Форум 3DNews
Вернуться   Форум 3DNews > Железо > Сети и средства коммуникации

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 18.03.2006, 19:49   [включить плавающее окно]   #21
Гхост-цзы
Мужской Умудрённый
 
Аватар для Гхост-цзы
 
Регистрация: 04.06.2004
Цитата (Ак-Янзен) »
2Гхост-цзы
Замечание про FreeBSD свидетельствует о том , что у неё плохой firevall?
Ничуть; то, что в описанном примере словили руткит на фаере, свидетельствует только о низкой квалификации спеца, который настраивал шлюз. Словленный руткит подтверждает сказанное мной выше - на шлюзе был дырявый сервис с открытым наружу портом.
Вообще следует понимать, что задачей фаера не является латание уязвимостей в запущенных на тачке сервисах. Применительно к описанному примеру - фаером можно было закрыть порт дырявого сервиса для обращений извне; но это решает проблему, если действительно предполагается использовать данный сервер только для нужд внутренней сети. Если же предполагалось использовать его и для вещания в интернет, то использование под него отдельного компа из DMZ (а не шлюза) не спасло бы от взлома. (Ну а степень потерь зависит от великодушия взломщика .)
__________________
Крылья знаний меня от людей отлучили,
Я увидел, что люди - подобие пыли.
Гхост-цзы вне форума  
Ответить с цитированием
Непрочитано 20.03.2006, 15:05   [включить плавающее окно]   #22
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Гхост-цзы) »
это решает проблему, если действительно предполагается использовать данный сервер только для нужд внутренней сети.
Ну, тут вроде примерно о том же:
Цитата (NaimaD) »
Т.е. на серверах, которые стоят на границе сети и в DMZ не должно быть никаких функций, которые будут активно использоваться юзерами изнутри сети.
за исключением того случая, когда, скажем, один и тот же сервис юзается и внутрь и наружу: типа, корпоративный сайт одновременно является и "внутрикорпоративным" в intranet-е...
Но и в этом случае я бы "отодвинул" такой сайт слегка "внутрь" сети.
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 20.03.2006, 15:49   [включить плавающее окно]   #23
NaimaD
Мужской Опытный
 
Аватар для NaimaD
 
Регистрация: 22.10.2003
Адрес: Москва
Цитата (Smirnoff) »
Но и в этом случае я бы "отодвинул" такой сайт слегка "внутрь" сети.
Правильно. Например, опубликовав бы его на шлюзе (если размеры и конфигурация сети не позволяют выделить отдельную DMZ). Я бы так и поступил

Цитата (Гхост-цзы) »
Если же предполагалось использовать его и для вещания в интернет, то использование под него отдельного компа из DMZ (а не шлюза) не спасло бы от взлома.
Так ведь о том-то и речь, что БД, которая стояла на шлюзе использовалась только внутри сети. Конечно, не факт, что засунув её вглубь можно было бы со 100 процентной уверенностью утверждать, что БД защищена/не скопирована. Но такая конфа по-любому поставила бы на пути взломщика ещё одну преграду - сервер с БД ещё надо найти (при условии, что он сам не лазит в интернет). Если сеть на свичах - то ещё сложнее. Учитывая, что, наверное, 99% взломов происходят "просто так", путём натаскивания сканнеров на открытый порт из диапазона IP-шников, можно с определённой долей уверенности утверждать, что взломщик не пошёл бы дальше - т.к. своей цели он достиг - сломал найдённый комп. Дальше уже забота штатного админа.

В общем, у меня такое ощущение, что мы все говорим об одном и том же, по сути: "Можно, но не нужно"
NaimaD вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 20.03.2006, 15:53   [включить плавающее окно]   #24
Гхост-цзы
Мужской Умудрённый
 
Аватар для Гхост-цзы
 
Регистрация: 04.06.2004
Цитата (Smirnoff) »
Цитата (Гхост-цзы) »
это решает проблему, если действительно предполагается использовать данный сервер только для нужд внутренней сети.
Ну, тут вроде примерно о том же:
Цитата (NaimaD) »
Т.е. на серверах, которые стоят на границе сети и в DMZ не должно быть никаких функций, которые будут активно использоваться юзерами изнутри сети.
за исключением того случая, когда, скажем, один и тот же сервис юзается и внутрь и наружу:
да вроде совсем не о том --- я говорил о блокировке для запросов извне, не более
повторюсь - сервис с уязвимостями будет взломан независимо от того, размещён ли он на самом шлюзе или в DMZ; и атаковаться он будет не "после шлюза", а тоже "в первую очередь"
__________________
Крылья знаний меня от людей отлучили,
Я увидел, что люди - подобие пыли.
Гхост-цзы вне форума  
Ответить с цитированием
Непрочитано 20.03.2006, 18:22   [включить плавающее окно]   #25
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (Гхост-цзы) »
сервис с уязвимостями будет взломан независимо от того, размещён ли он на самом шлюзе или в DMZ; и атаковаться он будет не "после шлюза", а тоже "в первую очередь"
"Ну говорите, говорите,
Чужие люди и родня!.."

Скажем конкретнее: сервис с возможными уязвимостями наружу пускать вовсе низзя!
При этом такой сервис имеет некоторое право на существование "унутре" интранета. Только не надо его пихать на роутер...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 20.03.2006, 21:47   [включить плавающее окно]   #26
BlooDilo
Мужской Интересующийся
Автор темы
 
Аватар для BlooDilo
 
Регистрация: 15.03.2006
Огромное всем спасибо за такое живое участие в этой ветке. Сейчас читаю инфу по тем ссылкам которые вы надавали. пока все понятно, если не разберусь буду спрашивать
BlooDilo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 21.03.2006, 00:25   [включить плавающее окно]   #27
NaimaD
Мужской Опытный
 
Аватар для NaimaD
 
Регистрация: 22.10.2003
Адрес: Москва
Цитата (Smirnoff) »
сервис с возможными уязвимостями наружу пускать вовсе низзя!
Строго говоря, любой открытый слушающий порт есть потенциальная дырка...
NaimaD вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 21.03.2006, 12:50   [включить плавающее окно]   #28
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (NaimaD) »
Строго говоря, любой открытый слушающий порт есть потенциальная дырка...
Нестрого говоря, ежели законопатить в в живом организме все дырки - долго этот организм живым не останется... Но штаны мы носим. Так, на всякий случай...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 05.04.2006, 23:29   [включить плавающее окно]   #29
BlooDilo
Мужской Интересующийся
Автор темы
 
Аватар для BlooDilo
 
Регистрация: 15.03.2006
Всем Привет!
Сегодня наконец поставил WS2003 SP1 ent. Появились вопросы:
1. Чем собственно говоря отличаются версии этой системы (стандарт, энтерпрайс, дата центр)? Саму суть, кратенько совсем, если можно
2. Имеет ли мне смысл мучится дальше и добывать R2?
3. В чем принципиальное отличее сети построенной на домене от сети на рабочих группах?
4. Скачал ISA 2004 ent, но пока неустановил. Очень Надо или можно обойтись?
BlooDilo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 05.04.2006, 23:33   [включить плавающее окно]   #30
NaimaD
Мужской Опытный
 
Аватар для NaimaD
 
Регистрация: 22.10.2003
Адрес: Москва
Цитата (BlooDilo) »
3. В чем принципиальное отличее сети построенной на домене от сети на рабочих группах?
Большой и сложный вопрос. Разница в структуре, иерархии и принципах/возможностях управления... В принципе, пока сеть небольшая, можно, думаю, тебе поднять домен и потихоньку вникать... Весчь полезная.

Цитата (BlooDilo) »
4. Скачал ISA 2004 ent, но пока неустановил. Очень Надо или можно обойтись?
На шлюз ставь обязательно.
NaimaD вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.04.2006, 12:30   [включить плавающее окно]   #31
BlooDilo
Мужской Интересующийся
Автор темы
 
Аватар для BlooDilo
 
Регистрация: 15.03.2006
Помогите пожалуйста с VPN.
Удаленный компьютер подключается к моему серверу, а что делать дальше?
Мне надо что б этот комп видел расшаренный диск на сервере.
BlooDilo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 06.04.2006, 16:43   [включить плавающее окно]   #32
Гхост-цзы
Мужской Умудрённый
 
Аватар для Гхост-цзы
 
Регистрация: 04.06.2004
Цитата (BlooDilo) »
Помогите пожалуйста с VPN.
Удаленный компьютер подключается к моему серверу, а что делать дальше?
Мне надо что б этот комп видел расшаренный диск на сервере.
Как реализован VPN (как подключается)?
Если через стандартные средства винды (RRAS), то установлены ли для этого соединения "клиент сетей микрософт" и "служба доступа к файлам сетей микрософт" на удалённой тачке?
Если через ису -- смотри разрешения для нетбиос.
__________________
Крылья знаний меня от людей отлучили,
Я увидел, что люди - подобие пыли.
Гхост-цзы вне форума  
Ответить с цитированием
Непрочитано 06.04.2006, 17:44   [включить плавающее окно]   #33
BlooDilo
Мужской Интересующийся
Автор темы
 
Аватар для BlooDilo
 
Регистрация: 15.03.2006
ВПН реализоwан стандартними средстwами (и на серwере (2003 ент) и на удаленноы машине (ХП Про СП1).
На удаленноы машине wсе устаноwлено. Если актиwируу ВПН перестает работат инет (ДСЛ-модем/роутер соеденен с компом по ЛАН, сам набирает пасс), хотиа соеденение остаециа актиwним

П.С.: изwените, за транслит, пишу с удаленноы машини.

BlooDilo добавил :

А если я в состояние ВПН соеденения смотрю, то там вообще какойто левый ип и у сервера и у клиента
BlooDilo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 07.04.2006, 07:23   [включить плавающее окно]   #34
Гхост-цзы
Мужской Умудрённый
 
Аватар для Гхост-цзы
 
Регистрация: 04.06.2004
Цитата (BlooDilo) »
А если я в состояние ВПН соеденения смотрю, то там вообще какойто левый ип и у сервера и у клиента
поясни, что значит левый; видимо, неверно настроена раздача адресов в настройке RRAS

Цитата
Если актиwируу ВПН перестает работат инет (ДСЛ-модем/роутер соеденен с компом по ЛАН, сам набирает пасс), хотиа соеденение остаециа актиwним
читай здесь
__________________
Крылья знаний меня от людей отлучили,
Я увидел, что люди - подобие пыли.
Гхост-цзы вне форума  
Ответить с цитированием
Непрочитано 07.04.2006, 12:34   [включить плавающее окно]   #35
BlooDilo
Мужской Интересующийся
Автор темы
 
Аватар для BlooDilo
 
Регистрация: 15.03.2006
Цитата (Гхост-цзы) »
поясни, что значит левый
У сервера серый IP 192.168.1.2 который он получает от роутера (Netgear WPN 824 v.1). Этот ип зарезервирован для сервера и на него включена перенаправка PPTP трафика по порту 1723.
К этому роутеру подключено три других компа, IP имеют сответственно 192.168.1.3,4,5
Роутер от провайдера получает 85.216.ххх.ххх. Так откуда в деталях VPN соеденения (когда удаленный комп подключается к северу) появляется:
Сервер ип: 169.254.127.2
клиент ип: 169.254.204.168
?

Кстати, за галочку спасибо
BlooDilo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 07.04.2006, 12:38   [включить плавающее окно]   #36
BlooDilo
Мужской Интересующийся
Автор темы
 
Аватар для BlooDilo
 
Регистрация: 15.03.2006
Да, я в начале пытался настроить все это дело через RRAS, а вчера получил от NaimaD наводку (см. картинку) и сегодня зделал так. результат вроде тот же.
Миниатюры
Нажмите на изображение для увеличения
Название: untitled-1.gif
Просмотров: 275
Размер:	15.3 Кб
ID:	14930  
BlooDilo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 07.04.2006, 12:52   [включить плавающее окно]   #37
NaimaD
Мужской Опытный
 
Аватар для NaimaD
 
Регистрация: 22.10.2003
Адрес: Москва
Цитата (BlooDilo) »
169.254.
Эти адреса комп получает автоматически, если DHCP-сервер недоступен. Попробуй вписать адреса вручную, а не раздавать сервером.

З.Ы.: Этот скрин я тебе прислал просто, чтобы спросить, что у тебя в нём указано =)
NaimaD вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 07.04.2006, 13:24   [включить плавающее окно]   #38
BlooDilo
Мужской Интересующийся
Автор темы
 
Аватар для BlooDilo
 
Регистрация: 15.03.2006
Прописал в свойствах впн в тцп/ип настройках диапазон адресов 192.168.1.6 - 7.
Клиент подсоеденился, в свойствах ип сервера 192.168.1.6 ИП клиента 192.168.1.7
Сети попрежнему нет. Я невижу клиента, клиент меня.
BlooDilo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 07.04.2006, 15:09   [включить плавающее окно]   #39
NaimaD
Мужской Опытный
 
Аватар для NaimaD
 
Регистрация: 22.10.2003
Адрес: Москва
пинги между клиентом и сервером ходят? Если в эсплорере на клиенте набрать "192,168,1,6" - ничего не показывается?
NaimaD вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 10.04.2006, 13:23   [включить плавающее окно]   #40
BlooDilo
Мужской Интересующийся
Автор темы
 
Аватар для BlooDilo
 
Регистрация: 15.03.2006
Так у меня ничего с впн в пятницу не получилось. мучиться ещо не известно сколько, не зная даже зароботает ли, я больше не мог. Использовал пока запасной вариант, собрал коробку из железа "на выброс", поставил на нее винду и PCAnywhere и работает теперь человек из другого офиса и очень доволен. Только впн все равно заводить надо, потому что это пока только один человек, а потом будет штук 5.

Теперь есть желание начать изучать тему домены. Объясните - оно мне надо? С чего начать?
NaimaD
Цитата
пинги между клиентом и сервером ходят
Не знаю, не смотрел даже. Будет сводное время гляну. Я ведь могу и со стороны сервера клиент пропинговать, или надо именно наоборот?
BlooDilo вне форума  
Конфигурация ПК
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 14:12. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey