Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | |
IMHO, аппаратный файрволл - излишество 27.08.03 12:27 Число просмотров: 2506
Автор: RazDolBai Статус: Member
|
если есть руки, то та же фря (не помню есть ли такое в Линуксе) закатывается на LiveCD - и запускается с сидюка "на ура" - и пусть себе попробуют сломать (если всё сделать как надо).
а все что нужно - это минимальный писюк с двумя-тремя сетевухами (ну или больше если ДМЗ не одна будет)
|
|
<networking>
|
Аппаратные файерволы и комплексная защита сети предприятия 27.08.03 06:26
Автор: Hotey Статус: Незарегистрированный пользователь
|
Господа, здравствуйте!
Возник такой вопрос: какой лучше выбрать аппаратный брандмауэр?
В кандидатах есть Cisco PIX 515E, D-Link серии DFL, например, 2400.
Поделитесь пожалуйста, кто что использовал, какие есть мысли на этот счёт.
Буду также признателен, если кто поделится советом или опытом в организации защиты корпоративной сети. Интересны ворпосы создания ДМЗ и систем обнаружения атак, антивирусная защита.
Заранее благодарен за ответы.
|
|
netscreen 05.11.03 13:41
Автор: parson Статус: Незарегистрированный пользователь
|
|
|
|
Аппаратные файерволы и комплексная защита сети предприятия 27.08.03 10:19
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 27.08.03 10:21 Количество правок: 1
|
> Господа, здравствуйте!
> Возник такой вопрос: какой лучше выбрать аппаратный
> брандмауэр?
Чтобы посетители форума дали достаточно дельный совет, предлагаю предоставить побольше информации. Указать, хотя бы, насколько ценная информация в локальной сети, предполагается ли размещение серверов, доступных из интернета, в локальной сети, чем будут пользоваться сотрудники...
А то вопрос похож на "Какой автомобиль купить?". Камаз, конечно, если щебенку из карьера возить собираетесь. 600 мерс для этого очень неудобен. В гран-при хотите участвовать - покупайте формулу-1...
> В кандидатах есть Cisco PIX 515E, D-Link серии DFL,
> например, 2400.
> Поделитесь пожалуйста, кто что использовал, какие есть
> мысли на этот счёт.
> Буду также признателен, если кто поделится советом или
> опытом в организации защиты корпоративной сети. Интересны
> ворпосы создания ДМЗ и систем обнаружения атак,
> антивирусная защита.
> Заранее благодарен за ответы.
Во многих организациях идут по более простому, универсальному, легкому и дешевому пути - простенький компьютер в качестве шлюза. ОС - не очень важно, но лучше Линукс, програмный файрвол ставится и ничего лишнего. Два сетевых адаптера - один наружу, другой во внутреннюю сеть. Вероятность "взлома" больше, чем "железного", но тоже очень мала. Обнаружение атак - логи смотреть и анализировать, хотя для этого есть разные програмки.
Антивирусов выбор не большой - Касперского и Семантековский. Все они хорошо работают, разница не очень велика. Если рабочих станций достаточно много - то корпоративную версию.
|
| |
IMHO, аппаратный файрволл - излишество 27.08.03 11:17
Автор: Zef <Alloo Zef> Статус: Elderman
|
Фильтровать пакеты по адресам и портам любая Киска умеет. Обнаружение атак? А оно тебе нужно? Если твоей квалификации хватит, чтобы понять, что за атака и как с ней бороться, то ты те же данные способен получить из логов Киски/Сквида. Если нет - то толку от этого - 0.
По этому наилучшими вариантами считаю:
1. Если подсетка одна (2 - 3) - Фря + Сквид.
2. Если есть Киска (бабки на нее) или сетка очень сложная - Киска с Натом
Эксесс-листами.
3. Если очень страшно или нужен кэш - Киска + Сквид под Фрюхой.
|
| | |
IMHO, аппаратный файрволл - излишество 27.08.03 12:27
Автор: RazDolBai Статус: Member
|
если есть руки, то та же фря (не помню есть ли такое в Линуксе) закатывается на LiveCD - и запускается с сидюка "на ура" - и пусть себе попробуют сломать (если всё сделать как надо).
а все что нужно - это минимальный писюк с двумя-тремя сетевухами (ну или больше если ДМЗ не одна будет)
|
| | | |
IMHO, аппаратный файрволл - излишество 27.08.03 16:23
Автор: vaborg <Israel Vaborg> Статус: Elderman
|
> если есть руки, то та же фря (не помню есть ли такое в
> Линуксе) закатывается на LiveCD - и запускается с сидюка
> "на ура" - и пусть себе попробуют сломать (если всё сделать
> как надо).
> а все что нужно - это минимальный писюк с двумя-тремя
> сетевухами (ну или больше если ДМЗ не одна будет)
LiveCD не панацея, ты уверен что знаешь все дыры?
или надо каждый раз его менять? :))
|
| | | | |
IMHO, аппаратный файрволл - излишество 27.08.03 18:25
Автор: RazDolBai Статус: Member
|
а я и не говорю что панацея, но со фрей всё проще -
получить сырцы, скомпилить бинарники, бросить туда же конфиги - и всех делов. потом пишется на CD-RW, файрвол перегружается, меняется диск в приводе - и буквально за 30 секунд downtime получается обновленная система.
помимо этого никакой жесткий диск уже не сдохнет, если система стоит без UPS ей всё пофик, ломать ее бесполезно - сказка да и только))
> LiveCD не панацея, ты уверен что знаешь все дыры?
> или надо каждый раз его менять? :))
|
| | | | |
IMHO, аппаратный файрволл - излишество 27.08.03 17:07
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> LiveCD не панацея, ты уверен что знаешь все дыры?
> или надо каждый раз его менять? :))
1) Можно взять CD-RW
2) Часто изменяемые конфиг-файлы можно с дискеты брать или из флэшдрайва.
3) Линукс может даже с одной дискеты подниматься - видел такой репитер - расстояние значительно больше 100 метров было внутри здания (бред, конечно, но зечем брать железяку, если есть старый ненужный блок).
|
| | | | | |
IMHO, аппаратный файрволл - излишество 27.08.03 18:28
Автор: RazDolBai Статус: Member
|
ну вот, меня опередили ))
> 1) Можно взять CD-RW
> 2) Часто изменяемые конфиг-файлы можно с дискеты брать или
> из флэшдрайва.
фря кстати тоже - PicoBSD называется, только вот надежность дискеты как носителя ставит под вопрос целесообразность такого решения.
всё решение обходится в соимость старого системника (единственное "но" - он должен уметь грузиться с сидюка), около $25 долларов за CD-привод и около $1,5 за CD-RW диск
> 3) Линукс может даже с одной дискеты подниматься - видел
> такой репитер - расстояние значительно больше 100 метров
> было внутри здания (бред, конечно, но зечем брать железяку,
> если есть старый ненужный блок).
|
| | | | | |
IMHO, аппаратный файрволл - излишество 27.08.03 17:56
Автор: vaborg <Israel Vaborg> Статус: Elderman
|
> > LiveCD не панацея, ты уверен что знаешь все дыры?
> > или надо каждый раз его менять? :))
> 1) Можно взять CD-RW
> 2) Часто изменяемые конфиг-файлы можно с дискеты брать или
> из флэшдрайва.
> 3) Линукс может даже с одной дискеты подниматься - видел
> такой репитер - расстояние значительно больше 100 метров
> было внутри здания (бред, конечно, но зечем брать железяку,
> если есть старый ненужный блок).
да есть конечно, но если ставить уж линух то зачем геморрой через liveCD
поставь нормальный и смотри за ним по человечески. я к этому. пардон за флейм.
|
| | | | | | |
IMHO, аппаратный файрволл - излишество 27.08.03 18:29
Автор: RazDolBai Статус: Member
|
это тоже вариант, толька (А) см. выше - я уже писал про некоторые преимущества LiveCD и (Б) получаешь полностью необслуживаемую систему, в которой максимум что может сдохнуть (вероятнее всего) - блок питания
> да есть конечно, но если ставить уж линух то зачем геморрой
> через liveCD
> поставь нормальный и смотри за ним по человечески. я к
> этому. пардон за флейм.
|
| | | | | | | |
Livecd - rulezzz! беру на вооружение! 28.08.03 05:49
Автор: Zef <Alloo Zef> Статус: Elderman
|
|
|
| | | | | | | | |
ну ну :) 28.08.03 10:38
Автор: vaborg <Israel Vaborg> Статус: Elderman
|
|
тогда отпиши чем твое вооружение закончится :)
|
| | | | | | | | | |
Я использую Blin (BCS Linux) 11.12.03 16:05
Автор: amirul <Serge> Статус: The Elderman
|
|
http://linux.zp.ua - влазит на minidisc и вообще довольно удобно
|
| | | | | | | | | | |
тоже правильно, но 11.12.03 16:40
Автор: RazDolBai Статус: Member
|
самое главное - не размер занимаемого дискового пространства, а отсутствие жёсткого диска как основного источника головной боли на малообслуживаемых системах вроде файрволов, роутеров & etc :0)) Фря пострипаная тоже на 3" CD влезает ;0))
> http://linux.zp.ua - влазит на minidisc и вообще довольно
> удобно
|
| | | | | | | | |
А сквид, допустим, поднимать тогда на еще одной тачке? 28.08.03 09:46
Автор: whiletrue <Роман> Статус: Elderman
|
|
|
| | | | | | | | | |
А сквид, допустим, поднимать тогда на еще одной тачке? 28.08.03 09:56
Автор: RazDolBai Статус: Member
|
епстественно))
любая нормальная security policy базируется еще и на разделении сервисов
- ну поломается у тебя сквид на файрволе и чо получится?
заодно и генерить LiveCD на этой машинке сможешь
|
| | | | | | | | | | |
Все правильно. 28.08.03 10:22
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> епстественно))
> любая нормальная security policy базируется еще и на
> разделении сервисов
> - ну поломается у тебя сквид на файрволе и чо получится?
> заодно и генерить LiveCD на этой машинке сможешь
На шлюзе только ФВ. Меньше служб - меньше дыр. А то если так рассуждать, то почему бы и почту, и апач, и ФТП, и все остальное дерьмо на шлюз не водрузить.
Хотя сквид можно (если наплевать на безопасность) на РАМдиск настроить.
|
| | | | | | | | | | | |
тока про chroot забывать не стоит, почти в любом случае.. 10.12.03 22:10
Автор: iokana <iokana jon> Статус: Member
|
> > епстественно))
> > любая нормальная security policy базируется еще и на
> > разделении сервисов
> > - ну поломается у тебя сквид на файрволе и чо
> получится?
> > заодно и генерить LiveCD на этой машинке сможешь
> На шлюзе только ФВ. Меньше служб - меньше дыр. А то если
> так рассуждать, то почему бы и почту, и апач, и ФТП, и все
> остальное дерьмо на шлюз не водрузить.
> Хотя сквид можно (если наплевать на безопасность) на
> РАМдиск настроить.
тока про chroot забывать не стоит, почти в любом случае..
|
|
|
подробно о проекте
Анализ криптографических сетевых...
