Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | |
IMHO, аппаратный файрволл - излишество 27.08.03 16:23 Число просмотров: 2483
Автор: vaborg <Israel Vaborg> Статус: Elderman
|
> если есть руки, то та же фря (не помню есть ли такое в > Линуксе) закатывается на LiveCD - и запускается с сидюка > "на ура" - и пусть себе попробуют сломать (если всё сделать > как надо). > а все что нужно - это минимальный писюк с двумя-тремя > сетевухами (ну или больше если ДМЗ не одна будет) LiveCD не панацея, ты уверен что знаешь все дыры?
или надо каждый раз его менять? :))
|
<networking>
|
Аппаратные файерволы и комплексная защита сети предприятия 27.08.03 06:26
Автор: Hotey Статус: Незарегистрированный пользователь
|
Господа, здравствуйте!
Возник такой вопрос: какой лучше выбрать аппаратный брандмауэр?
В кандидатах есть Cisco PIX 515E, D-Link серии DFL, например, 2400.
Поделитесь пожалуйста, кто что использовал, какие есть мысли на этот счёт.
Буду также признателен, если кто поделится советом или опытом в организации защиты корпоративной сети. Интересны ворпосы создания ДМЗ и систем обнаружения атак, антивирусная защита.
Заранее благодарен за ответы.
|
|
netscreen 05.11.03 13:41
Автор: parson Статус: Незарегистрированный пользователь
|
|
|
Аппаратные файерволы и комплексная защита сети предприятия 27.08.03 10:19
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 27.08.03 10:21 Количество правок: 1
|
> Господа, здравствуйте! > Возник такой вопрос: какой лучше выбрать аппаратный > брандмауэр?
Чтобы посетители форума дали достаточно дельный совет, предлагаю предоставить побольше информации. Указать, хотя бы, насколько ценная информация в локальной сети, предполагается ли размещение серверов, доступных из интернета, в локальной сети, чем будут пользоваться сотрудники...
А то вопрос похож на "Какой автомобиль купить?". Камаз, конечно, если щебенку из карьера возить собираетесь. 600 мерс для этого очень неудобен. В гран-при хотите участвовать - покупайте формулу-1...
> В кандидатах есть Cisco PIX 515E, D-Link серии DFL, > например, 2400. > Поделитесь пожалуйста, кто что использовал, какие есть > мысли на этот счёт. > Буду также признателен, если кто поделится советом или > опытом в организации защиты корпоративной сети. Интересны > ворпосы создания ДМЗ и систем обнаружения атак, > антивирусная защита. > Заранее благодарен за ответы.
Во многих организациях идут по более простому, универсальному, легкому и дешевому пути - простенький компьютер в качестве шлюза. ОС - не очень важно, но лучше Линукс, програмный файрвол ставится и ничего лишнего. Два сетевых адаптера - один наружу, другой во внутреннюю сеть. Вероятность "взлома" больше, чем "железного", но тоже очень мала. Обнаружение атак - логи смотреть и анализировать, хотя для этого есть разные програмки.
Антивирусов выбор не большой - Касперского и Семантековский. Все они хорошо работают, разница не очень велика. Если рабочих станций достаточно много - то корпоративную версию.
|
| |
IMHO, аппаратный файрволл - излишество 27.08.03 11:17
Автор: Zef <Alloo Zef> Статус: Elderman
|
Фильтровать пакеты по адресам и портам любая Киска умеет. Обнаружение атак? А оно тебе нужно? Если твоей квалификации хватит, чтобы понять, что за атака и как с ней бороться, то ты те же данные способен получить из логов Киски/Сквида. Если нет - то толку от этого - 0.
По этому наилучшими вариантами считаю:
1. Если подсетка одна (2 - 3) - Фря + Сквид.
2. Если есть Киска (бабки на нее) или сетка очень сложная - Киска с Натом
Эксесс-листами.
3. Если очень страшно или нужен кэш - Киска + Сквид под Фрюхой.
|
| | |
IMHO, аппаратный файрволл - излишество 27.08.03 12:27
Автор: RazDolBai Статус: Member
|
если есть руки, то та же фря (не помню есть ли такое в Линуксе) закатывается на LiveCD - и запускается с сидюка "на ура" - и пусть себе попробуют сломать (если всё сделать как надо).
а все что нужно - это минимальный писюк с двумя-тремя сетевухами (ну или больше если ДМЗ не одна будет)
|
| | | |
IMHO, аппаратный файрволл - излишество 27.08.03 16:23
Автор: vaborg <Israel Vaborg> Статус: Elderman
|
> если есть руки, то та же фря (не помню есть ли такое в > Линуксе) закатывается на LiveCD - и запускается с сидюка > "на ура" - и пусть себе попробуют сломать (если всё сделать > как надо). > а все что нужно - это минимальный писюк с двумя-тремя > сетевухами (ну или больше если ДМЗ не одна будет) LiveCD не панацея, ты уверен что знаешь все дыры?
или надо каждый раз его менять? :))
|
| | | | |
IMHO, аппаратный файрволл - излишество 27.08.03 18:25
Автор: RazDolBai Статус: Member
|
а я и не говорю что панацея, но со фрей всё проще -
получить сырцы, скомпилить бинарники, бросить туда же конфиги - и всех делов. потом пишется на CD-RW, файрвол перегружается, меняется диск в приводе - и буквально за 30 секунд downtime получается обновленная система.
помимо этого никакой жесткий диск уже не сдохнет, если система стоит без UPS ей всё пофик, ломать ее бесполезно - сказка да и только))
> LiveCD не панацея, ты уверен что знаешь все дыры? > или надо каждый раз его менять? :))
|
| | | | |
IMHO, аппаратный файрволл - излишество 27.08.03 17:07
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> LiveCD не панацея, ты уверен что знаешь все дыры? > или надо каждый раз его менять? :)) 1) Можно взять CD-RW
2) Часто изменяемые конфиг-файлы можно с дискеты брать или из флэшдрайва.
3) Линукс может даже с одной дискеты подниматься - видел такой репитер - расстояние значительно больше 100 метров было внутри здания (бред, конечно, но зечем брать железяку, если есть старый ненужный блок).
|
| | | | | |
IMHO, аппаратный файрволл - излишество 27.08.03 18:28
Автор: RazDolBai Статус: Member
|
ну вот, меня опередили ))
> 1) Можно взять CD-RW > 2) Часто изменяемые конфиг-файлы можно с дискеты брать или > из флэшдрайва.
фря кстати тоже - PicoBSD называется, только вот надежность дискеты как носителя ставит под вопрос целесообразность такого решения.
всё решение обходится в соимость старого системника (единственное "но" - он должен уметь грузиться с сидюка), около $25 долларов за CD-привод и около $1,5 за CD-RW диск
> 3) Линукс может даже с одной дискеты подниматься - видел > такой репитер - расстояние значительно больше 100 метров > было внутри здания (бред, конечно, но зечем брать железяку, > если есть старый ненужный блок).
|
| | | | | |
IMHO, аппаратный файрволл - излишество 27.08.03 17:56
Автор: vaborg <Israel Vaborg> Статус: Elderman
|
> > LiveCD не панацея, ты уверен что знаешь все дыры? > > или надо каждый раз его менять? :)) > 1) Можно взять CD-RW > 2) Часто изменяемые конфиг-файлы можно с дискеты брать или > из флэшдрайва. > 3) Линукс может даже с одной дискеты подниматься - видел > такой репитер - расстояние значительно больше 100 метров > было внутри здания (бред, конечно, но зечем брать железяку, > если есть старый ненужный блок). да есть конечно, но если ставить уж линух то зачем геморрой через liveCD
поставь нормальный и смотри за ним по человечески. я к этому. пардон за флейм.
|
| | | | | | |
IMHO, аппаратный файрволл - излишество 27.08.03 18:29
Автор: RazDolBai Статус: Member
|
это тоже вариант, толька (А) см. выше - я уже писал про некоторые преимущества LiveCD и (Б) получаешь полностью необслуживаемую систему, в которой максимум что может сдохнуть (вероятнее всего) - блок питания
> да есть конечно, но если ставить уж линух то зачем геморрой > через liveCD > поставь нормальный и смотри за ним по человечески. я к > этому. пардон за флейм.
|
| | | | | | | |
Livecd - rulezzz! беру на вооружение! 28.08.03 05:49
Автор: Zef <Alloo Zef> Статус: Elderman
|
|
| | | | | | | | |
ну ну :) 28.08.03 10:38
Автор: vaborg <Israel Vaborg> Статус: Elderman
|
тогда отпиши чем твое вооружение закончится :)
|
| | | | | | | | | |
Я использую Blin (BCS Linux) 11.12.03 16:05
Автор: amirul <Serge> Статус: The Elderman
|
http://linux.zp.ua - влазит на minidisc и вообще довольно удобно
|
| | | | | | | | | | |
тоже правильно, но 11.12.03 16:40
Автор: RazDolBai Статус: Member
|
самое главное - не размер занимаемого дискового пространства, а отсутствие жёсткого диска как основного источника головной боли на малообслуживаемых системах вроде файрволов, роутеров & etc :0)) Фря пострипаная тоже на 3" CD влезает ;0))
> http://linux.zp.ua - влазит на minidisc и вообще довольно > удобно
|
| | | | | | | | |
А сквид, допустим, поднимать тогда на еще одной тачке? 28.08.03 09:46
Автор: whiletrue <Роман> Статус: Elderman
|
|
| | | | | | | | | |
А сквид, допустим, поднимать тогда на еще одной тачке? 28.08.03 09:56
Автор: RazDolBai Статус: Member
|
епстественно))
любая нормальная security policy базируется еще и на разделении сервисов
- ну поломается у тебя сквид на файрволе и чо получится?
заодно и генерить LiveCD на этой машинке сможешь
|
| | | | | | | | | | |
Все правильно. 28.08.03 10:22
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> епстественно)) > любая нормальная security policy базируется еще и на > разделении сервисов > - ну поломается у тебя сквид на файрволе и чо получится? > заодно и генерить LiveCD на этой машинке сможешь На шлюзе только ФВ. Меньше служб - меньше дыр. А то если так рассуждать, то почему бы и почту, и апач, и ФТП, и все остальное дерьмо на шлюз не водрузить.
Хотя сквид можно (если наплевать на безопасность) на РАМдиск настроить.
|
| | | | | | | | | | | |
тока про chroot забывать не стоит, почти в любом случае.. 10.12.03 22:10
Автор: iokana <iokana jon> Статус: Member
|
> > епстественно)) > > любая нормальная security policy базируется еще и на > > разделении сервисов > > - ну поломается у тебя сквид на файрволе и чо > получится? > > заодно и генерить LiveCD на этой машинке сможешь > На шлюзе только ФВ. Меньше служб - меньше дыр. А то если > так рассуждать, то почему бы и почту, и апач, и ФТП, и все > остальное дерьмо на шлюз не водрузить. > Хотя сквид можно (если наплевать на безопасность) на > РАМдиск настроить. тока про chroot забывать не стоит, почти в любом случае..
|
|
|