Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Администрирование » Сети
Страницы: 1
RSS
Как защитить сеть?
 
#1
Это нравится:0Да/0Нет
19.12.2005 07:50:05
Вот вопрос такой... есть сеть локалка обычная со свичем. в этот свич воткнут SHDSL модем, на котором понят НАТ. Т.е. те юзеры у которых модем прописан как шлюз имеют выход в инет. Вопрос такой реально ли обеспечить безопасность такой сети от несанкционированного доступа из вне?! И если да то какими средствами. Прошу не смеяться знаю чт овопрос ламерский но все когдато учились...  :ban:
 
 
 
#2
Это нравится:0Да/0Нет
19.12.2005 08:15:48
с такой схемой(когда все ходят в инет под НАТом и извне есть доступ только к роутеру), я думаю, можно достаточно хорошо защититься от большинства атак на сеть(опять же если не кривыми руками сконфигить роутер), но человеческий фактор все равно останется и если не принимать мер то работа сети может быть нарушена уже изнутри каким-нить вирем или другой софтиной удачно подкинутой "злоумышленником" доверчивому юзверю
 
 
 
#3
Это нравится:0Да/0Нет
19.12.2005 08:52:09
поставить сервак и поднять на нем фаервол (IDS по желанию) и систему учета траффика настроить. пустить юзеров через этот сервак - уже контроль будет.
 
 
 
#4
Это нравится:0Да/0Нет
19.12.2005 10:36:18
_magic_ не думаю что можно обойтись одним фаерволлом
для надежной защиты неплохо бы сканить на вирей http и почтовый трафик
 
 
 
#5
Это нравится:0Да/0Нет
19.12.2005 15:21:07
и не только на вирей но я на трояном и на прочие радости которые могут учадить ваши клиенты - надо отключить пользователям админские права и поставить ИДС внутри, вот тогда можно быть уверенным что 10 процентов уже сделано.
 
 
 
#6
Это нравится:0Да/0Нет
19.12.2005 18:11:42
А что за свич,может он поддерживает ACL ? тогда хоть минимальную построить можно, в случае с простым НАТ`ом компы прикрыты от прямого доступа из вне но ничтоо не помешает использовать реверсивные троян, виря аля sober и т.д. собственно говоря проблема безопасности в такой сети лишь вопрос времени так что поставил бы ты лучше линуксовую тачку + фаер, если не влом можно сквид для экономии траффика и какойнибудь антивирь аля clamav.
 
 
 
#7
Это нравится:0Да/0Нет
20.12.2005 08:44:34
ууу...как вы далеко пошли - IDS,ACL. Это все очень круто конечно, но в масштабе сети на 3 машины(ну или что-то в этом роде) затраты трудовых ресурсов на проведение работ по установке всего этого хозяйства совсем не оправданы(если конечно по сети не ходит ультра важная корпоротивная информация). В такой ситуации достаточно грамотно настроить роутер и провести беседу с юзерами, используя метод запугивания ситуациями типа "скачаешь, включишь и трындец!", но это только ИМХО.
 
 
 
#8
Это нравится:0Да/0Нет
20.12.2005 09:13:16
nide,

Ну в принципе юзеры то в инете только почту читают, на тех машинах с которых в инет ходят фаерволчики стоят, и почтовый траф сканят и весь остальной. Юзеры чтопопало не тыкают... теперь... после лекции о вреде кривых рук с яркими примерами из жизни и краткой обрисовкой перспектив "если вдруг когданибудь!". вот а хотелось бы по точнее что имеется в виду под грамотной настройкой роутера... к примеру у меня SHDSL момед породы зюхель Prestige 791.
 
 
 
#9
Это нравится:0Да/0Нет
20.12.2005 10:45:04
Денис Чорный,  имхо защита  сети должна быть централизована, а не каждый юзер защищает самого себя. Кто-нить пропустит вирусняк, троян - проблемы у всей сети. А так все в твоих руках. Так, что ставь сервачек и настраевай там firewall, кеширующий hhtp сервер, можешь IDS приделать снаружи файервола. Сможешь учет трафика вести :)
Все имхо.
 
 
 
#10
Это нравится:0Да/0Нет
20.12.2005 13:13:10
Цитата
nide пишет:
ууу...как вы далеко пошли - IDS,ACL. Это все очень круто конечно, но в масштабе сети на 3 машины

Это не так все страшно сделать.
Делается на коленке за 2-3 часа.


Цитата
_magic пишет:
Денис Чорный, имхо защита сети должна быть централизована, а не каждый юзер защищает самого себя.

Согласен целиком.
Пользователи могут намеренно или случайно пропустить дыру, могут утеч данные и др.
А при централизованной политике - все намного проще.
 
 
 
#11
Это нравится:0Да/0Нет
23.12.2005 08:38:04
edwin делать-то может 2-3 часа, а вот кто за этим там следить будет? персонал, на сколько я понял, там на этом особо не специализируется, т.е. надо будет затратить время на обучение
 
 
 
#12
Это нравится:0Да/0Нет
28.12.2005 20:17:43
а какая информация циркулирует по сети и внутри компьютеров? кому принадлежит эта информация, если она ценная? пусть владелец этой информации решит нужно ли ему раздавать ее кому либо внутри своей сети и соотвественно защищать ее от того, что ее кто-то упрет через Интернет. насколько проблемно поставить программу типа ShadowUser на компьютеры пользователей?
 
 
 
#13
Это нравится:0Да/0Нет
29.12.2005 10:25:15
ksiva на сколько я понял внутренняя сеть рассматривается как доверенная, поэтому безопасностью информации бродящей по ней можно несколько принебречь - т.е. забыть про ShadowUser и бпотратить больше сил и средств на организацию защиты на граничных устройствах
 
 
 
Страницы: 1
Читают тему