.security tips (original) (raw)

(no subject) [Mar. 2nd, 2006|04:11 pm]Tips on securing your network
Народ! Помогите, плиз, найти работу!!!Хочу работать в БЕЛОЙ компании и заниматься ИБ с позиций аналитики или проектирования.Опыта мало =(
Link Leave a comment
(no subject) [Aug. 27th, 2005|08:48 pm]Tips on securing your network
Помогите решить проблему, плиз!!!Описание:Хостинговая система реализвана на FreeBSD/Apache/ProFTP/Exim. Юзеры висят на общем IP.На каждого юзера заведен свой раздел. Пользователь имеет доступ к разделу по фтп. Имя сайта юзера прописывается в заголовок апача, т.о. происходит перенаправление запроса в нужный раздел.Юзер может класть в свой раздел любые файлы, но только в свой раздел (ограничен фтп).Вопросы:1. Как дать всем пользователям доступ к PHP и MySQL, чтобы при этом они не получили доступ друг к другу?2. Как дать доступ к скриптам, используемым для системных нужд? В частности к поисковому скрипту, к отправки почты и т.п. Т.е. из пользовательской части (Javascript) должен запуститься (для опреденности поисковый скрипт), который прочтет файл (search.xml), найдет в нем нужную строку и вернет обратившейся программе номер этой строки.
Link 1 comment|Leave a comment
.планирование сети (часть 2а) [Aug. 3rd, 2005|03:08 pm]Tips on securing your network
**Планирование сети крупной организации. Общий план.**Эту часть хотелось начать со слов: "что-бы приготовить сеть крупной организации вам потребуются следующие ингридиенты" :)В крупных компаниях требования к безопасности и надежности сети гораздо выше. В целях безопасности рекомендуется выделиить в локальной сети как минимум 3 сегмента: пользовательская подсеть, серверная подсеть и DMZ. В некоторых случаях существует необходимость вынести принт-сервера (у которых отсутсвует контроль доступа) и тестовые системы в отдельный сегмент.Связь с филиалами осуществляется посредством шифрованного VPN-канала для обеспечения безопасного доступа филиалов во внутреннюю сеть организации. Всё возможное сетевое оборудование и сервера следует поместить в серверную (рекомендации по серверной будут описанны отдельно). Для начала рассмотрим общий (укрупненный) план, после чего пойдем по отдельным участкам сети.Оригинал (Visio, 685Kb)Начнем с локальной сети:UserNET (LAN)В пользовательской сети находятся все рабочие станции пользователей. Так-же туда следует поместить такие сервера общего доступа как файл сервер, прокси сервер, принт сервера и другие вспомогательные сервера, предполагающие большой траффик, для уменьшения нфагрузки на роутер.ServerNETВ серверной сети размещаются production-сервера баз данных и приложений, контроллер домена и некоторые вспомогательные сервера.Test/DevelopmentЕсли структура ИТ в компании предполагает разработку и отладку приложений, баз данных или других систем, то желательно их так-же выделить в отдельный изолированный сегмент.PrintNETВ случае если в компании экономят на принт-серверах и сетевых принтерах со встроенными функциями разграничениия доступа, имеет смысл спрятать их в другом сегменте и установить в пользовательской сети сервер, который будет предоставлять доступ к принтерам как к сетевым ресурсам.DMZВ DMZ, как обычно помещаем сервера, предоставляющие какие-либо сервисы всему миру (клиентам и пр.). В этот сегмент попадают web-сервера (в случае, если веб-сервера используют какие-либо сервера баз данных их тоже необходимо поместить сюда), DNS-сервера, ftp-сервера и VPN-роутеры.Firewall/RouterТут необходимо серъезное железо и обязательно с дублирующей системой. Количество сетевых интерфейсов по количеству сегментов сети. В случае, если Firewall/Router и центральный свитч поддерживают VLAN то можно обойтись и меньшим количеством интерфесов. В случае, если они поддерживают link-aggregation, можно объеденить несколько сетевых интерфейсов в один для увеличения пропускной способности.ФилиалыФилиалы, в принципе, представляют из себя малые офисы, за исключением того, что у них отсутствует DMZ сегмент, и Firewall/Proxy/VPN можно объеденить на одной системе.
Link 6 comments|Leave a comment
.планирование сети (часть 1) [Aug. 2nd, 2005|02:47 pm]Tips on securing your network
**Планирование сети малого офиса.**Итак, пойдем от простого к сложному. Как правило повышенная безопасность для малых офисов не требуется. Нет необходимости разделять сервера и пользователей в разные подсети, поэтому рассмотрим разделение всего на 3 сегмента: локальный, DMZ и интернет. Филиалы, как правило, работают автономно и доступа во внутреннюю сеть компании не имеют. Типичная топология сети малого офиса может выглядеть примерно так:оригинал (Visio, 272Kb)**Сперва пройдемся по локальной сетке.**Свитчи:Есть вариант поставить один многопортовый свитч, но нельзя забывать, что это single point of failure. Заменить 1 маленький свич, в случае поломки, гораздо быстрее, дешевле и проще, а так-же на время замены другие участки сети будут продолжать работу. Опять-же снижается нагрузка на основную магистраль за счет того, что трафик внутри одной группы не попадает на свитчи в другой. Это не так заметно, пока ваши дизайнеры не начнут перекидывать друг-другу файло по 100-200 Мб ;)Сервера:Зачастую рабочей группе не нужен выделенный файл/принт сервер. В малых организациях как правило хватает одного зашаренного принтера на кабинет. Чем меньше файл-серверов тем проще организовать бэкап данных. Тут важно не упустить из виду группы пользователей которым действительно необходим отдельный файл-сервер (вспомним то-же пример с дизайнерами).**Теперь внешняя сетка.**DMZ:В DMZ помещаем сервера, которые предоставляют какие-либо сервисы всему миру. Например, это может быть веб-сайт компании.Firewall/proxy:Фактически это роутер, с 3 сетевыми интерфейсами, по 1 в каждый сегмент: в локалку, в DMZ и в интернет.
Link Leave a comment
.планирование сети (вступление) [Aug. 2nd, 2005|02:46 pm]Tips on securing your network
Планирование сетиСуществует множество примеров различных топологий сети. В каждом случае, конечно, топология сугубо индивидуальна и зависит от нужд организации. Обычно отправной точкой является определение масштабов организации в целом и сетевых ресурсов в частности. Как правило выделяют 3 типа организаций:1. небольшой офис (до 50-100 рабочих станций, до 5 серверов*, 1-3 филиала)2. большой офис (от 100 до 300 рабочих станций, до 30 серверов, 3-20 филиалов)3. корпорация (более 300 рабочих станций, более 30 серверов, филиалы в разых странах)* - здесь не имеются ввиду рутера и файрволыКак правило, от размера организации так-же зависят и требования к надежности сети ( лирическое отступлениеCollapse ).Планируя сеть необходимо закладывать как минимум двухкратное ее увеличение. В моей практике был случай, когда сегменты сети были спланированы так, что в последующем ее расширение было несколько затруднено.В следующих постах я попытаюсь конкретно и сжато рассмотреть возможные топологии для всех трех типов организаций.
Link Leave a comment
.предисловие [Aug. 2nd, 2005|02:45 pm]Tips on securing your network
Вот уже 5 лет я работаю сетевым администратором. В последние несколько лет мне пришлось плотно работать и в сфере сетевой безопасности (как по производственной необходимости, так и из личного интереса). Я не считаю себя проффесионалом в этом деле, но хорошим специалистом, который узнает что-то новое каждый день. За эти годы накопилось множество мыслей по обеспечению сетевой безопасности и безпасности информационных систем в целом. Оформлять эти мысли в книгу или ряд подробных статей у меня нет, к сожалению, времени, поэтому я создал своеобразный блог, в который и буду в виде кратких заметок помещать свои идеи. Возможно кто-то сочтет какие-то из этих идей дилетантскими - добро пожаловать к обсуждению. Тем не менее, я очень надеюсь, что смогу в чем-то облегчить жизнь своим коллегам. Если вам есть чем поделиться с коллегами - присоединяйтесь.
Link Leave a comment
navigation
[ viewing | most recent entries ]