форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Повышение безопасности в сети"
Сообщение от Sebos on 01-Мрт-04, 22:04  (MSK)
Здравствуйте! У меня домашняя локальная сеть, 15 клиентских машин (под WinMe, WinXP), машина под Линуксом RH 7.3 (она же DNS и DHCP сервер). Сеть подключена по SDSL к провайдеру. В чём проблема: периодически кто-нибудь в сети подхватывает вирус, который в свою очередь рассылается ко всем остальным нерадивым клиентам, пренебрегших безопасностью, и обычно "вешает" всю сеть.   Мне подсказали вот такое решение проблемы: отключить в сети NetBIOS, протокол TCP\IP, установить ТОЛЬКО "какой-то" определённый протокол (как раз я и не знаю какой) и на сервере установить такую программу, чтобы клиенты, желающие выйти в Интернет, сначала посредством ТОЛЬКО MAC-адреса авторизовывались на сервере, получали от него временный IP-адрес и выходили в Интернет и заходили на FTP-сервер. Но как только отключались от сервера, у них сразу же исчезало любое проявление сети, будто у них её никогда и не было. Это идея! Подскажите, пожалуйста, посредством чего и главное как (Doc'и, Man'ы, HowTo'зы) её можно реализовать. Буду рад другим идеям! Заранее благодарен!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Повышение безопасности в сети"
Сообщение от dev on 01-Мрт-04, 22:12  (MSK)
Варианты: 1. Если уж так хочется изолировать компы друг от друга, то разбить внутреннюю сетку на много маленьких сеток и линукс пусть маршрутизирует (конкретно в данном случае, блокирует трафик между клиентами). 2. Или заставить всех пользоваться твоим мейл-сервером, на котором установить антивирус. Также пускать всех через прокси, на котором зарезать все опасное.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Повышение безопасности в сети"
Сообщение от bass on 02-Мрт-04, 08:29  (MSK)
>Мне подсказали вот такое решение проблемы: отключить в сети NetBIOS, протокол TCP\IP, >установить ТОЛЬКО "какой-то" определённый протокол (как раз я и не знаю >какой) и на сервере установить такую программу, чтобы клиенты, желающие выйти >в Интернет, сначала посредством ТОЛЬКО MAC-адреса авторизовывались на сервере, получали от >него временный IP-адрес и выходили в Интернет и заходили на FTP-сервер. >Но как только отключались от сервера, у них сразу же исчезало >любое проявление сети, будто у них её никогда и не было. > >Это идея! Подскажите, пожалуйста, посредством чего и главное как (Doc'и, Man'ы, HowTo'зы) >её можно реализовать. >Буду рад другим идеям! >Заранее благодарен! перефразируя ваш восторженный крик: вот блин оказывается есть такой протокол, от которого виндовз не подвержена уязвимостям :)) таких советчиков за шиворот и вон (всё что вы описали как раз ваш dhcpd и делает. вам же, необходимо уяснить базовые понятия в науке 'сети' ;) 1. уничтожить winME как класс. 2. _всех_ пользователей на winXP загнать в рамки "Пользователь" и вдумчиво ещё раз просмотреть/перераздать права. попутно поставив _все_ обновления и подняв на одной из машинок микрософт апдейт сервер. ## вы почуствовали что 90% вирусов уже просто безвредно болтаются в юзерспэйс? .oO(вам не пришло в голову поставить антивирус?) 3. поставить антивирус. 4. запретить все "шары" на клиентских машинках, выделив единый буфер на машинке samba + антивирус p.s. после проделывания вышеописанных элементарных процедур можно и подумать о linux router-е..
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Повышение безопасности в сети"
	Сообщение от Sebos on 02-Мрт-04, 14:10  (MSK)
	>перефразируя ваш восторженный крик: вот блин оказывается есть такой протокол, от которого >виндовз не подвержена уязвимостям :)) Нет, так я уж точно не сказал бы :) > >таких советчиков за шиворот и вон (всё что вы описали как раз >ваш dhcpd и делает. вам же, необходимо уяснить базовые понятия в >науке 'сети' ;) Как раз этим я и занимаюсь... шаг за шагом осваиваю возможности моего RH 7.2 :)) > > >1. уничтожить winME как класс. Можно, но сложно... >2. _всех_ пользователей на winXP загнать в рамки "Пользователь" и вдумчиво ещё >раз просмотреть/перераздать права. попутно поставив _все_ обновления и подняв на одной >из машинок микрософт апдейт сервер. Невозможно, т.к. каждый сам владелец своего собственного компа, на котором каждый с правами "Администратор". Апдейт сервер не получится. >## вы почуствовали что 90% вирусов уже просто безвредно болтаются в юзерспэйс? > >.oO(вам не пришло в голову поставить антивирус?) > >3. поставить антивирус. Проблема в том, что я админ ДЛС и не могу всех заставлять ставить антивирусы. Даже если и заставлю, то кто-нибудь может при очередной переустановке системы забыть его поставить и сразу полезть на порно-сайт, с которого успешно заразится сам и всю сеть за считанные минуты. :( >4. запретить все "шары" на клиентских машинках, выделив единый буфер на машинке >samba + антивирус Так и будет сделано, "шары" уберутся... > >p.s. после проделывания вышеописанных элементарных процедур можно и подумать о linux router-е.. > Додскажи пожалуйста где о нём можно почитать. 2 >Варианты: >1. Если уж так хочется изолировать компы друг от друга, то разбить >внутреннюю сетку на много маленьких сеток и линукс пусть маршрутизирует >(конкретно в данном случае, блокирует трафик между клиентами). Идея хорошая! Получится даже не "много маленьких", а всего две: те кому нужен только Интернет (до остального им дела нет, им главное не подцепить "заразу" от кого-нибудь из сети) и тех кто на свой страх и риск будут иметь "шары" и лазить по ним. А вот что было сказано по поводу маршрутизации - как её настроить? наверно ещё сначало понадобится настроить клиентов так, чтобы их любая сетевая активность проходила через сервер, на котором и будет настроена эта маршрутизация? Если можно, в двух словах поясни этот момент... как ни как только учусь :) >2. Или заставить всех пользоваться твоим мейл-сервером, на котором >установить антивирус. Также пускать всех через прокси, на котором >зарезать все опасное. По почте никто не цепляет. А вот порно-сайты (как я догадываюсь) являются причиной заражения. Их просмотр я запретить не могу, а вот что про прокси? Тоже если можно немного по этой теме инфы... Заранее всем спасибо!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Повышение безопасности в сети"
	Сообщение от dev on 02-Мрт-04, 22:17  (MSK)
	>Идея хорошая! Получится даже не "много маленьких", а всего две: те кому >нужен только Интернет (до остального им дела нет, им главное не >подцепить "заразу" от кого-нибудь из сети) и тех кто на свой >страх и риск будут иметь "шары" и лазить по ним. Лучше все-же на каждого по сетке. Иначе кто-нибудь цепляет в Инете очередного бластера и заражает всех окружающих. Возьми 10.0 и дай каждому по 10.0.x сетке. >А вот что было сказано по поводу маршрутизации - как её настроить? >наверно ещё сначало понадобится настроить клиентов так, чтобы их любая сетевая >активность проходила через сервер, на котором и будет настроена эта маршрутизация? Каждому раздаешь по сетке, на своем серваке создаешь по алиасу для каждой из них. Т.е. даешь одному IP 10.0.x.2/24, а себе вешаешь 10.0.x.1/24. На винде default прописываешь 10.0.x.1/24. На файрволе разрешаешь только 10.0.x.2 <-> Инет. >По почте никто не цепляет. Ты уверен? :) >А вот порно-сайты (как я догадываюсь) являются >причиной заражения. Их просмотр я запретить не могу, а вот что >про прокси? Тоже если можно немного по этой теме инфы... Насчет любимого в народе squid'а не скажу, у меня для этой цели privoxy.sf.net используется - вырезает напрочь все, что скажешь, прямо из страницы. Особенно ActiveX.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.