forum.opennet.ru - "OpenNews: Безопасность архитектуры SQL / Web сервера" (15)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"OpenNews: Безопасность архитектуры SQL / Web сервера"

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Безопасность архитектуры SQL / Web сервера"
Сообщение от opennews on 15-Янв-04, 15:40
Варианты подключения организации располагающей собственным WEB-сервером к Интернету. URL: http://www.secure.com.ru/modules.cfm?block=portal_b_microsoft&id=15D4FFBD-CF17-F843-A77A849123D4C024 Новость: http://www.opennet.me/opennews/art.shtml?num=3298
Cообщить модератору \| Наверх \| ^

Оглавление

Безопасность архитектуры SQL Web сервера, mezantrop, 15:40 , 15-Янв-04, (1)

Безопасность архитектуры SQL Web сервера, 2vl, 17:01 , 15-Янв-04, (2)
Безопасность архитектуры SQL Web сервера, Maxim Chirkov, 19:03 , 15-Янв-04, (7)

Безопасность архитектуры SQL / Web сервера, Остров, 18:24 , 15-Янв-04, (3)
Безопасность архитектуры SQL / Web сервера, VD, 18:32 , 15-Янв-04, (4)
Безопасность архитектуры SQL / Web сервера, Аноним, 18:43 , 15-Янв-04, (5)
Безопасность архитектуры SQL / Web сервера, Vit, 18:52 , 15-Янв-04, (6)
Топология безопасной сети, Дмитрий Ю. Карпов, 19:32 , 17-Янв-04, (8)

Топология безопасной сети, LD, 16:38 , 19-Янв-04, (9)

Топология безопасной сети, Дмитрий Ю. Карпов, 20:57 , 19-Янв-04, (10)

Топология безопасной сети, LD, 14:15 , 20-Янв-04, (12)

Топология безопасной сети, Дмитрий Ю. Карпов, 15:08 , 20-Янв-04, (14)

Топология безопасной сети, LD, 15:26 , 20-Янв-04, (15)

Топология безопасной сети, Nikolaev_D, 22:34 , 19-Янв-04, (11)

Топология безопасной сети, LD, 14:25 , 20-Янв-04, (13)

Сообщения по теме [Сортировка по времени, UBB]

1. "Безопасность архитектуры SQL  Web сервера"

Сообщение от mezantrop on 15-Янв-04, 15:40

Читая заголовок, я ожидал увидеть примеры SQL кода, настроек вебсерверов и серверов баз данных и никак не ожидал встретить описание топологий.

Cообщить модератору | Наверх | ^

2. "Безопасность архитектуры SQL  Web сервера"

Сообщение от 2vl on 15-Янв-04, 17:01

полносью согласен, читая заголовок ожидаешь нечто другое..
Да и для компании средней руки данные схемы дороговаты.
респект,all my IMHO.
br 2vl

Cообщить модератору | Наверх | ^

7. "Безопасность архитектуры SQL  Web сервера"

Сообщение от Maxim Chirkov on 15-Янв-04, 19:03

>Читая заголовок, я ожидал увидеть примеры SQL кода,
Текст присланной новости переписал, а заголовок просмотрел. Сейчас исправил.

Cообщить модератору | Наверх | ^

3. "Безопасность архитектуры SQL / Web сервера"

Сообщение от Остров on 15-Янв-04, 18:24

Да. Название предполагает прикладной уровень.

Cообщить модератору | Наверх | ^

4. "Безопасность архитектуры SQL / Web сервера"

Сообщение от VD on 15-Янв-04, 18:32

В n-ый раз пережёваное копирование из учебников, даже чересчур упрощённое. И почему именно web и sql? Всё-таки, наверное, это общая идея.

Cообщить модератору | Наверх | ^

5. "Безопасность архитектуры SQL / Web сервера"

Сообщение от Аноним on 15-Янв-04, 18:43

Смотря с какой стороны посмотреть. Я в свое время сделал скан сети провайдера. Обнаружил много серверов без минимума безопасности. А сколько серверов завалил сламер? Так что статья нужная и полезная.

Cообщить модератору | Наверх | ^

6. "Безопасность архитектуры SQL / Web сервера"

Сообщение от Vit on 15-Янв-04, 18:52

Статья то полезная, тока это все давно известно.

Cообщить модератору | Наверх | ^

8. "Топология безопасной сети"

Сообщение от Дмитрий Ю. Карпов on 17-Янв-04, 19:32

Статья дурацкая. Первый признак того, что автор не понимает материала, а "передлирает" у других - "двусторонний" FireWall. В реальности FireWall - это компьютер в стоечном исполнении, внешне похожий на коммутатор или маршрутизатор (коробка с несколькими Ethernet-интерфейсами). Все интерфейсы находятся с одной стороны, а изображение FireWall как кирпичной стенки очень абстрактно; вредность такого представления в том, что стена всегда имеет ровно две сторонЫ, в то время как FireWall может иметь сколько угодно интерфейсов. Более того - совершенно не нужно разносить FireWall и Router на отдельные железки, как это изображено на рисунке: достаточно поставить один роутер с функциями фильтрации и с тремя интерфейсами, один из которых смотрит наружу, второй - в демилитаризированную зону, а третий - в локальную сеть.
Изображение коммутаторов в этой схеме просто чудовищно - сеть рисуется как коаксиал (шина с ответвлениями), но при этом изображени ещё и свичи. И зачем-то WWW-серверы имеют по два интерфейса (речь идет о рис.3). Как юзеры будут посылать и получать почтку в этой схеме - вообще непонятно.
Короче говоря, тот, кто задумает строить свою сеть по приведённым схемам, столкнётся с кучей траблов и в результате обязательно допустит какую-нибудь глупую ошибку.

Cообщить модератору | Наверх | ^

9. "Топология безопасной сети"

Сообщение от LD on 19-Янв-04, 16:38

Остановись мгновенье ты прекрасно... :)
   Я люблю OpenNet и Secure :) позволю себе с вами не согласится. По долгу своей работы часто вынужден с ними сотрудничать, так что ребята понимают о чем пишут. Касательно того что вы сказали о значках, есть стандарты составления блоксхем есть определенные стандарты. Кроме того это рисунок а не блок схема в visio :). Далее Вы судя по всему понятия не имеете о кластерных системах и почему в них ставятся по 2-3 сетевых интерфейса. Насчет того как работает там почта, в статье не упоминался SMTP вообще. По поводу что такое FireWall рекомендую вам почитать немного в сети какие они вообще бывают, роутер это тоже компьютер. Насчет не обязательности разноса роутера и Firewall я с вами полностью не согласен, каждое железо должно нести на себе определенные функции и заниматся тем для чего оно было спроектировано.
Касательно вашего мнения насчет "Короче говоря, тот, кто задумает строить свою сеть по приведённым схемам, столкнётся с кучей траблов и в результате обязательно допустит какую-нибудь глупую ошибку." Данная схема работает на многих Mission Critical задачах. Сеть РБК, сбербанка, ОРТ, Альфа банка, ЦБ, Yahoo, и многих других. И работает как часы.

Cообщить модератору | Наверх | ^

10. "Топология безопасной сети"

Сообщение от Дмитрий Ю. Карпов on 19-Янв-04, 20:57

> Касательно того что вы сказали о значках, есть стандарты
> составления блоксхем есть определенные стандарты.
Блок-схемы - наследие того глубокого прошлого, когда программировали на ассемблере, и для того, чтобы не запутаться в объёмистых лиснингах, программисты рисовали блок-схемы.
Уже в Фортране многие операторы рисовались в блок-схеме как несколько элементов, так что подобно строевой подготовке в армии, рисование блок-схем стало дурной традицией.
> Кроме того это рисунок а не блок схема в visio :).
Этот рисунок вводит людей в заблуждение. :-(
> Далее Вы судя по всему понятия не имеете о кластерных системах
> и почему в них ставятся по 2-3 сетевых интерфейса.
О кластерных системах я имею некое представление, а вот о причинах установки в элемеенты кластеров нескольких интерфейсов хотел бы услышать от знающего человека - можно от Вас, если Вы такой знающий.
> Насчет того как работает там почта, в статье не упоминался SMTP вообще.
В предложенной схеме SMTP, UUCP, POP3, IMAP4 и любые другие почтовые протоколы (как, впрочем, и вообще все протоколы, кроме Web) будут недоступны.
> По поводу что такое FireWall рекомендую вам
> почитать немного в сети какие они вообще бывают,
Ну и что именно посоветуете?
> роутер это тоже компьютер.
Естественно.
> Насчет не обязательности разноса роутера и Firewall
> я с вами полностью не согласен, каждое железо должно нести на себе
> определенные функции и заниматся тем для чего оно было спроектировано.
Да ну? А многозадачность тогда зачем? И почему почти для всех задач используются компьютеры с системой команд процессора от Intel'*86?
Послушать Вас - так надо разнести на разные компьютеры Web-сервер и TCP-машину! :-)
FireWall ОБЯЗАН выполнять функции IP-маршрутизатора или Ethernet-коммутатора, т.к. он должен перебрасывать пакеты, принятые с одной стороны, на другую сторону (конечно, только те пакеты, которые не подлежат уничтожению как вредные/опасные/...).
> Данная схема работает на многих Mission Critical задачах. Сеть РБК,
> сбербанка, ОРТ, Альфа банка, ЦБ, Yahoo, и многих других. И работает как часы.
Ну, известно, что эти конторы денег не считают. Кроме того, я не верю, что их сети соотвествуют приведённой схеме (да и сама схема, где машины соединяются проводами напрямую, без хабов и коммутаторов, давно устарела).

Cообщить модератору | Наверх | ^

12. "Топология безопасной сети"

Сообщение от LD on 20-Янв-04, 14:15

Хм... Если я до сих пор пишу на ассемблере то я что морально устарел??? Я так не думаю. Касательно всетаки сервисов, но не вижу я в статье упоминания о почте. И по своему опыту скажу что ставить почту на одну машину с вебом это компрометировать СБ.
Кто вам сказал что в роутерах стоят i386 ? Я ради интереса посмотрел все свои роутеры и не нашел i386 также как и в firewall :)
Касательно статьей про FireWall это тема раздельная, но если у Вас есть желание почитайте Sans :)
Данная схема не идеальна, я лично вижу пару недочетов, но я не нападаю в форуме, а написал вебмастеру.
Далее Firewall и ethernet switch :) не совсем понял, причем тут это? одно дело когда мы говорим о layer 2 и layer 3-7, firewall ДОЛЖЕН РАБОТАТЬ НА LAYER 3-7 OSI. если говорить о чистом 3-м уровне то тут даже ACL IOS или iptables, ipchains справится но выше 3-го уровня не уйдет. Задачи которые обязан выполнять нормальный firewall это не только защита портов, но и защита приложений.
Касательно кластерных систем, это отдельная тема и предлагаю ее перенести в отдельную ветку
Дмитрий, я могу говорить на вопросы безопасности информационных технологий очень долго, так как это для меня не просто хобби, но и работа.

Cообщить модератору | Наверх | ^

14. "Топология безопасной сети"

Сообщение от Дмитрий Ю. Карпов on 20-Янв-04, 15:08

> Хм... Если я до сих пор пишу на ассемблере то я что морально устарел???
> Я так не думаю. Касательно всетаки сервисов, но не вижу
Устарели блок-схемы в применении к высокоуровневым языкам программирования.
> Касательно всетаки сервисов, но не вижу я в статье упоминания о почте.
> И по своему опыту скажу что ставить почту на одну машину с вебом
> это компрометировать СБ.
Потому-то в статье не говорится о почте, что в такой конфигурации, какая нарисована, почта в принципе ходить не будет.
Поэтому я делаю вывод, что такая схема не имеет отношения к рельной жизни.
> Кто вам сказал что в роутерах стоят i386?
А почему Вы решили, что это мне кто-то сказал?
До Вас никто в этой ветке и не заикался об архитектурах процессоров для разных устройств. Более того: если в роутерах стоЯт не i*86, то почему и в серверах, и в раб.станциях ставят именно i*86?
> Далее Firewall и ethernet switch :) не совсем понял, причем тут это?
FireWall может работать на следующих устройствах:
- Ethernet-switch;
- IP-router;
- HTTP-proxy;
- SMTP-Relay и SMTP/POP3/IMAP4-server
ну и на некоторых других. Смысл этой фразы в том, что если FireWall "исповедует" политику "всем всё разрешено", то он превращается в одно из этих устройств без функций фильтрации.
> одно дело когда мы говорим о layer 2 и layer 3-7,
> firewall ДОЛЖЕН РАБОТАТЬ НА LAYER 3-7 OSI.
Да ну? На седьмом уровне работает сам человек. :-)
FireWall должен работать на уровнях от 2 до 6 (на втором уровне он должен фильтровать Ethernet-пакеты, как это сделано в VLAN).
> Задачи которые обязан выполнять нормальный firewall
> это не только защита портов, но и защита приложений.
Допустим, мы даём FireWall'у команду защищать Web-сервер.
Ну и как FireWall сможет понять, что Web-сервер слушает порты 80 и 8100..8105?
Но я всё-таки хотел узнать, почему на рисунке все три "WEB Server", "A Single SQL or an MCS" и "DMZ domain controller" соединены между собой просто проводами без хабов и коммутаторов?
Зачем нужны "Front-end Switch", "Back-end Switch" и "Internel Network Switch", если в каждом задействованы только по два порта?
Какую работу выполняет Router, если провайдер даёт Ethernet-интерфейс?

Cообщить модератору | Наверх | ^

15. "Топология безопасной сети"

Сообщение от LD on 20-Янв-04, 15:26

>> Хм... Если я до сих пор пишу на ассемблере то я что морально устарел???
>> Я так не думаю. Касательно всетаки сервисов, но не вижу
>Устарели блок-схемы в применении к высокоуровневым языкам программирования.
>
>> Касательно всетаки сервисов, но не вижу я в статье упоминания о почте.
>> И по своему опыту скажу что ставить почту на одну машину с вебом
>> это компрометировать СБ.
>Потому-то в статье не говорится о почте, что в такой конфигурации, какая
>нарисована, почта в принципе ходить не будет.
>Поэтому я делаю вывод, что такая схема не имеет отношения к рельной
>жизни.
>
>> Кто вам сказал что в роутерах стоят i386?
>А почему Вы решили, что это мне кто-то сказал?
>До Вас никто в этой ветке и не заикался об архитектурах процессоров
>для разных устройств. Более того: если в роутерах стоЯт не i*86,
>то почему и в серверах, и в раб.станциях ставят именно i*86?
>
>
>> Далее Firewall и ethernet switch :) не совсем понял, причем тут это?
>FireWall может работать на следующих устройствах:
>- Ethernet-switch;
>- IP-router;
>- HTTP-proxy;
>- SMTP-Relay и SMTP/POP3/IMAP4-server
>ну и на некоторых других. Смысл этой фразы в том, что если
>FireWall "исповедует" политику "всем всё разрешено", то он превращается в одно
>из этих устройств без функций фильтрации.
>
Тогда нарушена структура построения самой сети. И это зря выбрашенные деньги на ветер.
>> одно дело когда мы говорим о layer 2 и layer 3-7,
>> firewall ДОЛЖЕН РАБОТАТЬ НА LAYER 3-7 OSI.
>Да ну? На седьмом уровне работает сам человек. :-)
7-й уровень это уровень апликации, и он близок к человеку, но всетаки не человек :)
http://www.ciscosystems.am/univercd/cc/td/doc/cisintwk/ito_doc/introint.htm#xtocid8
>FireWall должен работать на уровнях от 2 до 6 (на втором уровне
>он должен фильтровать Ethernet-пакеты, как это сделано в VLAN).
>
Дмитрий фильтровка пакетов на втором уровне как таковая нужна для защиты от тех немногих и сложно реализуемых атак, к примеру MAC Spoffing. И связано с реализацией IPv4.
>> Задачи которые обязан выполнять нормальный firewall
>> это не только защита портов, но и защита приложений.
>Допустим, мы даём FireWall'у команду защищать Web-сервер.
>Ну и как FireWall сможет понять, что Web-сервер слушает порты 80 и
>8100..8105?
>
FireWall не обязан сам определять на каком порте работает Вебсервер. Всетаки это набор правил плюс некоторые инструкции если он уходит выше 4 уровня.
>Но я всё-таки хотел узнать, почему на рисунке все три "WEB Server",
>"A Single SQL or an MCS" и "DMZ domain controller" соединены
>между собой просто проводами без хабов и коммутаторов?
>Зачем нужны "Front-end Switch", "Back-end Switch" и "Internel Network Switch", если в
>каждом задействованы только по два порта?
>Какую работу выполняет Router, если провайдер даёт Ethernet-интерфейс?
К примеру роутинг AS :)
А касательно рисунка, не я его рисовал, напишите вебмастеру :)

Cообщить модератору | Наверх | ^

11. "Топология безопасной сети"

Сообщение от Nikolaev_D on 19-Янв-04, 22:34

>Насчет не обязательности разноса роутера и Firewall я с вами полностью не согласен, каждое железо должно нести на себе определенные функции
Да, точно - провайдер дает нам ethernet, ставим cisco 7200 (добиваем в него модуль ethernet), а том уже идет PIX с 10-ю ethernet.

Cообщить модератору | Наверх | ^

13. "Топология безопасной сети"

Сообщение от LD on 20-Янв-04, 14:25

>>Насчет не обязательности разноса роутера и Firewall я с вами полностью не согласен, каждое железо должно нести на себе определенные функции
>
>Да, точно - провайдер дает нам ethernet, ставим cisco 7200 (добиваем в
>него модуль ethernet), а том уже идет PIX с 10-ю ethernet.
>
Ну Cisco 7200 это достаточно серьезная модель. И создана для определенных задач, дури у нее много, но идеально подходит для решений где требуется высокая производительность и насколько мне известно в России их продажи можно перечитать по пальцам. А что касается PIX с 10-ю ethernet то это мутант наврное максимум это 6 :) с лицензией UR :)

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Безопасность архитектуры SQL Web сервера"
Сообщение от mezantrop on 15-Янв-04, 15:40
Читая заголовок, я ожидал увидеть примеры SQL кода, настроек вебсерверов и серверов баз данных и никак не ожидал встретить описание топологий.
Cообщить модератору \| Наверх \| ^


	2. "Безопасность архитектуры SQL Web сервера"
	Сообщение от 2vl on 15-Янв-04, 17:01
	полносью согласен, читая заголовок ожидаешь нечто другое.. Да и для компании средней руки данные схемы дороговаты. респект,all my IMHO. br 2vl
	Cообщить модератору \| Наверх \| ^


	7. "Безопасность архитектуры SQL Web сервера"
	Сообщение от Maxim Chirkov on 15-Янв-04, 19:03
	>Читая заголовок, я ожидал увидеть примеры SQL кода, Текст присланной новости переписал, а заголовок просмотрел. Сейчас исправил.
	Cообщить модератору \| Наверх \| ^

3. "Безопасность архитектуры SQL / Web сервера"
Сообщение от Остров on 15-Янв-04, 18:24
Да. Название предполагает прикладной уровень.
Cообщить модератору \| Наверх \| ^

4. "Безопасность архитектуры SQL / Web сервера"
Сообщение от VD on 15-Янв-04, 18:32
В n-ый раз пережёваное копирование из учебников, даже чересчур упрощённое. И почему именно web и sql? Всё-таки, наверное, это общая идея.
Cообщить модератору \| Наверх \| ^

5. "Безопасность архитектуры SQL / Web сервера"
Сообщение от Аноним on 15-Янв-04, 18:43
Смотря с какой стороны посмотреть. Я в свое время сделал скан сети провайдера. Обнаружил много серверов без минимума безопасности. А сколько серверов завалил сламер? Так что статья нужная и полезная.
Cообщить модератору \| Наверх \| ^

6. "Безопасность архитектуры SQL / Web сервера"
Сообщение от Vit on 15-Янв-04, 18:52
Статья то полезная, тока это все давно известно.
Cообщить модератору \| Наверх \| ^

8. "Топология безопасной сети"
Сообщение от Дмитрий Ю. Карпов on 17-Янв-04, 19:32
Статья дурацкая. Первый признак того, что автор не понимает материала, а "передлирает" у других - "двусторонний" FireWall. В реальности FireWall - это компьютер в стоечном исполнении, внешне похожий на коммутатор или маршрутизатор (коробка с несколькими Ethernet-интерфейсами). Все интерфейсы находятся с одной стороны, а изображение FireWall как кирпичной стенки очень абстрактно; вредность такого представления в том, что стена всегда имеет ровно две сторонЫ, в то время как FireWall может иметь сколько угодно интерфейсов. Более того - совершенно не нужно разносить FireWall и Router на отдельные железки, как это изображено на рисунке: достаточно поставить один роутер с функциями фильтрации и с тремя интерфейсами, один из которых смотрит наружу, второй - в демилитаризированную зону, а третий - в локальную сеть. Изображение коммутаторов в этой схеме просто чудовищно - сеть рисуется как коаксиал (шина с ответвлениями), но при этом изображени ещё и свичи. И зачем-то WWW-серверы имеют по два интерфейса (речь идет о рис.3). Как юзеры будут посылать и получать почтку в этой схеме - вообще непонятно. Короче говоря, тот, кто задумает строить свою сеть по приведённым схемам, столкнётся с кучей траблов и в результате обязательно допустит какую-нибудь глупую ошибку.
Cообщить модератору \| Наверх \| ^


	9. "Топология безопасной сети"
	Сообщение от LD on 19-Янв-04, 16:38
	Остановись мгновенье ты прекрасно... :) Я люблю OpenNet и Secure :) позволю себе с вами не согласится. По долгу своей работы часто вынужден с ними сотрудничать, так что ребята понимают о чем пишут. Касательно того что вы сказали о значках, есть стандарты составления блоксхем есть определенные стандарты. Кроме того это рисунок а не блок схема в visio :). Далее Вы судя по всему понятия не имеете о кластерных системах и почему в них ставятся по 2-3 сетевых интерфейса. Насчет того как работает там почта, в статье не упоминался SMTP вообще. По поводу что такое FireWall рекомендую вам почитать немного в сети какие они вообще бывают, роутер это тоже компьютер. Насчет не обязательности разноса роутера и Firewall я с вами полностью не согласен, каждое железо должно нести на себе определенные функции и заниматся тем для чего оно было спроектировано. Касательно вашего мнения насчет "Короче говоря, тот, кто задумает строить свою сеть по приведённым схемам, столкнётся с кучей траблов и в результате обязательно допустит какую-нибудь глупую ошибку." Данная схема работает на многих Mission Critical задачах. Сеть РБК, сбербанка, ОРТ, Альфа банка, ЦБ, Yahoo, и многих других. И работает как часы.
	Cообщить модератору \| Наверх \| ^


	10. "Топология безопасной сети"
	Сообщение от Дмитрий Ю. Карпов on 19-Янв-04, 20:57
	> Касательно того что вы сказали о значках, есть стандарты > составления блоксхем есть определенные стандарты. Блок-схемы - наследие того глубокого прошлого, когда программировали на ассемблере, и для того, чтобы не запутаться в объёмистых лиснингах, программисты рисовали блок-схемы. Уже в Фортране многие операторы рисовались в блок-схеме как несколько элементов, так что подобно строевой подготовке в армии, рисование блок-схем стало дурной традицией. > Кроме того это рисунок а не блок схема в visio :). Этот рисунок вводит людей в заблуждение. :-( > Далее Вы судя по всему понятия не имеете о кластерных системах > и почему в них ставятся по 2-3 сетевых интерфейса. О кластерных системах я имею некое представление, а вот о причинах установки в элемеенты кластеров нескольких интерфейсов хотел бы услышать от знающего человека - можно от Вас, если Вы такой знающий. > Насчет того как работает там почта, в статье не упоминался SMTP вообще. В предложенной схеме SMTP, UUCP, POP3, IMAP4 и любые другие почтовые протоколы (как, впрочем, и вообще все протоколы, кроме Web) будут недоступны. > По поводу что такое FireWall рекомендую вам > почитать немного в сети какие они вообще бывают, Ну и что именно посоветуете? > роутер это тоже компьютер. Естественно. > Насчет не обязательности разноса роутера и Firewall > я с вами полностью не согласен, каждое железо должно нести на себе > определенные функции и заниматся тем для чего оно было спроектировано. Да ну? А многозадачность тогда зачем? И почему почти для всех задач используются компьютеры с системой команд процессора от Intel'*86? Послушать Вас - так надо разнести на разные компьютеры Web-сервер и TCP-машину! :-) FireWall ОБЯЗАН выполнять функции IP-маршрутизатора или Ethernet-коммутатора, т.к. он должен перебрасывать пакеты, принятые с одной стороны, на другую сторону (конечно, только те пакеты, которые не подлежат уничтожению как вредные/опасные/...). > Данная схема работает на многих Mission Critical задачах. Сеть РБК, > сбербанка, ОРТ, Альфа банка, ЦБ, Yahoo, и многих других. И работает как часы. Ну, известно, что эти конторы денег не считают. Кроме того, я не верю, что их сети соотвествуют приведённой схеме (да и сама схема, где машины соединяются проводами напрямую, без хабов и коммутаторов, давно устарела).
	Cообщить модератору \| Наверх \| ^


	12. "Топология безопасной сети"
	Сообщение от LD on 20-Янв-04, 14:15
	Хм... Если я до сих пор пишу на ассемблере то я что морально устарел??? Я так не думаю. Касательно всетаки сервисов, но не вижу я в статье упоминания о почте. И по своему опыту скажу что ставить почту на одну машину с вебом это компрометировать СБ. Кто вам сказал что в роутерах стоят i386 ? Я ради интереса посмотрел все свои роутеры и не нашел i386 также как и в firewall :) Касательно статьей про FireWall это тема раздельная, но если у Вас есть желание почитайте Sans :) Данная схема не идеальна, я лично вижу пару недочетов, но я не нападаю в форуме, а написал вебмастеру. Далее Firewall и ethernet switch :) не совсем понял, причем тут это? одно дело когда мы говорим о layer 2 и layer 3-7, firewall ДОЛЖЕН РАБОТАТЬ НА LAYER 3-7 OSI. если говорить о чистом 3-м уровне то тут даже ACL IOS или iptables, ipchains справится но выше 3-го уровня не уйдет. Задачи которые обязан выполнять нормальный firewall это не только защита портов, но и защита приложений. Касательно кластерных систем, это отдельная тема и предлагаю ее перенести в отдельную ветку Дмитрий, я могу говорить на вопросы безопасности информационных технологий очень долго, так как это для меня не просто хобби, но и работа.
	Cообщить модератору \| Наверх \| ^


	14. "Топология безопасной сети"
	Сообщение от Дмитрий Ю. Карпов on 20-Янв-04, 15:08
	> Хм... Если я до сих пор пишу на ассемблере то я что морально устарел??? > Я так не думаю. Касательно всетаки сервисов, но не вижу Устарели блок-схемы в применении к высокоуровневым языкам программирования. > Касательно всетаки сервисов, но не вижу я в статье упоминания о почте. > И по своему опыту скажу что ставить почту на одну машину с вебом > это компрометировать СБ. Потому-то в статье не говорится о почте, что в такой конфигурации, какая нарисована, почта в принципе ходить не будет. Поэтому я делаю вывод, что такая схема не имеет отношения к рельной жизни. > Кто вам сказал что в роутерах стоят i386? А почему Вы решили, что это мне кто-то сказал? До Вас никто в этой ветке и не заикался об архитектурах процессоров для разных устройств. Более того: если в роутерах стоЯт не i86, то почему и в серверах, и в раб.станциях ставят именно i86? > Далее Firewall и ethernet switch :) не совсем понял, причем тут это? FireWall может работать на следующих устройствах: - Ethernet-switch; - IP-router; - HTTP-proxy; - SMTP-Relay и SMTP/POP3/IMAP4-server ну и на некоторых других. Смысл этой фразы в том, что если FireWall "исповедует" политику "всем всё разрешено", то он превращается в одно из этих устройств без функций фильтрации. > одно дело когда мы говорим о layer 2 и layer 3-7, > firewall ДОЛЖЕН РАБОТАТЬ НА LAYER 3-7 OSI. Да ну? На седьмом уровне работает сам человек. :-) FireWall должен работать на уровнях от 2 до 6 (на втором уровне он должен фильтровать Ethernet-пакеты, как это сделано в VLAN). > Задачи которые обязан выполнять нормальный firewall > это не только защита портов, но и защита приложений. Допустим, мы даём FireWall'у команду защищать Web-сервер. Ну и как FireWall сможет понять, что Web-сервер слушает порты 80 и 8100..8105? Но я всё-таки хотел узнать, почему на рисунке все три "WEB Server", "A Single SQL or an MCS" и "DMZ domain controller" соединены между собой просто проводами без хабов и коммутаторов? Зачем нужны "Front-end Switch", "Back-end Switch" и "Internel Network Switch", если в каждом задействованы только по два порта? Какую работу выполняет Router, если провайдер даёт Ethernet-интерфейс?
	Cообщить модератору \| Наверх \| ^


	15. "Топология безопасной сети"
	Сообщение от LD on 20-Янв-04, 15:26
	>> Хм... Если я до сих пор пишу на ассемблере то я что морально устарел??? >> Я так не думаю. Касательно всетаки сервисов, но не вижу >Устарели блок-схемы в применении к высокоуровневым языкам программирования. > >> Касательно всетаки сервисов, но не вижу я в статье упоминания о почте. >> И по своему опыту скажу что ставить почту на одну машину с вебом >> это компрометировать СБ. >Потому-то в статье не говорится о почте, что в такой конфигурации, какая >нарисована, почта в принципе ходить не будет. >Поэтому я делаю вывод, что такая схема не имеет отношения к рельной >жизни. > >> Кто вам сказал что в роутерах стоят i386? >А почему Вы решили, что это мне кто-то сказал? >До Вас никто в этой ветке и не заикался об архитектурах процессоров >для разных устройств. Более того: если в роутерах стоЯт не i86, >то почему и в серверах, и в раб.станциях ставят именно i86? > > >> Далее Firewall и ethernet switch :) не совсем понял, причем тут это? >FireWall может работать на следующих устройствах: >- Ethernet-switch; >- IP-router; >- HTTP-proxy; >- SMTP-Relay и SMTP/POP3/IMAP4-server >ну и на некоторых других. Смысл этой фразы в том, что если >FireWall "исповедует" политику "всем всё разрешено", то он превращается в одно >из этих устройств без функций фильтрации. > Тогда нарушена структура построения самой сети. И это зря выбрашенные деньги на ветер. >> одно дело когда мы говорим о layer 2 и layer 3-7, >> firewall ДОЛЖЕН РАБОТАТЬ НА LAYER 3-7 OSI. >Да ну? На седьмом уровне работает сам человек. :-) 7-й уровень это уровень апликации, и он близок к человеку, но всетаки не человек :) http://www.ciscosystems.am/univercd/cc/td/doc/cisintwk/ito_doc/introint.htm#xtocid8 >FireWall должен работать на уровнях от 2 до 6 (на втором уровне >он должен фильтровать Ethernet-пакеты, как это сделано в VLAN). > Дмитрий фильтровка пакетов на втором уровне как таковая нужна для защиты от тех немногих и сложно реализуемых атак, к примеру MAC Spoffing. И связано с реализацией IPv4. >> Задачи которые обязан выполнять нормальный firewall >> это не только защита портов, но и защита приложений. >Допустим, мы даём FireWall'у команду защищать Web-сервер. >Ну и как FireWall сможет понять, что Web-сервер слушает порты 80 и >8100..8105? > FireWall не обязан сам определять на каком порте работает Вебсервер. Всетаки это набор правил плюс некоторые инструкции если он уходит выше 4 уровня. >Но я всё-таки хотел узнать, почему на рисунке все три "WEB Server", >"A Single SQL or an MCS" и "DMZ domain controller" соединены >между собой просто проводами без хабов и коммутаторов? >Зачем нужны "Front-end Switch", "Back-end Switch" и "Internel Network Switch", если в >каждом задействованы только по два порта? >Какую работу выполняет Router, если провайдер даёт Ethernet-интерфейс? К примеру роутинг AS :) А касательно рисунка, не я его рисовал, напишите вебмастеру :)
	Cообщить модератору \| Наверх \| ^

11. "Топология безопасной сети"
Сообщение от Nikolaev_D on 19-Янв-04, 22:34
>Насчет не обязательности разноса роутера и Firewall я с вами полностью не согласен, каждое железо должно нести на себе определенные функции Да, точно - провайдер дает нам ethernet, ставим cisco 7200 (добиваем в него модуль ethernet), а том уже идет PIX с 10-ю ethernet.
Cообщить модератору \| Наверх \| ^


	13. "Топология безопасной сети"
	Сообщение от LD on 20-Янв-04, 14:25
	>>Насчет не обязательности разноса роутера и Firewall я с вами полностью не согласен, каждое железо должно нести на себе определенные функции > >Да, точно - провайдер дает нам ethernet, ставим cisco 7200 (добиваем в >него модуль ethernet), а том уже идет PIX с 10-ю ethernet. > Ну Cisco 7200 это достаточно серьезная модель. И создана для определенных задач, дури у нее много, но идеально подходит для решений где требуется высокая производительность и насколько мне известно в России их продажи можно перечитать по пальцам. А что касается PIX с 10-ю ethernet то это мутант наврное максимум это 6 :) с лицензией UR :)
	Cообщить модератору \| Наверх \| ^