Xpoint
   [напомнить пароль]

Выбор оптимального файрволла для защиты от атак типа "отказ от обслуживания"

Метки: [без меток]
[удл]
2004-02-09 13:27:26 [обр] Алексей Севрюков(6/1280)[досье]

Подскажите пожалуйста какой файрволл (желательно коммерческий) лучше использовать для небольшой корпоративной сети для защиты от атак типа "отказ от обслуживания". Критерии - простота настройки, скорость работы, степерь защиты.

И как лучше оптимальным образом защитить сеть от атак подобного рода если устройство сети выглядит примерно так
Оптоволоконка - Модем - Свитч - Компютеры
Т.е. компы выходят в сеть через свитч, который напрямую подключен к оптоволокну. Имеет ли смысл ставить интернет-сервер или можно обойтись без него?

Спасибо.

спустя 1 час 20 минут [обр] Виталий Ульченков(22/116)[досье]
Т.е. компы выходят в сеть через свитч, который напрямую подключен к оптоволокну
А модем тут где?
спустя 1 час 59 минут [обр] Ruant(4/359)[досье]
И что за компьютеры стоят в сети, что им угрожает DoS-атака? Какие услуги они предоставляют? Тогда можно будет поговорить и о защите. Хотя, вроде не придумали защиты от распределённой DoS-атаки.
спустя 35 минут [обр] Виталий Ульченков(22/116)[досье]
И причём тут интернет-сервер? Да и что это такое - "интернет-сервер"?
спустя 44 минуты [обр] Алексей Севрюков(6/1280)[досье]

Виталий Ульченков[досье] Модем перед свичем, там спец модем, оптоволоконка -> свитч

Ruant[досье] Ну вот такие компы и вот есть атаки, услуги они предоставляют такие, о каких никто не должен знать. Факт в том, что постоянно кто-то что-то шлет по этим IP, шлют так что подвисает иногда даже. Ну понятно что ничего не придумали, ну ведь файрволл должен хоть немного разгрузить ситуацию отсеивая непрошеные пакеты.

спустя 1 минуту [обр] Алексей Севрюков(6/1280)[досье]
Виталий Ульченков[досье] я наверно неправильно выразился, под Интернет Сервером я имел ввиду конечно же шлюзовую машину, которая выступает в роли шлюза и прокси-сервера для выхода в инет и внешнюю сеть.
спустя 15 часов [обр] Денис Гетман(0/228)[досье]
 Вообще-то нормальные свичи сами с таким справляются.
Я уж не говорю о нормальных операционках, которые н уровне ядра атаки отслеживают. Или ваш админ умудрился на шлюз поставить виндовую машину ;-)
 А вообще-то, это и есть совет - поставить юниксовый шлюз, отобрать у внутренних машин реальные ip, если такие есть, и все общение делать через NAT.
спустя 2 часа 17 минут [обр] Алексей Севрюков(6/1280)[досье]

Денис Гетман[досье] дело в том что шлюзовой машины нет вообще :-) Вот такой вот админ у нас. У всех компом выделенный ИП для выхода в инет.

Хотелось бы поподробнее про юниксовые шлюзы и NAT, честно говоря я в UNIX - ноль без палочки.

спустя 31 минуту [обр] Денис Гетман(0/228)[досье]
 Во все распространенные ядра (т.е. во freeBSD и в linux) встроены модули файрволла, которые помимо прочего могут выполнять и трансляцию сетевых адресов (т.е. NAT). Обычно это компьютер с двумя сетевыми интерфейсами - внутренним и внешним. Такой компьютер назначается шлюзом локальной сети и соответственно все исходящие наружу пакеты посылаются на него. Он меняет в них обратный локальный адрес на свой внешний и отсылает в интернет. При ответе проделывается обратная операция. Как правило, у всех такие пакеты еще и проходят через прокси-сервер, чтобы порезать баннеры, уменьшить траффик да и проследить, куда лазят пользователи. Это все очень сильно упрощенно.
 Разумеется, все это можно проделать и на винде, но все реализации, что я видел, выглядят достаточно убого после простейшей юниксовой настройки.
 Если у нас есть необходимость для локального компьютера иметь прямой выход в интернет (раз у вас такой админ - вам врядли это нужно), то можно сопоставить порт шлюза порту компьютера локальной сети.
спустя 49 минут [обр] Алексей Севрюков(6/1280)[досье]

Денис Гетман[досье]нет, такой необходимости нет, все что нужно это ИЕ и Аутглюк + максимально возможная защищенность. Так как в Юнихе я почти нуль, хотелось бы узнать оптимальные варианты для Виндовых систем. И можно ли обойтись без двух интерфейсов на шлюзовой машине. Т.е. например, имеется Винда 2000 Сервер, на нем прописан реальный ИП для прямого выхода в инет и стоит проксик и файрволл, рабочие машины имеют внутренние ИП (например теже самые 192.168.0.*) и выходят через прокси в инет.

Все машины (и сервер и рабочие станции) подключены к одному свитчу, к которому напрямую подключена оптоволоконка.

Можно ли обойтись без реорганизации сети и отставить все в таком же виде?
Ограничений нет, т.е. трафику не то что много - это невообразимо много.

спустя 1 час 10 минут [обр] Денис Гетман(0/228)[досье]
 Как минимум нужно две сетевых карты на виндовом сервере.
И настройка свича таким образом, чтобы он оптоволокно переводил на одну из сетевых карт сервера. Ну и поставить WinRoute или Wingate. Они смогут сделать то что нужно. Разумеется, придется постоянно ставить все сервис-паки винды, которая должны быть только 2000. В идеале - постоянно обновление с сайта микрософт. Ну и наложение постоянных заплаток на саму программу файрвола.
 А подключать виндовые рабочие станции с реальным Ip и неограниченным трафиком в интернет - это просто круто. Я когда последний раз смотрел логи сервера - было штук 40 слепых атак за день. Хотя у него даже доменного имени нет. Вас когда-нибудь найдет чей-нибудь червь и пойдет потеха. А что хоть за организация с такой хреновой безопасностью? У нас вон две фри стоят и свич CISCO c параноидальными настройками, да и то нельзя сказать, что мы в полной безопасности.
спустя 33 минуты [обр] Алексей Севрюков(6/1280)[досье]

Денис Гетман[досье] Вот такая организация, сервис паки все ставятся, абсолютно все и на все, так что с этим проблем нет. А что лучше WinGate или WinRoute, с WinGate я работал - штука удобная, а какие плюсы и минусы у нее по сравнению с WinRoute?

По поводу рабочих станций согласен, действительно круто, просто в этой организации деньги считаю в баксах и мешками. Так что у них там все для этого нормально. А сам по себе свитч вообще помогает в этом деле?

спустя 13 минут [обр] Udjin(3/3)[досье]
КОли деньги мешками то не мудрствуя лукаво купите CISCO 1605 или Cisco 1761
Встанет удовольствие в 900 / 1600 US$
Настройка займет 5 минут.
acl (правила защиты сети) вам сделают там где будете покупать (равно и предварительные все настройки типа NAT и пр и пр)
Только корректно обозначьте продавцам свои требования по прикладному ПО на офисных машинах
Будете жить аки "у бога за пазухой"
Один раз настроите и забудете о проблемах до скончания веков (ресур у портов CISCO 10 000 часов - это 11 годиков).
спустя 5 минут [обр] Udjin(3/3)[досье]
Сам по себе свич помогает только в том случае если он лежит в ценовом диапазоне 1200 - 1500 зеленых денег.
Точнеее - он поможет не потерять производительности сети при ее инфицировании какой нибудь гадостью типа myDOOM
Также свич поможет защитить сегменты от проникновения извне а равно и от походов в интернет ... но это уже политика безопасности.
Свичи с енжинами маршрутизации - типа NORTELL Accelar стоят достаточно дорого.
Для офиса из 5 машин можно использовать в сцепке то что я описал выше.
Другой вариант - CISCO PIX FIREWALL
Мощная вещь требующаяя довольно серъезных знаний. Но опять же хороший продавец вам ее настроит под вашу задачу.
спустя 1 час 10 минут [обр] Денис Гетман(0/228)[досье]
 Или студент-третьекурсник за 100 баксов настроит вам фрю на каком-нибудь старом пне и вы про нее тоже на 11 лет забудете. Шучу, конечно.
 Хорошая циска - вешь очень полезная, но ее тоже надо обслуживать. Все течет, все изменяется. В том числе и ip у провайдера.
 Впрочем, страсть руководства к экономии неистребима, поэтому вы скорее всего поставите файрволл на существующую конфигурацию. Сам по себе WinRoute пожалуй что получше для тонких настроек, но зато WinGate по умолчанию обычно ставится и сразу начинает работать.
спустя 2 часа 8 минут [обр] Алексей Севрюков(6/1280)[досье]
Денис Гетман[досье] А сложно ли ее обслуживать, эту Циску? Насколько я понял эта Циска платформо независимая и прикладное программное обеспечение имеется и под винды?
спустя 45 минут [обр] Виталий Ульченков(22/116)[досье]

Я бы тоже рекомендовал CISCO PIX. Судя по тому, что копьютеры предоставляют какие-то сервисы во вне, то NAT не подойдёт. Но и в случае с реальными IP, PIX достаточно надёжно прикроет вашу сеть: вы сможете отрубать весь трафик с нежелательных адресов, разрешать доступ только к определённым портам и т.д.

Если у вас небольшая сеть, то вам подойдёт PIX 506, к примеру.

Cisco - это готовая железка. Одним концом вы включаете её в модем, другим в ваш свич. И весь трафик во вне/из вне проходит через неё.

спустя 11 часов [обр] Udjin(3/3)[досье]

2 Денис Гетман
Циску обслуживать и легко и сложно одновременно.
Циска - она другая :-)) Их не зря кошками кличут. Эти железки - они сами по себе. Они вне и они над :-))

2 Виталий Ульченков
На самом деле на той же 1605 можно организовать проброс чего угодно и куда угодно и на сколь угодно серый адрес.
Даже с использованием NAT.
Другое дело что контент фильтр на базе CISCO PIX предоставит принципиально другой уровень сервиса.
И в то же время не сумеет сделать того что умеет делать простенький маршрутизатор от той же CISCO
Нужно смотреть задачу. Причем, не в том виде как она описана, а в расширеном, и как минимум, с перспективой развития предприятия хотя бы на пару лет. Филиалы, отделы, сервисы и тд и тп.

спустя 2 дня 7 часов [обр] Алексей Севрюков(6/1280)[досье]

Виталий Ульченков[досье]
Udjin[досье]
Спасибо за разъяснения, но меня больше интересует режим типа "Запросил документ - получил пакеты из вне, не запрашивал, а пакет пришел - отрезаем нахрен". Есть ли что-то подобное?

И насколько я все понял сперва я думаю поставлю
Win 2000 Advansed Server + WinGate

А потом если будет плохо - то уже Циску.

Еще раз всем спасибо. Тему закрывать пока не надо, она еще пригодится.

спустя 3 часа 41 минуту [обр] Udjin(3/3)[досье]

2 Виталий
Да, конечно есть.

deny all from any to me in
allow check state
allow all from me to any setup
deny all from any to any

Вот такие четыре строчки. Это ответ из серии "как спросили так и получили"
Будет плохо не потому что решение не на базе киски а потому что планинга нет. Соответственно и не просчитать конфигурацию.
Но на сейчас действительно не стоит вкладывать серъезные деньги в инфраструктуру вашей сети.
ТОлика желания + freesco (быстрее всего рализует вашу задачу)
Железо - любое с 2 - мя сетевыми адаптерами.

спустя 3 месяца 12 дней [обр] Давид Мзареулян(7/1003)[досье]
М-да... сколько шуму-то:)
Вообще-то, поставленная задача спокойно решается при помощи совершенно любого NAT-а. Начиная с "Internet Connection Sharing", встроенного в винду. Никакие вингейты не нужны — это всё технологии прошлого века. Не хочется выставлять винду голой ж. в интернет (правильно не хочется, на самом деле) — покупается любой роутер для домашних сетей за 50-70$. Например от D-Link-а. Это только для примера, таких роутеров сейчас сколько угодно и от любого бренда. И всё. Никаких цисок, боже упаси, они тут не нужны.
спустя 4 месяца 22 дня [обр] Алексей Севрюков(6/1280)[досье]
Давид Мзареулян[досье] Т.е. я могу спокойно ставить такую штуку и забыть про программный фарволл вообще?
спустя 2 часа 3 минуты [обр] Давид Мзареулян(7/1003)[досье]
Алексей Севрюков[досье] В рамках поставленной Вами задачи — да.
спустя 46 минут [обр] Алексей Севрюков(6/1280)[досье]
Давид Мзареулян[досье] А ее сложно настраивать?
спустя 41 минуту [обр] Давид Мзареулян(7/1003)[досье]
Алексей Севрюков[досье] Извините, за пять месяцев Вы могли бы уже стать гуру в этом вопросе.
спустя 38 минут [обр] Алексей Севрюков(6/1280)[досье]
Давид Мзареулян[досье] Да я ничего не делал все эти 5 месяцев. Это не мне надо было, человек попросил узнать, я и узнавал.
спустя 17 минут [обр] ddd(5/36)[досье]
Алексей Севрюков[досье]
Тут есть эмулятор настройки.
Powered by POEM™ Engine Copyright © 2002-2005