есть активность пользователей то предоставить
> им ограниченную полоссу, а если активности нет, то отдать
> все другому конкретному пользователю.
>
> На циске можно жестко задать значения для каждого
> пользователя, но динамически их варьировать она не умеет.
> Может я в чем то ошибся в рассуждениях ?
>
> Попросту говоря, один качает Боольшой файл, доругие просто
> гуляют по страницам или вообще только аськой пользуются,
> если всем разграничить полосы то часть канала просто будет
> простаивать, а если никому не ограничивать то возникнет
> перегрузка (тот кто качает будет просто не давать нормально
> работать остальным). Что тут делать ?
динамически - это очень трудно. Для начала было бынеплохо проанализировать загрузку канала вообще. Рекомендую как поднимешь циску поставь себе MRTG. Может даже ничего разграничивать не надо - он тебе покажет как загружен канал (как натянуть его на вин32 читать тут http://snmpboy.rte.microsoft.com/)
А как сделать динамический шейпинг канала - тут я не советчик (во всяком случае под НТ точно)

удачи
Защитить NT4 от атаки извне ... ? 11.12.01 18:06  
Автор: IsAdmin Статус: Незарегистрированный пользователь
<"чистая" ссылка>
[..]
> > А какой рекомендуешь (MidPort или может что нибудь
> > попроще)?
> не знаю - по софту под вин32 не спец... просто слышал что
> народ хвалил MidPoint.. что еще? - WinGate (не уверен есть
> ли там сокс)
Нету, там только HttpProxy/Mailserver
Поробую почитать про MidPort

[..]
> скока памяти на циске? уточни какая у тя точно циска а еще
> лучше какой те нужен ИОС (версия и желательно имя файла -
> это облегчит поиск)
с2501 флеша8 рама8
вчера нашел IOS 12.0(7) ftp://dlt.herzen.spb.ru/pub/cisco/ios/2500
IP Plus и IP/FW поставил последнюю. посмотрим что получиться.
как я понял последующие версии требуют намного больше флеша (чего нет и не будет) Может я заблуждаюсь ?

Вопрос про "огненную стену" попробовал запретить доступ из внешней сети во внутреннюю по UDP по 139 порту(NetB), после этого во внутренней сети никто не мог войти в домен. Такого ведь не должно было случиться ? что бы запретить вообще весь NetBios извне какие порты нужно прикрыть ?

> > PS Что можно использовать что бы разделять полосу на
> > пользователей
[..]
> под НТ есть пара тулзей для этого - iNetShaper, IPShaper
> BCB - http://bsb.net.ru/bins/bsb16.zip
> а первые две поиском найдешь
> вот чем мне нарвится БСД - это тем что в ней все это можно
> сделать без внешних тулзей а вот в даже в в2к - никак :-((
Понял, пошел искать/читать.

[..]
> > Попросту говоря, один качает Боольшой файл, доругие просто
> > гуляют по страницам или вообще только аськой пользуются,
> > если всем разграничить полосы то часть канала просто будет
> > простаивать, а если никому не ограничивать то возникнет
> > перегрузка (тот кто качает будет просто не давать нормально
> > работать остальным). Что тут делать ?
> динамически - это очень трудно. Для начала было бынеплохо
> проанализировать загрузку канала вообще.
Загрузка:
почта раз в 3 минуты проверка, раз в 2/3 часа выкачивает, весь трафик размазан кусками по дню(куски от 20кб до 8Мб)
Аська- весь день напролёт минимальный трафик
Серфинг - ??? как когда, то все одновременно ломанутся читать новости, то кто-то мп3 качать вздумает то никого нет
мои Закачки-круглые сутки с ограниченной днем(5кб)/неограниченной ночью полосой

> Рекомендую как
> поднимешь циску поставь себе MRTG. Может даже ничего
> разграничивать не надо - он тебе покажет как загружен канал
> (как натянуть его на вин32 читать тут
> http://snmpboy.rte.microsoft.com/)
Класс ! то что надо начальству показывать ! Спасибо !
> А как сделать динамический шейпинг канала - тут я не
> советчик (во всяком случае под НТ точно)

> удачи
Спасибо, она мне потребуется =)
Защитить NT4 от атаки извне ... ? 05.12.01 21:11  
Автор: vaborg <Israel Vaborg> Статус: Elderman
<"чистая" ссылка>
действительно поставить фрю или опенбсду
следить за апдейтами
выставить на ней политику ipchains
этого наверное будет достаточно для среднего сервака
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2025 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach