» Как организовать защиту внутренней сети с выходом в инет?

Проблема такая: есть несколько компьютеров, объединенных в локальную сеть. На компьютерах установлены WinXP Pro и Win98 (все под FAT32). Появляется еще один комп, через который все подключены к выделенной линии.

Как обеспечить должный уровень безопасности от атак извне?

Что поставить на компе, который обеспечивает выход в инет? К сожалению, *nix систему поставить не получится, так что посоветуйте, какой софт под Win поставить на этой тачке (брандмауэры и т.д.).

Вообще, как обеспечить безопасность локальной сети от НСД извне? [Кроме *nix-сервера и аппаратных сетевых экранов - т.к. в моем случае этого нельзя реализовать. Вы уж поймите, это не из-за того, что я просто отметаю эти варианты, а из-за условий, в которых приходится работать].

Какую ось из семейства Win лучше всего поставить на этот комп? 2k Pro/2k AS/XP Pro/2003 Server/какую-либо другую?

Ф.с.? NTFS? Какой протокол передачи данных настроить между компами в локальной сети (TCP/IP или IPX или еще какой-нибудь)?

Стоит ли изменить политику безопасности внутри локальной сети? Ф.с. изменить на NTFS, сделать разграничение доступа, всем обязательно присвоить логин/пасс?

Как это сделать наиболее безболезненно для юзеров (т.к. им лишний раз вводить пароль очень сложно, их Win98 устраивает, а тут новая ОС, новая ф.с., какие-то пароли, все становится неудобно и сложно). - не сочтите это за бред, но для пользователей все так оно и есть.

Поэтому надо, с одной стороны обеспечить безопасность от вторжений извне, а с другой - сделать это максимально прозрачным для пользователей.

Как обеспечить IP-маскарадинг под Win? Где про это можно почитать?

Я, бы, на твоем месте поставил win2000 + ISA сервер
Глянь еще сюда
http://forum.ru-board.com/topic.cgi?forum=8&topic=0434#1

Цитата:

Проблема такая: есть несколько компьютеров, объединенных в локальную сеть. На компьютерах установлены WinXP Pro и Win98 (все под FAT32). Появляется еще один комп, через который все подключены к выделенной линии.

сколько машин в сети ?


Цитата:

Как обеспечить должный уровень безопасности от атак извне?

Что поставить на компе, который обеспечивает выход в инет? К сожалению, *nix систему поставить не получится, так что посоветуйте, какой софт под Win поставить на этой тачке (брандмауэры и т.д.).

Вообще, как обеспечить безопасность локальной сети от НСД извне? [Кроме *nix-сервера и аппаратных сетевых экранов - т.к. в моем случае этого нельзя реализовать. Вы уж поймите, это не из-за того, что я просто отметаю эти варианты, а из-за условий, в которых приходится работать].

WinRoute, ISA, далее со всеми остановками до CP


Цитата:

Какую ось из семейства Win лучше всего поставить на этот комп? 2k Pro/2k AS/XP Pro/2003 Server/какую-либо другую?

Win2k AS


Цитата:

Ф.с.? NTFS?

NTFS (там где ето возможно).


Цитата:

Какой протокол передачи данных настроить между компами в локальной сети (TCP/IP или IPX или еще какой-нибудь)?

Зависит от того для чего используется сеть и какие серверы в сети подняты.


Цитата:

Стоит ли изменить политику безопасности внутри локальной сети? Ф.с. изменить на NTFS, сделать разграничение доступа, всем обязательно присвоить логин/пасс?

Как это сделать наиболее безболезненно для юзеров (т.к. им лишний раз вводить пароль очень сложно, их Win98 устраивает, а тут новая ОС, новая ф.с., какие-то пароли, все становится неудобно и сложно). - не сочтите это за бред, но для пользователей все так оно и есть.

Смешно.


Цитата:

Поэтому надо, с одной стороны обеспечить безопасность от вторжений извне, а с другой - сделать это максимально прозрачным для пользователей.

Вместо логинов/паролей можно использовать карты доступа, фингер-принты... и т.д., вплоть до сканирования сетчатки глаза, но стоит такое удовольствие отдельных денег... Может все же проще будет пользователям запомнить свои пароли ?


Цитата:

Как обеспечить IP-маскарадинг под Win? Где про это можно почитать?

WinRoute, ISA, далее со всеми остановками до CP.

Я использую для защиты сети и администрирования доступа пользователей к Инет
Kerio WinRoute Firewall. Очень удобна и проста. Работает под любой ОС.

Цитата:

сколько машин в сети ?

Есть значение? Около 8.


Цитата:

WinRoute, ISA, далее со всеми остановками до CP

Что такое WinRoute, где взять, где почитать? То же касается и ISA Server, и CP.


Цитата:

Win2k AS

Как смотрите на 2003 Server?


Цитата:

Зависит от того для чего используется сеть и какие серверы в сети подняты

Серверов нет, сеть используется лишь для обмена информацией и для выхода в инет (через главный комп).

Я считаю, что лучше поставить ISA server на Win2000 server(но на машине с ИСОЙ ничего больше установлено быть не должно кроме антивируса для ИСЫ) но это сугубо моё личное мнение.
ISA даст тебе управлять пользователями по твоему желанию от полного доступа до полного запрета на доступ к интернету, а так же закроет доступ с наружи.
На твоем месте от 98 Windows я бы избавился XP and Win2000. А пароли можешь не ставить и вообше лучше обьединить машины в домен

Кстати напрасно отметаются аппаратные штуки, например д-линковский роутер с натом стоит около 50уёв.

DmitriAl


Цитата:

где взять

В варезнике


Цитата:

где почитать? То же касается и ISA Server

ну ты и лентяй...я тебе ссылку дал + глянь ссылки для администратора в шапке



Цитата:

Как смотрите на 2003 Server?

Не, ну если в тебе живет дух эксперементатора + бессонница + есть желание забыть что такое выходной, то без проблем

AndrewSW

Цитата:

А пароли можешь не ставить и вообше лучше обьединить машины в домен

какой домен ? Он же пишет

Цитата:

Серверов нет

Добавлено
DmitriAl

Цитата:

Есть значение? Около 8.

Значение имеет и огромное. От этого зависит какой файрволл ставить, какие протоколы использовать и т.д. Например, в Вашем случае бессмысленно использовать СР (как впрочем и ISA), лучше остановиться на чем нибудь попроще. Того же WinRoute или Kerio за глаза хватит.

Цитата:

Серверов нет, сеть используется лишь для обмена информацией и для выхода в инет

В этом случае оставить только TCP/IP.

Bemep

Цитата:

Цитата:Серверов нет, сеть используется лишь для обмена информацией и для выхода в инет

В этом случае оставить только TCP/IP.

А если есть сервера?

смотря какие... попробуй ка прикрутить TCP/IP к Netware 3.12

AndrewSW, полностью согласен с набором Win2000 + ISA, без лишних приблуд - серверная платформа из Винды кривая и многозадачность понимает по-своему )
Что касаемо 98-х виндов - не надо их трогать, пусть себе живут (проверено электроникой :о)).

DmitriAl, ISA - Internet Accelerate Server, работает как кеширующий прокси, отлично закрывает сетку, обрубает сервисы как "изнутри", так и "снаружи" шлюза. Ставь и будет тебе счастие...

Вот у меня такая же проблема была и есть, я ее потихоньку стараюсь решать, не всегда все гладко получатся
http://forum.ru-board.com/topic.cgi?forum=8&topic=2480#1
Только вот господа эксперты разве вы не видите, что чел DmitriAl, создавший топик обладает определенными рессурсами и определенными познаниями в компах.
А вы сразу начинаете грузить со всех сторон! Надо постепенно к вопросу подходить и обстоятельно выяснить все создавшиеся проблемы.
От себя могу сказать, что вариант с ISA не принял для себя, т.к даже на машинке i815 Cel1200, 128M+256M на W2K, и все вертится с таааакими тормазами+ у меня проблема с английским+большая часть наворотов мне вообще не нужна и я пришел к WinRoute 4.2.5ru+Outpost2. Тоже конечно есть проблемы
http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=0353&start=1020#lt,
но ИМХО на русском языке и с моими познаниями в компах, потихоньку все решу
Для роутера - железный вариант оптимален, при некоторых условиях:
1)В лом копаться в программах
2)Незнание *.nix
Если брать вариант софтового роутера, то ИМХО FreeSCO.
На крутейший вариант решения проблемы не претендую, но для решения проблем с локальной сетью на небольшое колличество компов мой вариант мне симпатичен.

P.S. Сервак для управлению ЛВС ставить желательно, одноранговые сети полный отстой, надо на серваке поднять DNS и AD, DHCP тоже можно, хотя не всегда нужно
P.P.S вот теперь готов выслушать замечания

DmitriAl
Возьмите простенький ПК, например iP-100МГц/32Мб/3Гб, установите на него Linux, после чего настройте NAT - лучший для этого выбор http://www.giptables.org... Сеть будет как закаменной стеной...
Если нужен прокси сервер, то можно установить squid....

Совершенно согласен с ginger

Только я бы FreeBSD + Squid советовал. Хотя это личное мнение. Там все что тебе надо есть и с избытком.

Но если нет ни времени ни желания разобраться с Free, тогда совесем простой вариант win98 + WinRoute - Там все мышкой настраиваеться.
можно Win2k + SquidNT + Mdaemon - тут сложнее, но более гибко и надежней.

ginger
alexandr bit

Читали?

Цитата:

Кроме *nix-сервера и аппаратных сетевых экранов - т.к. в моем случае этого нельзя реализовать. Вы уж поймите, это не из-за того, что я просто отметаю эти варианты, а из-за условий, в которых приходится работать

Мое мнение: связка керио WinRoute 5х(для защиты) плюс Mdaemon (для почты)
не самая сложная настройка, хорошая степень защиты, нат
если еще упростить то WinRoute 4х, (там почтовый сервак встроенный) степень защищенности почти такая же, в настройках проще, но менее гибкий

alexandr bit
SquidNT под винды на моем опыте не совсем хорошо работает. Хотя может у кого и пошел. (у меня просто не кешировал страницы) Хотя под никсами все пучком.

DmitriAl

а можешь сказать что за условя такие, которые мешают поставить nix?

wchik
WinRoute хоть и имеет встроенный почтовый сервак, но если сеть для более менее серьезных вещей, то лучше МDaemon!

Зачем заморачиваться то?

WINROUTE 4 NAT (на машину даже с обычной WIN98-2000) в принципе достаточно для отражения внешних атак.
Если совсем параноидально подходить к вопросу - то поковыряться в Port Mapping (для защиты от идиотизма отдельных внутренних юзеров это может быть и важнее).
И какие там Юниксы-хардваре файерволлы...

Основано на личном опыте.

Ну вы даёте, человек попросил помощи, а вы начали в теме разводить свои интриги по поводу того что лучше и что хуже, я думаю он уже и потерялся между вами. Советуйте и предлагайте, но не нужно спорить, все споры обсуждаются в соответствующий темах.

Со своей стороны хочу сказать следующее: можно жить и без стенки, можно винту настроить и позакрывать лишее, по этому поводу очень много статей есть, вот например некоторые их них первая статья , вторая статья , третья статья, и ещё вот здесь.
Что касается выхода в инет, то тут нужно немного пообщатся о требованиях юзверей к инету. Нужна ли тебе корпоративная почта или, что то типа того (дабы юзвери могли друг другу писать письма не черз инет), проверка на вирусы будет происходить у юзверей или ещё на машине которая раздаёт инет, им нужен полноценный инет или ты будешь его резать контролировать скорость и так далее???
Из всего этого можно советов давать кучу, ведь выход в инет можно организовать и средствами виндовс, не самый лучший вариант но можно...
Ну и на все вопросы можно найти ответы и без содания этого топика, на форуме уже рассматривалось уйма таких вопросов и куча было ответов по разным темам.
Ну если уж совсем придавило, то поможем конечно же.

Kamerton

так и есть: мне нужен лишь файровлл и прокси под win32, а тут начали разводить споры о *nix etc. Без этого никогда не обходится

1) корпоративная почта - интересно, конечно. Но не нужна.

2) проверка на вирусы будет происходить И у юзверей, И на машине которая раздаёт инет.

3) что ты подразумеваешь под понятием "полноценный инет"?

4) поможем конечно же - надеюсь

Добавлено
Bemep


Цитата:

Например, в Вашем случае бессмысленно использовать СР (как впрочем и ISA),

ISA? почему же бесмысленно? я уже на нее нацелился.

ooptimum


Цитата:

А если есть сервера

Нет ни серверов, ни доменов.

DmitriAl
Полноценный инет, это я имею в виду что не каждая прокса, например, позволит любому компу сделать пинг в инет, ну и там ещё кучу разного. Т.е. народ будет только получать инфу с инета (смотреть сайты, качать разности в том числе и вирусы).

Проксей по этому поводу много, можно даже зайти по ссылке которая стоит в верху для админов. на главной страничке форума, там расписаны все которые советуют и даны ссылки на форум где они обсуждаются и где можно залить!
я например юзаю Usergate - русский, удобный, контролирует все (даже скорость), биллинг классный, и ещё много разного.
То что у тебя антивирь есть это хорошо, надеюсь не тормоз касперский, а хотя на вкус и цвет.... (если он то хоть центр управления думаю тоже имеется, удобная такая штука, хотя мне NAV (SAV) больше нравится).
Ну и наконец к фаерволу, я написал что можно сделать это и средствами винды самой, но если хочется поставить что нить, то лидилует в этом дела пока Агнитум, потом навреное идёт Виснетик, ну и так далее..
Второе дело сможешь ли ты его настроить как тебе нужно!!???

DmitriAl

Ну тогда Win2k + Winroute 4.х + Outpost Firewall + NAV200x

протокол соответственно TCP/ip

NTFS


должно удовлетворить.


Цитата:

Стоит ли изменить политику безопасности внутри локальной сети? Ф.с. изменить на NTFS, сделать разграничение доступа, всем обязательно присвоить логин/пасс?

Это тебе нужно только для управлением доступом в инет?

DmitriAl

Цитата:

ISA? почему же бесмысленно? я уже на нее нацелился.

потому, что ресурсы жрет. Стало быть придется ставить серьезную машину... Я конечно не знаю бюджета выделенного на гейтвей, но думаю, что он не велик.

DmitriAl
Поддерживаю, ИСА прожорливая ужасно, винрут для тебя самое ИМХО! даже без проверки вирусов и всего такого! ставь четверку и не мучайся! (а лучше пятерку если разберешься) все будет ОК!

Добавлено
alexandr bit

А зачем два файрволла?

Цитата:

Win2k + Winroute 4.х + Outpost Firewall + NAV200x

ИМХО
Он должен быть один, но хорошо настроен

alexandr bit

Цитата:

Winroute 4.х + Outpost Firewall

А вот эта связачка не может глючить между собой?

vworld
Хм...не глючила еще...

wchik

Цитата:

Читали?

Прочли..;)
Непонятно только одно, что за условия?
...хм, дело в том, что ставить сервер для защиты сети на базе Windows равняется смертоубийству!
Недавно это было продемонстрировано вирусом Love, http://www.dials.ru - подробности... Т.е. мастдайные сервера перезагружались один за другим, большая часть из них тут же инфицировалась... ни брандмауэр, ни антивирус помочь были не в силах....

P.S. Сама Microsoft, для защиты своего сервера использует Linux! А это уже о многом говорит... хитрость в том, что подправив записи ДНС, Microsoft неренаправила весь входящий трафик на Linux, после чего он отдается серверам под управлением ихнего детища - мастдаю;)))

ginger

Цитата:

...хм, дело в том, что ставить сервер для защиты сети на базе Windows равняется смертоубийству!

голословно. Главная дырка в безопастности ЛЮБОЙ сети - это админ. Нормально настроенный сервер взломать/уронить крайне сложно. А плохо настроенный/незалатанный валится вне зависимости от используемой платформы.

ginger
Вполне согласен с Bemep
кроме того мелкомягкие использут не линукс, а одну из коммерческих юникс систем.
а для защиты может и аппаратный файрвол (или как?)
хотя надо признать, что во многих аппаратных файрволах стоит именно линукс, но это уже детали.
Мне кажется что можно хорошо настроить и виндошный сервак, с хорошим файрволлом, все упирается в то, то готовы выложить за безопасность, и насколько эти затраты адекватны возможному урону.

Вот смотрю как ни крути, а все одно к никсам все сводиться.... А ведь он их по каким то причинам не хотит!