reorganizacja sieci pod katem bezpieki :))

Prosze o sugestie jak oddzielic siec wewnetrzna od inetu
obecnie siec sklada sie m.in. z
router dosowy (fr z polpaku)
2x linux na jednym dostep modemowy + www + real audio, na drugim
listserwery (dns na obydwu)
1x nt (www + sql)
sala dostepowa do internetu i serwera novellowego
inni w zasadzie tez korzystaja z novella ale tylko sale generuja duzy
ruch

w zalozeniu w przyszlosci na jednego linuxa (tego z modemami) bedzie
sie mozna zalogowac tylko z konsoli i z modemu(tylko ppp) (bedzie
obslugiwal
dnsa, listserwery, i wszystko co wazne - moze na nim postawic jakas
zapore??

czy jest jakies oprogramowanie (linux, nt)
ktore posadzone na routerze pozwala na
zarzadzanie przepustowoscia w sensie takim ze
temu adresowi ip dajemy tyle kbps max a temu tyle???

kuba

w zalozeniu w przyszlosci na jednego linuxa (tego z modemami) bedzie
sie mozna zalogowac tylko z konsoli i z modemu(tylko ppp) (bedzie
obslugiwal
dnsa, listserwery, i wszystko co wazne - moze na nim postawic jakas
zapore??

czy jest jakies oprogramowanie (linux, nt)
ktore posadzone na routerze pozwala na
zarzadzanie przepustowoscia w sensie takim ze
temu adresowi ip dajemy tyle kbps max a temu tyle???

Michal

Witam,

w zalozeniu w przyszlosci na jednego linuxa (tego z modemami) bedzie
sie mozna zalogowac tylko z konsoli i z modemu(tylko ppp) (bedzie
obslugiwal
dnsa, listserwery, i wszystko co wazne - moze na nim postawic jakas
zapore??

pozdrowka
Dominik M. Miklaszewski

Your rifle is only a tool.      
It is a hard heart which kills..
             <Full Metal Jacket

Ok, ale bez dns, listserva i tego "wszystkiego co wazne"
Nie zalecane jest pakowanie wszystko-w-jedno, na zaporke przeznacza sie
osobna maszynke bez zbednych aplikacji, wywalajac nawet kompilatory z
systemu na ktorym ma "biegac" dany filtr czy proxy :)

Michal

| Ok, ale bez dns, listserva i tego "wszystkiego co wazne"
| Nie zalecane jest pakowanie wszystko-w-jedno, na zaporke przeznacza sie
| osobna maszynke bez zbednych aplikacji, wywalajac nawet kompilatory z
| systemu na ktorym ma "biegac" dany filtr czy proxy :)

Nie zgadzam sie.  Lepiej zeby te rzeczy (widoczne z zewnatrz jak
litserver czy DNS!) byly posadzone *na* firewallu (lub jeszcze
lepiej na komputerze w strefie zdemilitaryzowanej) niz na maszynie
w srodku z kontami uzytkownikow.

Przeciez nie mowilem zeby wrzucac te uslugi do jednego kociolka z
uzytkownikami :) Jak najbardziej jestem za zeby zrobic DMZ dla uslug,
natomiast nie zgodze sie zeby np. DNS stal na firewallu (chocby "wpadka" z
bindem)..albo listserv czy majordomo ..
przeciez im wiecej rzeczy upakujemy w firewalla tym wieksze
prawdopodobienstwo ze ktos kiedys bedzie szybszy w czytaniu rootshella od
nas :)

pozdrowienia

Dominik M. Miklaszewski

Your rifle is only a tool.      
It is a hard heart which kills..
             <Full Metal Jacket

| Ok, ale bez dns, listserva i tego "wszystkiego co wazne"
| Nie zalecane jest pakowanie wszystko-w-jedno, na zaporke przeznacza sie
| osobna maszynke bez zbednych aplikacji, wywalajac nawet kompilatory z
| systemu na ktorym ma "biegac" dany filtr czy proxy :)

Nie zgadzam sie.  Lepiej zeby te rzeczy (widoczne z zewnatrz jak
litserver czy DNS!) byly posadzone *na* firewallu (lub jeszcze
lepiej na komputerze w strefie zdemilitaryzowanej) niz na maszynie
w srodku z kontami uzytkownikow.

Przeciez nie mowilem zeby wrzucac te uslugi do jednego kociolka z
uzytkownikami :) Jak najbardziej jestem za zeby zrobic DMZ dla uslug,
natomiast nie zgodze sie zeby np. DNS stal na firewallu (chocby "wpadka" z
bindem)..albo listserv czy majordomo ..

przeciez im wiecej rzeczy upakujemy w firewalla tym wieksze
prawdopodobienstwo ze ktos kiedys bedzie szybszy w czytaniu rootshella od
nas :)

Michal

Po jasna cholere na firewallu ? Firewall to ma byc maszynka nie do
zdobycia - najwazniejsza zapora w sieci. Po co ja kaleczyc otwierajac
jakies uslugi na niej ?
Malo to problemow z DNSem bylo?

Pozdro

To taki pomysł na serwer. Wrzucić wszystko na jedną maszynę, doczepić do
tego LAN, uproszczona administracja, taka sobie propozycja dla firm które
się nie znają.
Niektórym strasznie sie podoba właśnie to że wszystko jest w jednym kawałku.
Oczywiście takie podejście ma prawo się zemścić.

M.

: To po kiego grzyba na wiekszosci komercyjnych firewall-i sa
: wbudowane uslugi np: DNS, NNTP,SMTP,FTP,WWW?

To taki pomysł na serwer. Wrzucić wszystko na jedną maszynę, doczepić do
tego LAN, uproszczona administracja, taka sobie propozycja dla firm które
się nie znają.
Niektórym strasznie sie podoba właśnie to że wszystko jest w jednym kawałku.
Oczywiście takie podejście ma prawo się zemścić.

Pozdro

[...]
| Po jasna cholere na firewallu ? Firewall to ma byc maszynka nie do
| zdobycia - najwazniejsza zapora w sieci. Po co ja kaleczyc otwierajac
| jakies uslugi na niej ?
| Malo to problemow z DNSem bylo?

No dobrze.
To po kiego grzyba na wiekszosci komercyjnych firewall-i sa
wbudowane uslugi np: DNS, NNTP,SMTP,FTP,WWW?

Wiekszosc uslug pisanych wraz z firewallem reprezentuje znacznie bardziej
wyzszy poziom bezpieczenstwa niz te zwykle darmowe (co nie znaczy ze
zawsze - wyjatki sa zawsze).

Istnieje tez sytuacja odwrotna - masz router cisco - glowne dzialanie
routing. Ale przeciez firewall (w sensie filtra pakietow) sie przyda.

Coz IMHO jak ma byc firewall i moze byc bez zadnych uslug to lepiej niz
cos co moze stanowic dodatkowe zagrozenia.

Ja z koleji podam Ci inny przyklad - wez sobie zobacz system Plan9.
Jak wiele rzeczy jest tam robione na zasadzie rozproszonych uprawnien.
To podstawowa zasada. Rozdzielic wszystko bo rzadk osie tak dzieje ze
wszystko na raz jest dziurawe. Pojawia sie  np blad umozliwiajacy
uzyskanie zdalnych praw root'a przez server www. No coz - w najgorszym
przypadku ktos zmieni strony jesli admin bedzie wolny/malo przytomny/mial
pecha. A co jsli to bylby dodatkowo firewall ktory by cos chronil ?
Droga stoi otworem.

Wiekszosc uslug pisanych wraz z firewallem reprezentuje znacznie bardziej
wyzszy poziom bezpieczenstwa niz te zwykle darmowe (co nie znaczy ze
zawsze - wyjatki sa zawsze).

Pozdro

[...]
| Wiekszosc uslug pisanych wraz z firewallem reprezentuje znacznie bardziej
| wyzszy poziom bezpieczenstwa niz te zwykle darmowe (co nie znaczy ze
| zawsze - wyjatki sa zawsze).

  Obys mial racje. Jak wiadomo wszelkie patch (np do Linuxa) dochodza
bardzo szybko. Do takich komercyjnych rzeczy moze byc duzo gorzej
Obym sie mylil!

To taki pomysł na serwer. Wrzucić wszystko na jedną maszynę, doczepić do
tego LAN, uproszczona administracja, taka sobie propozycja dla firm które
się nie znają.
Niektórym strasznie sie podoba właśnie to że wszystko jest w jednym kawałku.
Oczywiście takie podejście ma prawo się zemścić.

:       A F/W posadzony na routerze?

Już lepiej. Pod warunkiem że będzie to router do którego nie ma dostępu
np. via telnet z całego świata. Ale nie na każdym routerze można posadzić
jakiś osobny soft. Często router i firewall to dwie osobne maszyny.

M.

A tak wogóle ta jaki jest sens stawiania np DNS na innej maszynie.
Musisz wtedy definiowac odp proxy dla odwolanie DNS z sieci wewnętrznej
z sieci zewnętrznej a jak masz jeszcze SSN.
Ja tak sobie mysle, że DNS moze stac na firewall-u a inne usługi jak
WWW, NNTP, FTP czy pocztę mozna wepchnąć do ssn

Dominik M. Miklaszewski

Your rifle is only a tool.      
It is a hard heart which kills..
             <Full Metal Jacket

Czesc,
Przepraszam ze tak pozno, ale nie bylo mnie 7-9.08 w Sz-nie :)

Well...  Jak nie masz strefy zdemilitaryzowanej, to IMHO
lepiej zeby serwery staly *na* firewallu (najlepiej w chrootowych
srodowiskach), niz *za* firewallem.

A jesli chodzi o NDS, to gdzies trzeba go postawic.  8-)

8-)
Na to jest jedno - bardziej skuteczne rozwiazanie.
Po prostu ograniczyc ilosc udostapnianych uslug.  8-)

pozdrowka
Dominik M. Miklaszewski

Your rifle is only a tool.      
It is a hard heart which kills..
             <Full Metal Jacket

[...]
| Wiekszosc uslug pisanych wraz z firewallem reprezentuje znacznie bardziej
| wyzszy poziom bezpieczenstwa niz te zwykle darmowe (co nie znaczy ze
| zawsze - wyjatki sa zawsze).

  Obys mial racje. Jak wiadomo wszelkie patch (np do Linuxa) dochodza
bardzo szybko. Do takich komercyjnych rzeczy moze byc duzo gorzej
Obym sie mylil!

pozdrowka
Dominik M. Miklaszewski

Your rifle is only a tool.      
It is a hard heart which kills..
             <Full Metal Jacket

A jesli chodzi o NDS, to gdzies trzeba go postawic.  8-)

http://www.clark.net/pub/mjr/pubs/dns/index.htm

nic, szperam dalej :)
pozdrowka
Dominik M. Miklaszewski

Your rifle is only a tool.      
It is a hard heart which kills..
             <Full Metal Jacket

| Well...  Jak nie masz strefy zdemilitaryzowanej, to IMHO
| lepiej zeby serwery staly *na* firewallu (najlepiej w chrootowych
| srodowiskach), niz *za* firewallem.

Hmm.. albo wystawic je na "odstrzal" *przed* :)

| A jesli chodzi o NDS, to gdzies trzeba go postawic.  8-)

Ok, to moze tak:
dwa DNS'y - jeden wewnatrz sieci, TYLKO dla maszyn *za* fw,
a drugi bedzie DNS postawiony na firewallu dla odwolan z zewnatrz.

| Na to jest jedno - bardziej skuteczne rozwiazanie.
| Po prostu ograniczyc ilosc udostapnianych uslug.  8-)
Zgoda, wiec jesli ktos ma ambitne plany co do swiadczonych uslug, to go na
zmajstrowanie DMZ stac byc powinno :)

Michal

  Czy dobrze rozumiem, że strefa zdemilitaryzowana, to nitka między routerem,
a firewall-em ?

: | A jesli chodzi o NDS, to gdzies trzeba go postawic.  8-)
:
: Ok, to moze tak:
: dwa DNS'y - jeden wewnatrz sieci, TYLKO dla maszyn *za* fw,
: a drugi bedzie DNS postawiony na firewallu dla odwolan z zewnatrz.

  Czy/jak można schować DNS za firewall-em z maskaradą ? Czy konieczna jest
trzecia karta sieciowa ? Czy możliwe jest umieszczenie hosta z oficjalnym IP
w maskaradowanej sieci ?
  Gdzie postawić pocztę, WWW i FTP ?

  Czy dobrze rozumiem, że strefa zdemilitaryzowana, to nitka między routerem,
a firewall-em ?

  Czy/jak można schować DNS za firewall-em z maskaradą ?

Czy konieczna jest trzecia karta sieciowa ?

Czy możliwe jest umieszczenie hosta z oficjalnym IP
w maskaradowanej sieci ?

  Gdzie postawić pocztę, WWW i FTP ?

Michal

  Rozumiem, że w strefie zdemilitaryzowanej znajdują się (mogą się znajdować)
oficjalne IP. A jak wtedy zachowuje się maskarada ? "Ukrywa" sieć wewnętrzną
dla obu pozostałych sieci ?

:   Czy/jak można schować DNS za firewall-em z maskaradą ?
: Wewnetrzny DNS mozna/powinno sie schowac za firewall-em.
: Jak?  Poprostu go nie przepuszczac.  8-)

  Miałem na myśli DNS zewnętrzny. Rozumiem, że można go schować w strefie
zdemilitaryzowanej ?

: Czy konieczna jest trzecia karta sieciowa ?
: Nie konieczna.  Wskazana.

  A bez niej - można używać oficjalnych IP w sieci typu 10.0.0.0 ?
Ogólnie - można w jednym segmencie używać różnych adresów sieci (np. 10.0.0.0
i 195.168.0.0) ? Jak wtedy ustawia się routing ?

: Czy możliwe jest umieszczenie hosta z oficjalnym IP
: w maskaradowanej sieci ?
: Jest mozliwe, ale nie wskazane.

  Jak ? Czego nie doczytałem ?

:   Gdzie postawić pocztę, WWW i FTP ?
: W strefie zdemilitaryzowanej.  Poczte postawic na maszynie
: bez kont uzytkownikow, sciagana przez POP3 albo IMAP.

  WWW i FTP na jednej maszynie, poczta, DNS zewnętrzny na drugiej ?
Hmm ... a DNS wewnętrzny na trzeciej ? Kurtka, zabraknie mi komputerów.

  No i jeszcze dostęp zdalny. Można wpuszczać użytkowników za firewall ?
Jest to do zrobienia bezpiecznie ?

  Rozumiem, że w strefie zdemilitaryzowanej znajdują się (mogą się znajdować)
oficjalne IP. A jak wtedy zachowuje się maskarada ? "Ukrywa" sieć wewnętrzną
dla obu pozostałych sieci ?

[...]

  A bez niej - można używać oficjalnych IP w sieci typu 10.0.0.0 ?
Ogólnie - można w jednym segmencie używać różnych adresów sieci (np. 10.0.0.0
i 195.168.0.0) ? Jak wtedy ustawia się routing ?

: Czy możliwe jest umieszczenie hosta z oficjalnym IP
: w maskaradowanej sieci ?
: Jest mozliwe, ale nie wskazane.

  Jak ? Czego nie doczytałem ?

:   Gdzie postawić pocztę, WWW i FTP ?
: W strefie zdemilitaryzowanej.  Poczte postawic na maszynie
: bez kont uzytkownikow, sciagana przez POP3 albo IMAP.

  WWW i FTP na jednej maszynie, poczta, DNS zewnętrzny na drugiej ?
Hmm ... a DNS wewnętrzny na trzeciej ? Kurtka, zabraknie mi komputerów.

  No i jeszcze dostęp zdalny. Można wpuszczać użytkowników za firewall ?
Jest to do zrobienia bezpiecznie ?

Pozdro

  Rozumiem, że w strefie zdemilitaryzowanej znajdują się (mogą się znajdować)
oficjalne IP. A jak wtedy zachowuje się maskarada ? "Ukrywa" sieć wewnętrzną
dla obu pozostałych sieci ?

:   Czy/jak można schować DNS za firewall-em z maskaradą ?
: Wewnetrzny DNS mozna/powinno sie schowac za firewall-em.
: Jak?  Poprostu go nie przepuszczac.  8-)
  Miałem na myśli DNS zewnętrzny. Rozumiem, że można go schować w strefie
zdemilitaryzowanej ?

: Czy konieczna jest trzecia karta sieciowa ?
: Nie konieczna.  Wskazana.
  A bez niej - można używać oficjalnych IP w sieci typu 10.0.0.0 ?
Ogólnie - można w jednym segmencie używać różnych adresów sieci (np. 10.0.0.0
i 195.168.0.0) ? Jak wtedy ustawia się routing ?

Odpowiedz na pytanie zalezy od przyjetej konstrukcji firewall'a
(sposobu ustawienia filtrow pakietow itp).

: Czy możliwe jest umieszczenie hosta z oficjalnym IP
: w maskaradowanej sieci ?
: Jest mozliwe, ale nie wskazane.
  Jak ? Czego nie doczytałem ?

:   Gdzie postawić pocztę, WWW i FTP ?
: W strefie zdemilitaryzowanej.  Poczte postawic na maszynie
: bez kont uzytkownikow, sciagana przez POP3 albo IMAP.
  WWW i FTP na jednej maszynie, poczta, DNS zewnętrzny na drugiej ?
Hmm ... a DNS wewnętrzny na trzeciej ? Kurtka, zabraknie mi komputerów.

  No i jeszcze dostęp zdalny. Można wpuszczać użytkowników za firewall ?
Jest to do zrobienia bezpiecznie ?

Pozdrawiam,
                Michal