The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Linux as firewall


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
 From : Alex Korchmar                       2:5020/28.101   24 Nov 98  03:58:26 
 Subj : Re: Linux as firewall                                                   
________________________________________________________________________________
Gennady Shlyahtin <[email protected]> wrote:

 GS>>> Все оборудование уже стоит. Это правильно?
 AK>> смотря что ты хотел получить. Hапример, я нaдеюсь, что ты понимаешь, что
 AK>> ломать в этой конструкции будут именно _линукс_. И что машина с "www, ftp

 GS> Да, именно так и хочу сделать. Что бы возможный удар принимала на себя одна
 GS> станция, находящаяся под контролем, а не разбросанные по зданию машины и
ты умеешь ее контролировать? Ты представляешь себе эти самые возможные удары?
Вопрос, собственно, риторический. Я более чем уверен, что ты имеешь, фактически,
сплошную дыру.
Больше толку было бы от NT с MS Proxy на этом месте.

 AK>> что такое "сервис файрвола"? Или, скорее: что такое, по твоему,
 AK>> файрволл? Файрволл в чистом виде - это такой вот линукс _без_
 AK>> роутинга. (учти, что такой файрволл вовсе не означает повышения
 AK>> безопасности).

 GS> В моем понимании, это программа, контролирующая назначение пакетов на
 GS> разных уровнях. Меня интересуют, конечно же, входящие пакеты. И она должна 
 GS> принимать решение о правомочности направлении данных пакетов в ЛВС. Hе
 GS> правильно?  Если Линукс упадет от каких-либо злоумышленников, меня это не
 GS> сильно расстроит, в отличии от рабочих станций.
а тебя не сильно расстроит, если он _не_ упадет? И если я, скажем,
запущу на нем пару tcpdump'ов на предмет ловли твоих паролей и пару
администрилок Bo, чтоб не гонять траффик через провайдера?  А заодно
использую твою машину для атаки на кого-нибудь еще.

 AK>> по-моему, нет. В частности, ты явно не понимаешь, что наличие линукса
 AK>> с прямым подключением к интернет и есть основная угроза безопасности.
 AK>> Все остальные, по сравнению с этой - минимальны.
 GS> Как же быть?
читать книжки. Hа время их чтения воспользоваться кусачками. Если
это почему-либо невозможно - заплатить денег тому, кто читал.

 GS>>> PS:Версия Red Hat 5.0
 AK>> тем более - устаревшей на полгода версии, полной глюков и security
 AK>> holes, да еще и устанавливающей по умолчанию  кучу совершенно лишних
 AK>> для файрволла сервисов, в крайне небезопасной конфигурации.

 GS> Хм. Я еще не разу не пробовал, но вроде как можно спокойно скачать
 GS> последнюю версию, как ядра, так и утилит. И все это пропатчить до
 GS> последней? Hе так?
так. Только это надо, во-первых, делать до того, как высунешься со всем этим 
бардаком в инет, во-вторых, конфигурация этой штуки по умолчанию отнюдь не 
является безопасной.

 AK>> Кстати, что такое у тебя "маршрутизатор"?
 GS> CISCO 16XX
гм. Ты что - не знаешь толком даже этого? 
В любом случае - с него и начни. Уж во всяком случае пакетный фильтр на 1600 
настраиваться должен точно так же, как и на любой другой.
К линуксам можно будет вернуться потом. Сильно так потом.


> Alex


--- ifmail v.2.14.os-p2
 * Origin: Дурацкие ответы на дурацкие вопросы (2:5020/28.101@fidonet)

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру