> Проблема такая: есть несколько компьютеров, объединенных в > локальную сеть. На компьютерах установлены WinXP Pro и > Win98 (все под FAT32). Появляется еще один комп, через > который все подключены к выделенной линии. > > Как обеспечить должный уровень безопасности от атак извне? > > Что поставить на компе, который обеспечивает выход в инет? > К сожалению, *nix систему поставить не получится, так что > посоветуйте, какой софт под Win поставить на этой тачке > (брандмауэры и т.д.).
MS ISA Server, например
> Какую ось из семейства Win лучше всего поставить на этот > комп? 2k Pro/2k AS/XP Pro/2003 Server/какую-либо другую?
Если будешь ставить ISA Server - тогда 2000/2003 сервер
> Ф.с.? NTFS? Какой протокол передачи данных настроить между > компами в локальной сети (TCP/IP или IPX или еще > какой-нибудь)?
ФС - любая, какая больше нравится, протокол, ессно, TCP/IP
> Стоит ли изменить политику безопасности внутри локальной > сети? Ф.с. изменить на NTFS, сделать разграничение доступа, > всем обязательно присвоить логин/пасс?
Обязательно, подними АД и разрули политики безопасности
> Как это сделать наиболее безболезненно для юзеров (т.к. им > лишний раз вводить пароль очень сложно, их Win98 > устраивает, а тут новая ОС, новая ф.с., какие-то пароли, > все становится неудобно и сложно). - не сочтите это за > бред, но для пользователей все так оно и есть.
Если во всем ориентироваться на пользователей - ни о какой информационной безопасности речь идти не будет! Надо определить для себя приоритеты - если тебе важнее инф. безопасность, тогда надо делать все для ее обеспечения. А нажимать Ctrl-Alt-Del и логины/пароли набирать они привыкнут за 3 дня.
> Поэтому надо, с одной стороны обеспечить безопасность от > вторжений извне, а с другой - сделать это максимально > прозрачным для пользователей. > > Как обеспечить IP-маскарадинг под Win? Где про это можно > почитать?
ISA всем этим как раз и занимается. И много еще чем.
Проблема такая: есть несколько компьютеров, объединенных в локальную сеть. На компьютерах установлены WinXP Pro и Win98 (все под FAT32). Появляется еще один комп, через который все подключены к выделенной линии.
Как обеспечить должный уровень безопасности от атак извне?
Что поставить на компе, который обеспечивает выход в инет? К сожалению, *nix систему поставить не получится, так что посоветуйте, какой софт под Win поставить на этой тачке (брандмауэры и т.д.).
Вообще, как обеспечить безопасность локальной сети от НСД извне? [Кроме *nix-сервера и аппаратных сетевых экранов - т.к. в моем случае этого нельзя реализовать. Вы уж поймите, это не из-за того, что я просто отметаю эти варианты, а из-за условий, в которых приходится работать].
Какую ось из семейства Win лучше всего поставить на этот комп? 2k Pro/2k AS/XP Pro/2003 Server/какую-либо другую?
Ф.с.? NTFS? Какой протокол передачи данных настроить между компами в локальной сети (TCP/IP или IPX или еще какой-нибудь)?
Стоит ли изменить политику безопасности внутри локальной сети? Ф.с. изменить на NTFS, сделать разграничение доступа, всем обязательно присвоить логин/пасс?
Как это сделать наиболее безболезненно для юзеров (т.к. им лишний раз вводить пароль очень сложно, их Win98 устраивает, а тут новая ОС, новая ф.с., какие-то пароли, все становится неудобно и сложно). - не сочтите это за бред, но для пользователей все так оно и есть.
Поэтому надо, с одной стороны обеспечить безопасность от вторжений извне, а с другой - сделать это максимально прозрачным для пользователей.
Как обеспечить IP-маскарадинг под Win? Где про это можно почитать?
Нормально и организовать27.08.03 15:57 Автор: vaborg <Israel Vaborg> Статус: Elderman
> Как обеспечить должный уровень безопасности от атак извне?
смотря какой уровень безопасности меть ввиду бывает достаточно минимальный а если ты параноик то ... :)
> Что поставить на компе, который обеспечивает выход в инет? Мне кажется, W2K Server SP3 + Kerio WinRoute Firewall
Настроить АД, политику безопасности и тд.
> > Вообще, как обеспечить безопасность локальной сети > от НСД извне? [Кроме *nix-сервера и аппаратных
"Вообще" это не вопрос :)
> Стоит ли изменить политику безопасности внутри локальной > сети? Ф.с. изменить на NTFS, сделать разграничение доступа, > всем обязательно присвоить логин/пасс? ДА!
> Как это сделать наиболее безболезненно для юзеров (т.к. им > лишний раз вводить пароль очень сложно, их Win98 > устраивает, а тут новая ОС, новая ф.с., какие-то пароли, > все становится неудобно и сложно). - не сочтите это за > бред, но для пользователей все так оно и есть.
Объяснить директору как это важно ( тут где то поэтому поводу пролетала статья)
сотрудникам прочесть лекцию с элементами триллера о безопасности.
Особо умных трахнуть :)
> Как обеспечить IP-маскарадинг под Win? Где про это можно > почитать? мануал по WinRoute есть на русском на их сайте. Этого для начала достаточно.
Настроишь, проверишь, неделю посмотришь как это будет работать потом только смотреть чтобы это не рухнуло :)
Как организовать зашиту внутренней сети с выходом в инет?27.08.03 11:16 Автор: Sandy <Alexander Stepanov> Статус: Elderman
> Проблема такая: есть несколько компьютеров, объединенных в > локальную сеть. На компьютерах установлены WinXP Pro и > Win98 (все под FAT32). Появляется еще один комп, через > который все подключены к выделенной линии. > > Как обеспечить должный уровень безопасности от атак извне? > > Что поставить на компе, который обеспечивает выход в инет? > К сожалению, *nix систему поставить не получится, так что > посоветуйте, какой софт под Win поставить на этой тачке > (брандмауэры и т.д.).
MS ISA Server, например
> Какую ось из семейства Win лучше всего поставить на этот > комп? 2k Pro/2k AS/XP Pro/2003 Server/какую-либо другую?
Если будешь ставить ISA Server - тогда 2000/2003 сервер
> Ф.с.? NTFS? Какой протокол передачи данных настроить между > компами в локальной сети (TCP/IP или IPX или еще > какой-нибудь)?
ФС - любая, какая больше нравится, протокол, ессно, TCP/IP
> Стоит ли изменить политику безопасности внутри локальной > сети? Ф.с. изменить на NTFS, сделать разграничение доступа, > всем обязательно присвоить логин/пасс?
Обязательно, подними АД и разрули политики безопасности
> Как это сделать наиболее безболезненно для юзеров (т.к. им > лишний раз вводить пароль очень сложно, их Win98 > устраивает, а тут новая ОС, новая ф.с., какие-то пароли, > все становится неудобно и сложно). - не сочтите это за > бред, но для пользователей все так оно и есть.
Если во всем ориентироваться на пользователей - ни о какой информационной безопасности речь идти не будет! Надо определить для себя приоритеты - если тебе важнее инф. безопасность, тогда надо делать все для ее обеспечения. А нажимать Ctrl-Alt-Del и логины/пароли набирать они привыкнут за 3 дня.
> Поэтому надо, с одной стороны обеспечить безопасность от > вторжений извне, а с другой - сделать это максимально > прозрачным для пользователей. > > Как обеспечить IP-маскарадинг под Win? Где про это можно > почитать?
ISA всем этим как раз и занимается. И много еще чем.
Как организовать зашиту внутренней сети с выходом в инет?27.08.03 11:13 Автор: jammer <alex naumov> Статус: Elderman
> Проблема такая: есть несколько компьютеров, объединенных в > локальную сеть. На компьютерах установлены WinXP Pro и > Win98 (все под FAT32). Появляется еще один комп, через > который все подключены к выделенной линии. > Как обеспечить должный уровень безопасности от атак извне? > Что поставить на компе, который обеспечивает выход в инет? > К сожалению, *nix систему поставить не получится, так что > посоветуйте, какой софт под Win поставить на этой тачке > (брандмауэры и т.д.).
да хотя бы WinRoute.
> Какую ось из семейства Win лучше всего поставить на этот > комп? 2k Pro/2k AS/XP Pro/2003 Server/какую-либо другую?
ту, что лучше знаешь. 2ksp2 выглядит самой стабильной. имхо.
> Ф.с.? NTFS?
естественно. про фат вообще давно пора забыть. и не только по соображениям безопасности.
> Какой протокол передачи данных настроить между > компами в локальной сети (TCP/IP или IPX или еще какой-нибудь)?
для интернета подходит только tcp/ip ;) остальное без необходимости ставить не вижу смысла. необходимость может быть такая - например сервер Novell, которому нужен ipx.
> Стоит ли изменить политику безопасности внутри локальной > сети? Ф.с. изменить на NTFS, сделать разграничение доступа, > всем обязательно присвоить логин/пасс?
при правильной настройке файрволла эти способы защиты будут эффективны только внутри твоего офиса.
> Как это сделать наиболее безболезненно для юзеров (т.к. им > лишний раз вводить пароль очень сложно, их Win98 > устраивает, а тут новая ОС, новая ф.с., какие-то пароли, > все становится неудобно и сложно). - не сочтите это за > бред, но для пользователей все так оно и есть.
пора переучиваться. в конце концов меньше прав у юзера - меньше прав у вируса, запущенного под его логином.
> Как обеспечить IP-маскарадинг под Win? Где про это можно почитать?
WinRoute спасет отца русской демократии. NAT, кеш-прокси, файрволл, почта, DNS, умеет работать и с модемами. по умолчанию встает сам так, как надо.
хотя если хочешь помучаться с ISA - ставь ISA. у ее поклонников железные аргументы, например ограничение доступа к сайтами по логину.
Как организовать зашиту внутренней сети с выходом в инет?27.08.03 12:23 Автор: kats Статус: Незарегистрированный пользователь
> хотя если хочешь помучаться с ISA - ставь ISA. у ее > поклонников железные аргументы, например ограничение > доступа к сайтами по логину. конечно, isa-неплохо, но там идет ограничение по dns, а если юзер работает по айпишникам, то isa ему не страшен, как ограничитель доступа к сайтам
если юзер работает по айпишникам, то isa ему не страшен?!27.08.03 13:15 Автор: jammer <alex naumov> Статус: Elderman
> > хотя если хочешь помучаться с ISA - ставь ISA. у ее > > поклонников железные аргументы, например ограничение > > доступа к сайтами по логину. > конечно, isa-неплохо, но там идет ограничение по dns, а > если юзер работает по айпишникам, то isa ему не страшен, > как ограничитель доступа к сайтам
как ты считаешь, а какие сервера сейчас работают на HTTP 1.0, и что мешает забанить URL с прямым айпишником?
если юзер работает по айпишникам, то isa ему не страшен?!27.08.03 18:42 Автор: kats Статус: Незарегистрированный пользователь
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
