Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
Как организовать зашиту внутренней сети с выходом в инет? 27.08.03 12:23 Число просмотров: 1172
Автор: kats Статус: Незарегистрированный пользователь
|
> хотя если хочешь помучаться с ISA - ставь ISA. у ее
> поклонников железные аргументы, например ограничение
> доступа к сайтами по логину.
конечно, isa-неплохо, но там идет ограничение по dns, а если юзер работает по айпишникам, то isa ему не страшен, как ограничитель доступа к сайтам
|
|
<sysadmin>
|
Как организовать зашиту внутренней сети с выходом в инет? 27.08.03 10:54
Автор: DmitriAl Статус: Незарегистрированный пользователь
|
Проблема такая: есть несколько компьютеров, объединенных в локальную сеть. На компьютерах установлены WinXP Pro и Win98 (все под FAT32). Появляется еще один комп, через который все подключены к выделенной линии.
Как обеспечить должный уровень безопасности от атак извне?
Что поставить на компе, который обеспечивает выход в инет? К сожалению, *nix систему поставить не получится, так что посоветуйте, какой софт под Win поставить на этой тачке (брандмауэры и т.д.).
Вообще, как обеспечить безопасность локальной сети от НСД извне? [Кроме *nix-сервера и аппаратных сетевых экранов - т.к. в моем случае этого нельзя реализовать. Вы уж поймите, это не из-за того, что я просто отметаю эти варианты, а из-за условий, в которых приходится работать].
Какую ось из семейства Win лучше всего поставить на этот комп? 2k Pro/2k AS/XP Pro/2003 Server/какую-либо другую?
Ф.с.? NTFS? Какой протокол передачи данных настроить между компами в локальной сети (TCP/IP или IPX или еще какой-нибудь)?
Стоит ли изменить политику безопасности внутри локальной сети? Ф.с. изменить на NTFS, сделать разграничение доступа, всем обязательно присвоить логин/пасс?
Как это сделать наиболее безболезненно для юзеров (т.к. им лишний раз вводить пароль очень сложно, их Win98 устраивает, а тут новая ОС, новая ф.с., какие-то пароли, все становится неудобно и сложно). - не сочтите это за бред, но для пользователей все так оно и есть.
Поэтому надо, с одной стороны обеспечить безопасность от вторжений извне, а с другой - сделать это максимально прозрачным для пользователей.
Как обеспечить IP-маскарадинг под Win? Где про это можно почитать?
|
|
Нормально и организовать 27.08.03 15:57
Автор: vaborg <Israel Vaborg> Статус: Elderman
|
> Как обеспечить должный уровень безопасности от атак извне?
смотря какой уровень безопасности меть ввиду бывает достаточно минимальный а если ты параноик то ... :)
> Что поставить на компе, который обеспечивает выход в инет?
Мне кажется, W2K Server SP3 + Kerio WinRoute Firewall
Настроить АД, политику безопасности и тд.
>
> Вообще, как обеспечить безопасность локальной сети
> от НСД извне? [Кроме *nix-сервера и аппаратных
"Вообще" это не вопрос :)
> Стоит ли изменить политику безопасности внутри локальной
> сети? Ф.с. изменить на NTFS, сделать разграничение доступа,
> всем обязательно присвоить логин/пасс?
ДА!
> Как это сделать наиболее безболезненно для юзеров (т.к. им
> лишний раз вводить пароль очень сложно, их Win98
> устраивает, а тут новая ОС, новая ф.с., какие-то пароли,
> все становится неудобно и сложно). - не сочтите это за
> бред, но для пользователей все так оно и есть.
Объяснить директору как это важно ( тут где то поэтому поводу пролетала статья)
сотрудникам прочесть лекцию с элементами триллера о безопасности.
Особо умных трахнуть :)
> Как обеспечить IP-маскарадинг под Win? Где про это можно
> почитать?
мануал по WinRoute есть на русском на их сайте. Этого для начала достаточно.
Настроишь, проверишь, неделю посмотришь как это будет работать потом только смотреть чтобы это не рухнуло :)
|
|
Как организовать зашиту внутренней сети с выходом в инет? 27.08.03 11:16
Автор: Sandy <Alexander Stepanov> Статус: Elderman
|
> Проблема такая: есть несколько компьютеров, объединенных в
> локальную сеть. На компьютерах установлены WinXP Pro и
> Win98 (все под FAT32). Появляется еще один комп, через
> который все подключены к выделенной линии.
>
> Как обеспечить должный уровень безопасности от атак извне?
>
> Что поставить на компе, который обеспечивает выход в инет?
> К сожалению, *nix систему поставить не получится, так что
> посоветуйте, какой софт под Win поставить на этой тачке
> (брандмауэры и т.д.).
MS ISA Server, например
> Какую ось из семейства Win лучше всего поставить на этот
> комп? 2k Pro/2k AS/XP Pro/2003 Server/какую-либо другую?
Если будешь ставить ISA Server - тогда 2000/2003 сервер
> Ф.с.? NTFS? Какой протокол передачи данных настроить между
> компами в локальной сети (TCP/IP или IPX или еще
> какой-нибудь)?
ФС - любая, какая больше нравится, протокол, ессно, TCP/IP
> Стоит ли изменить политику безопасности внутри локальной
> сети? Ф.с. изменить на NTFS, сделать разграничение доступа,
> всем обязательно присвоить логин/пасс?
Обязательно, подними АД и разрули политики безопасности
> Как это сделать наиболее безболезненно для юзеров (т.к. им
> лишний раз вводить пароль очень сложно, их Win98
> устраивает, а тут новая ОС, новая ф.с., какие-то пароли,
> все становится неудобно и сложно). - не сочтите это за
> бред, но для пользователей все так оно и есть.
Если во всем ориентироваться на пользователей - ни о какой информационной безопасности речь идти не будет! Надо определить для себя приоритеты - если тебе важнее инф. безопасность, тогда надо делать все для ее обеспечения. А нажимать Ctrl-Alt-Del и логины/пароли набирать они привыкнут за 3 дня.
> Поэтому надо, с одной стороны обеспечить безопасность от
> вторжений извне, а с другой - сделать это максимально
> прозрачным для пользователей.
>
> Как обеспечить IP-маскарадинг под Win? Где про это можно
> почитать?
ISA всем этим как раз и занимается. И много еще чем.
|
|
Как организовать зашиту внутренней сети с выходом в инет? 27.08.03 11:13
Автор: jammer <alex naumov> Статус: Elderman
|
> Проблема такая: есть несколько компьютеров, объединенных в
> локальную сеть. На компьютерах установлены WinXP Pro и
> Win98 (все под FAT32). Появляется еще один комп, через
> который все подключены к выделенной линии.
> Как обеспечить должный уровень безопасности от атак извне?
> Что поставить на компе, который обеспечивает выход в инет?
> К сожалению, *nix систему поставить не получится, так что
> посоветуйте, какой софт под Win поставить на этой тачке
> (брандмауэры и т.д.).
да хотя бы WinRoute.
> Какую ось из семейства Win лучше всего поставить на этот
> комп? 2k Pro/2k AS/XP Pro/2003 Server/какую-либо другую?
ту, что лучше знаешь. 2ksp2 выглядит самой стабильной. имхо.
> Ф.с.? NTFS?
естественно. про фат вообще давно пора забыть. и не только по соображениям безопасности.
> Какой протокол передачи данных настроить между
> компами в локальной сети (TCP/IP или IPX или еще какой-нибудь)?
для интернета подходит только tcp/ip ;) остальное без необходимости ставить не вижу смысла. необходимость может быть такая - например сервер Novell, которому нужен ipx.
> Стоит ли изменить политику безопасности внутри локальной
> сети? Ф.с. изменить на NTFS, сделать разграничение доступа,
> всем обязательно присвоить логин/пасс?
при правильной настройке файрволла эти способы защиты будут эффективны только внутри твоего офиса.
> Как это сделать наиболее безболезненно для юзеров (т.к. им
> лишний раз вводить пароль очень сложно, их Win98
> устраивает, а тут новая ОС, новая ф.с., какие-то пароли,
> все становится неудобно и сложно). - не сочтите это за
> бред, но для пользователей все так оно и есть.
пора переучиваться. в конце концов меньше прав у юзера - меньше прав у вируса, запущенного под его логином.
> Как обеспечить IP-маскарадинг под Win? Где про это можно почитать?
WinRoute спасет отца русской демократии. NAT, кеш-прокси, файрволл, почта, DNS, умеет работать и с модемами. по умолчанию встает сам так, как надо.
хотя если хочешь помучаться с ISA - ставь ISA. у ее поклонников железные аргументы, например ограничение доступа к сайтами по логину.
|
| |
Как организовать зашиту внутренней сети с выходом в инет? 27.08.03 12:23
Автор: kats Статус: Незарегистрированный пользователь
|
> хотя если хочешь помучаться с ISA - ставь ISA. у ее
> поклонников железные аргументы, например ограничение
> доступа к сайтами по логину.
конечно, isa-неплохо, но там идет ограничение по dns, а если юзер работает по айпишникам, то isa ему не страшен, как ограничитель доступа к сайтам
|
| | |
если юзер работает по айпишникам, то isa ему не страшен?! 27.08.03 13:15
Автор: jammer <alex naumov> Статус: Elderman
|
> > хотя если хочешь помучаться с ISA - ставь ISA. у ее
> > поклонников железные аргументы, например ограничение
> > доступа к сайтами по логину.
> конечно, isa-неплохо, но там идет ограничение по dns, а
> если юзер работает по айпишникам, то isa ему не страшен,
> как ограничитель доступа к сайтам
как ты считаешь, а какие сервера сейчас работают на HTTP 1.0, и что мешает забанить URL с прямым айпишником?
|
| | | |
если юзер работает по айпишникам, то isa ему не страшен?! 27.08.03 18:42
Автор: kats Статус: Незарегистрированный пользователь
|
> как ты считаешь, а какие сервера сейчас работают на HTTP
> 1.0, и что мешает забанить URL с прямым айпишником
ничего )
|
|
|
подробно о проекте
Анализ криптографических сетевых...
