Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Kash
Зарегистрирован: 01.02.2002 Сообщения: 1 Откуда: Екатеринбург
|
Добавлено: Пт Фев 01 2002 10:03 Заголовок сообщения: Безопасность сетей |
|
|
Помогите разобраться с системой FireWall |
|
Вернуться к началу |
|
|
sui245 Гость
|
Добавлено: Пт Фев 01 2002 10:30 Заголовок сообщения: Re: Безопасность сетей |
|
|
Предлагаю объеденить усилия, в изучении, если конечно не жалко поделиться дистрибутивом. Можно даже триальным. |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://www. Гость
|
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пт Фев 01 2002 17:22 Заголовок сообщения: Там немного не то (+) |
|
|
В частности нет IDS.
Если есть, прошу поправить. |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://www. Гость
|
Добавлено: Пт Фев 01 2002 20:38 Заголовок сообщения: А что такое IDS? (empty) |
|
|
(empty) |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пт Фев 01 2002 22:54 Заголовок сообщения: Re: А что такое IDS? (empty) |
|
|
IDS - Instruction Detected System. Типа антивирус от хакерской атаки. Системы IDS содержат сигнатуры атак и по ним в режиме он-лайн выуживают подозрительный трафик. Например DDoS атаки.
IDS не дает 100% гарантии от взлома, но является весьма неплохим средством.
Например для Линуха есть патч к ядру. Назывется LIDS. После этого патча Линух умеет прикидыватся другой системой (например Windows), определяет попытки сканирования портов, запрещает доступ к некоторым процессам даже руту и т.п. штучки.
Думаю для Фри тоже есть что-то подобное, но все это надо настраивать, писать скрипты, то, сё. А в коммерческих FireWall-системах это уже готово. Платить конечно за это надо. Многие платят. И не только за удобство, а и за тех.суппорт.
Можно долго флеймит на счет что правильней коммерческий FireWall или бесплатная UNIX-система. Думаю обе имеют право на жизнь. Главное грамотно использовать и то и это.
Одного и единствено правильного решения нет. |
|
Вернуться к началу |
|
|
Роман
Зарегистрирован: 23.05.2003 Сообщения: 72
|
Добавлено: Вс Фев 03 2002 11:59 Заголовок сообщения: Re: Безопасность сетей |
|
|
Сначала нужно разобраться, что именно вы подразумеваете под безопасностью и чего хотите от файрвола. Если нужно защитить локальную сеть от "показа" в Интернете, то можно можно сделать так: На сервере установить ещё одну сетевую карту, к ней подвести инет. Поставить прокси (например WinProxy) и там указать где у Вас внешний IP (инета), а где внутренний (IP сервера в локальной сети). WinProxy будет как бы "отделять" локальную сеть от Инета. Кстати на локальных машинах инет будет доступен, если настроить браузер на соединение через прокси и установить IP сервера. А если нужно просто защитить компьютер путем фильтрации пакетов, то можно воспользоваться разного рода файрволами (под винды мне нравится Outpost Firewall). При попытке программы выйти в инет, он запрещает ей и запрашивает ваше разрешение.. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вс Фев 03 2002 21:36 Заголовок сообщения: Вот так сети и ломают (+) |
|
|
Типа на машине с двумя сетевухами не нужен фильтр пакетов? Типа WinGate сам все закроет? ЩАС!!!
Вот так многие и ставят прокси-сервис, абсолютно не защищая саму систему, на которой он стоит. А потом с удивлением обнаруживают всякие чудеса. |
|
Вернуться к началу |
|
|
Роман
Зарегистрирован: 23.05.2003 Сообщения: 72
|
Добавлено: Вс Фев 03 2002 22:40 Заголовок сообщения: Re: Вот так сети и ломают (+) |
|
|
Тогда хотелось бы услышать более подробную информацию и желательно пример взлома. Не разу в практике не встречал взлом ЭТОГО. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пн Фев 04 2002 02:02 Заголовок сообщения: Взлом чего (+) |
|
|
Windows с WinGate на борту при НЕОКЛЮЧЕННЫХ или НЕОТФИЛЬТРОВАННЫХ соединениях к службе Server? Или Sheduler? Или UPnP (на XP)?
Ну батенька... Это притча во языцах. Дуйте на TechNet дяди Билла. Этим болеют все версии Windows. Дыры латают, а они опять вылезают. Опять латаю, а они снова есть.
Я хотел сказать о другом.
Вы все верно сказали о прокси и фильтрации пакетов. Только не надо было разделять эти вещи. Для комплексной защиты в первую очередь нужен фильтр пакетов. Прокси нужен не для защиты, а для безопасной передачи трафика. Чтобы не было прямых соединений между компьютерами локальной сети и внешними компьютерами в сети Интернет. Это самое главное назначение прокси-сервера.
Сам по себе прокси не защищает компьютер, на котором он работает. Защищает пакетный фильтр. И вариации на тему пакетного фильтра. Например системы IDS.
Под пакетным фильтром я понимаю программное обеспечение, позволяющее на основе правил фильтровать входящие и исходящие пакеты сетевых протоколов. В первую очередь TCP/IP и IPX. |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://www. Гость
|
Добавлено: Пн Фев 04 2002 14:57 Заголовок сообщения: Лучший фильтр - отключить форвардинг и привязки служб к внешнему интерфейсу |
|
|
Если отключен IP-форвардинг, т.е. передача IP-пакетов от других станцие третьим (разрешены только прием IP-пакетов себе и отправка от себя), то это и есть лучший FireWall. Еще необходимо отвязать все лишние службы от внешнего интерфейса, оставить только SMTP и HTTP, если нужно. Вот тогда-то Proxy и понадобится, а без этого он нужен только для кэширования WWW-обращений (снижает трафик, ускоряет доступ). |
|
Вернуться к началу |
|
|
|