Господа, здравствуйте!
Возник такой вопрос: какой лучше выбрать аппаратный брандмауэр?
В кандидатах есть Cisco PIX 515E, D-Link серии DFL, например, 2400.
Поделитесь пожалуйста, кто что использовал, какие есть мысли на этот счёт.
Буду также признателен, если кто поделится советом или опытом в организации защиты корпоративной сети. Интересны ворпосы создания ДМЗ и систем обнаружения атак, антивирусная защита.
Заранее благодарен за ответы.
Аппаратные файерволы и комплексная защита сети предприятия27.08.03 10:19 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 27.08.03 10:21 Количество правок: 1
> Господа, здравствуйте! > Возник такой вопрос: какой лучше выбрать аппаратный > брандмауэр?
Чтобы посетители форума дали достаточно дельный совет, предлагаю предоставить побольше информации. Указать, хотя бы, насколько ценная информация в локальной сети, предполагается ли размещение серверов, доступных из интернета, в локальной сети, чем будут пользоваться сотрудники...
А то вопрос похож на "Какой автомобиль купить?". Камаз, конечно, если щебенку из карьера возить собираетесь. 600 мерс для этого очень неудобен. В гран-при хотите участвовать - покупайте формулу-1...
> В кандидатах есть Cisco PIX 515E, D-Link серии DFL, > например, 2400. > Поделитесь пожалуйста, кто что использовал, какие есть > мысли на этот счёт. > Буду также признателен, если кто поделится советом или > опытом в организации защиты корпоративной сети. Интересны > ворпосы создания ДМЗ и систем обнаружения атак, > антивирусная защита. > Заранее благодарен за ответы.
Во многих организациях идут по более простому, универсальному, легкому и дешевому пути - простенький компьютер в качестве шлюза. ОС - не очень важно, но лучше Линукс, програмный файрвол ставится и ничего лишнего. Два сетевых адаптера - один наружу, другой во внутреннюю сеть. Вероятность "взлома" больше, чем "железного", но тоже очень мала. Обнаружение атак - логи смотреть и анализировать, хотя для этого есть разные програмки.
Антивирусов выбор не большой - Касперского и Семантековский. Все они хорошо работают, разница не очень велика. Если рабочих станций достаточно много - то корпоративную версию.
Фильтровать пакеты по адресам и портам любая Киска умеет. Обнаружение атак? А оно тебе нужно? Если твоей квалификации хватит, чтобы понять, что за атака и как с ней бороться, то ты те же данные способен получить из логов Киски/Сквида. Если нет - то толку от этого - 0.
По этому наилучшими вариантами считаю:
1. Если подсетка одна (2 - 3) - Фря + Сквид.
2. Если есть Киска (бабки на нее) или сетка очень сложная - Киска с Натом
Эксесс-листами.
3. Если очень страшно или нужен кэш - Киска + Сквид под Фрюхой.
IMHO, аппаратный файрволл - излишество27.08.03 12:27 Автор: RazDolBai Статус: Member
если есть руки, то та же фря (не помню есть ли такое в Линуксе) закатывается на LiveCD - и запускается с сидюка "на ура" - и пусть себе попробуют сломать (если всё сделать как надо).
а все что нужно - это минимальный писюк с двумя-тремя сетевухами (ну или больше если ДМЗ не одна будет)
> если есть руки, то та же фря (не помню есть ли такое в > Линуксе) закатывается на LiveCD - и запускается с сидюка > "на ура" - и пусть себе попробуют сломать (если всё сделать > как надо). > а все что нужно - это минимальный писюк с двумя-тремя > сетевухами (ну или больше если ДМЗ не одна будет) LiveCD не панацея, ты уверен что знаешь все дыры?
или надо каждый раз его менять? :))
IMHO, аппаратный файрволл - излишество27.08.03 18:25 Автор: RazDolBai Статус: Member
а я и не говорю что панацея, но со фрей всё проще -
получить сырцы, скомпилить бинарники, бросить туда же конфиги - и всех делов. потом пишется на CD-RW, файрвол перегружается, меняется диск в приводе - и буквально за 30 секунд downtime получается обновленная система.
помимо этого никакой жесткий диск уже не сдохнет, если система стоит без UPS ей всё пофик, ломать ее бесполезно - сказка да и только))
> LiveCD не панацея, ты уверен что знаешь все дыры? > или надо каждый раз его менять? :))
IMHO, аппаратный файрволл - излишество27.08.03 17:07 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
> LiveCD не панацея, ты уверен что знаешь все дыры? > или надо каждый раз его менять? :)) 1) Можно взять CD-RW
2) Часто изменяемые конфиг-файлы можно с дискеты брать или из флэшдрайва.
3) Линукс может даже с одной дискеты подниматься - видел такой репитер - расстояние значительно больше 100 метров было внутри здания (бред, конечно, но зечем брать железяку, если есть старый ненужный блок).
IMHO, аппаратный файрволл - излишество27.08.03 18:28 Автор: RazDolBai Статус: Member
> 1) Можно взять CD-RW > 2) Часто изменяемые конфиг-файлы можно с дискеты брать или > из флэшдрайва.
фря кстати тоже - PicoBSD называется, только вот надежность дискеты как носителя ставит под вопрос целесообразность такого решения.
всё решение обходится в соимость старого системника (единственное "но" - он должен уметь грузиться с сидюка), около $25 долларов за CD-привод и около $1,5 за CD-RW диск
> 3) Линукс может даже с одной дискеты подниматься - видел > такой репитер - расстояние значительно больше 100 метров > было внутри здания (бред, конечно, но зечем брать железяку, > если есть старый ненужный блок).
> > LiveCD не панацея, ты уверен что знаешь все дыры? > > или надо каждый раз его менять? :)) > 1) Можно взять CD-RW > 2) Часто изменяемые конфиг-файлы можно с дискеты брать или > из флэшдрайва. > 3) Линукс может даже с одной дискеты подниматься - видел > такой репитер - расстояние значительно больше 100 метров > было внутри здания (бред, конечно, но зечем брать железяку, > если есть старый ненужный блок). да есть конечно, но если ставить уж линух то зачем геморрой через liveCD
поставь нормальный и смотри за ним по человечески. я к этому. пардон за флейм.
IMHO, аппаратный файрволл - излишество27.08.03 18:29 Автор: RazDolBai Статус: Member
это тоже вариант, толька (А) см. выше - я уже писал про некоторые преимущества LiveCD и (Б) получаешь полностью необслуживаемую систему, в которой максимум что может сдохнуть (вероятнее всего) - блок питания
> да есть конечно, но если ставить уж линух то зачем геморрой > через liveCD > поставь нормальный и смотри за ним по человечески. я к > этому. пардон за флейм.
Livecd - rulezzz! беру на вооружение!28.08.03 05:49 Автор: Zef <Alloo Zef> Статус: Elderman
самое главное - не размер занимаемого дискового пространства, а отсутствие жёсткого диска как основного источника головной боли на малообслуживаемых системах вроде файрволов, роутеров & etc :0)) Фря пострипаная тоже на 3" CD влезает ;0))
епстественно))
любая нормальная security policy базируется еще и на разделении сервисов
- ну поломается у тебя сквид на файрволе и чо получится?
заодно и генерить LiveCD на этой машинке сможешь
Все правильно.28.08.03 10:22 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
> епстественно)) > любая нормальная security policy базируется еще и на > разделении сервисов > - ну поломается у тебя сквид на файрволе и чо получится? > заодно и генерить LiveCD на этой машинке сможешь На шлюзе только ФВ. Меньше служб - меньше дыр. А то если так рассуждать, то почему бы и почту, и апач, и ФТП, и все остальное дерьмо на шлюз не водрузить.
Хотя сквид можно (если наплевать на безопасность) на РАМдиск настроить.
тока про chroot забывать не стоит, почти в любом случае..10.12.03 22:10 Автор: iokana <iokana jon> Статус: Member
> > епстественно)) > > любая нормальная security policy базируется еще и на > > разделении сервисов > > - ну поломается у тебя сквид на файрволе и чо > получится? > > заодно и генерить LiveCD на этой машинке сможешь > На шлюзе только ФВ. Меньше служб - меньше дыр. А то если > так рассуждать, то почему бы и почту, и апач, и ФТП, и все > остальное дерьмо на шлюз не водрузить. > Хотя сквид можно (если наплевать на безопасность) на > РАМдиск настроить. тока про chroot забывать не стоит, почти в любом случае..
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
