[Comm] For Michael Bykov (Was: жуткий оффтопик)

[Antonio]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


Доброго времени суток!

Приношу извинения всему остальному сообществу, но напрямую
Михаилу письмо отправить не удается (его почтовик дает отлуп).
Почему -- в курсе, исправить нарушение стандарта (несоответствие
адреса в From и реального smtp) на своем конце не имею
возможности. :( Подробности могу изложить отдельно.

Возможно, тема покажется интересной не только нам с ним. ;-)

- ---------- Forwarded message ----------
Date: Wed, 9 Apr 2003 17:38:25 +0400 (MSD)
From: Antonio <obidos на mail.ru>
To: Michael Bykov <mb на bibler.ru>
Subject: Re: [Comm] Re: [Comm] [Windows-1251] фСРЙХИ НТ[Windows-1251] РНОХЙ

On Wed, 9 Apr 2003, Michael Bykov wrote:

> Пишу лично раз офтопик. У меня та же ситуация. На линуксовой
> машине внутри сети стоит самба. Провайдер пробросил ssh. Что,
> дыра? Как обезопаситься?

Введем некоторые понятия:

1) защищенная сеть (ко всем ее машинам доступ извне закрыт, но с
одной на другую в пределах сети и с машин защищенной сети в
интернет -- можно).

2) DMZ -- "демилитаризованная зона". К машинам этой сети можно
иметь доступ как из интернета, так и из машин защищенной сети.
Но ни одна машина, принадлежащая DMZ, не может иметь доступ в
защищенную сеть. В DMZ обычно размещаются почтовый, веб- и
ftp-серверы, а также то, к чему по правилам принятой политики
безопасности можно давать доступ извне.

Получается примерно такая схема построения типовой сети
организации:

      ------------------------------
     |     ---                      |
     |    |DMZ|                     |
     |     ---                      |
     |      |                       |
     |  --------                    |
Inet---|firewall|---|secure_net1|   |
     |  --------       . . .        |
     |      |          . . .        |
     |       -------|secure_netN|   |
     |                              |
      ------------------------------

Все, что находится внутри большого прямоугольника, принадлежит
организации, "Inet" -- суть шнурок от провайдера. Все, что
находится за пределами организации, считается незащищенным и
опасным.

secure_net1, ... secure_netN -- защищенные сети, обязательно
разные _физически_, включаемые в _разные_ порты файрволла. DMZ
- -- также отдельная _физическая_ сеть (возможно, состоящая всего
из одной машины), включенная в свой _отдельный_ порт файрволла.

На файрволле запрещено устанавливать любые сервисы, будь то ftp,
mail или еще что. В идеале это, конечно же, специализированная
железяка, но в реальности отлично работает (например, у меня,
тьфу-тьфу-тьфу) OpenBSD в режиме transparent bridge с оторванным
всем, кроме Packet Filter.

Тот ssh, который вам пробрасывает провайдер, вы можете
пробрасывать на своем файрволле только на какую-то из машин,
принадлежащую DMZ, но никак не в какую-либо из защищенных
сетей, иначе вся защита теряет смысл.

Смысл всего сказанного выше:
1) Любая возможность подключиться извне -- потенциальная
опасность.
2) Машины в DMZ не должны содержать _ЦЕННЫХ_ или
конфиденциальных данных.
3) При взломе любой машины, принадлежащей DMZ, защищенные сети
не страдают.
4) При взломе любой машины, принадлежащей защищенной сети,
страдают и защищенные сети, и DMZ.
5) Взлом файрволла равносилен взлому всех сетей, как DMZ, так и
всех защищенных, поэтому к его настройке подходят особенно
тщательно, не допуская ни одного сервиса на файрволле. Его
задача -- грубо говоря, распределять пакеты, а не принимать
почту или что еще.

P.S. Все это можно найти в Интернете в более четком изложении, в
том числе и с примерами настроек файрволла. Поищите, например,
на http://www.opennet.ru.

- --
Best regards,
	Tony.			mailto:obidos на mail.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.0 (GNU/Linux)

iD8DBQE+lQ6B2gaLrWRbr5URAiWaAKCTPA0x7F+9kgPiEEXami3eyhC3eACdFOqe
uaazdUZT/USmzv0N4GE0Fiw=
=5vEg
-----END PGP SIGNATURE-----