информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаЗа кого нас держат?Портрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Уголовное дело против Nginx 
 Microsoft сообщила о 44 миллионах... 
 Множественные уязвимости в VNC 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Livecd - rulezzz! беру на вооружение! 28.08.03 05:49  Число просмотров: 2024
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
<networking>
Аппаратные файерволы и комплексная защита сети предприятия 27.08.03 06:26  
Автор: Hotey Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Господа, здравствуйте!
Возник такой вопрос: какой лучше выбрать аппаратный брандмауэр?
В кандидатах есть Cisco PIX 515E, D-Link серии DFL, например, 2400.
Поделитесь пожалуйста, кто что использовал, какие есть мысли на этот счёт.
Буду также признателен, если кто поделится советом или опытом в организации защиты корпоративной сети. Интересны ворпосы создания ДМЗ и систем обнаружения атак, антивирусная защита.
Заранее благодарен за ответы.
netscreen 05.11.03 13:41  
Автор: parson Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Аппаратные файерволы и комплексная защита сети предприятия 27.08.03 10:19  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 27.08.03 10:21  Количество правок: 1
<"чистая" ссылка>
> Господа, здравствуйте!
> Возник такой вопрос: какой лучше выбрать аппаратный
> брандмауэр?

Чтобы посетители форума дали достаточно дельный совет, предлагаю предоставить побольше информации. Указать, хотя бы, насколько ценная информация в локальной сети, предполагается ли размещение серверов, доступных из интернета, в локальной сети, чем будут пользоваться сотрудники...

А то вопрос похож на "Какой автомобиль купить?". Камаз, конечно, если щебенку из карьера возить собираетесь. 600 мерс для этого очень неудобен. В гран-при хотите участвовать - покупайте формулу-1...

> В кандидатах есть Cisco PIX 515E, D-Link серии DFL,
> например, 2400.
> Поделитесь пожалуйста, кто что использовал, какие есть
> мысли на этот счёт.
> Буду также признателен, если кто поделится советом или
> опытом в организации защиты корпоративной сети. Интересны
> ворпосы создания ДМЗ и систем обнаружения атак,
> антивирусная защита.
> Заранее благодарен за ответы.

Во многих организациях идут по более простому, универсальному, легкому и дешевому пути - простенький компьютер в качестве шлюза. ОС - не очень важно, но лучше Линукс, програмный файрвол ставится и ничего лишнего. Два сетевых адаптера - один наружу, другой во внутреннюю сеть. Вероятность "взлома" больше, чем "железного", но тоже очень мала. Обнаружение атак - логи смотреть и анализировать, хотя для этого есть разные програмки.
Антивирусов выбор не большой - Касперского и Семантековский. Все они хорошо работают, разница не очень велика. Если рабочих станций достаточно много - то корпоративную версию.
IMHO, аппаратный файрволл - излишество 27.08.03 11:17  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Фильтровать пакеты по адресам и портам любая Киска умеет. Обнаружение атак? А оно тебе нужно? Если твоей квалификации хватит, чтобы понять, что за атака и как с ней бороться, то ты те же данные способен получить из логов Киски/Сквида. Если нет - то толку от этого - 0.

По этому наилучшими вариантами считаю:

1. Если подсетка одна (2 - 3) - Фря + Сквид.
2. Если есть Киска (бабки на нее) или сетка очень сложная - Киска с Натом
Эксесс-листами.
3. Если очень страшно или нужен кэш - Киска + Сквид под Фрюхой.
IMHO, аппаратный файрволл - излишество 27.08.03 12:27  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
если есть руки, то та же фря (не помню есть ли такое в Линуксе) закатывается на LiveCD - и запускается с сидюка "на ура" - и пусть себе попробуют сломать (если всё сделать как надо).
а все что нужно - это минимальный писюк с двумя-тремя сетевухами (ну или больше если ДМЗ не одна будет)
IMHO, аппаратный файрволл - излишество 27.08.03 16:23  
Автор: vaborg <Israel Vaborg> Статус: Elderman
<"чистая" ссылка>
> если есть руки, то та же фря (не помню есть ли такое в
> Линуксе) закатывается на LiveCD - и запускается с сидюка
> "на ура" - и пусть себе попробуют сломать (если всё сделать
> как надо).
> а все что нужно - это минимальный писюк с двумя-тремя
> сетевухами (ну или больше если ДМЗ не одна будет)
LiveCD не панацея, ты уверен что знаешь все дыры?
или надо каждый раз его менять? :))
IMHO, аппаратный файрволл - излишество 27.08.03 18:25  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
а я и не говорю что панацея, но со фрей всё проще -
получить сырцы, скомпилить бинарники, бросить туда же конфиги - и всех делов. потом пишется на CD-RW, файрвол перегружается, меняется диск в приводе - и буквально за 30 секунд downtime получается обновленная система.

помимо этого никакой жесткий диск уже не сдохнет, если система стоит без UPS ей всё пофик, ломать ее бесполезно - сказка да и только))

> LiveCD не панацея, ты уверен что знаешь все дыры?
> или надо каждый раз его менять? :))
IMHO, аппаратный файрволл - излишество 27.08.03 17:07  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> LiveCD не панацея, ты уверен что знаешь все дыры?
> или надо каждый раз его менять? :))
1) Можно взять CD-RW
2) Часто изменяемые конфиг-файлы можно с дискеты брать или из флэшдрайва.
3) Линукс может даже с одной дискеты подниматься - видел такой репитер - расстояние значительно больше 100 метров было внутри здания (бред, конечно, но зечем брать железяку, если есть старый ненужный блок).
IMHO, аппаратный файрволл - излишество 27.08.03 18:28  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
ну вот, меня опередили ))

> 1) Можно взять CD-RW
> 2) Часто изменяемые конфиг-файлы можно с дискеты брать или
> из флэшдрайва.

фря кстати тоже - PicoBSD называется, только вот надежность дискеты как носителя ставит под вопрос целесообразность такого решения.
всё решение обходится в соимость старого системника (единственное "но" - он должен уметь грузиться с сидюка), около $25 долларов за CD-привод и около $1,5 за CD-RW диск
> 3) Линукс может даже с одной дискеты подниматься - видел
> такой репитер - расстояние значительно больше 100 метров
> было внутри здания (бред, конечно, но зечем брать железяку,
> если есть старый ненужный блок).
IMHO, аппаратный файрволл - излишество 27.08.03 17:56  
Автор: vaborg <Israel Vaborg> Статус: Elderman
<"чистая" ссылка>
> > LiveCD не панацея, ты уверен что знаешь все дыры?
> > или надо каждый раз его менять? :))
> 1) Можно взять CD-RW
> 2) Часто изменяемые конфиг-файлы можно с дискеты брать или
> из флэшдрайва.
> 3) Линукс может даже с одной дискеты подниматься - видел
> такой репитер - расстояние значительно больше 100 метров
> было внутри здания (бред, конечно, но зечем брать железяку,
> если есть старый ненужный блок).
да есть конечно, но если ставить уж линух то зачем геморрой через liveCD
поставь нормальный и смотри за ним по человечески. я к этому. пардон за флейм.
IMHO, аппаратный файрволл - излишество 27.08.03 18:29  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
это тоже вариант, толька (А) см. выше - я уже писал про некоторые преимущества LiveCD и (Б) получаешь полностью необслуживаемую систему, в которой максимум что может сдохнуть (вероятнее всего) - блок питания

> да есть конечно, но если ставить уж линух то зачем геморрой
> через liveCD
> поставь нормальный и смотри за ним по человечески. я к
> этому. пардон за флейм.
Livecd - rulezzz! беру на вооружение! 28.08.03 05:49  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
ну ну :) 28.08.03 10:38  
Автор: vaborg <Israel Vaborg> Статус: Elderman
<"чистая" ссылка>
тогда отпиши чем твое вооружение закончится :)
Ссылки по LiveCD 28.08.03 09:58  
Автор: RazDolBai Статус: Member
Отредактировано 11.12.03 12:22  Количество правок: 1
<"чистая" ссылка>
давно пора :0)

в опчем так
http://livecd.sourceforge.net
http://www.freshports.org/sysutils/livecd/
http://www.freebsd.org/ports/sysutils.html
Я использую Blin (BCS Linux) 11.12.03 16:05  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
http://linux.zp.ua - влазит на minidisc и вообще довольно удобно
тоже правильно, но 11.12.03 16:40  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
самое главное - не размер занимаемого дискового пространства, а отсутствие жёсткого диска как основного источника головной боли на малообслуживаемых системах вроде файрволов, роутеров & etc :0)) Фря пострипаная тоже на 3" CD влезает ;0))

> http://linux.zp.ua - влазит на minidisc и вообще довольно
> удобно
А сквид, допустим, поднимать тогда на еще одной тачке? 28.08.03 09:46  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
А сквид, допустим, поднимать тогда на еще одной тачке? 28.08.03 09:56  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
епстественно))
любая нормальная security policy базируется еще и на разделении сервисов
- ну поломается у тебя сквид на файрволе и чо получится?
заодно и генерить LiveCD на этой машинке сможешь
Все правильно. 28.08.03 10:22  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> епстественно))
> любая нормальная security policy базируется еще и на
> разделении сервисов
> - ну поломается у тебя сквид на файрволе и чо получится?
> заодно и генерить LiveCD на этой машинке сможешь
На шлюзе только ФВ. Меньше служб - меньше дыр. А то если так рассуждать, то почему бы и почту, и апач, и ФТП, и все остальное дерьмо на шлюз не водрузить.
Хотя сквид можно (если наплевать на безопасность) на РАМдиск настроить.
тока про chroot забывать не стоит, почти в любом случае.. 10.12.03 22:10  
Автор: iokana <iokana jon> Статус: Member
<"чистая" ссылка>
> > епстественно))
> > любая нормальная security policy базируется еще и на
> > разделении сервисов
> > - ну поломается у тебя сквид на файрволе и чо
> получится?
> > заодно и генерить LiveCD на этой машинке сможешь
> На шлюзе только ФВ. Меньше служб - меньше дыр. А то если
> так рассуждать, то почему бы и почту, и апач, и ФТП, и все
> остальное дерьмо на шлюз не водрузить.
> Хотя сквид можно (если наплевать на безопасность) на
> РАМдиск настроить.
тока про chroot забывать не стоит, почти в любом случае..
1  |  2 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach