информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаПортрет посетителяSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
ну здрасьте.такую ситуацию принято называть perimeter breach 11.12.03 10:23  Число просмотров: 2225
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
<networking>
Аппаратные файерволы и комплексная защита сети предприятия 27.08.03 06:26  
Автор: Hotey Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Господа, здравствуйте!
Возник такой вопрос: какой лучше выбрать аппаратный брандмауэр?
В кандидатах есть Cisco PIX 515E, D-Link серии DFL, например, 2400.
Поделитесь пожалуйста, кто что использовал, какие есть мысли на этот счёт.
Буду также признателен, если кто поделится советом или опытом в организации защиты корпоративной сети. Интересны ворпосы создания ДМЗ и систем обнаружения атак, антивирусная защита.
Заранее благодарен за ответы.
netscreen 05.11.03 13:41  
Автор: parson Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Аппаратные файерволы и комплексная защита сети предприятия 27.08.03 10:19  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 27.08.03 10:21  Количество правок: 1
<"чистая" ссылка>
> Господа, здравствуйте!
> Возник такой вопрос: какой лучше выбрать аппаратный
> брандмауэр?

Чтобы посетители форума дали достаточно дельный совет, предлагаю предоставить побольше информации. Указать, хотя бы, насколько ценная информация в локальной сети, предполагается ли размещение серверов, доступных из интернета, в локальной сети, чем будут пользоваться сотрудники...

А то вопрос похож на "Какой автомобиль купить?". Камаз, конечно, если щебенку из карьера возить собираетесь. 600 мерс для этого очень неудобен. В гран-при хотите участвовать - покупайте формулу-1...

> В кандидатах есть Cisco PIX 515E, D-Link серии DFL,
> например, 2400.
> Поделитесь пожалуйста, кто что использовал, какие есть
> мысли на этот счёт.
> Буду также признателен, если кто поделится советом или
> опытом в организации защиты корпоративной сети. Интересны
> ворпосы создания ДМЗ и систем обнаружения атак,
> антивирусная защита.
> Заранее благодарен за ответы.

Во многих организациях идут по более простому, универсальному, легкому и дешевому пути - простенький компьютер в качестве шлюза. ОС - не очень важно, но лучше Линукс, програмный файрвол ставится и ничего лишнего. Два сетевых адаптера - один наружу, другой во внутреннюю сеть. Вероятность "взлома" больше, чем "железного", но тоже очень мала. Обнаружение атак - логи смотреть и анализировать, хотя для этого есть разные програмки.
Антивирусов выбор не большой - Касперского и Семантековский. Все они хорошо работают, разница не очень велика. Если рабочих станций достаточно много - то корпоративную версию.
IMHO, аппаратный файрволл - излишество 27.08.03 11:17  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Фильтровать пакеты по адресам и портам любая Киска умеет. Обнаружение атак? А оно тебе нужно? Если твоей квалификации хватит, чтобы понять, что за атака и как с ней бороться, то ты те же данные способен получить из логов Киски/Сквида. Если нет - то толку от этого - 0.

По этому наилучшими вариантами считаю:

1. Если подсетка одна (2 - 3) - Фря + Сквид.
2. Если есть Киска (бабки на нее) или сетка очень сложная - Киска с Натом
Эксесс-листами.
3. Если очень страшно или нужен кэш - Киска + Сквид под Фрюхой.
IMHO, аппаратный файрволл - излишество 27.08.03 12:27  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
если есть руки, то та же фря (не помню есть ли такое в Линуксе) закатывается на LiveCD - и запускается с сидюка "на ура" - и пусть себе попробуют сломать (если всё сделать как надо).
а все что нужно - это минимальный писюк с двумя-тремя сетевухами (ну или больше если ДМЗ не одна будет)
IMHO, аппаратный файрволл - излишество 27.08.03 16:23  
Автор: vaborg <Israel Vaborg> Статус: Elderman
<"чистая" ссылка>
> если есть руки, то та же фря (не помню есть ли такое в
> Линуксе) закатывается на LiveCD - и запускается с сидюка
> "на ура" - и пусть себе попробуют сломать (если всё сделать
> как надо).
> а все что нужно - это минимальный писюк с двумя-тремя
> сетевухами (ну или больше если ДМЗ не одна будет)
LiveCD не панацея, ты уверен что знаешь все дыры?
или надо каждый раз его менять? :))
IMHO, аппаратный файрволл - излишество 27.08.03 18:25  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
а я и не говорю что панацея, но со фрей всё проще -
получить сырцы, скомпилить бинарники, бросить туда же конфиги - и всех делов. потом пишется на CD-RW, файрвол перегружается, меняется диск в приводе - и буквально за 30 секунд downtime получается обновленная система.

помимо этого никакой жесткий диск уже не сдохнет, если система стоит без UPS ей всё пофик, ломать ее бесполезно - сказка да и только))

> LiveCD не панацея, ты уверен что знаешь все дыры?
> или надо каждый раз его менять? :))
IMHO, аппаратный файрволл - излишество 27.08.03 17:07  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> LiveCD не панацея, ты уверен что знаешь все дыры?
> или надо каждый раз его менять? :))
1) Можно взять CD-RW
2) Часто изменяемые конфиг-файлы можно с дискеты брать или из флэшдрайва.
3) Линукс может даже с одной дискеты подниматься - видел такой репитер - расстояние значительно больше 100 метров было внутри здания (бред, конечно, но зечем брать железяку, если есть старый ненужный блок).
IMHO, аппаратный файрволл - излишество 27.08.03 18:28  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
ну вот, меня опередили ))

> 1) Можно взять CD-RW
> 2) Часто изменяемые конфиг-файлы можно с дискеты брать или
> из флэшдрайва.

фря кстати тоже - PicoBSD называется, только вот надежность дискеты как носителя ставит под вопрос целесообразность такого решения.
всё решение обходится в соимость старого системника (единственное "но" - он должен уметь грузиться с сидюка), около $25 долларов за CD-привод и около $1,5 за CD-RW диск
> 3) Линукс может даже с одной дискеты подниматься - видел
> такой репитер - расстояние значительно больше 100 метров
> было внутри здания (бред, конечно, но зечем брать железяку,
> если есть старый ненужный блок).
IMHO, аппаратный файрволл - излишество 27.08.03 17:56  
Автор: vaborg <Israel Vaborg> Статус: Elderman
<"чистая" ссылка>
> > LiveCD не панацея, ты уверен что знаешь все дыры?
> > или надо каждый раз его менять? :))
> 1) Можно взять CD-RW
> 2) Часто изменяемые конфиг-файлы можно с дискеты брать или
> из флэшдрайва.
> 3) Линукс может даже с одной дискеты подниматься - видел
> такой репитер - расстояние значительно больше 100 метров
> было внутри здания (бред, конечно, но зечем брать железяку,
> если есть старый ненужный блок).
да есть конечно, но если ставить уж линух то зачем геморрой через liveCD
поставь нормальный и смотри за ним по человечески. я к этому. пардон за флейм.
IMHO, аппаратный файрволл - излишество 27.08.03 18:29  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
это тоже вариант, толька (А) см. выше - я уже писал про некоторые преимущества LiveCD и (Б) получаешь полностью необслуживаемую систему, в которой максимум что может сдохнуть (вероятнее всего) - блок питания

> да есть конечно, но если ставить уж линух то зачем геморрой
> через liveCD
> поставь нормальный и смотри за ним по человечески. я к
> этому. пардон за флейм.
Livecd - rulezzz! беру на вооружение! 28.08.03 05:49  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
ну ну :) 28.08.03 10:38  
Автор: vaborg <Israel Vaborg> Статус: Elderman
<"чистая" ссылка>
тогда отпиши чем твое вооружение закончится :)
Ссылки по LiveCD 28.08.03 09:58  
Автор: RazDolBai Статус: Member
Отредактировано 11.12.03 12:22  Количество правок: 1
<"чистая" ссылка>
давно пора :0)

в опчем так
http://livecd.sourceforge.net
http://www.freshports.org/sysutils/livecd/
http://www.freebsd.org/ports/sysutils.html
Я использую Blin (BCS Linux) 11.12.03 16:05  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
http://linux.zp.ua - влазит на minidisc и вообще довольно удобно
тоже правильно, но 11.12.03 16:40  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
самое главное - не размер занимаемого дискового пространства, а отсутствие жёсткого диска как основного источника головной боли на малообслуживаемых системах вроде файрволов, роутеров & etc :0)) Фря пострипаная тоже на 3" CD влезает ;0))

> http://linux.zp.ua - влазит на minidisc и вообще довольно
> удобно
А сквид, допустим, поднимать тогда на еще одной тачке? 28.08.03 09:46  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
А сквид, допустим, поднимать тогда на еще одной тачке? 28.08.03 09:56  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
епстественно))
любая нормальная security policy базируется еще и на разделении сервисов
- ну поломается у тебя сквид на файрволе и чо получится?
заодно и генерить LiveCD на этой машинке сможешь
Все правильно. 28.08.03 10:22  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> епстественно))
> любая нормальная security policy базируется еще и на
> разделении сервисов
> - ну поломается у тебя сквид на файрволе и чо получится?
> заодно и генерить LiveCD на этой машинке сможешь
На шлюзе только ФВ. Меньше служб - меньше дыр. А то если так рассуждать, то почему бы и почту, и апач, и ФТП, и все остальное дерьмо на шлюз не водрузить.
Хотя сквид можно (если наплевать на безопасность) на РАМдиск настроить.
тока про chroot забывать не стоит, почти в любом случае.. 10.12.03 22:10  
Автор: iokana <iokana jon> Статус: Member
<"чистая" ссылка>
> > епстественно))
> > любая нормальная security policy базируется еще и на
> > разделении сервисов
> > - ну поломается у тебя сквид на файрволе и чо
> получится?
> > заодно и генерить LiveCD на этой машинке сможешь
> На шлюзе только ФВ. Меньше служб - меньше дыр. А то если
> так рассуждать, то почему бы и почту, и апач, и ФТП, и все
> остальное дерьмо на шлюз не водрузить.
> Хотя сквид можно (если наплевать на безопасность) на
> РАМдиск настроить.
тока про chroot забывать не стоит, почти в любом случае..
1  |  2 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach