Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
platan
Зарегистрирован: 13.01.2003 Сообщения: 41
|
Добавлено: Ср Мар 05 2003 14:29 Заголовок сообщения: Защита дата-сервера от вторжений посторонних |
|
|
Есть локальная одноранговая сеть, клиенты - Windows XP Home Edition. Есть сервер Windows 2000 AdvServer, на котором хранятся все документы. Юзеры при ображении к серверу вводят пароль и тогда работают с расшаренными папками. Какие способы защиты сервера от тех, кто не зная пароля хочет полазать и попортить че-то? |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Мар 05 2003 14:31 Заголовок сообщения: Способ один - ежедневное резервное компирование (-) |
|
|
- |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://prof Гость
|
Добавлено: Ср Мар 05 2003 17:01 Заголовок сообщения: Много чего... |
|
|
1) Обеспечить физическую защиту сервера от любителей вбивать гвозди в жесткие диски и форматировать их на низком уровне.
2) Повязать юзеров, NetBIOS-имена машин, IP-номера и MAC-адреса чтобы затруднить подделку одного юзера под другого.
3) На FireWall обеспечить недоступность сервера из Internet.
4) Поставить защиту от вирусов.
5) Усановить на сервер Linux или FreeBSD, поверх запустить Самбу - будет гораздо прочнее, чем W'2000. |
|
Вернуться к началу |
|
|
platan
Зарегистрирован: 13.01.2003 Сообщения: 41
|
Добавлено: Ср Мар 05 2003 22:48 Заголовок сообщения: Если можно, пункт 2 подробнее |
|
|
Если можно, пункт 2 подробнее |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://prof Гость
|
Добавлено: Ср Мар 05 2003 23:34 Заголовок сообщения: Привязки |
|
|
Привязку IP-номера к MAC-адресу делает ARP с ключем -s. Если машинам розданы статические IP-номера - это надо бы сделать; если IP-номера выдаются по DHCP, то их следует привязать к MAC-адресам и в DHCP, и в ARP. Впрочем, это довольно слабая защита.
Привязку юзеров к машинам (по их NetBIOS-именам) можно сделать через UserManager (я имею в виду ограничить право входа каждого юзера только теми машинами, на которых он действительно имеет право работать; привязка неоднозначна, а многовариантна).
Привязка NetBIOS-имен к IP-номерам и/или MAC-адресам в случае W'NT/2k/XP не очень нужна, т.к. привязать имена к конкретным экземплярам OS, инсталлированным на дисках, можно через включение машин в домен. Рекомендую организовать домен, если его еще нет.
PS: Это не отменяет остальные рекомендации, а дополняет их. Впрочем, некоторые из моих советов уходят в паранойю (каков вопрос, таков и ответ), а я сам у себя в сетИ никогда их не буду делать (по кр.мере, в полном объеме). |
|
Вернуться к началу |
|
|
I_one Гость
|
Добавлено: Чт Мар 06 2003 01:39 Заголовок сообщения: Предлагаю вариант с Novell Netware |
|
|
Ставим Nw5 или 6. Ставим всем клиенты для Nw только с IPX. Конфигурим любым мыслимым способом права доступа. Блокируем вход юзаря при нужном количестве неправельно введённых паролей. Что получаем: 1. Бешенную производительнось 2. 3ащищённость. 3. Гарантию бесперебойной работы. 4. Отличный файловый сервер.
Вариант с W2k отбрасываем как класс по причине его заточенности под сервера приложений и тормознутости в априоре. Samba - фактически тоже самое что и W2k + проблемы с блокировками. |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://prof Гость
|
Добавлено: Чт Мар 06 2003 09:58 Заголовок сообщения: Novell Netware не есть лучший вариант по причине малораспространенности |
|
|
При оценке пригодности той или иной системы следует учитывать еще и распространенность этой системы, т.к. чем распространеннее система, тем проще найти документацию и советчиков. На первом месте идет всякие Windows; затем идут Linux и FreeBSD (у систем с открытым кодом больше дакументации и она лучше); а NW постепенно теряет рынок, так что я бы не советовал осваивать ее тому, кто раньше не имел с ней дЕла. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Мар 06 2003 10:06 Заголовок сообщения: Любой сервак можно нормально сконфигурить. Все зависит от /dev/hands и /dev/head админа (-) |
|
|
- |
|
Вернуться к началу |
|
|
platan
Зарегистрирован: 13.01.2003 Сообщения: 41
|
Добавлено: Чт Мар 06 2003 23:19 Заголовок сообщения: По поводу привязок IP-MAC |
|
|
Благодарен всем за советы. И опять спрашиваю... привязал IP-MAC статически для всех машин на сервере. То же самое (arp -s 192.168.x.x xx-xx-xx-xx-xx-xx) нужно сделать на каждой машине? Есть способ быстрее? |
|
Вернуться к началу |
|
|
I_one Гость
|
Добавлено: Пт Мар 07 2003 01:40 Заголовок сообщения: В том то всё и дело что большенство гониться за новинками типа Windows и быстренько ставят её в продакшн среду. Но в этом случа |
|
|
Не вижу причин что бы не пойти по пройденной многими дороги. NetWare как файловый сервер показал себя отличнейшим образом. Понятное дело, что всё сейчас двигаеться в cторону клиент сервер, поэтому NetWare устарел. Но почему бы его не использовать под конкретное применение теб более форумов полно да и книжки на горбушке есть. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пт Мар 07 2003 09:16 Заголовок сообщения: Спроси у Димы Карпова. По моему у него на сайте есть дока по этому вопросу (-) |
|
|
- |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://prof Гость
|
Добавлено: Пт Мар 07 2003 12:53 Заголовок сообщения: Вопрос "нужно ли" каждый решает сам |
|
|
Если в сетИ есть серверы с данными, к которым крайне нежелательно допустить посторонних, то на всех этих серверах желательно прописать соответсвия IP-MAC. Хотя, как уже говорилось, этот метод защиты создаст больше проблем для админа, чем для взломщика (трудоемкость отслеживания MAC-адресов велика, а заменить MAC не очень сложно).
На некоторых операйионках есть "публикация" ARP-записей, когда сервер отвечает на ARP-запрос не только п поводу своих IP-номеров, но и чужих; во FreeBSD это делают стандартный ARP-модуль в стеке протоколов, а также choparp (позволяет прозрачно вынести часть сетИ за роутер) и pppd (последний просто создает и уничтожает публикуемую ARP-запись в системе). Разница в том, что choparp может работать при нескольких Ethernet-интерфейсах но роутере, когда в разные сегменты сообщаются разные сведения о соотвествии IP-MAC; а публикуемая ARP-запись не только публикуется, но и работает как жестко прописанная ARP-запись на самОм роутере (и потому нормально работает при PPP-соединении). Фокус в том, что опубликованная ARP-запись войдет в конфликт с любой машиной, которая захочет захватить чужой IP-номер штатными средствами.
А вообще-то, задача решается в зависимости от уровня отвественности законных юзеров (именно на уровне юзеров и надо проводить разграничение доступа) и от степени секретности данных. |
|
Вернуться к началу |
|
|
|