The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Безопасность архитектуры SQL / Web сервера"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Безопасность архитектуры SQL / Web сервера"
Сообщение от opennews on 15-Янв-04, 15:40 
Варианты подключения организации располагающей собственным WEB-сервером к Интернету.

URL: http://www.secure.com.ru/modules.cfm?block=portal_b_microsoft&id=15D4FFBD-CF17-F843-A77A849123D4C024
Новость: http://www.opennet.me/opennews/art.shtml?num=3298

Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Безопасность архитектуры SQL  Web сервера"
Сообщение от mezantrop email on 15-Янв-04, 15:40 
Читая заголовок, я ожидал увидеть примеры SQL кода, настроек вебсерверов и серверов баз данных и никак не ожидал встретить описание топологий.
Cообщить модератору | Наверх | ^

2. "Безопасность архитектуры SQL  Web сервера"
Сообщение от 2vl on 15-Янв-04, 17:01 
полносью согласен, читая заголовок ожидаешь нечто другое..
Да и для компании средней руки данные схемы дороговаты.
респект,all my IMHO.
br 2vl
Cообщить модератору | Наверх | ^

7. "Безопасность архитектуры SQL  Web сервера"
Сообщение от Maxim Chirkov email on 15-Янв-04, 19:03 
>Читая заголовок, я ожидал увидеть примеры SQL кода,

Текст присланной новости переписал, а заголовок просмотрел. Сейчас исправил.

Cообщить модератору | Наверх | ^

3. "Безопасность архитектуры SQL / Web сервера"
Сообщение от Остров on 15-Янв-04, 18:24 
Да. Название предполагает прикладной уровень.
Cообщить модератору | Наверх | ^

4. "Безопасность архитектуры SQL / Web сервера"
Сообщение от VD email on 15-Янв-04, 18:32 
В n-ый раз пережёваное копирование из учебников, даже чересчур упрощённое. И почему именно web и sql? Всё-таки, наверное, это общая идея.
Cообщить модератору | Наверх | ^

5. "Безопасность архитектуры SQL / Web сервера"
Сообщение от Аноним email on 15-Янв-04, 18:43 
Смотря с какой стороны посмотреть. Я в свое время сделал скан сети провайдера. Обнаружил много серверов без минимума безопасности. А сколько серверов завалил сламер? Так что статья нужная и полезная.
Cообщить модератору | Наверх | ^

6. "Безопасность архитектуры SQL / Web сервера"
Сообщение от Vit email on 15-Янв-04, 18:52 
Статья то полезная, тока это все давно известно.
Cообщить модератору | Наверх | ^

8. "Топология безопасной сети"
Сообщение от Дмитрий Ю. Карпов email on 17-Янв-04, 19:32 
Статья дурацкая. Первый признак того, что автор не понимает материала, а "передлирает" у других - "двусторонний" FireWall. В реальности FireWall - это компьютер в стоечном исполнении, внешне похожий на коммутатор или маршрутизатор (коробка с несколькими Ethernet-интерфейсами). Все интерфейсы находятся с одной стороны, а изображение FireWall как кирпичной стенки очень абстрактно; вредность такого представления в том, что стена всегда имеет ровно две сторонЫ, в то время как FireWall может иметь сколько угодно интерфейсов. Более того - совершенно не нужно разносить FireWall и Router на отдельные железки, как это изображено на рисунке: достаточно поставить один роутер с функциями фильтрации и с тремя интерфейсами, один из которых смотрит наружу, второй - в демилитаризированную зону, а третий - в локальную сеть.

Изображение коммутаторов в этой схеме просто чудовищно - сеть рисуется как коаксиал (шина с ответвлениями), но при этом изображени ещё и свичи. И зачем-то WWW-серверы имеют по два интерфейса (речь идет о рис.3). Как юзеры будут посылать и получать почтку в этой схеме - вообще непонятно.

Короче говоря, тот, кто задумает строить свою сеть по приведённым схемам, столкнётся с кучей траблов и в результате обязательно допустит какую-нибудь глупую ошибку.

Cообщить модератору | Наверх | ^

9. "Топология безопасной сети"
Сообщение от LD on 19-Янв-04, 16:38 
Остановись мгновенье ты прекрасно... :)
   Я люблю OpenNet и Secure :) позволю себе с вами не согласится. По долгу своей работы часто вынужден с ними сотрудничать, так что ребята понимают о чем пишут. Касательно того что вы сказали о значках, есть стандарты составления блоксхем есть определенные стандарты. Кроме того это рисунок а не блок схема в visio :). Далее Вы судя по всему понятия не имеете о кластерных системах и почему в них ставятся по 2-3 сетевых интерфейса. Насчет того как работает там почта, в статье не упоминался SMTP вообще. По поводу что такое FireWall рекомендую вам почитать немного в сети какие они вообще бывают, роутер это тоже компьютер. Насчет не обязательности разноса роутера и Firewall я с вами полностью не согласен, каждое железо должно нести на себе определенные функции и заниматся тем для чего оно было спроектировано.

Касательно вашего мнения насчет "Короче говоря, тот, кто задумает строить свою сеть по приведённым схемам, столкнётся с кучей траблов и в результате обязательно допустит какую-нибудь глупую ошибку." Данная схема работает на многих Mission Critical задачах. Сеть РБК, сбербанка, ОРТ, Альфа банка, ЦБ, Yahoo, и многих других. И работает как часы.

Cообщить модератору | Наверх | ^

10. "Топология безопасной сети"
Сообщение от Дмитрий Ю. Карпов email on 19-Янв-04, 20:57 
> Касательно того что вы сказали о значках, есть стандарты
> составления блоксхем есть определенные стандарты.
Блок-схемы - наследие того глубокого прошлого, когда программировали на ассемблере, и для того, чтобы не запутаться в объёмистых лиснингах, программисты рисовали блок-схемы.
Уже в Фортране многие операторы рисовались в блок-схеме как несколько элементов, так что подобно строевой подготовке в армии, рисование блок-схем стало дурной традицией.

> Кроме того это рисунок а не блок схема в visio :).
Этот рисунок вводит людей в заблуждение. :-(

> Далее Вы судя по всему понятия не имеете о кластерных системах
> и почему в них ставятся по 2-3 сетевых интерфейса.
О кластерных системах я имею некое представление, а вот о причинах установки в элемеенты кластеров нескольких интерфейсов хотел бы услышать от знающего человека - можно от Вас, если Вы такой знающий.

> Насчет того как работает там почта, в статье не упоминался SMTP вообще.
В предложенной схеме SMTP, UUCP, POP3, IMAP4 и любые другие почтовые протоколы (как, впрочем, и вообще все протоколы, кроме Web) будут недоступны.

> По поводу что такое FireWall рекомендую вам
> почитать немного в сети какие они вообще бывают,
Ну и что именно посоветуете?

> роутер это тоже компьютер.
Естественно.

> Насчет не обязательности разноса роутера и Firewall
> я с вами полностью не согласен, каждое железо должно нести на себе
> определенные функции и заниматся тем для чего оно было спроектировано.
Да ну? А многозадачность тогда зачем? И почему почти для всех задач используются компьютеры с системой команд процессора от Intel'*86?

Послушать Вас - так надо разнести на разные компьютеры Web-сервер и TCP-машину! :-)

FireWall ОБЯЗАН выполнять функции IP-маршрутизатора или Ethernet-коммутатора, т.к. он должен перебрасывать пакеты, принятые с одной стороны, на другую сторону (конечно, только те пакеты, которые не подлежат уничтожению как вредные/опасные/...).

> Данная схема работает на многих Mission Critical задачах. Сеть РБК,
> сбербанка, ОРТ, Альфа банка, ЦБ, Yahoo, и многих других. И работает как часы.
Ну, известно, что эти конторы денег не считают. Кроме того, я не верю, что их сети соотвествуют приведённой схеме (да и сама схема, где машины соединяются проводами напрямую, без хабов и коммутаторов, давно устарела).

Cообщить модератору | Наверх | ^

12. "Топология безопасной сети"
Сообщение от LD on 20-Янв-04, 14:15 
Хм... Если я до сих пор пишу на ассемблере то я что морально устарел??? Я так не думаю. Касательно всетаки сервисов, но не вижу я в статье упоминания о почте. И по своему опыту скажу что ставить почту на одну машину с вебом это компрометировать СБ.
Кто вам сказал что в роутерах стоят i386 ? Я ради интереса посмотрел все свои роутеры и не нашел i386 также как и в firewall :)
Касательно статьей про FireWall это тема раздельная, но если у Вас есть желание почитайте Sans :)
Данная схема не идеальна, я лично вижу пару недочетов, но я не нападаю в форуме, а написал вебмастеру.
Далее Firewall и ethernet switch :) не совсем понял, причем тут это? одно дело когда мы говорим о layer 2 и layer 3-7, firewall ДОЛЖЕН РАБОТАТЬ НА LAYER 3-7 OSI. если говорить о чистом 3-м уровне то тут даже ACL IOS или iptables, ipchains справится но выше 3-го уровня не уйдет. Задачи которые обязан выполнять нормальный firewall это не только защита портов, но и защита приложений.

Касательно кластерных систем, это отдельная тема и предлагаю ее перенести в отдельную ветку
Дмитрий, я могу говорить на вопросы безопасности информационных технологий очень долго, так как это для меня не просто хобби, но и работа.

Cообщить модератору | Наверх | ^

14. "Топология безопасной сети"
Сообщение от Дмитрий Ю. Карпов email on 20-Янв-04, 15:08 
> Хм... Если я до сих пор пишу на ассемблере то я что морально устарел???
> Я так не думаю. Касательно всетаки сервисов, но не вижу
Устарели блок-схемы в применении к высокоуровневым языкам программирования.

> Касательно всетаки сервисов, но не вижу я в статье упоминания о почте.
> И по своему опыту скажу что ставить почту на одну машину с вебом
> это компрометировать СБ.
Потому-то в статье не говорится о почте, что в такой конфигурации, какая нарисована, почта в принципе ходить не будет.
Поэтому я делаю вывод, что такая схема не имеет отношения к рельной жизни.

> Кто вам сказал что в роутерах стоят i386?
А почему Вы решили, что это мне кто-то сказал?
До Вас никто в этой ветке и не заикался об архитектурах процессоров для разных устройств. Более того: если в роутерах стоЯт не i*86, то почему и в серверах, и в раб.станциях ставят именно i*86?

> Далее Firewall и ethernet switch :) не совсем понял, причем тут это?
FireWall может работать на следующих устройствах:
- Ethernet-switch;
- IP-router;
- HTTP-proxy;
- SMTP-Relay и SMTP/POP3/IMAP4-server
ну и на некоторых других. Смысл этой фразы в том, что если FireWall "исповедует" политику "всем всё разрешено", то он превращается в одно из этих устройств без функций фильтрации.

> одно дело когда мы говорим о layer 2 и layer 3-7,
> firewall ДОЛЖЕН РАБОТАТЬ НА LAYER 3-7 OSI.
Да ну? На седьмом уровне работает сам человек. :-)
FireWall должен работать на уровнях от 2 до 6 (на втором уровне он должен фильтровать Ethernet-пакеты, как это сделано в VLAN).

> Задачи которые обязан выполнять нормальный firewall
> это не только защита портов, но и защита приложений.
Допустим, мы даём FireWall'у команду защищать Web-сервер.
Ну и как FireWall сможет понять, что Web-сервер слушает порты 80 и 8100..8105?

Но я всё-таки хотел узнать, почему на рисунке все три "WEB Server", "A Single SQL or an MCS" и "DMZ domain controller" соединены между собой просто проводами без хабов и коммутаторов?
Зачем нужны "Front-end Switch", "Back-end Switch" и "Internel Network Switch", если в каждом задействованы только по два порта?
Какую работу выполняет Router, если провайдер даёт Ethernet-интерфейс?

Cообщить модератору | Наверх | ^

15. "Топология безопасной сети"
Сообщение от LD on 20-Янв-04, 15:26 
>> Хм... Если я до сих пор пишу на ассемблере то я что морально устарел???
>> Я так не думаю. Касательно всетаки сервисов, но не вижу
>Устарели блок-схемы в применении к высокоуровневым языкам программирования.
>
>> Касательно всетаки сервисов, но не вижу я в статье упоминания о почте.
>> И по своему опыту скажу что ставить почту на одну машину с вебом
>> это компрометировать СБ.
>Потому-то в статье не говорится о почте, что в такой конфигурации, какая
>нарисована, почта в принципе ходить не будет.
>Поэтому я делаю вывод, что такая схема не имеет отношения к рельной
>жизни.
>
>> Кто вам сказал что в роутерах стоят i386?
>А почему Вы решили, что это мне кто-то сказал?
>До Вас никто в этой ветке и не заикался об архитектурах процессоров
>для разных устройств. Более того: если в роутерах стоЯт не i*86,
>то почему и в серверах, и в раб.станциях ставят именно i*86?
>
>
>> Далее Firewall и ethernet switch :) не совсем понял, причем тут это?
>FireWall может работать на следующих устройствах:
>- Ethernet-switch;
>- IP-router;
>- HTTP-proxy;
>- SMTP-Relay и SMTP/POP3/IMAP4-server
>ну и на некоторых других. Смысл этой фразы в том, что если
>FireWall "исповедует" политику "всем всё разрешено", то он превращается в одно
>из этих устройств без функций фильтрации.
>
Тогда нарушена структура построения самой сети. И это зря выбрашенные деньги на ветер.

>> одно дело когда мы говорим о layer 2 и layer 3-7,
>> firewall ДОЛЖЕН РАБОТАТЬ НА LAYER 3-7 OSI.
>Да ну? На седьмом уровне работает сам человек. :-)
7-й уровень это уровень апликации, и он близок к человеку, но всетаки не человек :)
http://www.ciscosystems.am/univercd/cc/td/doc/cisintwk/ito_doc/introint.htm#xtocid8

>FireWall должен работать на уровнях от 2 до 6 (на втором уровне
>он должен фильтровать Ethernet-пакеты, как это сделано в VLAN).
>
Дмитрий фильтровка пакетов на втором уровне как таковая нужна для защиты от тех немногих и сложно реализуемых атак, к примеру MAC Spoffing. И связано с реализацией IPv4.
>> Задачи которые обязан выполнять нормальный firewall
>> это не только защита портов, но и защита приложений.
>Допустим, мы даём FireWall'у команду защищать Web-сервер.
>Ну и как FireWall сможет понять, что Web-сервер слушает порты 80 и
>8100..8105?
>
FireWall не обязан сам определять на каком порте работает Вебсервер. Всетаки это набор правил плюс некоторые инструкции если он уходит выше 4 уровня.

>Но я всё-таки хотел узнать, почему на рисунке все три "WEB Server",
>"A Single SQL or an MCS" и "DMZ domain controller" соединены
>между собой просто проводами без хабов и коммутаторов?
>Зачем нужны "Front-end Switch", "Back-end Switch" и "Internel Network Switch", если в
>каждом задействованы только по два порта?
>Какую работу выполняет Router, если провайдер даёт Ethernet-интерфейс?
К примеру роутинг AS :)
А касательно рисунка, не я его рисовал, напишите вебмастеру :)

Cообщить модератору | Наверх | ^

11. "Топология безопасной сети"
Сообщение от Nikolaev_D email on 19-Янв-04, 22:34 
>Насчет не обязательности разноса роутера и Firewall я с вами полностью не согласен, каждое железо должно нести на себе определенные функции

Да, точно - провайдер дает нам ethernet, ставим cisco 7200 (добиваем в него модуль ethernet), а том уже идет PIX с 10-ю ethernet.

Cообщить модератору | Наверх | ^

13. "Топология безопасной сети"
Сообщение от LD on 20-Янв-04, 14:25 
>>Насчет не обязательности разноса роутера и Firewall я с вами полностью не согласен, каждое железо должно нести на себе определенные функции
>
>Да, точно - провайдер дает нам ethernet, ставим cisco 7200 (добиваем в
>него модуль ethernet), а том уже идет PIX с 10-ю ethernet.
>

Ну Cisco 7200 это достаточно серьезная модель. И создана для определенных задач, дури у нее много, но идеально подходит для решений где требуется высокая производительность и насколько мне известно в России их продажи можно перечитать по пальцам. А что касается PIX с 10-ю ethernet то это мутант наврное максимум это 6 :) с лицензией UR :)

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру