а нужны ли файрволы?

buggzy

Guest

Это нравится:0 Да/0 Нет

20.11.2003 19:41:48

> PS: Как ты думаешь, когда все програмисты будут встраивать IP-based ACL's в свои программы? к 2010-му году? к 2100-му?

Только честно.

дык если это в ядро запихать, то оно будет хоть послезавтра. допустим, по дефолту сокет имеет системные ACL, и даже ведет себя почти неотличимо от закрытого файрволом. однако, приложение может выполнить ioctl-вызов на сокет, чтобы модифицировать эти ACL, если у него хватает привелегий на такую операцию.

__NK

Guest

#102

Это нравится:0 Да/0 Нет

20.11.2003 20:30:56

Попробуем это представить.
Итак, у тебя на сервере фактически стоит локальный FW с политикой DEFAULT_TO_DENY ("по дефолту сокет имеет системные ACL, и даже ведет себя почти неотличимо от закрытого файрволом").
Сервис имеет право (в соответствии со своими правами, простите за тавтологию) изменять/добавлять ACL в политику FW ("приложение может выполнить ioctl-вызов на сокет, чтобы модифицировать эти ACL, если у него хватает привелегий"). Таким образом, вместо файрвола защищающего группу серверов и хранящего конфиги в одном-двух файлах мы получаем N файрволов по количеству серверов, конфиги каждого из которых (файрволов) раскиданы по конфигам сервисов которые там крутятся. Причем формат этих конфигов и способы их изменения различны для разных сервисов.
По-моему это ад

Я имею в виду что может быть это элегантное, строгое и очень правильное решение - мне как непрограммисту это трудно оценить, но я бы не хотел заниматься администрированием всего этого.

PS: а все воркстэйшены убираем за NAT. в обязательном порядке!

;--------
;NK

__NK

Guest

#103

Это нравится:0 Да/0 Нет

20.11.2003 20:34:13

PPS:
совет: если обсуждаешь реальный мир, постарайся избегать таких выражений как
- ОДИН ACL-ключ, который эквивалентен
- этот один ключ должен быть забит по дефолту во все программы

А то иногда сложно тебя понимать. Пиши проще - вот один ящик - вот его функциональность, вот его интерфейсы, вот другой ящик... итд.

;-------
;NK

buggzy

Guest

#104

Это нравится:0 Да/0 Нет

20.11.2003 21:10:15

> Таким образом, вместо файрвола защищающего группу серверов и хранящего конфиги в одном-двух файлах мы получаем N файрволов по количеству серверов, конфиги каждого из которых (файрволов) раскиданы по конфигам сервисов которые там крутятся

чейта я не понял, а нафиг на каждый сервис по конфигу? я как-то непонятно объясняю, что на все сервисы есть один конфиг, который выполняет те же функции, что и файрвол, и ты можешь так и оставить, если это тебя устраивает? а защита группы серверов одним конфигом - это извините какая-то нездоровая мысль имхо... хотя, если приспичит, кто мешает настроить репликацию?

__NK

Guest

#105

Это нравится:0 Да/0 Нет

20.11.2003 22:02:26

Итак, ты предлагаешь на каждый сервер поставить софт (или вкомпилить в ядро) который "выполняет те же функции, что и файрвол" и конфигурится как файрвол ("есть один конфиг"). Ну тогда конечно файрвол не нужен

Ибо это и есть файрвол (сюрпрайз!)
Ибо, как гласит закон Ломоносова-Курвуазье: "Чтобы продать что-нибудь ненужное, нужно сначала купить что-нибудь ненужное."

Таким образом формулировка "а нужны ли файрволы?" плавно перетекла в "Если на каждый сервак поставить локальный файрвол, то общий файрвол им будет не нужен".

;--------
;NK

Acid Guest	#106 Это нравится:0 Да/0 Нет 20.11.2003 22:24:34 Админы закройте этот флейм никому не нужный....пожалуста......

koras

Guest

#107

Это нравится:0 Да/0 Нет

20.11.2003 22:36:14

Цитата
Acid пишет: Админы закройте этот флейм никому не нужный....пожалуста......

/*moderatorial
Во-первых - оффтоп. Во-вторых, если ты хочешь обратится к модераторам (а тем более к админам) делай это в приват.
end of moderatorial*/

buggzy

Guest

#108

Это нравится:0 Да/0 Нет

21.11.2003 03:15:36

Цитата

__NK пишет:
Итак, ты предлагаешь на каждый сервер поставить софт (или вкомпилить в ядро) который "выполняет те же функции, что и файрвол" и конфигурится как файрвол ("есть один конфиг"). Ну тогда конечно файрвол не нужен

Ибо это и есть файрвол (сюрпрайз!)

у тебя неполадки с логикой. если А имеет все функции Б, это не значит, что А - это Б. пример: если настоящая женщина имеет все функции резиновой, из этого совсем не следует, что настоящая женщина - резиновая...

offtopic

Editor

Сообщений: 1721 Баллов: 1738 Регистрация: 21.08.2003

#109

Это нравится:0 Да/0 Нет

21.11.2003 09:56:39

2 Багзи:
Реальная ситуация:
У меня есть прогаммеры, у них есть сервочки на которых они ковыряются. Программеры, как водятся лохи в безопасности, у них "лишь бы работало". Я особо на их серваи влезать не хочу - иначе вой и "Ты все поломал".
Дык почему мне не вынести их сервачки в другой сегмет, отфильтровать трафик к ним оставив только то что надо (80й например) и настроить IDS на текушие дырки _иис_или_что они там юзают_. И нехай работают. Заодно и польза - кода они придут и скажут мне, типа нам надо порты открыть, а то наша новая программа не работает, потому как он 500 интерфейсов dcom юзает, я скажу - на ребята, переписывайте пока не поздно - это Г. у меня в сети работать не будет.

buggzy

Guest

#110

Это нравится:0 Да/0 Нет

21.11.2003 10:50:07

> почему мне не вынести их сервачки в другой сегмет, отфильтровать трафик к ним оставив только то что надо (80й например) и настроить IDS на текушие дырки _иис_или_что они там юзают_

потому что это порнография - вытаскивать в интернет администрируемый лохами сервер. нужен девелоперский - пусть в интранете сидит и наружу не смотрит, нужен удаленный физически интранет - для этого VPN есть. а IDS _вместо_ патчей - это вообще censored.

> ребята, переписывайте пока не поздно - это Г. у меня в сети работать не будет.

а почему не будет - из-за привычки решать проблемы авторизации с помощью пакетных фильтров? дык фтопку ее, только технологии тормозишь.

koras

Guest

#111

Это нравится:0 Да/0 Нет

21.11.2003 11:05:16

>потому что это порнография - вытаскивать в интернет администрируемый лохами сервер. нужен девелоперский - пусть в интранете сидит и наружу не смотрит, нужен удаленный физически интранет - для этого VPN есть. а IDS _вместо_ патчей - это вообще censored.

Не обязательно в инет, допустим если у них заведется бластер или сламмер, то он будет засорять только их сегмент, а в другие не уйдет ибо порты перекрыты.

buggzy

Guest

#112

Это нравится:0 Да/0 Нет

21.11.2003 11:13:04

> Не обязательно в инет, допустим если у них заведется бластер или сламмер, то он будет засорять только их сегмент, а в другие не уйдет ибо порты перекрыты.

???! откуда "заведется"? они от грязи не заводятся, насколько я знаю...

Acid

Guest

#113

Это нравится:0 Да/0 Нет

21.11.2003 11:24:00

Блин....если все пользователи были добропорядочными тогда бы не возникало бы проблем по защите ресурсов ...но пока такая проблема стоит Администраторы(читай продвинутые пользователи) будут использовать файрволы для быстрой защиты своих пользователей.....не особо заморачиваясь.....

koras

Guest

#114

Это нравится:0 Да/0 Нет

21.11.2003 11:29:21

Цитата
buggzy пишет: ???! откуда "заведется"? они от грязи не заводятся, насколько я знаю...

Добропорядочный пользователь принесет :-)

buggzy

Guest

#115

Это нравится:0 Да/0 Нет

21.11.2003 14:07:17

Цитата

koras пишет:

Цитата
buggzy пишет: ???! откуда "заведется"? они от грязи не заводятся, насколько я знаю...

Добропорядочный пользователь принесет :-)

ага. на дискете (кстати, а что такое дискеты?) червя для IIS случайно занесет...

koras

Guest

#116

Это нравится:0 Да/0 Нет

21.11.2003 14:24:36

Цитата

buggzy пишет:

Цитата

koras пишет:

Цитата
buggzy пишет: ???! откуда "заведется"? они от грязи не заводятся, насколько я знаю...

Добропорядочный пользователь принесет :-)

ага. на дискете (кстати, а что такое дискеты?) червя для IIS случайно занесет...

Дискета - это устаревший аналог USB-device, на к-ром и приносят всякую хрень добропорядочные юзера.

__NK

Guest

#117

Это нравится:0 Да/0 Нет

21.11.2003 15:59:39

Цитата

buggzy пишет:

Цитата

Ибо это и есть файрвол (сюрпрайз!)

Забавно. Многие фидошники уверены, что хорошо знают что такое логика и как применять её в диспуте.
Ну для начала, твой пример некорректен, ибо настоящая женщина имеет не все функции резиновой, так например, настоящую женщину нельзя сдуть и упаковать в небольшой саквояж, а по приезде на новое место вынуть и надуть так, чтобы её функции не испортились от этого.
Так что объясняю ещё раз:
Если на сервере установлена и активизирована некоторая программная сущность (софтина, драйвер, кусок ядра, общая либа), которая включает в себя всю функциональность того, что ты называешь в данном треде файрволом, то мы можем называть такой сервер в рамках данного треда "сервер с локальным файрволом".
Согласен? Если не согласен, то продумай свой ответ как следует, чтобы не выглядеть совсем уж глупо.

;-------
;NK

buggzy Guest	#118 Это нравится:0 Да/0 Нет 21.11.2003 16:28:01 > Забавно. Многие фидошники уверены, что хорошо знают что такое логика и как применять её в диспуте. а кто такие фидошники? > Ну для начала, твой пример некорректен, ибо настоящая женщина имеет не все функции резиновой, так например, настоящую женщину нельзя сдуть и упаковать в небольшой саквояж, а по приезде на новое место вынуть и надуть так, чтобы её функции не испортились от этого. функции, присущие и резиновой, и не резиновой женщинам, не пострадают от сдувания и надувания. > мы можем называть такой сервер в рамках данного треда "сервер с локальным файрволом". согласен? согласен. ты - можешь. только тебя тогда никто не поймет. потому что у слова "файрвол" уже есть значение, и оно не совпадает с тем, которое ты хочешь приписать этому слову. так что если хочешь, чтобы тебя понимали, то не надо называть файрволом обычный TCP-сервер с ACL. если не хочешь, чтобы понимали - называй хоть файрволом, хоть бронепоездом... но не надо делать вид, что это продиктовано логикой.

Читают тему

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?