Архив форумов ЦИТФорума

[Kash]

Помогите разобраться с системой
FireWall

[sui245]

Предлагаю объеденить усилия, в изучении, если конечно не жалко поделиться дистрибутивом. Можно даже триальным.

[Dmitry.Karpov http://www.]

ftp://ftp.ru.freebsd.org/pub/FreeBSD

[and3008]

В частности нет IDS.

Если есть, прошу поправить.

[Dmitry.Karpov http://www.]

(empty)

[and3008]

IDS - Instruction Detected System.
Типа антивирус от хакерской атаки. Системы IDS содержат сигнатуры атак и по ним в режиме он-лайн выуживают подозрительный трафик.
Например DDoS атаки.

IDS не дает 100% гарантии от взлома, но является весьма неплохим средством.

Например для Линуха есть патч к ядру. Назывется LIDS. После этого патча Линух умеет прикидыватся другой системой (например Windows), определяет попытки сканирования портов, запрещает доступ к некоторым процессам даже руту и т.п. штучки.

Думаю для Фри тоже есть что-то подобное, но все это надо настраивать, писать скрипты, то, сё. А в коммерческих FireWall-системах это уже готово. Платить конечно за это надо. Многие платят. И не только за удобство, а и за тех.суппорт.

Можно долго флеймит на счет что правильней коммерческий FireWall или бесплатная UNIX-система. Думаю обе имеют право на жизнь. Главное грамотно использовать и то и это.

Одного и единствено правильного решения нет.

[Роман]

Сначала нужно разобраться, что именно вы подразумеваете под безопасностью и чего хотите от файрвола.
Если нужно защитить локальную сеть от "показа" в Интернете, то можно можно сделать так:
На сервере установить ещё одну сетевую карту, к ней подвести инет. Поставить прокси (например WinProxy) и там указать где у Вас внешний IP (инета), а где внутренний (IP сервера в локальной сети). WinProxy будет как бы "отделять" локальную сеть от Инета. Кстати на локальных машинах инет будет доступен, если настроить браузер на соединение через прокси и установить IP сервера.
А если нужно просто защитить компьютер путем фильтрации пакетов, то можно воспользоваться разного рода файрволами (под винды мне нравится Outpost Firewall). При попытке программы выйти в инет, он запрещает ей и запрашивает ваше разрешение..

[and3008]

Типа на машине с двумя сетевухами не нужен фильтр пакетов? Типа WinGate сам все закроет? ЩАС!!!

Вот так многие и ставят прокси-сервис, абсолютно не защищая саму систему, на которой он стоит. А потом с удивлением обнаруживают всякие чудеса.

[Роман]

Тогда хотелось бы услышать более подробную информацию и желательно пример взлома.
Не разу в практике не встречал взлом ЭТОГО.

[and3008]

Windows с WinGate на борту при НЕОКЛЮЧЕННЫХ или НЕОТФИЛЬТРОВАННЫХ соединениях к службе Server? Или Sheduler? Или UPnP (на XP)?

Ну батенька... Это притча во языцах. Дуйте на TechNet дяди Билла. Этим болеют все версии Windows. Дыры латают, а они опять вылезают. Опять латаю, а они снова есть.

Я хотел сказать о другом.

Вы все верно сказали о прокси и фильтрации пакетов. Только не надо было разделять эти вещи. Для комплексной защиты в первую очередь нужен фильтр пакетов. Прокси нужен не для защиты, а для безопасной передачи трафика. Чтобы не было прямых соединений между компьютерами локальной сети и внешними компьютерами в сети Интернет. Это самое главное назначение прокси-сервера.

Сам по себе прокси не защищает компьютер, на котором он работает. Защищает пакетный фильтр.
И вариации на тему пакетного фильтра. Например системы IDS.

Под пакетным фильтром я понимаю программное обеспечение, позволяющее на основе правил фильтровать входящие и исходящие пакеты сетевых протоколов. В первую очередь TCP/IP и IPX.

[Dmitry.Karpov http://www.]

Если отключен IP-форвардинг, т.е. передача IP-пакетов от других станцие третьим (разрешены только прием IP-пакетов себе и отправка от себя), то это и есть лучший FireWall. Еще необходимо отвязать все лишние службы от внешнего интерфейса, оставить только SMTP и HTTP, если нужно. Вот тогда-то Proxy и понадобится, а без этого он нужен только для кэширования WWW-обращений (снижает трафик, ускоряет доступ).