Компьютерные сети и технологии
Привет
Пользователь:

Пароль:



[ ]
[ ]

В сети
Гостей: 12
Участников: 0
На странице: 1
Участников: 3909, Новичок: Lelandabisp


Форумы
Компьютерные сети и технологии :: Форумы :: Тематические :: Компьютерные сети :: Практика
 
<< Предыдущая тема | Следующая тема >>
Обеспечение сетевой безопасности
Модераторы: vsit, sitvladimir
Автор Сообщение
evg1
Mon Jun 15 2009, 11:56PM

Пользователь #311
Зарегистрирован: Sun Mar 11 2007, 03:10PM
Сообщений: 91
Компьютер имеет две сетевые карты, одна из которых подсоединена к интернету через DSL модем, вторая подсоединена к служебной локальной сети организации, т.е. компьютер имеет два IP-адреса приватный и публичный в соответствии с сетевыми интерфейсами. Маршрутизация отсутствует. Политика сетевой безопасности организации запрещает физический контакт служебной сети и интернета. Является ли подобное подключение нарушением политики сетевой безопасности, возможно, ли проникновение через подобный узел из интернета в служебную сеть, возможно ли этого избежать при подобном подключении?

Нет, работы я не люблю. Я предпочитаю бездельничать и
мечтать о том, сколько чудесного можно было бы сделать. Я не люблю работы -
никто ее не любит, - но мне нравится, что она дает нам возможность найти
себя, наше подлинное "я", скрытое от всех остальных, найти его для себя, не
для других. Люди видят лишь внешнюю оболочку и никогда не могут сказать, что
за ней скрывается.
Наверх
sitvladimir
Tue Jun 16 2009, 12:47PM

Пользователь #14
Зарегистрирован: Fri May 05 2006, 08:21AM
Сообщений: 93
Если на данном компьютере не предприняты специальные меры по защите, то практически вы выставили вашу сеть в Интернет и нарушили политику сетевой безопасности.
Под специальными мерами я понимаю :
1. Хотя-бы включенный фаервол с вразумительными правилами блокировки всего из сети внешней.
2. Лучше конечно установить специализированный фаервол, прокси на данный компьютер. Например ISA Server 2006 от Microsoft. Настроить небходимые правила и постоянно обновлять ПО. Это конечно не панацея , но в таком варианте Вы уже не нарушите политику безопасности.
Наверх
Alien
Wed Oct 07 2009, 03:15PM
Пользователь #164
Зарегистрирован: Thu Dec 07 2006, 05:35PM
Сообщений: 12
Здравствуйте. Похожая же проблема и у меня. Посоветуйте, как лучше поступить…

Есть сервер linux, на нем прокси-сервер, 3 сетевых платы. Одна соединена с adsl модемом, другие смотрят в сеть. Все компы сети выходят в Интернет через прокси. Firewall не работает.

Сейчас хотят статический ip адрес (хотят пользоваться определенным сетевым сервисом на 5-10 компах, который привязан к определенному ip адресу).

Статический ip – это дополнительные требования к безопасности, а у меня и так все плохо.

Настраивать firewall на сервере? А как быть с сетевым сервисом?
Спасибо.
Наверх
sitvladimir
Wed Oct 07 2009, 09:17PM

Пользователь #14
Зарегистрирован: Fri May 05 2006, 08:21AM
Сообщений: 93
В таком случае на фаерволе - прокси настраивают NAT (как бы выставляют компьютеры во внешнюю сеть под конкретным статическим адресом или адресами). Для внешнего сетевого сервиса это как бы компьютеры с интернет адресами.
А на вашем сервере linux поднимаете firewall и настраиваете правила между внешей зоной (внешняя сетевуха) и внутринними зонами (внутринние сетевые). Теоретически как то так. Хотя более правильно на фаерволе создать из трех карт три зоны:
1. Внутренняя сеть
2. ДМЗ (демилитаризованная зона)
3. Внешняя сеть (Интернет)

В ДМЗ помещают сервисы для ваботы с клиентами интернета (почту, веб сервер)

[ Изменен Wed Oct 07 2009, 09:23PM ]
Наверх
Alien
Fri Oct 09 2009, 04:28PM
Пользователь #164
Зарегистрирован: Thu Dec 07 2006, 05:35PM
Сообщений: 12
Спасибо...
Вот сегодня целый день просидел с iptables вроде удалось что-то настроить. Пока только чать сервер-локальная сеть, а сервер-интернет, взял готовый какой-то(позже настрою как нужно):
Запретил все.
Затем разрешил только ping, apache, squid, dns, samba, MYSQL.
Позже попробую настроить NAT для компьютеров, которые будут использовать веб-сервис (порты 80 и 7777)
Почту пока не нужно.

Нужно еще перепроверить, что в том конфиге для сервер-интернет

Я на правильном пути?
Наверх
Alien
Fri Oct 09 2009, 04:40PM
Пользователь #164
Зарегистрирован: Thu Dec 07 2006, 05:35PM
Сообщений: 12
Забыл сказать пользователям сети нужен выход в интеренет только через прокси (squid) + видеть сервак по нетбиосу и http, также пользоваться DNS
Наверх
vsit
Mon Oct 12 2009, 08:25AM

Пользователь #1
Зарегистрирован: Mon Mar 06 2006, 09:54AM
Сообщений: 74
Я на правильном пути?

Да где то так.

Цель - оградить внутреннюю сеть от атак снаружи (правилами фаервола).

[ Изменен Mon Oct 12 2009, 08:27AM ]
Наверх
 

Перейти:     Наверх

Транслировать сообщения этой темы: rss 0.92 Транслировать сообщения этой темы: rss 2.0 Транслировать сообщения этой темы: RDF
Powered by e107 Forum System

Поиск Компьютерные сети и технологии

Copyright © 2006 - 2020
При использовании материалов сайта ссылка на xnets.ru обязательна!