Jump to content
BulForum.com

Сигурност на мрежи и информация в тях


Jorkis

Recommended Posts

Надявам се да се получи добра и ползотворна дискусия на тази тема.

 

Става въпрос за не малка мрежа с така да се каже централен файлов сървър, а също така се използва и Exchange 2000 server. 'Задачката' е да се защити информацията на файловия сървър, тоест да не бъде изнесена от рамките на мрежата или по-точно някои типове файлове не трябва да бъдат изнесени навън по какъвто и да е начин.

 

Надявам се някой разбиращ от тези неща да си даде мнението по въпроса и също така да даде някакви препоръки.

 

Аз съм се ориентирал към запознаване с ISA Server на Microsoft. Като казах Microsoft, нека първоначално си говорим за софтуер за Windows, по-нататък ако зациклим може да си помислим и за Linux. Та мисълта ми е правилно ли съм се ориентирал към разучаване на ISA Server. От Microsoft дават предложение и за Rights management, може би има решения и с някакви proxy сървъри. Имам още доста неща да кажа по темата, но ако има интерес и най-вече компетентни мнения може да се развие още тази тема.

 

И така очаквам някой да вземе отношение по въпроса!

Thanks in advance ;)

Link to comment
Share on other sites

Би ли пояснил какво ще рече "немалка"?Какво имаш предвид?И за какъв Windows?

Дай малко повече разяснения.

Link to comment
Share on other sites

немалка защото са около 100 pc-та (не е като в siemens примерно с 120 000 pc-та, но за нашите стандарти мисля, че не е малка ;)), няколко switcha и hub-a. Windows-ите са от 95 до ХР :) без МЕ, като повечето са 98 и ХР. Файловият сървър е на NT, но скоро може би ще мине на 2003

Link to comment
Share on other sites

По-добре да остане на NT -така ще е междинна от 98 и ХР.

А и хубаво си се ориентирал към ISA Server на Microsoft :)

Поне ще сбъгват заедно :lol: Шегувам се.

За такава мрежа не е хич лошо даже.Но за съжаление познанията ми се изчерпват до тук-много мъгляво нали?Просто искам и аз да науча нещо за по-големите мрежи и затова се включих в темата.

Доколкото предполагам-на базата на бедния си опит-най-добре е да видиш какви managements предлагат Microsoft ,и с какви проксита се разполага...

Ама нищо по-умно не се сещам :(

Link to comment
Share on other sites

Подробна информация по въпроса има тук. Нали не очаквате някой да седне да обяснява надълго и на широко.  B)

Естествено, че не очаквам някой да започне да ми обяснява как се работи с ISA server :), просто искам някой да сподели наблюдения свои и не само, за това как е решен при други мрежи този проблем. С какъв софтуер и т.н. То е ясно че не само microsft.com ще се чете, а и много други източници.

Link to comment
Share on other sites

По логично е да напишеш проблема, въпроса в гугъла - там винаги изкачат интересни дискусии във разни специализирани форуми. Те ще ти бъдат по полезни. Иначе ще е лава-лава цялото писане.

Link to comment
Share on other sites

Надявам се да се получи добра и ползотворна дискусия на тази тема.

 

Става въпрос за не малка мрежа с така да се каже централен файлов сървър, а също така се използва и Exchange 2000 server. 'Задачката' е да се защити информацията на файловия сървър, тоест да не бъде изнесена от рамките на мрежата или по-точно някои типове файлове не трябва да бъдат изнесени навън по какъвто и да е начин.

 

Когато говорим за сигурност в мрежова среда, принципите, които се прилагат общо взето не зависят толкова от мащаба на системата. Едно от най-важните неща е точното изясняване на активите/ресусрсите, които представляват ключов интерес и различните групи с права за достъп до тях.

От постановката е ясно единствено, че става въпрос за windows файлов сървър. Не е ясно обаче какви правомощия трябва да се задават на отделни групи потребители (ако въобще ще има такива) или просто трябва да се защити системата от външен достъп.

Съвсем принципно казано, основна грешка, която се допуска в такива ситуации е използването на този файлов сървър с още една камара несвойствени услуги (всичко, което може да се пусне, като DNS, WINS, HTTP и т.н.), като дори машината в много случаи се прави и gateway на самата мрежа.

Това е груба грешка и представлява сериозна заплаха за целостта на мрежата.

Подобен файлов сървър най-общо трябва да бъде инсталиран във вътрешния периметър на мрежата (задължително зад firewall и задължително с private IP) и да предлага само конкретната услуга. Това е първата сериозна стъпка към осигуряването на сигурността на вътрешния периметър. Ако е необходимо външни за мрежата клиенти да имат достъп до въпросния сървър, решението е само едно - IPSec VPN. Очевидно е, че тази windows машина трябва да е "пачната до дупка", както и да са спряни всякакви излишни services.

След тези основни постановки може да се премине към по-солиден security модел, като инсталиране на допълнителни приложения за сигурност на самия сървър (firewall и IDS, но вече само за конкретния service).

 

Смятам, че този общ план дава ясни насоки за осигуряване на сигурността на подобен тип мрежи.

Link to comment
Share on other sites

централен файлов сървър

Аз бих препоръчал Novell файлов сървър. При нас работят два такива сървъра за около 90 компютъра и от години нямаме проблеми с информацията на тях. Пък и личното ми мнение е, че Novell-а е по-свестен за файлов сървър от другите алтернативи, особено ако се ползва най-вече в рамките само на локална мрежа.

Link to comment
Share on other sites

@ Nibelung

за какво му е smtp на въпросния сървър?????

 

или се хващаш за това:

Съвсем принципно казано, основна грешка, която се допуска в такива ситуации е използването на този файлов сървър с още една камара несвойствени услуги (всичко, което може да се пусне, като DNS, WINS, HTTP и т.н.), като дори машината в много случаи се прави и gateway на самата мрежа.

Това е груба грешка и представлява сериозна заплаха за целостта на мрежата.

 

ясно е написано :) няма начин да се забрани нещо което не е инсталирано ;)

Link to comment
Share on other sites

kak moje da se zabrani izprashtaneto na opredeleni faylove (ne tipove faylove) po e-mail  na user , koyto ima pravo da gi polzva i vkarvaneto na informaciata ot tyah v drug fayl ?

 

Това не е никак лесна задача. По принцип може да се използват различни решения за филтриране на съдържанието при отделните услуги (например mail gateway + content filter), обаче това не е всичко. Всеки може да използва и други канали за пренос (включително USB drive в джоба :)), които да прецакат подобна схема за сигурност.

Процесите във вътрешния периметър са най-сложни за управление от гледна точка на сигурността. Затова над 80% от пробивите в системи се осъществяват отвътре.

Link to comment
Share on other sites

@ Nibelung

за какво му е smtp на въпросния сървър?????

Ne govorya za vytreshen mail-server.

govorya za slednoto:

user ot vytreshnia perimetyr ima pravo na dostyp do nyakakyv fayl. Kopira informaciata ot tozi fayl v drug fayl ot syshtia ili ot drug tip i posle go prashta po e-mail kato prikrepen. Polzva web-baziran e-mail - ne POP3 ili IMAP.

Citiram Godfather:"По принцип може да се използват различни решения за филтриране на съдържанието при отделните услуги (например mail gateway + content filter), обаче това не е всичко."T

Tova me interesuva.

Link to comment
Share on other sites

Ето ви една супер параноична ситуация (например нещо като щаб-квартирата на ЦРУ в Ленгли :woot ):

Работните места на служителите не са компютри, а само терминали, в които не можеш да "пъхнеш" никакъв носител. Освен това всеки служител се сканира на влизане/излизане за всякакви технологични джаджи, които могат да пренасят информация. Всички канали за пренос на информация са надлежно скрити, екранирани и т.н. Сървърите са затворени в супер изолирани и блиндирани помещения.

В такава среда (след като е приложен адекватен модел на физическа сигурност и надежден контрол на достъпа) може да се приложи входно/изходен филтър на съдържанието за всичката информация, която влиза/излиза от системата.

 

Хаха, сигурно си мислите, че в тази супер параноична система нищо не може да остане скрито-непокрито и никой не е в състояние да изнесе секретна информация.

Да, ама не. Дори в тези церберски условия съществуват начини.

Ето само един пример:

Взимам си файлчето със секретната информация и първото нещо е да го криптирам с някакъв n-битов супер як последна дума на криптографската технология шифър. Това ще ми гарантира, че никой няма да може да дешифрира текста. Остава проблема с изнасянето. Ами разцепвам файлчето на определен брой малки части и всяка от тях вкарвам чрез методите на стеганографията в най-обикновени картинки (например от последното ми летуване на Хаваите :D), след което вече спокойно мога да си ги атачна по мейла. ;)

 

Тази хипотетична ситуация не е сценарий от филм за Джеймс Бонд, а е напълно реално осъществима схема (при това с open source инструменти :)), която показва колко изключително трудна е защитата на вътрешния периметър.

Link to comment
Share on other sites

Това, което Nibelung е питал, също е много важно за мен. Само филтриране на файлове по разширения не помага, тъй като всеки може да смени разширението на файла и няма как да разбереш, че е пратено навън нещо, което не трябва.

Сега ще дам още малко разяснения по мрежата, за която говоря. Файловият сървър в никакъв случай няма да е gateway към интернета. Exchange сървърът е на друга машина. Всички машини са с частни адреси. Създадени са потребители както за домейна на файловия сървър така и за Exchange сървъра. Използва се Active Directory. За всеки потребител са дадени различни права и всеки има достъп до определена част от файловата система. Докато не се намери решение за защитата на информацията, а именно нищо да не излиза навън, Интернет ще имат определен брой компютри, а също и Exchange сървъра. Единствената връзка на потребителите с външния свят ще е пощата през Exchange сървъра. Ще бъдат създадени някои правила в Exchange сървъра, но те няма да са достатъчни. Защо? Ами защото както казах всеки може да преименува даден файл и да го прати навън. За това трябва да има някакъв филтър на Exchange сървъра. За него има доста продукти, които не са никак евтини, но все още не съм разбрал дали има такива, на които може да им се зададе някакъв файл като шаблон и те да проверяват прикрепените файлове по този шаблон, независимо от разширението. Излишно е може би да казвам, че и рутер ще бъде сложен, но все пак и това да поясня.

Може би най добре ще бъде рутер, след него gateway за вътрешната мрежа и след него всички pc-от от вътрешната мрежа.

Според вас нужен ли е този вътрешен gateway или може и без него след като ще има рутер? Но може би е по-добре да има, тъй като ако ще се слагат някакви решения на Microsoft, като ISA сървър или пък нещо за rights management, или някакво proxy, те трябва да са последна инстанция преди достъпа до интеренет.

Някои предлагат да бъде забранен upload-a от вътрешната мрежа навън и прикрешянето на файлове, но това са прекалено драстични решения, тъй като все пак трябва да излиза нещо навън и все някакви файлове ще трябва да бъдат пращани.

Има много неща за обмисляне и много часове със сигурност ще бъдат пекарани пред интернет и над 'книжки', но съвсем скоро тази процедура ще трябва да започне.

Така, че ако има някои от тук присъстващите, на които им предстои намиране на такива решения, ще е хубаво да споделят идеи и някакви решения. Аз също ще споделям до какви изводи съм стигнал, стига да успея да стигна :lol:

Link to comment
Share on other sites

...

Според вас нужен ли е този вътрешен gateway или може и без него след като ще има рутер? Но може би е по-добре да има, тъй като ако ще се слагат някакви решения на Microsoft, като ISA сървър или пък нещо за rights management, или някакво proxy, те трябва да са последна инстанция преди достъпа до интеренет.

Някои предлагат да бъде забранен upload-a от вътрешната мрежа навън и прикрешянето на файлове, но това са прекалено драстични решения, тъй като все пак трябва да излиза нещо навън и все някакви файлове ще трябва да бъдат пращани.

...

 

Има нужда, ако трябва да се повиши нивото на сигурност, защото принципно рутера може да осъществява защитата само на Layer 3/4 ниво чрез съответните списъци за достъп (access-lists). Естествено, ако рутера е линукс машина може да се качи всичко, но така се нарушават много важни принципи на сигурността.

Проблемът обаче в този конкретен случай е друг. Не случайно описах онази дежймсбондовска хипотетична ситуация, защото осъществяването на сигурността по така зададените условия е почти невъзможно. Дори да инсталираш някакви супер филтри на въпросния mail-gateway, всеки потребител, който е минимално в час ще може да си прави каквото си поиска безнаказано - само с използването на софтуер за криптиране, като PGP (който освен това е и много user-friendly и не иска кой знае какви способности) - за online безнаказани транзакции или още по-просто USB drive за offline такива :)

Според мен по-добре е да се разчита на съвестта и лоялността на дадения служител, след като му се предоставя достъп до конкретна поверителна информация (при положение, че юридически е обвързан с подписването на съответни декларации и носене на отговорност). Така е значително по-евтино, а нивото на сигурност е почти същото в сравнение с варианта на филтрирането на съдържание ;)

Link to comment
Share on other sites

... Защо? Ами защото както казах всеки може да преименува даден файл и да го прати навън. За това трябва да има някакъв филтър на Exchange сървъра. За него има доста продукти, които не са никак евтини, но все още не съм разбрал дали има такива, на които може да им се зададе някакъв файл като шаблон и те да проверяват прикрепените файлове по този шаблон, независимо от разширението. Излишно е може би да казвам, че и рутер ще бъде сложен, но все пак и това да поясня....  :lol:

Потърси си приложение, което ще ти проверява файловете по отпечатък (md5sum). Така ще можеш до някъде да разрешиш проблема с разширенията.

Също така можеш да си наемеш програмист, който да ти създаде и имплементира единна система за приемане/изпращане на файлове....Може да се използват и отворени решения, но все пак зависи много от целта на заданието :)

Link to comment
Share on other sites

Потърси си приложение, което ще ти проверява файловете по отпечатък (md5sum). Така ще можеш до някъде да разрешиш проблема с разширенията.

Също така можеш да си наемеш програмист, който да ти създаде и имплементира единна система за приемане/изпращане на файлове....Може да се използват и отворени решения, но все пак зависи много от целта на заданието :)

 

ddb, едва ли в този случай използването на md5 хешове ще е от полза, защото не се търси гарантиране на цялостност и идентичност, а нещо съвсем друго. Ето примера: ако променя само един знак от даден (поверителен) документ (например премахна само една запетайка), тогава веднага се променя md5 сумата, но документа по смисъл си остава същия. Така мога да го прекарам през въпросната проверка. Да не говорим ако го пусна криптиран.

Просто осъществяването на сигурността в тази конкретна ситуация е практически осъществимо само чрез адекватни юридически похвати (клетвени декларации и т.н.).

Много трудно би било уповаването само на технологиите поради изброените вече доста примери.

Link to comment
Share on other sites

@Nibelung

Ти си по гадно копеле и от мен :) подвеждаш ме :angry1

 

Godfather написа всичко. Масова практика на отговорни места е да не се обръща внимание на USB. Моя близка си изнесе всичко което и трябваше, точно с усбдрайвче, при все че нямаше флопи и cdw :) Местата където ходя по работа - всичките са уязвими точно там. Не знам това дали се дължи на това, че повечето разбиращи ги няма вече в бг или на това, че се назначават предимно хора с връзки. И не са само тук дупките - пълно безхаберие е. Миналата седмица ми пуснаха RDC до един компютър в мрежа, за да си оправям моите неща, без админа вообще да се сети, че по този начин ставам вътрешен за цялата им мрежа. И мога да си копирам каквото си искам :) Най му беше зора да ме пусне на амнайсти порт (да не е 3389) и да ми фиксира ип-то. :)

 

Лесно се ползва и ftp до free сървърчета. Проблема е, че и в двата случая следите остават. Иначе vpn към домашния компютър върши работа и там няма как да чекваш нищо. Бе измъкване няма. ама пак логче :)

Link to comment
Share on other sites

do xiT: taka veche mi haresvash ;)

az sym si paranoik i vijdam slabostite :D

a pyk zakona ... "ono zakono si e dupka u pole" :D

 

P.P. Moje li da se ogranichi plozvaneto na USB-port na user po nyakakyv nachin ?

Naprimer kato se pozvolyava dostyp na usera do dyalove samo s opredeleni bukvi ili kato vyobshte sa deinstalirani drayverite za USB i se premahne vyzmojnostta user da instalita takiva. Kak e tova pri Windows i kak pri Linux ?

To moje i ot BIOS-a da mu zabranish USB-ustroystvata , ama mnogo programki ima za paroli na BIOS :(

P.P. Koya programa za vijdane , a ne nulirane na parolite na BIOS i na Windows naistina si vyrshi rabotata dobre ?

Izlishno e may da kazvam koy predpolagam che e sposoben da otgovori na bezkraynite mi vyprosi :D

Link to comment
Share on other sites

P.P. Moje li da se ogranichi plozvaneto na USB-port na user po nyakakyv nachin ?

Naprimer kato se pozvolyava dostyp na usera do dyalove samo s opredeleni bukvi ili kato vyobshte sa deinstalirani drayverite za USB i se premahne vyzmojnostta user da instalita takiva. Kak e tova pri Windows i kak pri Linux ?

To moje i ot BIOS-a da mu zabranish USB-ustroystvata , ama mnogo programki ima za paroli na BIOS  :(

P.P. Koya programa za vijdane , a ne nulirane na parolite na BIOS i na Windows naistina si vyrshi rabotata dobre ?

Izlishno e may da kazvam koy predpolagam che e sposoben da otgovori na bezkraynite mi vyprosi :D

 

Забрави. Винаги може да се ползва USB-то ако присъства в хардуера (освен ако не е повредено :woot ). Всички тези BIOS-пароли и забрани са за леймърите. Дори сериозните права за достъп на една ОС могат лесно да бъдат разбити на пух и прах при физически достъп до едно стандартно PC.

Затова в централата на ЦРУ наистина работят само с терминали :D

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...