Каква политика на сигурност...

Здравейте,

доколкото се ориентирам във форума участват и администратори на големи (за България) мрежи. Та имам един въпрос, който се надявам да прерастне в дискусия.

Каква политика на сигурност бихте предприели за сравнително голяма мрежа (>100 PCs) относно затварянето на портове на вътрешните и външните рутери?

- Бихте ли затворили всички портове с изключение на тези от които ще имате нужда (и знаете как да браните) или

- Бихте затворили само тези портове, за които имате съмнение, че са или ще бъдат обект на атаки и от които нямата нужда.

Ще ми бъде интересно да чуя мнението на хора, който са администрирали мрежи по някой от двата метода.

Аз лично, затварям портове само когато се наложи. Естествено говоря главно за forward, портовете за достъп до самите рутери или сървъри са по-скоро затворени (без необходимите, де).

1. За Самите сървъри , затварям всичко освен портовете които ми трябват.

2. за клиентските - INCOMING = -SYN -j DROP

Лично мое мнение макар да не съм мрежов администртор макар да съм правил няколко мрежички с рутерчета e.

iptables -P INPUT DROP и да си даван на това което ми е нужно.

<blockquote id="quote"><font size="1" id="quote"><b id="quote">quote:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">Лично мое мнение макар да не съм мрежов администртор макар да съм правил няколко мрежички с рутерчета e.

iptables -P INPUT DROP и да си даван на това което ми е нужно.



<div align="right">Originally posted by LinuxLoader*-*19/01/2004*:* 12:58:31</div id="right">

</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">



да но аз като потребител искам като си платя за достъп до интернет да получа достъп до интернет не някакви жалки редиректи през прокси и филтрирани всички портове с изключение на 3-4.И да се чудиш после защо немога да се свържа към домашното си ПЦ или да получавам и изпращам файлове през ICQ или DCC.

Така, аз в момента се занимавам с администрация на малка мрежичка за интернет по точно това е част от мрежата на едно от ISP-tata в България но няма значение кое е то.При нас политиката е да не се затварят никакви портове с изключение на тез който се използват от червейте или за някаква друга подмолна цел.Много е тъпо да се затварят един куп портове и после клиента да мрънкоти що не работи това, що не работи онова.Голяма част от колегите филтрират 90 % от портовете и по този начин си пестят капцитета на връзката към БГ или чужбина.Няма да давам конкретни примери за да не обидя някой без да искам.Лошото е, че крайния потребител като му кажат,че няма достъп до еди кво си заради съображения за сигурност го приема за чиста монета което въобще не е така.Също така те прекарват през поне 1 прокси което не е много ясно как е настроено и дали не те резва и то.

С две думи моето лично мнение е, че не трябва да има филтрирани портове с изключение на тези използвани с недобронамерена цел.

Практически има два метода на работа при администрирането на достъпа до дадена мрежа и кои портове трябва да се затварят и кои не зависи от метода.

1. Затворен метод : Затварям всичко и позволавам това което е нужно през прокси.

- Метода се ползва предимно от администратори на мрежи във фирми или държавни учреждения по този начен ограничават служителите да не правят глупости в работно време. За жалост някой от колегите доставчици го прилагат и в мрежите за доставка на интернет.



2. Отворен метод: Трафика се форлърдва без да се филтрира като се налагат филтри само към определени портове с цел защита на мрежата от червей и дос атаки.



Лично аз се придържам към отворения метод, но той е много по-трудоемък за администратора от първия макар да е по-либерален към юзерите. От друга страна има една такава практика при потребителите, че обикновенно без ограничения се стремят да използват негарантираната скорост за която плащат като гарантирана.

съгласен съм че има случай когато е по хубаво всичко да е филтрирано но лошото е че и в двата случая се казва "достъп до интернет" макар че в единия по скоро е достъп до web.По принцип с ISP-тата от повинцията по лесно може да се разбереш но софийските са ужасни.След като аз си поемам отговорност и си плащам невиждам какъв е проблема да се махнат филтрите към моето ip или мрежа.

<blockquote id="quote"><font size="1" id="quote"><b id="quote">quote:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">съгласен съм че има случай когато е по хубаво всичко да е филтрирано но лошото е че и в двата случая се казва "достъп до интернет" макар че в единия по скоро е достъп до web.По принцип с ISP-тата от повинцията по лесно може да се разбереш но софийските са ужасни.След като аз си поемам отговорност и си плащам невиждам какъв е проблема да се махнат филтрите към моето ip или мрежа.



<div align="right">Originally posted by Coppermine*-*22/01/2004*:* 12:33:07</div id="right">

</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">

Problema e che kato admina ti mahne filtrite, a pokrai tebe i na oshte 20-tina usera posle kato stane flood trqabva da tursi koi ot vas go prichinqava, a tova nikak ne e lesno kogato prez rutera minavat 30-40 Mbit traffic.