информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеГде водятся OGRыВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Как организовать зашиту внутренней сети с выходом в инет? 27.08.03 11:16  Число просмотров: 1210
Автор: Sandy <Alexander Stepanov> Статус: Elderman
<"чистая" ссылка>
> Проблема такая: есть несколько компьютеров, объединенных в
> локальную сеть. На компьютерах установлены WinXP Pro и
> Win98 (все под FAT32). Появляется еще один комп, через
> который все подключены к выделенной линии.
>
> Как обеспечить должный уровень безопасности от атак извне?
>
> Что поставить на компе, который обеспечивает выход в инет?
> К сожалению, *nix систему поставить не получится, так что
> посоветуйте, какой софт под Win поставить на этой тачке
> (брандмауэры и т.д.).

MS ISA Server, например

> Какую ось из семейства Win лучше всего поставить на этот
> комп? 2k Pro/2k AS/XP Pro/2003 Server/какую-либо другую?

Если будешь ставить ISA Server - тогда 2000/2003 сервер

> Ф.с.? NTFS? Какой протокол передачи данных настроить между
> компами в локальной сети (TCP/IP или IPX или еще
> какой-нибудь)?

ФС - любая, какая больше нравится, протокол, ессно, TCP/IP

> Стоит ли изменить политику безопасности внутри локальной
> сети? Ф.с. изменить на NTFS, сделать разграничение доступа,
> всем обязательно присвоить логин/пасс?

Обязательно, подними АД и разрули политики безопасности

> Как это сделать наиболее безболезненно для юзеров (т.к. им
> лишний раз вводить пароль очень сложно, их Win98
> устраивает, а тут новая ОС, новая ф.с., какие-то пароли,
> все становится неудобно и сложно). - не сочтите это за
> бред, но для пользователей все так оно и есть.

Если во всем ориентироваться на пользователей - ни о какой информационной безопасности речь идти не будет! Надо определить для себя приоритеты - если тебе важнее инф. безопасность, тогда надо делать все для ее обеспечения. А нажимать Ctrl-Alt-Del и логины/пароли набирать они привыкнут за 3 дня.

> Поэтому надо, с одной стороны обеспечить безопасность от
> вторжений извне, а с другой - сделать это максимально
> прозрачным для пользователей.
>
> Как обеспечить IP-маскарадинг под Win? Где про это можно
> почитать?

ISA всем этим как раз и занимается. И много еще чем.
<sysadmin>
Как организовать зашиту внутренней сети с выходом в инет? 27.08.03 10:54  
Автор: DmitriAl Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Проблема такая: есть несколько компьютеров, объединенных в локальную сеть. На компьютерах установлены WinXP Pro и Win98 (все под FAT32). Появляется еще один комп, через который все подключены к выделенной линии.

Как обеспечить должный уровень безопасности от атак извне?

Что поставить на компе, который обеспечивает выход в инет? К сожалению, *nix систему поставить не получится, так что посоветуйте, какой софт под Win поставить на этой тачке (брандмауэры и т.д.).

Вообще, как обеспечить безопасность локальной сети от НСД извне? [Кроме *nix-сервера и аппаратных сетевых экранов - т.к. в моем случае этого нельзя реализовать. Вы уж поймите, это не из-за того, что я просто отметаю эти варианты, а из-за условий, в которых приходится работать].

Какую ось из семейства Win лучше всего поставить на этот комп? 2k Pro/2k AS/XP Pro/2003 Server/какую-либо другую?

Ф.с.? NTFS? Какой протокол передачи данных настроить между компами в локальной сети (TCP/IP или IPX или еще какой-нибудь)?

Стоит ли изменить политику безопасности внутри локальной сети? Ф.с. изменить на NTFS, сделать разграничение доступа, всем обязательно присвоить логин/пасс?

Как это сделать наиболее безболезненно для юзеров (т.к. им лишний раз вводить пароль очень сложно, их Win98 устраивает, а тут новая ОС, новая ф.с., какие-то пароли, все становится неудобно и сложно). - не сочтите это за бред, но для пользователей все так оно и есть.

Поэтому надо, с одной стороны обеспечить безопасность от вторжений извне, а с другой - сделать это максимально прозрачным для пользователей.

Как обеспечить IP-маскарадинг под Win? Где про это можно почитать?
Нормально и организовать 27.08.03 15:57  
Автор: vaborg <Israel Vaborg> Статус: Elderman
<"чистая" ссылка>
> Как обеспечить должный уровень безопасности от атак извне?

смотря какой уровень безопасности меть ввиду бывает достаточно минимальный а если ты параноик то ... :)

> Что поставить на компе, который обеспечивает выход в инет?
Мне кажется, W2K Server SP3 + Kerio WinRoute Firewall
Настроить АД, политику безопасности и тд.
>
> Вообще, как обеспечить безопасность локальной сети
> от НСД извне?
[Кроме *nix-сервера и аппаратных

"Вообще" это не вопрос :)


> Стоит ли изменить политику безопасности внутри локальной
> сети? Ф.с. изменить на NTFS, сделать разграничение доступа,
> всем обязательно присвоить логин/пасс?
ДА!

> Как это сделать наиболее безболезненно для юзеров (т.к. им
> лишний раз вводить пароль очень сложно, их Win98
> устраивает, а тут новая ОС, новая ф.с., какие-то пароли,
> все становится неудобно и сложно). - не сочтите это за
> бред, но для пользователей все так оно и есть.

Объяснить директору как это важно ( тут где то поэтому поводу пролетала статья)
сотрудникам прочесть лекцию с элементами триллера о безопасности.
Особо умных трахнуть :)

> Как обеспечить IP-маскарадинг под Win? Где про это можно
> почитать?
мануал по WinRoute есть на русском на их сайте. Этого для начала достаточно.

Настроишь, проверишь, неделю посмотришь как это будет работать потом только смотреть чтобы это не рухнуло :)
Как организовать зашиту внутренней сети с выходом в инет? 27.08.03 11:16  
Автор: Sandy <Alexander Stepanov> Статус: Elderman
<"чистая" ссылка>
> Проблема такая: есть несколько компьютеров, объединенных в
> локальную сеть. На компьютерах установлены WinXP Pro и
> Win98 (все под FAT32). Появляется еще один комп, через
> который все подключены к выделенной линии.
>
> Как обеспечить должный уровень безопасности от атак извне?
>
> Что поставить на компе, который обеспечивает выход в инет?
> К сожалению, *nix систему поставить не получится, так что
> посоветуйте, какой софт под Win поставить на этой тачке
> (брандмауэры и т.д.).

MS ISA Server, например

> Какую ось из семейства Win лучше всего поставить на этот
> комп? 2k Pro/2k AS/XP Pro/2003 Server/какую-либо другую?

Если будешь ставить ISA Server - тогда 2000/2003 сервер

> Ф.с.? NTFS? Какой протокол передачи данных настроить между
> компами в локальной сети (TCP/IP или IPX или еще
> какой-нибудь)?

ФС - любая, какая больше нравится, протокол, ессно, TCP/IP

> Стоит ли изменить политику безопасности внутри локальной
> сети? Ф.с. изменить на NTFS, сделать разграничение доступа,
> всем обязательно присвоить логин/пасс?

Обязательно, подними АД и разрули политики безопасности

> Как это сделать наиболее безболезненно для юзеров (т.к. им
> лишний раз вводить пароль очень сложно, их Win98
> устраивает, а тут новая ОС, новая ф.с., какие-то пароли,
> все становится неудобно и сложно). - не сочтите это за
> бред, но для пользователей все так оно и есть.

Если во всем ориентироваться на пользователей - ни о какой информационной безопасности речь идти не будет! Надо определить для себя приоритеты - если тебе важнее инф. безопасность, тогда надо делать все для ее обеспечения. А нажимать Ctrl-Alt-Del и логины/пароли набирать они привыкнут за 3 дня.

> Поэтому надо, с одной стороны обеспечить безопасность от
> вторжений извне, а с другой - сделать это максимально
> прозрачным для пользователей.
>
> Как обеспечить IP-маскарадинг под Win? Где про это можно
> почитать?

ISA всем этим как раз и занимается. И много еще чем.
Как организовать зашиту внутренней сети с выходом в инет? 27.08.03 11:13  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> Проблема такая: есть несколько компьютеров, объединенных в
> локальную сеть. На компьютерах установлены WinXP Pro и
> Win98 (все под FAT32). Появляется еще один комп, через
> который все подключены к выделенной линии.
> Как обеспечить должный уровень безопасности от атак извне?
> Что поставить на компе, который обеспечивает выход в инет?
> К сожалению, *nix систему поставить не получится, так что
> посоветуйте, какой софт под Win поставить на этой тачке
> (брандмауэры и т.д.).

да хотя бы WinRoute.

> Какую ось из семейства Win лучше всего поставить на этот
> комп? 2k Pro/2k AS/XP Pro/2003 Server/какую-либо другую?

ту, что лучше знаешь. 2ksp2 выглядит самой стабильной. имхо.

> Ф.с.? NTFS?

естественно. про фат вообще давно пора забыть. и не только по соображениям безопасности.

> Какой протокол передачи данных настроить между
> компами в локальной сети (TCP/IP или IPX или еще какой-нибудь)?

для интернета подходит только tcp/ip ;) остальное без необходимости ставить не вижу смысла. необходимость может быть такая - например сервер Novell, которому нужен ipx.

> Стоит ли изменить политику безопасности внутри локальной
> сети? Ф.с. изменить на NTFS, сделать разграничение доступа,
> всем обязательно присвоить логин/пасс?

при правильной настройке файрволла эти способы защиты будут эффективны только внутри твоего офиса.

> Как это сделать наиболее безболезненно для юзеров (т.к. им
> лишний раз вводить пароль очень сложно, их Win98
> устраивает, а тут новая ОС, новая ф.с., какие-то пароли,
> все становится неудобно и сложно). - не сочтите это за
> бред, но для пользователей все так оно и есть.

пора переучиваться. в конце концов меньше прав у юзера - меньше прав у вируса, запущенного под его логином.

> Как обеспечить IP-маскарадинг под Win? Где про это можно почитать?

WinRoute спасет отца русской демократии. NAT, кеш-прокси, файрволл, почта, DNS, умеет работать и с модемами. по умолчанию встает сам так, как надо.

хотя если хочешь помучаться с ISA - ставь ISA. у ее поклонников железные аргументы, например ограничение доступа к сайтами по логину.
Как организовать зашиту внутренней сети с выходом в инет? 27.08.03 12:23  
Автор: kats Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> хотя если хочешь помучаться с ISA - ставь ISA. у ее
> поклонников железные аргументы, например ограничение
> доступа к сайтами по логину.
конечно, isa-неплохо, но там идет ограничение по dns, а если юзер работает по айпишникам, то isa ему не страшен, как ограничитель доступа к сайтам
если юзер работает по айпишникам, то isa ему не страшен?! 27.08.03 13:15  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> > хотя если хочешь помучаться с ISA - ставь ISA. у ее
> > поклонников железные аргументы, например ограничение
> > доступа к сайтами по логину.
> конечно, isa-неплохо, но там идет ограничение по dns, а
> если юзер работает по айпишникам, то isa ему не страшен,
> как ограничитель доступа к сайтам

как ты считаешь, а какие сервера сейчас работают на HTTP 1.0, и что мешает забанить URL с прямым айпишником?
если юзер работает по айпишникам, то isa ему не страшен?! 27.08.03 18:42  
Автор: kats Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> как ты считаешь, а какие сервера сейчас работают на HTTP
> 1.0, и что мешает забанить URL с прямым айпишником
ничего )
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach