?

Log in

No account? Create an account
.security tips [entries|archive|friends|userinfo]
Tips on securing your network

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

В помощь пишущим security policy и т.п. [Jul. 6th, 2006|02:07 pm]
Tips on securing your network

bot_bam
http://linuxportal.ru/forums/index.php/t/20054/
Link3 comments|Leave a comment

(no subject) [Mar. 2nd, 2006|04:11 pm]
Tips on securing your network

ice_bound
Народ! Помогите, плиз, найти работу!!!
Хочу работать в БЕЛОЙ компании и заниматься ИБ с позиций аналитики или проектирования.
Опыта мало =(
LinkLeave a comment

[URL] полезное в букмарки [Oct. 27th, 2005|04:55 pm]
Tips on securing your network

bot_bam
http://www.staratel.com/iso/InfTech/InfSec/index.html
Link1 comment|Leave a comment

(no subject) [Aug. 27th, 2005|08:48 pm]
Tips on securing your network

mawolf
Помогите решить проблему, плиз!!!

Описание:
Хостинговая система реализвана на FreeBSD/Apache/ProFTP/Exim. Юзеры висят на общем IP.
На каждого юзера заведен свой раздел. Пользователь имеет доступ к разделу по фтп. Имя сайта юзера прописывается в заголовок апача, т.о. происходит перенаправление запроса в нужный раздел.
Юзер может класть в свой раздел любые файлы, но только в свой раздел (ограничен фтп).

Вопросы:
1. Как дать всем пользователям доступ к PHP и MySQL, чтобы при этом они не получили доступ друг к другу?
2. Как дать доступ к скриптам, используемым для системных нужд? В частности к поисковому скрипту, к отправки почты и т.п. Т.е. из пользовательской части (Javascript) должен запуститься (для опреденности поисковый скрипт), который прочтет файл (search.xml), найдет в нем нужную строку и вернет обратившейся программе номер этой строки.
Link1 comment|Leave a comment

.планирование сети (часть 2а) [Aug. 3rd, 2005|03:08 pm]
Tips on securing your network

bot_bam
Планирование сети крупной организации. Общий план.
Эту часть хотелось начать со слов: "что-бы приготовить сеть крупной организации вам потребуются следующие ингридиенты" :)

В крупных компаниях требования к безопасности и надежности сети гораздо выше. В целях безопасности рекомендуется выделиить в локальной сети как минимум 3 сегмента: пользовательская подсеть, серверная подсеть и DMZ. В некоторых случаях существует необходимость вынести принт-сервера (у которых отсутсвует контроль доступа) и тестовые системы в отдельный сегмент.

Связь с филиалами осуществляется посредством шифрованного VPN-канала для обеспечения безопасного доступа филиалов во внутреннюю сеть организации.

Всё возможное сетевое оборудование и сервера следует поместить в серверную (рекомендации по серверной будут описанны отдельно).

Для начала рассмотрим общий (укрупненный) план, после чего пойдем по отдельным участкам сети.


Оригинал (Visio, 685Kb)


Начнем с локальной сети:

UserNET (LAN)
В пользовательской сети находятся все рабочие станции пользователей. Так-же туда следует поместить такие сервера общего доступа как файл сервер, прокси сервер, принт сервера и другие вспомогательные сервера, предполагающие большой траффик, для уменьшения нфагрузки на роутер.

ServerNET
В серверной сети размещаются production-сервера баз данных и приложений, контроллер домена и некоторые вспомогательные сервера.

Test/Development
Если структура ИТ в компании предполагает разработку и отладку приложений, баз данных или других систем, то желательно их так-же выделить в отдельный изолированный сегмент.

PrintNET
В случае если в компании экономят на принт-серверах и сетевых принтерах со встроенными функциями разграничениия доступа, имеет смысл спрятать их в другом сегменте и установить в пользовательской сети сервер, который будет предоставлять доступ к принтерам как к сетевым ресурсам.

DMZ
В DMZ, как обычно помещаем сервера, предоставляющие какие-либо сервисы всему миру (клиентам и пр.). В этот сегмент попадают web-сервера (в случае, если веб-сервера используют какие-либо сервера баз данных их тоже необходимо поместить сюда), DNS-сервера, ftp-сервера и VPN-роутеры.

Firewall/Router
Тут необходимо серъезное железо и обязательно с дублирующей системой. Количество сетевых интерфейсов по количеству сегментов сети. В случае, если Firewall/Router и центральный свитч поддерживают VLAN то можно обойтись и меньшим количеством интерфесов. В случае, если они поддерживают link-aggregation, можно объеденить несколько сетевых интерфейсов в один для увеличения пропускной способности.

Филиалы
Филиалы, в принципе, представляют из себя малые офисы, за исключением того, что у них отсутствует DMZ сегмент, и Firewall/Proxy/VPN можно объеденить на одной системе.
Link7 comments|Leave a comment

.планирование сети (часть 1) [Aug. 2nd, 2005|02:47 pm]
Tips on securing your network

bot_bam
Планирование сети малого офиса.

Итак, пойдем от простого к сложному. Как правило повышенная безопасность для малых офисов не требуется. Нет необходимости разделять сервера и пользователей в разные подсети, поэтому рассмотрим разделение всего на 3 сегмента: локальный, DMZ и интернет. Филиалы, как правило, работают автономно и доступа во внутреннюю сеть компании не имеют. Типичная топология сети малого офиса может выглядеть примерно так:


оригинал (Visio, 272Kb)


Сперва пройдемся по локальной сетке.

Свитчи:
Есть вариант поставить один многопортовый свитч, но нельзя забывать, что это single point of failure. Заменить 1 маленький свич, в случае поломки, гораздо быстрее, дешевле и проще, а так-же на время замены другие участки сети будут продолжать работу. Опять-же снижается нагрузка на основную магистраль за счет того, что трафик внутри одной группы не попадает на свитчи в другой. Это не так заметно, пока ваши дизайнеры не начнут перекидывать друг-другу файло по 100-200 Мб ;)

Сервера:
Зачастую рабочей группе не нужен выделенный файл/принт сервер. В малых организациях как правило хватает одного зашаренного принтера на кабинет. Чем меньше файл-серверов тем проще организовать бэкап данных. Тут важно не упустить из виду группы пользователей которым действительно необходим отдельный файл-сервер (вспомним то-же пример с дизайнерами).

Теперь внешняя сетка.

DMZ:
В DMZ помещаем сервера, которые предоставляют какие-либо сервисы всему миру. Например, это может быть веб-сайт компании.

Firewall/proxy:
Фактически это роутер, с 3 сетевыми интерфейсами, по 1 в каждый сегмент: в локалку, в DMZ и в интернет.
Link1 comment|Leave a comment

.планирование сети (вступление) [Aug. 2nd, 2005|02:46 pm]
Tips on securing your network

bot_bam
Планирование сети

Существует множество примеров различных топологий сети. В каждом случае, конечно, топология сугубо индивидуальна и зависит от нужд организации. Обычно отправной точкой является определение масштабов организации в целом и сетевых ресурсов в частности.

Как правило выделяют 3 типа организаций:
1. небольшой офис (до 50-100 рабочих станций, до 5 серверов*, 1-3 филиала)
2. большой офис (от 100 до 300 рабочих станций, до 30 серверов, 3-20 филиалов)
3. корпорация (более 300 рабочих станций, более 30 серверов, филиалы в разых странах)
* - здесь не имеются ввиду рутера и файрволы

Как правило, от размера организации так-же зависят и требования к надежности сети лирическое отступлениеCollapse ).

Планируя сеть необходимо закладывать как минимум двухкратное ее увеличение. В моей практике был случай, когда сегменты сети были спланированы так, что в последующем ее расширение было несколько затруднено.

В следующих постах я попытаюсь конкретно и сжато рассмотреть возможные топологии для всех трех типов организаций.
LinkLeave a comment

.предисловие [Aug. 2nd, 2005|02:45 pm]
Tips on securing your network

bot_bam
Вот уже 5 лет я работаю сетевым администратором. В последние несколько лет мне пришлось плотно работать и в сфере сетевой безопасности (как по производственной необходимости, так и из личного интереса). Я не считаю себя проффесионалом в этом деле, но хорошим специалистом, который узнает что-то новое каждый день. За эти годы накопилось множество мыслей по обеспечению сетевой безопасности и безпасности информационных систем в целом. Оформлять эти мысли в книгу или ряд подробных статей у меня нет, к сожалению, времени, поэтому я создал  своеобразный блог, в который и буду в виде кратких заметок помещать свои идеи. Возможно кто-то сочтет какие-то из этих идей дилетантскими - добро пожаловать к обсуждению. Тем не менее, я очень надеюсь, что смогу в чем-то облегчить жизнь своим коллегам. Если вам есть чем поделиться с коллегами - присоединяйтесь.
LinkLeave a comment

navigation
[ viewing | most recent entries ]