From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <obidos@mail.ru>
Date: Thu, 10 Apr 2003 10:26:07 +0400 (MSD)
From: Antonio <obidos@mail.ru>
X-X-Sender: tony@tony.localnet
To: ALT Linux Community <community@altlinux.ru>
Message-ID: <Pine.LNX.4.44.0304101019070.754-100000@tony.localnet>
MIME-Version: 1.0
Content-Type: TEXT/PLAIN; charset=koi8-r
Content-Transfer-Encoding: 8BIT
Subject: [Comm] =?koi8-r?Q?For_Michael_Bykov_=28Was=3A_=D6=D5=D4=CB=C9=CA_=CF?=
 =?koi8-r?Q?=C6=C6=D4=CF=D0=C9=CB=29?=
Sender: community-admin@altlinux.ru
Errors-To: community-admin@altlinux.ru
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: community@altlinux.ru
X-Reply-To: Antonio <obidos@mail.ru>
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Id: <community.altlinux.ru>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
List-Archive: <http://www.altlinux.ru/pipermail/community/>
Archived-At: <http://lore.altlinux.org/community/Pine.LNX.4.44.0304101019070.754-100000@tony.localnet/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


Доброго времени суток!

Приношу извинения всему остальному сообществу, но напрямую
Михаилу письмо отправить не удается (его почтовик дает отлуп).
Почему -- в курсе, исправить нарушение стандарта (несоответствие
адреса в From и реального smtp) на своем конце не имею
возможности. :( Подробности могу изложить отдельно.

Возможно, тема покажется интересной не только нам с ним. ;-)

- ---------- Forwarded message ----------
Date: Wed, 9 Apr 2003 17:38:25 +0400 (MSD)
From: Antonio <obidos@mail.ru>
To: Michael Bykov <mb@bibler.ru>
Subject: Re: [Comm] Re: [Comm] [Windows-1251] фСРЙХИ НТ[Windows-1251] РНОХЙ

On Wed, 9 Apr 2003, Michael Bykov wrote:

> Пишу лично раз офтопик. У меня та же ситуация. На линуксовой
> машине внутри сети стоит самба. Провайдер пробросил ssh. Что,
> дыра? Как обезопаситься?

Введем некоторые понятия:

1) защищенная сеть (ко всем ее машинам доступ извне закрыт, но с
одной на другую в пределах сети и с машин защищенной сети в
интернет -- можно).

2) DMZ -- "демилитаризованная зона". К машинам этой сети можно
иметь доступ как из интернета, так и из машин защищенной сети.
Но ни одна машина, принадлежащая DMZ, не может иметь доступ в
защищенную сеть. В DMZ обычно размещаются почтовый, веб- и
ftp-серверы, а также то, к чему по правилам принятой политики
безопасности можно давать доступ извне.

Получается примерно такая схема построения типовой сети
организации:

      ------------------------------
     |     ---                      |
     |    |DMZ|                     |
     |     ---                      |
     |      |                       |
     |  --------                    |
Inet---|firewall|---|secure_net1|   |
     |  --------       . . .        |
     |      |          . . .        |
     |       -------|secure_netN|   |
     |                              |
      ------------------------------

Все, что находится внутри большого прямоугольника, принадлежит
организации, "Inet" -- суть шнурок от провайдера. Все, что
находится за пределами организации, считается незащищенным и
опасным.

secure_net1, ... secure_netN -- защищенные сети, обязательно
разные _физически_, включаемые в _разные_ порты файрволла. DMZ
- -- также отдельная _физическая_ сеть (возможно, состоящая всего
из одной машины), включенная в свой _отдельный_ порт файрволла.

На файрволле запрещено устанавливать любые сервисы, будь то ftp,
mail или еще что. В идеале это, конечно же, специализированная
железяка, но в реальности отлично работает (например, у меня,
тьфу-тьфу-тьфу) OpenBSD в режиме transparent bridge с оторванным
всем, кроме Packet Filter.

Тот ssh, который вам пробрасывает провайдер, вы можете
пробрасывать на своем файрволле только на какую-то из машин,
принадлежащую DMZ, но никак не в какую-либо из защищенных
сетей, иначе вся защита теряет смысл.

Смысл всего сказанного выше:
1) Любая возможность подключиться извне -- потенциальная
опасность.
2) Машины в DMZ не должны содержать _ЦЕННЫХ_ или
конфиденциальных данных.
3) При взломе любой машины, принадлежащей DMZ, защищенные сети
не страдают.
4) При взломе любой машины, принадлежащей защищенной сети,
страдают и защищенные сети, и DMZ.
5) Взлом файрволла равносилен взлому всех сетей, как DMZ, так и
всех защищенных, поэтому к его настройке подходят особенно
тщательно, не допуская ни одного сервиса на файрволле. Его
задача -- грубо говоря, распределять пакеты, а не принимать
почту или что еще.

P.S. Все это можно найти в Интернете в более четком изложении, в
том числе и с примерами настроек файрволла. Поищите, например,
на http://www.opennet.ru.

- --
Best regards,
	Tony.			mailto:obidos@mail.ru
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.0 (GNU/Linux)

iD8DBQE+lQ6B2gaLrWRbr5URAiWaAKCTPA0x7F+9kgPiEEXami3eyhC3eACdFOqe
uaazdUZT/USmzv0N4GE0Fiw=
=5vEg
-----END PGP SIGNATURE-----