Лучший firewall - отключенный firewall

Угу, и с дрожью в коленках читать рассылки о новых дырах. В таких сетях любая непатченая система будет быстро заэксплойтена. И как автор статьи предполагает следить за пропатченостью ноутбуков работающих в сети?

Короче говоря, вместо одной головной боли для админов, предлагается другая, но никак не выход из положения.

Хлеб - это не головная боль.

>Угу, и с дрожью в коленках читать рассылки о новых дырах. В таких сетях любая непатченая система будет быстро заэксплойтена. И как автор статьи предполагает следить за пропатченостью ноутбуков работающих в сети?

А там про пропатченность явно сказано. А за буками мелкософт последит - там же про AD говорится, т.е. приконнектился к домену и сразу тебе все патчи поставили в добровольно-обязательном порядке.

Во внутренней сетке фаервол и правда нафиг не сдался, если маздайка у ВСЕХ пропатченная.

> Three years ago, I proposed to our technology architects that we eliminate our network firewalls.

Потому что их надо настраивать, а при отсутствии мозгов это проблема.

> Today, we're close to achieving that goal.

За три года он всех задолбал настолько, что ему сказали "делай, что хочешь, только отвяжись; за последствия будешь отвечать сам"

> Back then, I thought that network-based firewalls were losing their effectiveness,

Чем больше "необходимых" сервисов типа KaZaA, RealNetworks и пр., тем сложнее подстроить под них firewall. А он чего хотел?

> Perimeter security was originally intended to allow us to operate with the confidence that our information and content wouldn't be stolen or otherwise abused. Instead, the firewall has slowed down application deployment, limiting our choice of applications and increasing our stress.

Типичный плач лузера, у которого всё валится из лапок.

> To make matters worse, we constantly heard that something was safe because it was inside our network. Who thinks that the bad guys are outside the firewall and the good guys are in?

Очевидно - тот, кто пускает этих "гаёв" на машины в своей сети и следит за ними? Если в сети бардак, то firewall, само собой, не спасёт :) Это проблема несколько иного уровня

> A myriad of applications, from Web-based mail to IM to VoIP, can now tunnel through or bypass the firewall.

А чё, вы ещё не поставили видеокамеры для слежения за сотрудниками? Это первое. Второе: научить, как расправиться с web-based mail и IM тем же файрволлом?

> At the same time, new organizational models embrace a variety of visitors, including contractors and partners, into our networks. Nevertheless, the perimeter is still seen as a defense that keeps out bad behavior. Taking that crutch away has forced us to rethink our security model.

Я начинаю с ужасом подозревать, что под firewall он подразумевает то, что M$ пихнула в winxp. Или он просто вообще не в курсе, что может нормальный firewall.

> Our new security posture gives our users access to more applications regardless of their location and without sacrificing security. The new security architecture isn't focused on our network firewall. Instead, we embed security within our internal network. This begins with separating our servers from our clients. We can do that now, thanks to layer-3 data center switches that allow for the low-cost creation of subnets. By defining simple ACLs, we further isolate our backend servers.

Чё-то я не понял. А что, раньше ваши люзеры могли творить с серваками что угодно? Маммма, ЭТО - сисадмин??? Тогда я, наверно, господь бог...

> Meanwhile, the clients sit in the clear.

Это за счёт чего? На них теперь серверы не нападут, что ли? :)

> We protect them by boosting their immunity levels so that they can exist in harsher conditions.

Ну-ка, ну-ка, а подробнее? Ненавижу напыщенные общие слова.

> They run secure OSs

Гы. WindowsXP, очевидно? :)

> fully patched with current anti-virus protection.

Не понял. Антивирусная защита у него ПАТЧИТ???

> We assign each user a central identity, which is authenticated and validated before accessing the internal DMZ.

Кого и от кого это защищает?

> We use central directories to manage identity privileges and PKI certificates. Existing systems, such as Active Directory, allow for low-cost private certificate authorities where PKI isn't well-established. We also log and monitor the activity and enforce acceptable application behavior.

Короче. Мы отгородились от юзеров, фактически присвоив им ранг злоумышленников. Мы дали им антивируса, а чё там дальше с ними будет - хакнут их из инета, засадив неизвестного трояна или ещё чего - шерифа эти проблемы не касаются. Сервера в безопасности.

Господа, любая крепость имеет несколько поясов обороны. Так вот, внешний пояс они уже сдали противнику, заявив находящимся там своим: "мы вам по шалашику выстроим - сидите в них тихо, авось никто не тронет". А сами спрятались за внутренним поясом, дополнительно укрепив его. Молодцы :)

> By accepting that our internal network isn't much safer than a hostile external network, we've created a more realistic security architecture.

Точно. Это тактический приём такой - заманить противника внутрь :)

> Users have outbound access to services on ports that would normally be closed, bringing fewer restrictions on the types of applications we support (Skype, for example). Since our laptops are now secured against attacks on the internal network, they're capable of withstanding attacks when connected to an open wireless network outside the office. We're also no longer worried about opening new ports in the network firewall because servers get secured at their own DMZ.

Даже комментировать не хочу. Суть такая - от вирусов мы вас худо-бедно защитили, а дальше ипитесь сами как хотите. Наши сервера в домике :)

> Best of all, this architecture didn't require a massive migration. We slowly evolved into this position by reusing our existing networking equipment and eliminating the most troublesome of our security apparatuses--the firewall.

Ура, товарищи! Пережиток прошлого, над настройкой которого надо было ДУМАТЬ, низвергнут! :)

ПЫПЕЦ.

Да не переживай ты так.. ;-))) Каждый сам себе хозяин... в данном случае и так канает... в другом случае понадобиться иное решение.. ;-)

Мораль такова, что без правильного сетевого экрана, внутренние дыры и ляпы конфигурации можно тихо спокойно заделывать. А без оного это проблематично. Все ляпы внутренних сервисов будут намного доступнее снаружи.

Хотя если в их гадюшнике сотрудникам приходится пользоваться неинтранетовским вебмейлом(корпоративным хотмейлом? гы-гы), то что с него взять?..

Плюс в той статье, кажется, писалось на тему того, что туда пускают клиентов со своими ноутами. Что тоже не есть гут.

s/без правильного сетевого экрана/с правильным сетевым экраном/

Что такое DMZ?

> Что такое DMZ?
Идите и учитесь, молодой человек.

> Что такое DMZ?

демилитаризованная зона - отдельный сетевой сегмент в котором располагаются сервера.

> Идите и учитесь, молодой человек.

по существу сказать нечего, но промолчать не способен, да?
иди лечи манию величия, старпер!

>Короче. Мы отгородились от юзеров, фактически присвоив им ранг злоумышленников. Мы дали им антивируса, а чё там дальше с ними будет - хакнут их из инета, засадив неизвестного трояна или ещё чего - шерифа эти проблемы не касаются. Сервера в безопасности.

Пыпец. Человек не знает, что ДМЗ, а так же рабочие станции защищает не сервер, а ПИКС. Пыпец, человек не догоняет, что дыра в фтп на то и дыра, а файрвол тут не причем. Пыпец. Человек думает что он дрявый вэб сервер публичный грамотной настройкой файрвола защитить сможет. Пыпец. Человек не в курсе что в корпоративной сети централизованно апдейтят системы и не спрашивают у кого это либо желают они или нет. Одним словом Пыпец. ;)

P.S. расскажи мне как ты собираешься защитить публичный сервер в локальной сети? Порты закрывать и пинги? От кого? А как все будут работать? Иди свою самбу прикрой все заюзаные ее порты, а я поприкалываюсь как ты будешь потом ресурсы раздавать. ;)
Сборище интелектуалов....

>научить, как расправиться с web-based mail

хм, а как их отличить от прочих сайтов?

> Я начинаю с ужасом подозревать, что под firewall он подразумевает то, что M$ пихнула в winxp. Или он просто вообще не в курсе, что может нормальный firewall.

А я с ужасом начинаю подозревать, что анонимусы настолько ушли в линукс, что не знаю что творится в стане врага. К Вашему сведению начиная с Win2K MS пихает очень хороший firewall.

>хм, а как их отличить от прочих сайтов?

Видимо как всегда банить файрволом. :) По другому тут ничего не знают. Ну еще и пинги закрыть. ;)

Они сидят и изучают cat /proc/net/ip_conntrack :)) А потом проверяют где вэбмайл, а где его нет. :) И банят, банят. Вот поэтому они и красноглазые. :)

> Лучший firewall - отключенный firewall

Лозунг вендового ламера, поставившего себе SP2 на ВыньХР?

А вообще, если подумать, то настройкой файрволла на рабочих станциях должны заниматься пользователи. Раб. станция - это же не сервер и правила там меняются часто. Если юзер - пробка, для админа это обернется настоящим кошмаром и проще его(файрволл) просто вырубить. Учитывая дырявость RPC, основная польза для файрволла на венде - это закрытие RPC и LSSAS портов для всех кроме "избранных". Естественно что список этих "избранных" может часто меняться. Юзеры настройку файрволла просто ниасилят. А админ ниасилит настройку файрволлов для кучи компов в домене. В общем мысль ясна, либо вносить изменения в DNA юзеров, либо признать что файрволл для энд-юзера, все ровно что граната для обезъяны. Лозунг можно обобщить и привести к "Windows ничто не спасет". Firewall - все лишь частный случай.

>А вообще, если подумать, то настройкой файрволла на рабочих станциях должны заниматься пользователи.

Гыыыы, сидит кухарка-экономист по совместительству и настраивает файрвол. :))) Файрвол должен настраиваться централизовано. Сидит админ, у него стоит прога. Он раздает кому какие порты открыть, кому что закрыть. Первый раз слышу, что этим делом кухарка занимается. Возьму этот пёрл на вооружение. ;)

>это закрытие RPC и LSSAS портов для всех кроме "избранных"

:)) А как работать сеть будет виндовая? :) Это же не только фтп и хттп как у ляпиха. ;) Избранные это кто в локальной сети?

>Лозунг можно обобщить и привести к "Windows ничто не спасет". Firewall - все лишь частный случай.

Если исходить что ляпих-это ядро, а не дистрибутив, то ляпиху ничего не грозит...и то случаи бывают. ;) Но если ляпих-это дистрибутив, то уж неси и полную ответственность за дрявость приложений. ;) Кстати. У ляпиха есть файрвол на уровне приложений централизованый или тупо порты баним по ссш? ;)

> есть файрвол на уровне приложений централизованый или тупо порты баним по ссш?

man iptables. Только объясни - нагуй это нужно?

> А как работать сеть будет виндовая?

После правильной настройки - замечательно. Правда, добиться правильной настройки способны только те, кто умеют читать и понимать написанное...

>man iptables. Только объясни - нагуй это нужно?

А нука как заюзать "разрешить порт 2100 для wget и запретить для lftp? Как нагуй нужно? Что бы юзать порты могли только те кому они предназначены.

>После правильной настройки - замечательно. Правда, добиться правильной настройки способны только те, кто умеют читать и понимать написанное...

Опа. Пример в студию расскажи всем как у тебя правило на файрволе выглядит грамотное для 139 порта. ;) Себе замучу.

А что бы вопросы снять по твоему глупому предложению читаем ln -s и понимаем какой это примитив. ;) Кстати. Вопрос выглядит следующим образом _централизовано_ или ты будешь тут по ssh ручками бродить? И чем тогда твой дрявый ssh лучше дрявого RPC?

> Что бы юзать порты могли только те кому они предназначены.

Вообще-то, это распределяется не по программам, а ПО ЮЗЕРАМ.

> А нука как заюзать "разрешить порт 2100 для wget и запретить для lftp?

$100

> Опа. Пример в студию расскажи всем как у тебя правило на файрволе выглядит грамотное для 139 порта.

Еще $100

А что ты хотел? Консультации профессионала дорого стоят.

etopigdec32 да ладно тебе. Ну ребята неопытные. Умничать пытаются ;)

>начиная с Win2K MS пихает очень хороший firewall

Херня'c. Давай расскажи как грохать пакеты с подозрительной комбинацией флагов?

> Вопрос выглядит следующим образом _централизовано_ или ты будешь тут по ssh ручками бродить?

Зачем "ручками" - у меня bash есть:

. /etc/hostdefs ; for i in $IT_TECHS_PCS $SECURITY_PCS ; do ssh -o BatchMode ... ; done

А еще есть init-скрипты, которые могут замечательно утащить любой файл с любого сервера (например, тот же конфиг iptables с указанного мной сервера).

Это UNIX, девочка - здесь можно сделать в систему любую врезку.

>А что ты хотел? Консультации профессионала дорого стоят.

Ты профи? :)) Профи тут одного забанили этопиждиц999 -демона этопижцев. :)

>. /etc/hostdefs ; for i in $IT_TECHS_PCS $SECURITY_PCS ; do ssh -o BatchMode ... ; done

Гыыы, я так и знал что по ssh так вопрос в силе. Чем RPC хуже? ;))

>А еще есть init-скрипты, которые могут замечательно утащить любой файл с любого сервера (например, тот же конфиг iptables с указанного мной сервера).

Зачем думать скрипты когда готовое есть? :)) Хорошо. Отсасал ляпих. скопировал вгет в лфтп и юзай без проблем сей чудный вопрос. ;) Давай мониторить начнем тогда. :) нужна защита такая вообщем. КОроче чувак сидит за столом, его атакуют, тута хобана у тебя лампочка и ты бежишь отпугивать пакеты. :) крон не канает. ;) Ибо это не реалтайм. ;)

>Еще $100 А что ты хотел? Консультации профессионала дорого стоят.

Даша, не ерунди, прям неудобно за тебя стало, ты еще за миску супа согласись. Профи не размениваются на такую дешевку.

>Вообще-то, это распределяется не по программам, а ПО ЮЗЕРАМ.

По программам, кстати, тоже можно, модуль owner имеет опцию --cmd-owner.

> Гыыы, я так и знал что по ssh так вопрос в силе. Чем RPC хуже? ;)) тем что не шифровано, в отличии от ssh. Гы!

>Опа. Пример в студию расскажи всем как у тебя правило на файрволе выглядит грамотное для 139 порта. ;) Себе замучу.

Лехко.

block in proto { tcp, udp } all

pass in proto { tcp, udp } all \
user { < 1000 } keep state

pass in proto { tcp, udp } all \
group { buh_defki } keep state

> ты еще за миску супа согласись

Ну как сказать... $200 за 5 минут работы - итого $2400 в час - нормальная ставка :-)

>По программам, кстати, тоже можно, модуль owner имеет опцию --cmd-owner.

Он меня тыкает в мэн а сам что ли не знает? :))

P.S. Лол, Даша. :)) Еще раз вопрос задаю тебе, профи ты наш, что произойдет при создание линка с вгет на лфтп? :) Правильно. Все заработает. ;) Даша-даша, ты наверное 100 баксов в месяц получаешь. ;)

>anonymous (*) (11.07.2005 13:14:32)

А зачем шифровать удаленное исполнение команд к примеру?

> По программам, кстати, тоже можно

Но не нужно :-) Это придумали виндузятники, у которых трояны встраиваются через активный-хэ и макросы во все подряд ворды, эксели, поверопинты, аутлуки, или просто коннектятся на все подряд smtp-сервера и себя рассылают, открывают соединения слушающие и не очень куда ни попадя и так далее :-)

>Ну как сказать... $200 за 5 минут работы - итого $2400 в час - нормальная ставка :-)

Ты ламо, Даша. Твоя цена 100 баксов в месяц. ;)

>Но не нужно :-) Это придумали виндузятники, у которых трояны встраиваются через активный-хэ и макросы во все подряд ворды, эксели, поверопинты, аутлуки, или просто коннектятся на все подряд smtp-сервера и себя рассылают, открывают соединения слушающие и не очень куда ни попадя и так далее :-)

Значит ты только что говоришь, что Линукс рулит на десктопах? :)))

> профи ты наш, что произойдет при создание линка с вгет на лфтп?

А ничего не произойдет. У всех людей давно сказано /usr/bin/wget и /usr/bin/lftp, и используется политика deny-if-not-allowed. А тупые виндузятники идут в газенваген.

Даша...я не забыл контроля состояния машин в реалтайме. Я жду от тебя решения "Красная лампочка-нас атакуют" крон не канает. Пока крон отработает у тебя пол сети захакают. ;)

>А ничего не произойдет. У всех людей давно сказано /usr/bin/wget и /usr/bin/lftp, и используется политика deny-if-not-allowed. А тупые виндузятники идут в газенваген.

А что у умных людей разрешено? ;) Ну давай в xinit переименуем. От этого что то изменилось? :))

:) Слушай. Тебе то самому не обидно что у виндузятников все так легко и просто в управление сетью? :) Вот просто честно скажи. Зачем тебе со скриптами трахаться а не заюзать готовое? :) Файрвол приложений, не умеющий файрволить. ;) Централизованное только ssh :) Но чем он лучше RPC я так и не понял. ;)

Запарил ты нах. Возьми и подделай md5 у свого бинаря :))))

>Запарил ты нах. Возьми и подделай md5 у свого бинаря :))))

Саныч. Перекопировать названия много ума не составляет, а про мд5 я только сказки слышал что его как бы взломали. ;)

Ладно, Даша, пошел я отрабатывать свою зарплату, а ты пасись со своими скриптами за 100 баксов в пять минут. :)) И потом говорят что винда в обслуживание дороже. :)) Нифига тут цены люликсоиды рубят. 5 минут-100 баксов. Гыыы.

для служащих танковых войск в городе бобруйске:
> а про мд5 я только сказки слышал что его как бы взломали. ;)

мд5 не единственный алгоритм хэширования.

Ты не понял. Система, прежде чем создать процесс, вычисляет md5 твоего бинарника.

>Нифига тут цены люликсоиды рубят. 5 минут-100 баксов. Гыыы

Ну дык, ептыть, не в макдоналсе ведь работаем.