_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Alex Korchmar 2:5020/28.101 24 Nov 98 03:58:26
Subj : Re: Linux as firewall
________________________________________________________________________________
Gennady Shlyahtin <Gennady_Shlyahtin@f1626.n5020.z2.fidonet.org> wrote:
GS>>> Все оборудование уже стоит. Это правильно?
AK>> смотря что ты хотел получить. Hапример, я нaдеюсь, что ты понимаешь, что
AK>> ломать в этой конструкции будут именно _линукс_. И что машина с "www, ftp
GS> Да, именно так и хочу сделать. Что бы возможный удар принимала на себя одна
GS> станция, находящаяся под контролем, а не разбросанные по зданию машины и
ты умеешь ее контролировать? Ты представляешь себе эти самые возможные удары?
Вопрос, собственно, риторический. Я более чем уверен, что ты имеешь, фактически,
сплошную дыру.
Больше толку было бы от NT с MS Proxy на этом месте.
AK>> что такое "сервис файрвола"? Или, скорее: что такое, по твоему,
AK>> файрволл? Файрволл в чистом виде - это такой вот линукс _без_
AK>> роутинга. (учти, что такой файрволл вовсе не означает повышения
AK>> безопасности).
GS> В моем понимании, это программа, контролирующая назначение пакетов на
GS> разных уровнях. Меня интересуют, конечно же, входящие пакеты. И она должна
GS> принимать решение о правомочности направлении данных пакетов в ЛВС. Hе
GS> правильно? Если Линукс упадет от каких-либо злоумышленников, меня это не
GS> сильно расстроит, в отличии от рабочих станций.
а тебя не сильно расстроит, если он _не_ упадет? И если я, скажем,
запущу на нем пару tcpdump'ов на предмет ловли твоих паролей и пару
администрилок Bo, чтоб не гонять траффик через провайдера? А заодно
использую твою машину для атаки на кого-нибудь еще.
AK>> по-моему, нет. В частности, ты явно не понимаешь, что наличие линукса
AK>> с прямым подключением к интернет и есть основная угроза безопасности.
AK>> Все остальные, по сравнению с этой - минимальны.
GS> Как же быть?
читать книжки. Hа время их чтения воспользоваться кусачками. Если
это почему-либо невозможно - заплатить денег тому, кто читал.
GS>>> PS:Версия Red Hat 5.0
AK>> тем более - устаревшей на полгода версии, полной глюков и security
AK>> holes, да еще и устанавливающей по умолчанию кучу совершенно лишних
AK>> для файрволла сервисов, в крайне небезопасной конфигурации.
GS> Хм. Я еще не разу не пробовал, но вроде как можно спокойно скачать
GS> последнюю версию, как ядра, так и утилит. И все это пропатчить до
GS> последней? Hе так?
так. Только это надо, во-первых, делать до того, как высунешься со всем этим
бардаком в инет, во-вторых, конфигурация этой штуки по умолчанию отнюдь не
является безопасной.
AK>> Кстати, что такое у тебя "маршрутизатор"?
GS> CISCO 16XX
гм. Ты что - не знаешь толком даже этого?
В любом случае - с него и начни. Уж во всяком случае пакетный фильтр на 1600
настраиваться должен точно так же, как и на любой другой.
К линуксам можно будет вернуться потом. Сильно так потом.
> Alex
--- ifmail v.2.14.os-p2 * Origin: Дурацкие ответы на дурацкие вопросы (2:5020/28.101@fidonet)
