» Безопасность сервера для чайников

Расскажите, плиз, по шагам с чего начать, что читать для того что бы потихоньку разобраться и защитить свой сервер. т.е. групповые политики, антивири, фаерволы и т.д. потому что по незнанию можно такого наворотить. Я не спрашиваю конкретного софта, нужна теория перетекающая в практику.
Ну например:
1. Качаем заплатки
2. Настраиваем ГП
2.1. Куда кому можно, куда кому нельзя.
3. Фаервол (закрываем порты № хххх
и т.д.
К примеру, есть сеть примерно 100 клиентов XP и файл-сервер на 2003. Инет идет через ТрафикИнспектор.

Я думаю найдутся люди которые тоже образно понимаю,что нужно защитить свой сервак, а как конкретно это сделать и по уму, а не просто тупо поставить каспера и курить бамбук в надежде что антивить все сам сделает.

zeliboba
Я бы изначально (если позволяет бизнес-процесс) файловый сервер отключил от Интернета. От греха подальше. Ну или сделать прокси-сервер, отдельный от файлового сервера.
Антивирус поставить обязательно. причем не только на сервер, но и на все компьютеры сети.
Безопасности сервера (права доступа и прочее), которые получаются при установке сервера имхо за глаза хватает для обеспечения начальной безопасности сервера.

Цитата:

2.1. Куда кому можно, куда кому нельзя.

Ну это правами на расшаренные ресурсы настраивается.

zeliboba
Как уже было сказано, нужно отделить файловый сервер, контроллер домена (сервак может выполнять, конечно, сразу несколько ролей) и прокси-/нат-сервер (шлюз). Должно быть как минимум 2 железки: для интернета и для всего остального.

При таком подходе встроенный фаервол на серверах и рабочих станциях локальной сети можно отключить или настроить как тебе необходимо через групповые политики.

Установить на рабочие станции и сервера корпоративный антивирус, которым можно управлять через консоль администрирования. На шлюз можно вообще не устанавливать антивирус. Для рабочих станций - свой антивирус, для серверов - свой. Т.е. не пытаться ставить на сервера антивирусы, предназначенные для рабочих станций.

Как уже рекомендовал Mushroomer, грамотно раздать права на шары на файловом сервере. Не давать пользователям "для простоты и быстроты" больше прав чем им необходимо на самом деле.

Настроить резервное копирование. Можно использовать сторонний софт и/или родной ntbackup. Обязательно сохранять состояние системы с контроллера домена. Можно, конечно, поднять дополнительный контроллер, если есть свободный компьютер. Если имеется железный RAID 1, например, то резервирование .... всё равно лучше делать .

Следить за логами на сервере, своевременно решать проблемы. Обновления устанавливать желательно после резервного копирования.

ВСЁ. Для сервера достаточно. А групповые политики позволяют автоматизировать применение и распространение настроек. Как правило, они нужны в основном для рабочих станций и доменных пользователей.

niichavo
Цитата:

бязательно сохранять состояние системы с контроллера домена.

А зачем это нужно (хотя у меня это тоже есть, но делал не я) на файловом сервере? Я думаю, что это точно нужно делать на контроллере домена.

Mushroomer
А я про файловый сервер не говорил . Речь шла о контроллере домена. Но часто бывает, что один сервер выполняет роль файлового сервера и контроллера домена одновременно.

Спасибо всем кто откликнулся на мою просьбу! Вот еще вопрос, Где можно почитать про порты, только на русском, какие для чего нужны, какие открыть, какие закрыть. Хотябы не про все а про часто используемые софтом и виндой. Есть желание поставит файервол на сервак и может и на все клиенты, но только как его настроить правильно, т.е. че закрыть че открыть. И по проводу антивирей, они же все равно пропускают Spyware, а тут нарвался на софтину Spyware Terminator, она вроде даже в реальном времени работает. Стоит ее ставить или все таки лучше фаервол настроить нормально?

zeliboba

Цитата:

Есть желание поставит файервол на сервак и может и на все клиенты

На клиенты Windows XP SP2 (SP3) ставить внешний брандмауэр не нужно, т.к. есть встроенный. Управляется через Групповые политики в AD. Если на клиентах нет ПО, требующего установления входящих подключений, то закройте полностью входящие подключения.

Цитата:

И по проводу антивирей, они же все равно пропускают Spyware, а тут нарвался на софтину Spyware Terminator, она вроде даже в реальном времени работает.

Не увлекайтесь "софтинами", т.к. установка таких левых "софтин" часто ведет лишь к ослаблению защиты.

Поставьте антивирус на сервера и рабочие станции, настройте Software Restriction Policies (Политики ограниченного использования программ), принудите пользователей работать под ограниченными учетными записями.

Вот реальная ситуация: Есть рабочий комп, он в инете, на нем стоит dreamweaver для управления сайтом. Недавно мне сказали что что то залез именно через сайт (сайт не на нашем компе, а на сервере на платном домене) залезли в нашу локальную сеть и спокойно лазили по компам. Как мне прекратить этот бардак и защитить свой ком и сеть?

zeliboba

Цитата:

Как мне прекратить этот бардак и защитить свой ком и сеть?

Привлеките специалиста или стороннюю организацию для проведения аудита и настройки системы безопасности. Либо, если компрометация вашей организации не столь критична - разбирайтесь сами (опыта у вас в таких делах, я вижу, нет). Пишите сюда конкретные вопросы - мы вам поможем.

zeliboba

Цитата:

залезли в нашу локальную сеть и спокойно лазили по компам

Это вопрос скорее к держателю домена . Значит у него безопасность плохая. Но что-то мало верится, что с сайта залезли . Скорее на компе для управления завелся троянец, либо тебе впарили что-то типа пинча. Ведь в инет с него выходят, почту получают. Проверяй комп по полной программе (avz, антивирус, hijackthis и тп), ставь на него файрволл и антивирус. А Пинч очень трудно обнаружить.

Помаленьку начинаю вникать. А по поводу портов вопрос так и остался открытым. Если даже фаервол ставить (Аутпост например) какие закрыть, как открыть?

zeliboba

Цитата:

Если даже фаервол ставить (Аутпост например) какие закрыть, как открыть?

По моему скромному мнению фаервол нужен только один, на шлюзе. И всё. На компьютерах локальной сети фаервол не нужен. Ну а если такой вариант приводит тебя в ужас, то удачи тебе в нелёгком деле по "файерволизации" всего без исключения.

Встроенного брандмауэра вполне достаточно. Узнай какие порты нужно отрыть для программ/служб на компьютере, добавь порты/программы в исключения. Для распространения настроек на компьютеры локальной сети используй групповые политики.

надо так:

отдельные машины для:

контроллеры домена
терминальные сервисы
файловый сервер
прокси/инет/почта

иначе такая фигня получится...

У тебя ТрафикИнспектор стоит же. Включи "Сетевой экран" на внешнюю сеть. А какая сеть будет внешней задай сам в “Конфигураторе” по интерфейсам.

zeliboba
Еще пару слов из собственного опыта. На шлюз во внешку ставь или что-либо из линухов (достаточно старенького пня 2-3), или аппаратный файрволл ( сейчас стоят копейки). Не ставь лишнего на контроллер (терминальный сервер, почту). Шлюз на виндах недолго проживет у тебя (у меня в свое время макс рекорд - 1 месяц )

slay1212

Цитата:

Шлюз на виндах недолго проживет у тебя (у меня в свое время макс рекорд - 1 месяц

Это всего лишь характеризует вас как плохого специалиста. У меня в качестве шлюза - ISA Server 2004, работает около трех лет (с момента первоначальной установки).


zeliboba
Не слушайте "добрых" советов, типа "Windows - сакс, Linux - рулит!" Так говорят пионэры. Работайте с той системой, в которой вы умеете (вам удобно) работать. Умеете работать с Windows-системами - работайте с ними.

veryom Может быть вы и правы, хороший специалист может настроить стабильную систему на чем угодно, но мне кажется что сейчас с меньшими трудами всё таки легче поставить тот же pfsense на фре или еще какой по вкусу(zeroshell m0n0wall smeserver...), забот по настройке меньше, я думаю zeliboba еще пока набирается опыта, и ему будет проще. А потом глядишь выберет себе решение максимально подходящее для него, а на первом этапе базовый функционал с максимальной безопасностью.

xReaper

Очень не хотелось бы разводить холивар, но я бы не сказал, что та же ISA уступает по безопасности *nix-решениям. А по критерию интеграции в Windows-окружение ISA, что очевидно, намного превосходит *nix. Я знаю, что и *nix можно настроить на взаимодействие с AD, но, во-первых, считаю, что не стоит городить гетерогенную сеть без достаточных на то оснований, а во-вторых, при неопытном админе как раз более безопасно и функционально будет ПО, которое ему ближе. Как мне кажется, ближе топикстартеру как раз Windows-решения.

isa ессно уступает freebsd по безопасности в качестве шлюза. да ее еще и изнутри обойти легче

Да я и не говорил что она хуже, я говорю что из коробки при использовании специализированных дистрибутивов никсы всё таки требуют меньшую настройку. Вот и откуда вытекает меньшая вероятность наделать дел.

vovney

Цитата:

isa ессно уступает freebsd по безопасности в качестве шлюза. да ее еще и изнутри обойти легче

Ссылку приведите, пожалуйста, на независимое сравнение ISA Server и любого *nix-решения.

Цитата:

Не слушайте "добрых" советов, типа "Windows - сакс, Linux - рулит!"

А так никто и не советовал. Все равно безопасность шлюза на винде на порядок ниже - почитайте статистику - процент серверов и шлюзов. Просто тот же элементарный нат настроить на Linux или винде - две большие разницы (на винде обязательно серверная ось и куча не нужных служб типа rras, либо что-то вроде traf inspector). А наверно оптимальный вариант не требующий долгого изучения мануалов (fm) - железный роутер типа dlink di604 или dir 100. Настроил и забыл. Стоит менее 30 $ . А ису товарищ быстро и хорошо не освоит и не поднимет, как и линух - времени нужно много .
А шлюзы на винде как раз пионэры и любят искать и долбить. Постоянно долбят по виндовым портам .
Мой вывод - есть время и желание - настраивать виндовый/или nix шлюз, нет - ставить роутер и забыть о проблеме.
Единственно вкусности типа балансировки каналов, сложные правила котроля трафика на дешевых железках не будет - здесь только циски могут помочь

slay1212

Цитата:

Все равно безопасность шлюза на винде на порядок ниже - почитайте статистику - процент серверов и шлюзов.

Десять тысяч мух не могут ошибаться? Статистика мне не нужна. Скооперируйтесь с товарищем vovney и дайте мне одну ссылку на независимое адекватное сравнение ISA Server и любого *nix-решения.


Цитата:

А шлюзы на винде как раз пионэры и любят искать и долбить. Постоянно долбят по виндовым портам

И? Пусть долбят. Толку-то...

veryom
Ну ты сам себе самокат ясно. Не работал с исой последней или 2004, а в 2000-2003 гг. это было жуткое уе..ще. По крайней мере по сравнению с линуксом. Допускаю что положение радикально изменилось за 7 лет Но скажи, сколько надо времени для создания с нуля эффективно работающей системы товарищу не имеющему опыта, с использованием исы например. Не один месяц. Для линукса не меньше, возможно больше, согласен.
А останется ли он на работе все это время, если его система будет дырявой как решето?
Не факт. Выход только железка -дешевая или дорогая по вкусу
ps ну например получить права админа/системы в любой винде сложно? и сколько тут уязвимостей. И сравни с линуксом. Впрочем выше об этом говорили "сломать изнутри". А убеждать я тебя ни в чем не буду. Каждый работает с чем ему лучше.

slay1212 и все остальные любители громко кричать о том, какой линух-писец-безопасный. Читаем вот это: http://www.securityfocus.com/news/11532

Обращаем особое внимание, что во все дырки поимели не маленькую фирму "Рога и копыта", у которых линухом рулит студент Вася, а наверное самого крупного линух-вендора. Кто-то считает, что серверы RH поддерживается "студентами Васями"? не забываем пройтись по ссылкам в статье и ужаснуться.

Отдельно желающим рассказать про "*BSD-не-линукс-у-него-такого-нет": коммерческие дистрибутивы, основанные на linux поддерживаются гораздо бодрее (патчи, изменения, шагание в ногу со временем, если хотите), чем *BSD. Про минидистрибутивы, поддерживаемые только энтузиастами, думаю и говорить не стоит.

Цитата:

Единственно вкусности типа балансировки каналов, сложные правила котроля трафика на дешевых железках не будет - здесь только циски могут помочь

pfsense имеет такие фичи, не в циске вся правда, а по долгой настройке - специализированные дистрибутивы настраиваются очень быстро даже новичками.

G14
Не собираюсь ни с спорить - в ответ можно привести кучу ссылок по винде не сходя с руборда. По поводу этой новости - хакеры более плотно занялись линуксом, только и всего. Ничего особо криминального невижу .
Давайте ближе к теме треда (безопасность для чайников), а поспорить можно в соответствующем разделе.
Какие еще варианты возможны, кроме дешевого железного файрволла. Кстати есть ли ссылки на расчет пропускной способности инет каналов с использованием железок. Т.е. где заканчиваются способности того же dlink dir100 (например 200 пользователей инет, скорость инет канала 2 мбит.сек, какова средняя скорость канала).

slay1212

Цитата:

в ответ можно привести кучу ссылок по винде не сходя с руборда.

Уже в этой теме подобные заявления слышно не первый раз. ГДЕ ссылки\факты? Конкретные и серьезные найденные и использованные уязвимости (для которых есть рабочие эксплойты или факты использования их в "боевых условиях")? Не proof-of-concept.

Цитата:

Давайте ближе к теме треда

А ближе к теме есть только одно: безопасности "для чайников" не бывает. Вообще. Безопасность для чайников это то же самое, что хирург у которого во время операции в одной руке скальпель, а в другой учебник по хирургии для первого курса мединститута.



Цитата:

хакеры более плотно занялись линуксом, только и всего

Ну да. Интересно, что же будет когда хакеры займутся линуксом хотя бы на 50% так же плотно, как Windows? Если линукс затрещал по швам от "немного более плотного интереса" к нему?

G14


Цитата:

А ближе к теме есть только одно: безопасности "для чайников" не бывает. Вообще. Безопасность для чайников это то же самое, что хирург у которого во время операции в одной руке скальпель, а в другой учебник по хирургии для первого курса мединститута.

Я лучше буду "хирургом с учебником", и буду нормальных людей слушать и не стесняться советоваться, а не гнуть пальцы в стороны. Когда я таких вижу или читаю, мне сразу анекдот на ум приходит, когда "новый русский" приехал в магазин покупать новый джип, потому что у него пепельница полная.

Я не орал, что все знаю, а просто спросил совета и нашлись люди, помогают, советуют.

G14, а ты наверное уже родился сисадмином и в 3 года уже серваки собирал?!

Спасибо всем за помощь, если еще ни у кого не отпало желание продолжать эту тему, я буду постоянно следить, пробовать, испытывать на своей сети предложенное и говорить спасибо!
Ведь все когда то начинали, кто раньше кто то позже!!!

zeliboba

Цитата:

Я лучше буду "хирургом с учебником"

М-да... Сочувствую той организации, где вы работаете, хотя... это может быть какая-нибудь говноконтора...


Цитата:

буду нормальных людей слушать

Поверьте, G14 - уважаемый здесь человек. У вас мало знаний и много агрессии - таким не место на форумах. Вам стараются помочь люди с практическим опытом работы, а вы, вместо того, чтобы внимательно читать (и записывать), начинаете "бычиться"... тем более, что по отношению к вам G14 ничего не высказывал.

Все дальнейшие ваши возражения мне - в эту тему: Флейм для сисадминов.