Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
Теория и практика файрволинга локальной сети. Часть вторая. Практика.
 
Обсуждение статьи Теория и практика файрволинга локальной сети. Часть вторая. Практика.
 
Молоток. Я думал, я один .adm'ы сам пишу и снорт в виндовой сети юзаю. ;))))))
 
Приятная статья. Почти. Есть мелочи:
1. Мне показалось, что она была сделана не для 2000, 2003, а для NT4.0(кстати, RH7.2 в те времена жил). Почему? В 2К и 2К3 exchange ставится только на DC. А раз это DC, значит это AD, а раз это AD, значит это DNS.
2. В результате систесма генерит слишком много ложных срабатываний: Exchange, который DC, будет реплицироваться и общаться с остальными домен-контроллерами.
3. Мало того, в такой ситуации понадобятся значительные вложения в железо: Обычно сервера стоят на 100Мбит/с или даже 1Гбит/с подключениях. Это значит, что на снорте и на его свиче сеть должна быть в 6 раз быстрее, что если и реализуемо, то стоит дорого. А ИДС, который не ловит ВЕСЬ трафик - скорее враг, чем помошник.

В результате, реализация такого проэкта лишний раз подтвердит мнение упомянутых в первой части Отцов: ИДС никому не нужны.
 
Цитата
FRom пишет:
В 2К и 2К3 exchange ставится только на DC.
Полная чухня. Покажите пальцем, где это написано?

Цитата
FRom пишет:

В результате систесма генерит слишком много ложных срабатываний: Exchange, который DC, будет реплицироваться и общаться с остальными домен-контроллерами.

Специально для этого есть секция пассфру и привязка службы NTDS (по которой реплики ходят) к 1026 порту и разрешения этого трафика между контроллерами домена.

Цитата
FRom пишет:

3. А ИДС, который не ловит ВЕСЬ трафик - скорее враг, чем помошник.

Про инвистиции - это да. Но с другой стороны рваться будет tcp соединение не соответвующее политике после обнаружения _одного_ пакета (хоть из середины сессии, хоть из начала, хоть в конце). Так что - вещь вполне рабочая.

Данный вариант очень хорош, когда IDS уже поставили и можно рядом с ними присоседить этакую мухобойку на снорте :-)
 
действительно статья кульная.Плчаще бы так,да по больше.
 
2 offtopic
А ты случайно японцам беллютени безопасности не пишешь?:)))
http://www.microsoft.com/japan/security/security_bulletins/m s04-011e.asp
 
Клевая схема сети: вебсервер торчит не в каком-то там DMZ, а прямо в интранете. Мммм RedHat 7.2 - тоже клево.
Защищенность на уровне xDDD
 
Цитата
r00t пишет:
Клевая схема сети: вебсервер торчит не в каком-то там DMZ, а прямо в интранете.
А про такую вешь как корпоративный web-server не слышали?
Share-point портал например? Зачем его в DMZ.
Или это рефлекс - при слове WEB сразу DMZ в голове всплывает :-)?

Хорошо бы конечно все сервера в отдельный сегмент вынести, но это уже совсем другая сказка.

Цитата
r00t пишет:

Мммм RedHat 7.2 - тоже клево.
А чем вам не нравится RedHat 7.2 всем?
Работают же в сетях NT и 98, почему бы более молодому  линуху в сетке не постоять :-)?
 
Занес для себя в справочник системного администрирования.....веду такой в тестовой виде........Потому что правильно показана система построения безопасной сети....
 
Неплохо! Хочу добавить от себя: весьма гиморно (на мой взгляд) чекать логи из файла /var/log/snort/alert. Не лучше ли проделать то, что написано здесь  ? Логи падают в MySQL-базу, на втором интерфейсе висит sshd и apache с mod_php. И вместо писанины собственных скриптов или grep'анья того самого лог-файла сидим и смотрим на логи с классификацией через веб-морду. IMHO куда приятней. Да, кстати, я заменил ACID на OpenAanval - гляньте скрины, может и вы замените? Можно юзать и совместно, т.к. OpenAanval не предлагает возможности удалить записи из базы. Буду рад интересным линкам на предмет "примочек" для Snort.
Удачных вам "подкладок свиней"!
 
.adm файл с настройками толи забыли положить толи положили куда то не туда... но в общем при попытке его скачать вылазит 404.
 
Цитата
offtopic пишет:
Или это рефлекс - при слове WEB сразу DMZ в голове всплывает :-)?
Не - просто прямые ассоциации "WEB/MAIL/PROXY -ЗЛОЙ INET" :) Да и на самом деле очень многие ставят толи из-за дурости толи из-за безденежья веб- и почтовые сервера в одну подсеть с файлсерверами, DC, серверами БД и рабочими станциями, мапя порты на гейте на эти сервера, имея при этом поимение всей локалки через cкомпрометированный веб или почтовый сервак. Бывают адмы-лолики, к-рые вебсервер+почтовый сервер ставят на машину, по совместительству являющуюся backup или DC.
Цитата
offtopic пишет:
А чем вам не нравится RedHat 7.2 всем?
Ну почему же - мне лично RH7.2 нравится :D
А если смотреть с точки зрения безопасности, то RHL 7.2 - ось просто параноидально безопасная, если, конечно, не учитывать пару десятков дыр =)) неск-ко в кернеле, дырявый chroot, неск-ко в сендмыле, дырки в apache, php, telnetd, sshd, su, sudo, samba, неск-ко в иксах и тп. Клевый дистр, в котором нужно менять вообще все.
Я где-то слышал такую справедливую рекомендацию: "если вашему дистрибуту больше полугода, то выкиньте его на помойку" ;P
 
Цитата
r00t пишет:

Клевый дистр, в котором нужно менять вообще все.
Я где-то слышал про такую рекомендацию - если вашему дистрибуту больше полугода, то выкиньте его на помойку ;P
Ага! Попался! Представляю запись в планах IT отдела месяц: переустановка всея энтерпрайза в связи с переходом на новый дистрибутив.
 
Цитата
offtopic пишет:
Представляю запись в планах IT отдела месяц: переустановка всея энтерпрайза в связи с переходом на новый дистрибутив.
Ну нужно же линуксоидам и работать иногда, а не только в потолок плевать :)) Хотя, конечно, можно линуху запатчить PaX-ом каким-нить так, что врядли кто ее сможет сломать, и забить на апдейты.
 
а я все равно считаю, что call, потому как неинформативно, плюс мало написано, вобщем чувачек решил отписаться для конкурса, а посути нам дан частный конфиг и краткие пояснения к нему...

надеюсь это мое мнение не пропадет по воле небритых модераторв...
 
Цитата
offtopic пишет:
 
Цитата
r00t пишет:

Клевый дистр, в котором нужно менять вообще все.
Я где-то слышал про такую рекомендацию - если вашему дистрибуту больше полугода, то выкиньте его на помойку ;P
Ага! Попался! Представляю запись в планах IT отдела месяц: переустановка всея энтерпрайза в связи с переходом на новый дистрибутив.
А что мешает обновить дистр? В RH есть rpm - бери и ставь. Если админ более-менее опытен, грабли обойдет. К тому же есть Gentoo Linux (не знающий понятия "новый дистрибутив"), процедура его обновления проста до ужаса. Даже "та самая домохозяйка", для которой Билли ночами не спал и кропел над клавой и та сможет проапдэйтиться по-полной. Вспомните, что OS Linux развивается и распространяется не благодаря CDROM и дистрам на них, а благодаря Internet. Если у нас корпоративная сеть наезды в стиле "трафик стоит денег" не принимаются (ну разве что мега-корпорация "Валенки & Веники LTD) :)
 
Цитата
Гость пишет:
вобщем чувачек решил отписаться для конкурса

Ага. Очень хочу попасть на курсы Информзащиты. Аж из кожи лезу. :-)
 
Цитата
chiko пишет:
Неплохо! Хочу добавить от себя: весьма гиморно (на мой взгляд) чекать логи из файла /var/log/snort/alert. Не лучше ли проделать то, что написано здесь  ? Логи падают в MySQL-базу, на втором интерфейсе висит sshd и apache с mod_php. И вместо писанины собственных скриптов или grep'анья того самого лог-файла сидим и смотрим на логи с классификацией через веб-морду. IMHO куда приятней. Да, кстати, я заменил ACID на OpenAanval - гляньте скрины, может и вы замените? Можно юзать и совместно, т.к. OpenAanval не предлагает возможности удалить записи из базы. Буду рад интересным линкам на предмет "примочек" для Snort.
Удачных вам "подкладок свиней"!
я так и не смог сделать чтобы снорт колбасил предупреджения прямо в mysql. хотя вебкличент вроде прально настроил.
может кто подкинет сцылу или руколязычный материал как снорт по божеси прикручиватся к системе
 
>Я где-то слышал про такую рекомендацию - если вашему
>дистрибуту больше полугода, то выкиньте его на
>помойку ;P


а вот и нет. дистриб надо юзать годовой и двухлетней давности, когда дыры все заделаны, и патчи отточены.
когда написаны все ХАУТУ и факи, когда темных вопросов не остается, и все спорные вопросы провентилированы.
и в систему корявыми ручками не лазить.
тогда тачка хоть 10 лет простоит как новенькая, знай только жесткие меняй при отказе.
пример - снес как то RH90 и споставил ASPLinux92 - матерился.
ибо новая система - глючаная система.
 
Цитата
крен пишет:
я так и не смог сделать чтобы снорт колбасил предупреджения прямо в mysql. хотя вебкличент вроде прально настроил.
может кто подкинет сцылу или руколязычный материал как снорт по божеси прикручиватся к системе
Читай внимательно *.pdf'ку. Там есть всё. Если ты создал в мускуле базу, в ней таблицы, определил пермишены (копи-пастом блин делается за исключением паролей), то собака зарыта скорее всего в /etc/snort/snort.conf в строке output database: log, mysql, user=snort password=ТвойПасс dbname=snort host=localhost. Смотри не перепутай ничего. Ставится заминут пять. Обрати внимание на строку в доке: /usr/local/mysql/bin/mysql -u root -p < ./contrib/create_mysql snort - путь ./contrib/create_mysql говорит о том, что ты должен находиться в директории с исходниками snort, хотя можешь указать его откуда угодно, главное - наличие исходников, а не голимый *.rpm. ACID можешь не ставить, OpenAanval мне больше по душе. Просто читай доку и делай как в ней написано. Всё ОЧЕНЬ просто.
Страницы: 1 2 След.
Читают тему