» Защита от атак: выбор фаервола и антивируса для сисадмина

Borgia
Спасибо. Интерестная информация. Буду изучать.

Duke Shadow


Цитата:

трояны, вирусы и иже с ними

Для этого ставится вообще-то антивирус.

Цитата:

А ещё ограничение доступа к портам терминального сервера только с машин админов

Я не понял у тебя что пассворд админа что все юзеры знают. Посмотри В актив директори пропертис юзера.

Организация IP брандмауэра встроенными средствами Windows 2000 и XP
http://www.pseudology.org/Cable/win2000_firewall.htm

А еще извини но у тебя не совсем правильные представления о безопасности в сети и организации безопасности на контроллере домеина. да и вообще сервера в сети .
Если тебе для полной картины не хватает фаервола так поставь любой серверный вариант. Но это имхо не спасет тебя от того что ты написал, без правильного и четкого определения кто и куда имеет доступ и что может делать на сервере .
ну и последнее мои совет. Убрать с DC базу данных -MS SQL и фаилы пользователей .
. Так как нечего им там делать Это мое имхо. В будущем это избавит тебя от многих проблем.

согласен с последним посланием.
надо ГРАМОТНО все настроить и не будет голавников, одназначно......................
плиз, дайте линк на Касперский Сервер + кряку.
если он меня устроит куплю.

Timon_Crazy

Цитата:

плиз, дайте линк на Касперский Сервер + кряку.

Это вопрос в варезник.
http://forum.ru-board.com/topic.cgi?forum=35&topic=0276&start=360#lt

Timon_Crazy Могу кинуть на мыло или залить те на фтп...

Borgia

Цитата:

Для этого ставится вообще-то антивирус.

От чего-нибудь самописного вряд ли поможет

Цитата:

Я не понял у тебя что пассворд админа что все юзеры знают. Посмотри В актив директори пропертис юзера.

Ты имеешь в виду те опции, которые находятся на закладочке Terminal Services Profile? Не получится, всё равно доступ администраторам давать нужно, а на другие и ломиться не будут.

Цитата:

Организация IP брандмауэра встроенными средствами Windows 2000 и XP

Конечно посмотрю, но что-то не очень хочется этому недоделке доверять.

Цитата:

да и вообще сервера в сети

Т.е. ты предлагаешь фаерволлы не ставить?

Цитата:

Если тебе для полной картины не хватает фаервола так поставь любой серверный вариант.

Твой выбор можно узнать?

Цитата:

Но это имхо не спасет тебя от того что ты написал, без правильного и четкого определения кто и куда имеет доступ и что может делать на сервере

Я же говорил уже, что Common Criteria Guide прочитан, списки пользователей составлены, кто куда имеет доступ - прописано, просто фаерволл даст ещё один уровень безопасности.

Цитата:

ну и последнее мои совет. Убрать с DC базу данных -MS SQL и фаилы пользователей. Так как нечего им там делать. Это мое имхо. В будущем это избавит тебя от многих проблем.

Я бы с радостью - но пока никак.

Borgia

Цитата:

Организация IP брандмауэра встроенными средствами Windows 2000 и XP

Попробовал я его.... что то он мне не понравился. Во многих случаях, все перечислять не имеет смысла, работает не коректно. Всетаки я предпочитаю фаервулы сторонних разработчиков и на мой взгляд Виснетик и антивирус Касперского наиболее удачное сочетание. Возможно я не прав. Если бы еще найти и поставить Real Secure от ISS был бы полный порядок.

Duke Shadow
Ну даже не знаю что сказать В твоем случае. Если у вас люди пишут вирусы. Хм Значит бардак в организации. ( ну у нас тоже не без этого бардак на любой фирме есть но у всего есть границы и не на таком уровне как вирусописательство .)
Могу тебе сказать сеть - где я работаю это смешаная сеть более 4000 тысяч юзеров более 70 серверов вин2к ,2003 порядка 40 серверов Novell + маинфремм. (Я заведую небольшим подразделением плюс дополнительные обязаности в центре) Не на одном из них нет фаерволла . Есть конечно чекпоинт но это совсем другой уровень и другие задачи. есть иса опять же другие задачи. Есть четкая политика что можно держать на компьютерах и куда есть доступ . и за что можно полететь с работы и получить повестку в суд и попасть на бабки. Включен аудит идут бекаппы плюс с каждого сервера снят имидж. Жесткая аутентификация и политика смены паролей И четко разграниченно у кого куда есть доступ. На DC у юзеров вообще нет доступа. Есть фаил сервера где им четко выделенны квоты под их фаилы.
Вот и все. Сеичас хотят вводить аутентификацию через смарт кард. (посмотрим).

TROL

Цитата:

Попробовал я его.... что то он мне не понравился. Во многих случаях, все перечислять не имеет смысла, работает не коректно

Это просто как дополительная возможность.

Borgia

Цитата:

Если у вас люди пишут вирусы. Хм Значит бардак в организации. ( ну у нас тоже не без этого бардак на любой фирме есть но у всего есть границы и не на таком уровне как вирусописательство .)

Речь не идет, как я понял, о вирусе занесенном изнутри. Сценарий следующий:
Вирус/троян-поделка присылается кому-нибудь по почте и внедряется на один из компов ну и например эксплуатировается неизвестная уязвимость почтового клиента/броущера/ОС для получения дополнительных привелегий. Такую хрень по определению не отловишь сразу ни антивирусом ни вайерволом. Для этого сценария, в большой и серьезной организации, нужны активные средства обнаружения атаки/проникновения в сеть. Насколько я знаю, подобные проблемы разрешаются в серьезных конторах простым ежедневным восстановлением образов пользовательских машин и централизованное наблюдение за изменением пользовательских файлов на файлсерверах. Но все равно, почта это еще та дыра, если конечно принудительно не разрешать ничего кроме plain text без аттачментов в почте

Мне кажется, что приемлемая схема для небольших организаций это :
- хороший железный файервол на входе в сеть
- Ms ISA как вторичный фильтр и прокся
- KAV на сервере и мэйлсервере
- Если серверов 2 или более, то антивирусы разные на разных (KAV + SAV) и ночное взаимное выборочное сканирование в случае особой паранои
- Symantec Antivirus Corporate на клиентах
- регулярный анализ логов

А вообше все зависит от конторы, средств, компетентности персонала и желания руководства

Borgia

Цитата:

Ну даже не знаю что сказать В твоем случае. Если у вас люди пишут вирусы.

Да вроде пока замечены не были, но кто их знает.
Тем более, что простенький троян для профессионала - дело десяти минут.
И ведь не зря же рекомендуют на *nix-системах доступ на ssh дополнительно фильтровать фаерволлом.

ALX

Цитата:

Речь не идет, как я понял, о вирусе занесенном изнутри.

Да не обязательно. Дырку в RPC можно пользовать откуда угодно. Borgia конечно возразит, что есть де патчи от MS, обновления антивирусрв, но ведь патчи и обновления выходят _после_ обнаружения уязвимости/вируса. Вот я просто и хочу лишнее прикрыть, чтобы спать спокойнее.

Duke Shadow
Мы скорее не поняли друг друга . Я ничего конкретно против фаерволла на сервере не имею. И не говорю что нет нельзя Тем более если реч идет об одном двух серверах в сети . И если как ты сказал что это последнее ..кольцо обороны.. а не защита от всех напастей. Ставь тем более
Цитата:

чтобы спать спокойнее.

Сон великая вещ.

Borgia

Цитата:

И если как ты сказал что это последнее ..кольцо обороны.. а не защита от всех напастей.

Да не спасёт фаерволл ото всего - давно известно. Проблема информационной безопасности решается либо в комплексе, либо не решается вообще. Я вот тут недавно боролся с паролями на бумажках. Заборол кое-как

Цитата:

Ставь тем более

Какой???
Deerfield VisNetic Firewall
Kerio WinRoute Firewall
MS ISA?
Хотя нет - последний, пожалуй, тут лишний. Прокси и прочее, что он с собой тащит, мне нафиг не нужно.

Duke Shadow

Цитата:

MS ISA?
Хотя нет - последний, пожалуй, тут лишний. Прокси и прочее, что он с собой тащит, мне нафиг не нужно.

Ну там Прокси и прочее не обязательно устанавливать при инсталяции есть выбор. Я честно не задумывался об установке исы на DC для защиты самого DC потому как он позиционируется для других целей . С другой стороны у него есть большой плюс интеграция с актив директори . Ну вообщем тут нужно долго курить бамбук и думать. про остальные ничего не скажу . Единственное что наверное могу сказать прежде чем что либо устанавливать на DC обыграй это на тестовой машине.

Duke Shadow

Цитата:

Deerfield VisNetic Firewall

Ребяты, я наверно туп до безобразия...
Но вы что, серьёзно Форточки в СЕТЬ выставляете?

Добавлено
Про файерволы на виндах - расскажите моей бабушке

0le

Цитата:

Про файерволы на виндах - расскажите моей бабушке

К чему ты это сказал? И почему ты считаешь что Windows нельзя выставлять в сеть?

Цитата:

Ребяты, я наверно туп до безобразия...

Полностью с тобой согласен!

Borgia

Цитата:

Ну вообщем тут нужно долго курить бамбук и думать.

Пойду вагон закажу ... и маленькую тележку

Цитата:

Единственное что наверное могу сказать прежде чем что либо устанавливать на DC обыграй это на тестовой машине.

Бэз базара. Я вообще редко что на рабочую машину (а тем более сервер) ставлю. Еще бы тестовый стенд помощнее, так расходы на бамбук удалось бы снизить

Borgia, SXP
Мения разделились. Ладно, посмотрим оба. Хоть это и займет раза в два больше времени.

0le

Цитата:

Но вы что, серьёзно Форточки в СЕТЬ выставляете?

Ты под термином "СЕТЬ" имеешь в виду Интернет?
Я вообще-то про локальную сеть спрашивал.
А решения с граничным Виндовым сервером видел не один раз, и то что юниксы под это дело забивают чаще ещё ни о чем не говорит.
А ещё есть такие звери - киски.

Ну да ладно - уже оффтопом пошло. Спасибо всем за беседу.

Duke Shadow

Цитата:

Borgia, SXP
Мения разделились. Ладно, посмотрим оба. Хоть это и займет раза в два больше времени

Visnetic - Packet Filter only + HTTP server protection

MSISA - Proxy a ego fi4i FW eto tak.... kak NIS(norton internet security) fw + av

Меня интересует сдесь есть еще кто живой. У меня вопрос - какой же всетаки антивирусник лудше всего ставить на сервер????

я думаю надежный, а главное работающий. Я юзаю SAV CE.

KAZ1986

Цитата:

Меня интересует сдесь есть еще кто живой. У меня вопрос - какой же всетаки антивирусник лудше всего ставить на сервер????

Здесь мёртвых нету
Какой антивирус? Смотря какой сервер, если файловый, то - никакой! А так, вообще, Symantec у нас неплохо работает на терминале.

У меня серв 2000 собираюсь перевести на 2003. Заведен под инет. Достали вирусы. Каждый день штук по 5 выпираю (DackDoor.Pyev; win32.hllw.mybot; trojan.downloader.2636; win32.hllw.farbot; backdoor.irc.sbboot.55). Кстати че это за вирусы и как с ними бороться.

KAZ1986

Цитата:

Кстати че это за вирусы

http://vil.nai.com/vil/alphar.asp

Я пользуюсь Trend Micro OfficeScan для корпоративной защиты от вирусняков и прочего дерьма. а на границе стоит MS ISA 2004. Отличное решение как мне кажеться.

Только не вздумайте что-нить из фаеров или антивиря ставить на DC !!! Гемора не оберетесь. Соответственно не превращайте DC в файловый сервак и т.п.

isava

Цитата:

Я пользуюсь Trend Micro OfficeScan

есть живая ссылка откуда можно скачать?
Кстати у тебя ISA руская или английская??

У меня стоит Kerio WinRoute Firewall + встроенный McAfee Antivirus + на другой тачке SAV сервак+ на клиентских компах - клиенты SAV... И все прекрасно работает...

ЗЫ SAV пришлось не ставить на проксю т.к. Winroute конфликтует с ним....

Доброго времени суток. Если сильного желания нет разбираться с сеткой поствь Hotbrick или Firebox там по умолчанию много чего зделано и достаточно толково. Если есть желание разобраться то PIX-501 от славной компании Cisco машина надежная и простая в обслуживании : один раз настроил и практически на века, глюков не наблюдалось давно. Если с финансами напряг можно поставить Sonikwall, и наконец ISA если совсем плохо. Хорошо настроенный ISA стоит хорошо. Про антивирус Trendmicro from antivirus.com сходи почитай на инете можно скачать , я живу с ним лет пять пока ни каких прблем. Http трафик смотреть можно surfcontrol софтина интересная и работает с разными фаерволами. Удачи, колега

Ну братаны хоть бы выложили или конкретные сайты черкнули. Ато так совсем скучно.