» Безопасность сервера для чайников

Цитата:

таким не место на форумах

Цитата:

бычиться

Цитата:

буду нормальных людей слушать

Цитата:

не гнуть пальцы в стороны

Цитата:

можно привести кучу ссылок

Цитата:

писец

Цитата:

Ну ты сам себе самокат ясно

Цитата:

говноконтора

Все хороши, если честно.
Давайте дальше без флейма и оффтопика. Если кому-то вдруг не очень ясно:

рассуждения на тему «Windows vs. Linux» являются флеймом.
рассуждения на тему «Какова пропускная способность аппаратного брандмауэра» являются оффтопиком.

Я, честно говоря, не очень понимаю, что можно сказать строго по теме — уж больно она расплывчато сформулирована.

Но давайте попробуем. Если будет продолжаться в том же духе — тему закрою. Спасибо за понимание.

zeliboba

Цитата:

ты наверное уже родился сисадмином и в 3 года уже серваки собирал?!

"Нет.Он не такой!"
Но пробовать что-либо на живой сети, тем более всё, что касается безопасности - по меньшей мере глупо, по большей - преступно.
Вот тебе how do план на год:
0. Юзаем гугл.
1. Читаем RFC по всем известным протоколам
2. Читаем документацию вендоров
3. Создаем лабораторию
4. Качаем любой анализатор трафика, учимся им пользоваться.
5. Подписываемся на все баг-траки, которые найдешь.
6. Изучаем основные методы взлома, обхода защит и инсайдерства.
7. Понимаем, что защищенный сервер - это отключенный от сети, от питания и закопанный на глубине 3 км в свинцовом бункере. Остальные - "как-то защищены", и всё зависит только от желания их поломать и финансовых возможностей заказчика. (кто не согласен - см. CERN). И не важно какая ОС на нем стоит. Совершенных программ нет.
8. Делаем выводы.

А вот такие посты типа "я всё знаю, а вы мне посоветуйте" - это только разжигание межосевой розни и провокация к флейму.

1. Бэкапы должны делаться на всех серверах и желательно на важных рабочих станциях типа банк-клиент, директор, главбух (в идеале). Не понимаю, почему тут кто-то говорил, что бэкап файлового сервера не нужен. Поверьте, это сэкономит вам кучу времени при проблемах. Часто там не только доки лежат, а стоят справочные базы Консультант и проч. Да и время восстановления имеет значение. Ну и бэкапов несколько должно быть типа вчерашний ночной и недельной давности. Бывает, что проблема вылазит не сразу, а когда нужно откатывать состояние системы, то она уже и в бэкапе есть. ОБЯЗАТЕЛЬНО ВТОРОЙ контроллер домена, с ДНС и DHCP.

2. Обновления. Тут на ваш выбор. Серверы должны апдейтится всегда. Рабочие станции как хотите. Можете просто образ апдейтить и все. Периодически он обходит все компы...

3. Антивирус везде и всегда свежий. С серверной частью (для мониторинга и проч.).

4. Доступ в интернет только по заявкам, ограниченному кругу лиц и через какой-нить нормальный файлволл на отдельном компе, с подсчетом траффика. Ну а безопасность файрволла зависит от того, как вы его настроили. Будть линух или винда - это всего лишь инструменты.

5. Если делаете шары, пользуйтесь вложенными группами - это и удобно и контроллируется лучше. Используйте скрытые шары по-возможности, работайте точечно, т.е. не давайте доступ тем, кто не будет пользоваться.

6. Запрет доступа к внешним накопителям, флэшки, CD и проч. (только согласуйте с руководством). Запрет скачивания исполняемых файлов. Запрет пересылки исполняемых файлов.

7. Подменный фонд. Если у вас есть в запасе пару блоков питания или готовый системник с виндой и софтом, бесперебойник, дополнительный простенький сервак - это удобно.

8. Тестовый сервак. Есть место для маневров и проработки внедрения чего-либо.

9. Вся работа за компом должна быть регламентирована документально и донесена до сведения пользователей, типа это можно, это нельзя, а за это сразу по лицу.

10. Разделение обязанностей. Если в перерывах между настройкой репликации и поиском баги в работе почтового сервера менять картрижди и помогать кому-то работать в ворде то можно получить нервное расстройство... как впринципе и получается.

11. Рэйд-массивы везде, это и так понятно. В "важных" серваках с Hotspare, не жалейте 100-300 баксов. Ломается все. Летят рэйды, брэндовые серваки и бесперебойники быстро изнашиваются.

12. Ну и железа побольше для повышения избыточности системы, не совмещайте 4в1 типа терминал, контроллер, файловый. Сгорает ОДИН блок питания и все.... ваш зад в распоряжении любого...

Оцените стоимость обслуживаемой вами информации и потери на бумаге для мотивации апгрейда и покупки железа перед руководством. Мля. просто как в сказке....

Вобщем согласен с zx12r. Но это программа максимум. Насчет тестовых серверов это вобще круто. Жаль что полностью позволить себе это может 1-2 % контор.
Остальные пошлют подальше: крутись как знаешь.
Из первого поста следует что контора не особо богатая. Непонятно количество компов.
Поэтому вариант бюджетный:
- один сервер 2003 - контроллер домена. На нем все как в предыдущем посте - постоянные бакапы, правильно настроить политики безопасности и пр.
- настроить Trafic inspector правильно. На первое время - хотя бы рулить инет трафиком пользователей вполне хватит

Все на первое время зад прикрыт. Далее по плану FreemanRU
учиться учиться и учиться.

slay1212

Цитата:

Жаль что полностью позволить себе это может 1-2 % контор

Позволить себе это может ЛЮБАЯ контора... На машине Core2Duo/4Гб можно развернуть 4-5 машин. Такой комп будет стоить копейки, рабочая станция дороже.

slay1212
Контроллеров не меньше двух. Один из них спокойно может крутиться на виртуалке, если железо не позволяет...

zx12r
Цитата:

1. Бэкапы должны делаться на всех серверах и желательно на важных рабочих станциях типа банк-клиент, директор, главбух (в идеале). Не понимаю, почему тут кто-то говорил, что бэкап файлового сервера не нужен.

Это говорил я. Но хотелось бы разделить бэкап информации на файл-сервере и бэкап System State файлового сервера. В случае контроллера домена тут никаких сомнений даже и быть не моджет, а вот в случае файлового сервера возможно варианты Но у меня бэкапится System State и файлового сервера тоже.

Цитата:

6. Запрет доступа к внешним накопителям, флэшки, CD и проч. (только согласуйте с руководством)

Это имхо мера уже по безопасности сети.

2Mushroomer аааа ведь бэкапите SystemState

2all
Впринципе, под тестовый сервак можно найти какой-нить "лишний" компик после апгрейда серваков или компа главбуха, главное памяти чтоб побольше. Все же лучше, чем виртуалка на собственном компе. Правда контроры разные есть, не везде найдется...

Под второй контроллер домена тоже самое. У них требования к ресурсам минимальные. Лишь бы "винда запускалась". У вас ведь не более 500 пользователей. от P3-700 и от 256 ram.
У меня родительский домен два раза падал. Без второго контроллера теперь ни-ни...

Ну флэшки...... тут я думаю, как способ защиты от того, что юзеры на них могут принести. Трояны и все такое... Антивирус ведь не панацея... хотя б по минимуму залочить.

zx12r

Цитата:

Ну флэшки...... тут я думаю, как способ защиты от того, что юзеры на них могут принести. Трояны и все такое... Антивирус ведь не панацея... хотя б по минимуму залочить.

Software Restriction Policies помогут.

Думаю человеку для начала немного ссылок дать:
- почитать про NAT,и защиту сети;
- про порты кратко на английском ;
-настройка файрволлов про порты и тд;
-немного о протоколах TCP
- по домену (если он будет ) здесь подборка ruborda
Ну это для начала
FreemanRU Ты имел ввиду виртуальные сервера в своем посте или реальные? Виртуальных можно хоть десять завести, если ресурсы позволяют.
Очень много контор которым одного wk23 Small Business сервака вполне достаточно.
Если говорить о конторах где 40-50 и более компов, есть фирменная почта, вебсайт или портал, терминалсервер
- да два DC нужно + отдельно компы для сервер приложений, ТС. Но таких контор у нас в провинции немного

slay1212

Цитата:

Ты имел ввиду виртуальные сервера в своем посте или реальные

Какая разница для лабораторной сети? Какие есть - такие и пользуй.

Люди, а кто чем пользуется для обнаружения атак на сервера? Хотелось бы решение для интернет-шлюза (freeBSD), которое могло бы сообщать (на sms или mail или сообщение в винду на аську к примеру) о ИП атакующего время ну и чем больше инфы тем лучше и главное оперативнее.
И посоветуйте софт для периодического аудита безопасности своего предприятия.