Погода: −10 °C
21.12−11...−3переменная облачность, без осадков
22.12−15...−11небольшая облачность, без осадков
  • Какой лучше применить? Или как грамотно настроить свой? Заранее спасибо.

    Землю - крестьянам, фазу - электрикам!!

  • Если прятать сетку - неплохо пойдет MS ISA Server 2004. Если персонально - Agnitum Outpost Pro.

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Пока на нем планируется запускать Active Directory, т. е. требуется персональная защита. Только мне не удалось подружить его с Agnitum Outpost Pro. Использовалась версия 2.5. Видимо я неправильно его настраиваю, так как после установки файепвола сервер "уходит в себя". Нет доступа к политикам домена, бесконечно долго загружается.

    Землю - крестьянам, фазу - электрикам!!

  • Рекомендую вам для себя ответить четко на вопрос "Зачем вам фаервол?". Если сервер раздает инет и должен разделять 2 сети - это одно. Если сервер только продвинутая рабочая станция - это другое. Если сервер находится в локальной сети и вы хотите просто повысить его защиту - третье.
    А то фраза
    В ответ на: Пока на нем планируется запускать Active Directory, т. е. требуется персональная защита.
    на мой взгляд выдает нечеткое понимание того, что вам надо. Типа "слышали что фаервол вешь нужная и без него никуда, так во какой бы нам поставить?":миг:

  • >>>Пока на нем планируется запускать Active Directory, т. е. требуется персональная защита.

    а каким образом это связано ???? или я чего-то недопонял.... :а\?:

    как уже было сказано выше, MS ISA Server 2004.

  • В ответ на: >>>Пока на нем планируется запускать Active Directory, т. е. требуется персональная защита.
    Персональная защита на AD........

  • Непонимание есть. Оттого и спрашиваю. Скорее третий вариант.

    Землю - крестьянам, фазу - электрикам!!

  • Итак, рекомендую Вам следующий порядок действий:

    1) Внятно опишите, что у вас за сеть и какова в ней будет роль сервера (не надо приводить конфиги, достаточно указать, на какой винде работают станции, ну, и топологию сети)
    2) Не менее внятно объясните, от чего Вы планируете защитить сервер
    3) Почитайте полученные адекватные советы
    4) Уточните, что непонятно
    5) Выберите понравившийся чем-либо вариант
    6) Спросите совета, как проще всего воплотить выбранный вариант в жизнь

    ВотЪ...
    А то "персональная защита Активной Папки"... :-)

    ЗЫ. Блин, я с этой работой по переводу мануала по ИСЕ на русский уже сам стал выражаться степ-бай-степ волктрутами... :-) Все, не буду больше переводить - учите английский :-)

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Если третий вариант (сервер внутри локальной сети) то ИМХО фаерволом озадачиватся тут надо в последнюю очередь. В первую очередь тут нужно озаботится корректной настройкой сервера: отрубанием ненужных сервисов, конфигуриованием нужных и установкой необходимых заплат. И уж потом для пущего контроля сетевых подключений можно озаботится фаерволом.
    Ведь в первую очередь уязвимостям будут подвержены именно сервисы. Допустим закроете вы фаером порты 135-139 и 445 для защиты от бластеров.. И что? В результате никто не сможет работать с AD, которое стоит на этом сервере.. Тогда какой прок от AD? И т.д. и т.п.

  • "Если сервер находится в локальной сети и вы хотите просто повысить его защиту", то фаервол вам не друг и не брат. Основная его функция -- это фильтрация пакетов на уровне ай-пи адресов и портов (иногда пользователей). Он смотрит только на заголовки, а не на содержание пакетов. Таким образом, фаервол пропустит любую атаку из внутренней сети по разрёшённому порту...
    Если нужна персональная защита домен контроллера, копать стоит в сторону host-based IDS.

    Впрочем, я только предложил возможное направление для копания. Ничего конкретного не подскажу за полным отсутствием опыта работы с HIDS. Вроде бы вышеупомянутая ISA 2004 поддерживала функции системы обнаружения вторжений, но это скорее уже относится к network-based IDS. NetPatrol ещё есть, но это тоже туда же.

    PS. А вообще, если у вас не секретная организация, то ИМХО не стоит и заморачиваться на тему IDS. Вполне хватит антивирусника, феарвола на шлюзе в инет, грамотной раздачи прав юзерам, свежих заплаток и настроенных политик.:улыб:
    (Всё ИМХО)

    all people should try new diet pepsi

  • 1. Кофигурация сетки типа "звезда" - в hub воткнуто 7 рабочих станций - XP prof SP1 + сервер с 2003 server enterprise. В одной из РС стоит еще одна сетевая карта, подключенная к локалке провайдера. На ней же бегает Usergate.
    2. Сервер защищается от всякой Internet-нечисти + от внешнего доступа к его расшареным ресурсам (если таковой доступ возможен)
    3. Почитал
    4, 5 Непонятно - нужен ли файервол в принципе? Вроде нет.
    6. В процессе..

    Землю - крестьянам, фазу - электрикам!!

  • Хороший фаервол нужен на машине, которая инет раздает.

  • Вот на машину, где две сетевки и над оставить файрволл... Можно ISA Server, снеся UserGate. Он спрячет за собой сеть и будет раздавать инет юзерам согласно ограничений для их групповой принадлежности... Для совсем правильного положения, можно будет поднять RADIUS на домен контроллере... Если решишь, что будешь делать так, здесь есть кому тебе помочь стаффом и советами...:улыб:

    А контроллер домена от внутренних пользователй надо защищать грамотно настроенными политиками...

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Итог:
    1. На сервере файервол не обязателен (или даже вреден?).
    2. Хороший файервол нужен для машины с подкляченим в инет - какой (какие)?
    3. А UsegGate разве не прячет сеть? Его обязательно менять?

    Землю - крестьянам, фазу - электрикам!!

  • В принципе, может...

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Это по пункту #3?

    Землю - крестьянам, фазу - электрикам!!

  • Да, по пункту 3.

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • А по остальным?

    Землю - крестьянам, фазу - электрикам!!

  • >> 1
    Необязателен, хоть и не вреден.

    >> 2
    Я обеими руками за Kerio WinRoute Firewall 6+.

    to PN:
    >> можно будет поднять RADIUS на домен контроллере
    Нагуя? :а\?::смущ:
    Если мне не изменяет память, RADIUS -- это remote authentication dial-in user service, т.е. база данных учётных записей для удалённых входящих подключений. Зачем он обычным смертным и как он повысит безопасность домен контроллера?
    Или я чего-то путаю?

    all people should try new diet pepsi

  • Ты ничего не путаешь... Он повысит безопасность, если будет запользован дайл-ин... Но это уже нюансы...

    WinRoute - тоже хорошо, особенно при таком небольшом числе пользователей... :-)

    И на домен-контроллере файволл ИМХО не нужен. Снаружи он спрятан за шлюзом. Изнутри его безопасность прекрасно обеспечивается правильно настроенными политиками...

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Не стоит изобретать велосипед.
    Встроенный в винду XP -SP2 и 2003(+SP1) FireWall + GPO на AD для управления ими для внутренней безопасности хватит за-глаза.
    Во-первых меньше левого софта - меньше гемороя.
    Во-вторых надо уважать производителей софта, если уже стыбрили винду, то и пользуетсь, зачем еще-то наворовывать добра. А тем более если все куплено...:улыб:

    /Нет денег на Зубару?! Зубилы - дёшево, 2км вперед по трассе!!!

  • Меня получившаяся конфигурация вполне устраивает.
    Просто удалил из 2003 файервол плюс RADMIN и все работает как задумано.
    На мой взгляд WINDOWS сама недалеко ушла от "левого" софта.

    Землю - крестьянам, фазу - электрикам!!

  • ну как сказать... Так мысли вслух.

    если микроскопом забивать гвозди, то конечно потребуется снять с него линзы и зеркала - это верно.
    Токма нахрена забивать микроскопом гвозди?

    А по-существу, заказчик всегда прав... на то он и деньги платит.:миг:

    А на счет "левого" софта - левого, в смысле лишнего и дублирующего основную функциональность. Меньше софта (любого, хоть виндовых компонент и сервисов) - меньше проблем, больше надежность.

    /Нет денег на Зубару?! Зубилы - дёшево, 2км вперед по трассе!!!

    Исправлено пользователем ViT (28.03.05 09:20)

  • у меня стоит Kerio WinRoute FireWall 6.0.11 пашет супер ... крутая вещь !!!

    В наше ненормальное время, любой нормальный человек ненормален уже тем, что он нормален

  • В ответ на: Если прятать сетку - неплохо пойдет MS ISA Server 2004. Если персонально - Agnitum Outpost Pro.
    А ты Аутпост пробовал на 2003 ставить? У меня он на ней работать напрочь отказался. Орал что-то вроде "Драйвер не работает", точно уже не помню. Вроде в трее висит, а пропускает весь траффик, независимо от настроек.

    Отсутствие вариантов – тоже вариант, но самый худший.

  • Пробовал. У меня одно время 2.5 стоял на 2003 Standart - работал нормально...

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Странно. У меня тоже 2.5 и тоже на 2003 Sandart. :а\?:

    Отсутствие вариантов – тоже вариант, но самый худший.

  • А может, ему что-то мешает запуститься... Например, если рискнуть и поставить Аутпост туда, где стоит ИСА, то сервер весело показывает синее...

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Система была чистая. Да и если б там ИСА стояла, нафига бы мне туда Аутпоста ставить? :улыб:

    Отсутствие вариантов – тоже вариант, но самый худший.

Записей на странице:

Перейти в форум

Модераторы: