Файервол для MS Server 2003
4064
28
Электроник
guru
Какой лучше применить? Или как грамотно настроить свой? Заранее спасибо.
PN
ЙА ТИГОР
Если прятать сетку - неплохо пойдет MS ISA Server 2004. Если персонально - Agnitum Outpost Pro.
Электроник
guru
Пока на нем планируется запускать Active Directory, т. е. требуется персональная защита. Только мне не удалось подружить его с Agnitum Outpost Pro. Использовалась версия 2.5. Видимо я неправильно его настраиваю, так как после установки файепвола сервер "уходит в себя". Нет доступа к политикам домена, бесконечно долго загружается.
Barlog
guru
Рекомендую вам для себя ответить четко на вопрос "Зачем вам фаервол?". Если сервер раздает инет и должен разделять 2 сети - это одно. Если сервер только продвинутая рабочая станция - это другое. Если сервер находится в локальной сети и вы хотите просто повысить его защиту - третье.
А то фраза
А то фраза
Пока на нем планируется запускать Active Directory, т. е. требуется персональная защита.на мой взгляд выдает нечеткое понимание того, что вам надо. Типа "слышали что фаервол вешь нужная и без него никуда, так во какой бы нам поставить?"
Baal
veteran
>>>Пока на нем планируется запускать Active Directory, т. е. требуется персональная защита.
а каким образом это связано ???? или я чего-то недопонял....
как уже было сказано выше, MS ISA Server 2004.
а каким образом это связано ???? или я чего-то недопонял....
как уже было сказано выше, MS ISA Server 2004.
>>>Пока на нем планируется запускать Active Directory, т. е. требуется персональная защита.Персональная защита на AD........
Электроник
guru
Непонимание есть. Оттого и спрашиваю. Скорее третий вариант.
Сейчас читают
нищета находится в немытой голове
87518
517
Продажа/обмен косметики. Правила в 1-ом посте. (часть 5)
311227
1000
Марафон стройности - 37
175961
1000
PN
ЙА ТИГОР
Итак, рекомендую Вам следующий порядок действий:
1) Внятно опишите, что у вас за сеть и какова в ней будет роль сервера (не надо приводить конфиги, достаточно указать, на какой винде работают станции, ну, и топологию сети)
2) Не менее внятно объясните, от чего Вы планируете защитить сервер
3) Почитайте полученные адекватные советы
4) Уточните, что непонятно
5) Выберите понравившийся чем-либо вариант
6) Спросите совета, как проще всего воплотить выбранный вариант в жизнь
ВотЪ...
А то "персональная защита Активной Папки"... :-)
ЗЫ. Блин, я с этой работой по переводу мануала по ИСЕ на русский уже сам стал выражаться степ-бай-степ волктрутами... :-) Все, не буду больше переводить - учите английский :-)
1) Внятно опишите, что у вас за сеть и какова в ней будет роль сервера (не надо приводить конфиги, достаточно указать, на какой винде работают станции, ну, и топологию сети)
2) Не менее внятно объясните, от чего Вы планируете защитить сервер
3) Почитайте полученные адекватные советы
4) Уточните, что непонятно
5) Выберите понравившийся чем-либо вариант
6) Спросите совета, как проще всего воплотить выбранный вариант в жизнь
ВотЪ...
А то "персональная защита Активной Папки"... :-)
ЗЫ. Блин, я с этой работой по переводу мануала по ИСЕ на русский уже сам стал выражаться степ-бай-степ волктрутами... :-) Все, не буду больше переводить - учите английский :-)
Barlog
guru
Если третий вариант (сервер внутри локальной сети) то ИМХО фаерволом озадачиватся тут надо в последнюю очередь. В первую очередь тут нужно озаботится корректной настройкой сервера: отрубанием ненужных сервисов, конфигуриованием нужных и установкой необходимых заплат. И уж потом для пущего контроля сетевых подключений можно озаботится фаерволом.
Ведь в первую очередь уязвимостям будут подвержены именно сервисы. Допустим закроете вы фаером порты 135-139 и 445 для защиты от бластеров.. И что? В результате никто не сможет работать с AD, которое стоит на этом сервере.. Тогда какой прок от AD? И т.д. и т.п.
Ведь в первую очередь уязвимостям будут подвержены именно сервисы. Допустим закроете вы фаером порты 135-139 и 445 для защиты от бластеров.. И что? В результате никто не сможет работать с AD, которое стоит на этом сервере.. Тогда какой прок от AD? И т.д. и т.п.
Nestеr
experienced
"Если сервер находится в локальной сети и вы хотите просто повысить его защиту", то фаервол вам не друг и не брат. Основная его функция -- это фильтрация пакетов на уровне ай-пи адресов и портов (иногда пользователей). Он смотрит только на заголовки, а не на содержание пакетов. Таким образом, фаервол пропустит любую атаку из внутренней сети по разрёшённому порту...
Если нужна персональная защита домен контроллера, копать стоит в сторону host-based IDS.
Впрочем, я только предложил возможное направление для копания. Ничего конкретного не подскажу за полным отсутствием опыта работы с HIDS. Вроде бы вышеупомянутая ISA 2004 поддерживала функции системы обнаружения вторжений, но это скорее уже относится к network-based IDS. NetPatrol ещё есть, но это тоже туда же.
PS. А вообще, если у вас не секретная организация, то ИМХО не стоит и заморачиваться на тему IDS. Вполне хватит антивирусника, феарвола на шлюзе в инет, грамотной раздачи прав юзерам, свежих заплаток и настроенных политик.
(Всё ИМХО)
Если нужна персональная защита домен контроллера, копать стоит в сторону host-based IDS.
Впрочем, я только предложил возможное направление для копания. Ничего конкретного не подскажу за полным отсутствием опыта работы с HIDS. Вроде бы вышеупомянутая ISA 2004 поддерживала функции системы обнаружения вторжений, но это скорее уже относится к network-based IDS. NetPatrol ещё есть, но это тоже туда же.
PS. А вообще, если у вас не секретная организация, то ИМХО не стоит и заморачиваться на тему IDS. Вполне хватит антивирусника, феарвола на шлюзе в инет, грамотной раздачи прав юзерам, свежих заплаток и настроенных политик.
(Всё ИМХО)
Электроник
guru
1. Кофигурация сетки типа "звезда" - в hub воткнуто 7 рабочих станций - XP prof SP1 + сервер с 2003 server enterprise. В одной из РС стоит еще одна сетевая карта, подключенная к локалке провайдера. На ней же бегает Usergate.
2. Сервер защищается от всякой Internet-нечисти + от внешнего доступа к его расшареным ресурсам (если таковой доступ возможен)
3. Почитал
4, 5 Непонятно - нужен ли файервол в принципе? Вроде нет.
6. В процессе..
2. Сервер защищается от всякой Internet-нечисти + от внешнего доступа к его расшареным ресурсам (если таковой доступ возможен)
3. Почитал
4, 5 Непонятно - нужен ли файервол в принципе? Вроде нет.
6. В процессе..
Barlog
guru
Хороший фаервол нужен на машине, которая инет раздает.
PN
ЙА ТИГОР
Вот на машину, где две сетевки и над оставить файрволл... Можно ISA Server, снеся UserGate. Он спрячет за собой сеть и будет раздавать инет юзерам согласно ограничений для их групповой принадлежности... Для совсем правильного положения, можно будет поднять RADIUS на домен контроллере... Если решишь, что будешь делать так, здесь есть кому тебе помочь стаффом и советами...
А контроллер домена от внутренних пользователй надо защищать грамотно настроенными политиками...
А контроллер домена от внутренних пользователй надо защищать грамотно настроенными политиками...
Электроник
guru
Итог:
1. На сервере файервол не обязателен (или даже вреден?).
2. Хороший файервол нужен для машины с подкляченим в инет - какой (какие)?
3. А UsegGate разве не прячет сеть? Его обязательно менять?
1. На сервере файервол не обязателен (или даже вреден?).
2. Хороший файервол нужен для машины с подкляченим в инет - какой (какие)?
3. А UsegGate разве не прячет сеть? Его обязательно менять?
Nestеr
experienced
>> 1
Необязателен, хоть и не вреден.
>> 2
Я обеими руками за Kerio WinRoute Firewall 6+.
to PN:
>> можно будет поднять RADIUS на домен контроллере
Нагуя?
Если мне не изменяет память, RADIUS -- это remote authentication dial-in user service, т.е. база данных учётных записей для удалённых входящих подключений. Зачем он обычным смертным и как он повысит безопасность домен контроллера?
Или я чего-то путаю?
Необязателен, хоть и не вреден.
>> 2
Я обеими руками за Kerio WinRoute Firewall 6+.
to PN:
>> можно будет поднять RADIUS на домен контроллере
Нагуя?
Если мне не изменяет память, RADIUS -- это remote authentication dial-in user service, т.е. база данных учётных записей для удалённых входящих подключений. Зачем он обычным смертным и как он повысит безопасность домен контроллера?
Или я чего-то путаю?
Ты ничего не путаешь... Он повысит безопасность, если будет запользован дайл-ин... Но это уже нюансы...
WinRoute - тоже хорошо, особенно при таком небольшом числе пользователей... :-)
И на домен-контроллере файволл ИМХО не нужен. Снаружи он спрятан за шлюзом. Изнутри его безопасность прекрасно обеспечивается правильно настроенными политиками...
WinRoute - тоже хорошо, особенно при таком небольшом числе пользователей... :-)
И на домен-контроллере файволл ИМХО не нужен. Снаружи он спрятан за шлюзом. Изнутри его безопасность прекрасно обеспечивается правильно настроенными политиками...
ViT
veteran
Не стоит изобретать велосипед.
Встроенный в винду XP -SP2 и 2003(+SP1) FireWall + GPO на AD для управления ими для внутренней безопасности хватит за-глаза.
Во-первых меньше левого софта - меньше гемороя.
Во-вторых надо уважать производителей софта, если уже стыбрили винду, то и пользуетсь, зачем еще-то наворовывать добра. А тем более если все куплено...
Встроенный в винду XP -SP2 и 2003(+SP1) FireWall + GPO на AD для управления ими для внутренней безопасности хватит за-глаза.
Во-первых меньше левого софта - меньше гемороя.
Во-вторых надо уважать производителей софта, если уже стыбрили винду, то и пользуетсь, зачем еще-то наворовывать добра. А тем более если все куплено...
Электроник
guru
Меня получившаяся конфигурация вполне устраивает.
Просто удалил из 2003 файервол плюс RADMIN и все работает как задумано.
На мой взгляд WINDOWS сама недалеко ушла от "левого" софта.
Просто удалил из 2003 файервол плюс RADMIN и все работает как задумано.
На мой взгляд WINDOWS сама недалеко ушла от "левого" софта.
ViT
veteran
ну как сказать... Так мысли вслух.
если микроскопом забивать гвозди, то конечно потребуется снять с него линзы и зеркала - это верно.
Токма нахрена забивать микроскопом гвозди?
А по-существу, заказчик всегда прав... на то он и деньги платит.
А на счет "левого" софта - левого, в смысле лишнего и дублирующего основную функциональность. Меньше софта (любого, хоть виндовых компонент и сервисов) - меньше проблем, больше надежность.
если микроскопом забивать гвозди, то конечно потребуется снять с него линзы и зеркала - это верно.
Токма нахрена забивать микроскопом гвозди?
А по-существу, заказчик всегда прав... на то он и деньги платит.
А на счет "левого" софта - левого, в смысле лишнего и дублирующего основную функциональность. Меньше софта (любого, хоть виндовых компонент и сервисов) - меньше проблем, больше надежность.
у меня стоит Kerio WinRoute FireWall 6.0.11 пашет супер ... крутая вещь !!!
Если прятать сетку - неплохо пойдет MS ISA Server 2004. Если персонально - Agnitum Outpost Pro.А ты Аутпост пробовал на 2003 ставить? У меня он на ней работать напрочь отказался. Орал что-то вроде "Драйвер не работает", точно уже не помню. Вроде в трее висит, а пропускает весь траффик, независимо от настроек.
Пробовал. У меня одно время 2.5 стоял на 2003 Standart - работал нормально...
Странно. У меня тоже 2.5 и тоже на 2003 Sandart.
А может, ему что-то мешает запуститься... Например, если рискнуть и поставить Аутпост туда, где стоит ИСА, то сервер весело показывает синее...
Система была чистая. Да и если б там ИСА стояла, нафига бы мне туда Аутпоста ставить?