| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
alesha
Зарегистрирован: 12.11.2004
Сообщения: 159
|
 Добавлено: Вт Янв 18 2005 17:31 Заголовок сообщения: Web-сервер и безопастность |
 |
|
Жду советов вот по какому вопросу.
Есть организация, которая хочет иметь свой сайт, причём разместить она его хочет на серваке, который находится в её локальной сети.
Этот сервер помимо всего является ДНС-сервером и почтовым. Корректно ли этот сервер использовать под вэб с точки зрения безопастности? Какие советы будут по поводу организации безопастности? |
|
| Вернуться к началу |
|
 |
Grayman
Зарегистрирован: 25.10.2004
Сообщения: 145
|
| Добавлено: Вт Янв 18 2005 18:26 Заголовок сообщения: |
|
|
Существует масса организаций в которых вэб живет вместе с почтой и днс и при грамотной настройке в ус не дуют.
А какие у тебя подозрения по поводу не безопасноти такого решения? |
|
| Вернуться к началу |
|
|
alesha
Зарегистрирован: 12.11.2004
Сообщения: 159
|
| Добавлено: Вт Янв 18 2005 18:38 Заголовок сообщения: Web-сервер и безопастность |
|
|
| Grayman писал(а): | Существует масса организаций в которых вэб живет вместе с почтой и днс и при грамотной настройке в ус не дуют.
А какие у тебя подозрения по поводу не безопасноти такого решения? |
Да я бы не сказал, что у меня какие-то подозрения.
Просто слышал, что это не совсем хорошо. |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Вт Янв 18 2005 18:41 Заголовок сообщения: Re: Web-сервер и безопастность |
|
|
| alesha писал(а): | который находится в её локальной сети.
|
т. е. не вся локалка запрятана под маскарад? |
|
| Вернуться к началу |
|
|
alesha
Зарегистрирован: 12.11.2004
Сообщения: 159
|
| Добавлено: Вт Янв 18 2005 18:51 Заголовок сообщения: Re: Web-сервер и безопастность |
|
|
| squirL писал(а): | | alesha писал(а): | который находится в её локальной сети.
|
т. е. не вся локалка запрятана под маскарад? |
Что значит не вся? |
|
| Вернуться к началу |
|
|
skyx
Зарегистрирован: 11.01.2005
Сообщения: 35
Откуда: Украина, Одесса
|
| Добавлено: Вт Янв 18 2005 18:54 Заголовок сообщения: Re: Web-сервер и безопастность |
|
|
| alesha писал(а): |
Этот сервер помимо всего является ДНС-сервером и почтовым. Корректно ли этот сервер использовать под вэб с точки зрения безопастности? Какие советы будут по поводу организации безопастности? |
Ну если есть отдельная машина под сервер - лучше конечно отдельно - и по безопасности, и по удобству.
Ну а если нет, то вполне можно и на существующей
только надо особенно внимаьельно раздать права на директории, и в случае особой паранойи
делать chroot этому вебсерверу
_________________
Нельзя все дать всем, ибо всех много, а всего мало |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Вт Янв 18 2005 18:59 Заголовок сообщения: |
|
|
2 alesha
значит, что любой web сервер, к которому должен быть доступ извне, имеет реальный IP адрес. а это в свою очередь означает, что он не должен быть спрятан под NAT. так что Web сервер должен быть вынесен за пределы локальной сети. в демилитаризованую зону. |
|
| Вернуться к началу |
|
|
alesha
Зарегистрирован: 12.11.2004
Сообщения: 159
|
| Добавлено: Вт Янв 18 2005 19:06 Заголовок сообщения: Web-сервер и безопастность |
|
|
| squirL писал(а): | 2 alesha
значит, что любой web сервер, к которому должен быть доступ извне, имеет реальный IP адрес. а это в свою очередь означает, что он не должен быть спрятан под NAT. так что Web сервер должен быть вынесен за пределы локальной сети. в демилитаризованую зону. |
Тогда нет.
Это сервер имеет две сетевухи, одна смотрит в интернет, другая в лоакалку. |
|
| Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
| Добавлено: Вт Янв 18 2005 23:39 Заголовок сообщения: |
|
|
alesha,
если тебя это успокоит, то у меня DNS, почта, Web на одной машине.
И кстати не самой мощной...
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
|
Stas_Dragon
Зарегистрирован: 01.04.2002
Сообщения: 31
Откуда: Зеленоград
|
| Добавлено: Вс Янв 23 2005 16:54 Заголовок сообщения: |
|
|
Ну раз у тебя в локальной сети есть машина на которой DNS и почта смотрящая в интернет, то терять тебе больше не чего  .
В твоем случае для повышения уровня безопасности локальной сети можно посоветовать, сервер который смотрит в интернет вынести в DMZ.
Затем установить на сервер софт следящий за целостностью системы и т.п. Ведь главная задача безопасности это не супер защита от "хака", а задача своевремено обнаружить, что Вас "полюбили". |
|
| Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
| Добавлено: Вс Янв 23 2005 21:34 Заголовок сообщения: |
|
|
Stas_Dragon, ну давай, давай, посоветуй такой софт.
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Пн Янв 24 2005 10:36 Заголовок сообщения: |
|
|
например Tripwire. из примитива - самописные скрипты отслеживающие вход в систему root'a, а также в неположенное время и т. п. и скидывающие на мобилу админу.
тут еще можно поглядеть :)
http://www.securitylab.ru/tools/39858.html |
|
| Вернуться к началу |
|
|
Mr.Nobody
Зарегистрирован: 12.07.2004
Сообщения: 33
Откуда: Москва
|
| Добавлено: Вт Янв 25 2005 11:55 Заголовок сообщения: |
|
|
| Хм. А почему бы не сделать DNAT? |
|
| Вернуться к началу |
|
|
.chip.
Зарегистрирован: 25.01.2005
Сообщения: 20
Откуда: г. Калуга
|
| Добавлено: Вт Янв 25 2005 14:34 Заголовок сообщения: |
|
|
| squirL писал(а): | 2 alesha
значит, что любой web сервер, к которому должен быть доступ извне, имеет реальный IP адрес. а это в свою очередь означает, что он не должен быть спрятан под NAT. |
вовсе ничего это не означает. Сервер вполне может существовать за НАТом. Существует такое понятие как проброс портов. Используется это вполне повсеместно. Реализуется средствами штатного fw, или, например, с помощью inetd/nc, либо другого программного обеспечения. Для случая FreeBSD в изобилии представленного в дереве портов.
_________________
:wq |
|
| Вернуться к началу |
|
|
.chip.
Зарегистрирован: 25.01.2005
Сообщения: 20
Откуда: г. Калуга
|
| Добавлено: Вт Янв 25 2005 14:38 Заголовок сообщения: Re: Web-сервер и безопастность |
|
|
| alesha писал(а): |
Да я бы не сказал, что у меня какие-то подозрения.
Просто слышал, что это не совсем хорошо. |
вполне разумные подозрения. apache я бы вообще побоялся запускать без чрута (chroot). А будучи параноиком вообще запретил бы ему исходящие коннекты. Реализуется данная функциональность с помощью: LD_PRELOAD и модифицированной сетевой библиотеки.
_________________
:wq |
|
| Вернуться к началу |
|
|
.chip.
Зарегистрирован: 25.01.2005
Сообщения: 20
Откуда: г. Калуга
|
| Добавлено: Вт Янв 25 2005 14:40 Заголовок сообщения: |
|
|
| Stas_Dragon писал(а): |
Затем установить на сервер софт следящий за целостностью системы и т.п. Ведь главная задача безопасности это не супер защита от "хака", а задача своевремено обнаружить, что Вас "полюбили". |
как раз вкорне противоположная. Если у Вас на ресурсе располагается страничка Васи Пупкина, то да, безусловно...важен сам факт взлома. А если за web-контентом скрывается база, за которую Вас за кокки подвесят на такой-то пальме ?!
_________________
:wq |
|
| Вернуться к началу |
|
|
.chip.
Зарегистрирован: 25.01.2005
Сообщения: 20
Откуда: г. Калуга
|
| Добавлено: Вт Янв 25 2005 14:43 Заголовок сообщения: |
|
|
| squirL писал(а): | | из примитива - самописные скрипты отслеживающие вход в систему root'a, а также в неположенное время и т. п. и скидывающие на мобилу админу. |
это не приемлемо в продакшене. Хотя бы потому, что для успешно завершенного взлома в > 50% случаев рут не нужен.
_________________
:wq |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Вт Янв 25 2005 15:09 Заголовок сообщения: |
|
|
| .chip. писал(а): | | squirL писал(а): | 2 alesha
значит, что любой web сервер, к которому должен быть доступ извне, имеет реальный IP адрес. а это в свою очередь означает, что он не должен быть спрятан под NAT. |
вовсе ничего это не означает. Сервер вполне может существовать за НАТом. |
как говорится "можно, но не нужно"... ИМХО, это не лучшее решение...
| Цитата: | | Хотя бы потому, что для успешно завершенного взлома в > 50% случаев рут не нужен. |
и т. п. видели? :) |
|
| Вернуться к началу |
|
|
.chip.
Зарегистрирован: 25.01.2005
Сообщения: 20
Откуда: г. Калуга
|
| Добавлено: Вт Янв 25 2005 15:31 Заголовок сообщения: |
|
|
| squirL писал(а): |
как говорится "можно, но не нужно"... ИМХО, это не лучшее решение...
|
отчего же ?
_________________
:wq |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Вт Янв 25 2005 15:42 Заголовок сообщения: |
|
|
субъективное мнение. хотя делал и по вашему, но всегда предпочитал схему:
сеть --> NAT+firewall --> DMZ --> firewall --> Internet
в данном случае ничуть не настаиваю на собственной правоте. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
