forum.lissyara.su

У меня вопрос - нужен ли firewall на серверах (файловый, dns и пр.) внутри сети? Говорят, что хватит только на шлюзе в интернет и все.

Это зависит от трех факторов.

1) Принятая политика безопасности в компании.
2) Ценность данных, находящихся на внутренних серверах.
3) Пункт 2 + версия ОС, используемая на клиентских станциях.

Если там лежит что то действительно представляющее большую финансовую или другого вида ценность, то да. В остальных случаях хватит файрвола на шлюзе.

фаервол на серверах не нужен
DMZ это сервера или нет
он и на клиентской бсд не нужен

Гость писал(а):фаервол на серверах не нужен...

обоснуйте пожалуйста

феры ставят на сервера доступа pppoe pptp и то не фаеры а нарезатели полос
а толку от фаеров кроме головной боли ?
вы думаете что фаером от кого то защититесь?
если бы вы были сервис провайдером то там в договоре на PI был раньше маленький пунктик о доступности выданых реальных адрессов
вы можете выписать себе сеточку на /22
и прикрыть фаер в самые icmp и tracert, а вам потом ripe возьмет и заберет назад сеточку
и доказывайте сто раз по разу что вы дествительно использовали всю выданую /22 сеть

Гость писал(а):...вы думаете что фаером от кого то защититесь?...

я видимо наивно пологал, что фаер это какая-никакая защита все-таки как ни как...
а есть более убедительные какие-то довыды почему фаер меня может не защитить... не знаю в чем не защитить... ну, вот хоть пример против чего фаер есть/нет вообще пофигу?

а отчего фаер вас может защитить? приведите примеры
ддос флуд? так им можно положить любой канал или любой сервер если к нему нормальный канал

фаер - это подростковый инструмент повышения ЧСВ у себя на локалхост

Нет ну firewall - это первая ступень защиты сервера. Он может защитить от начинающих хакеров или юзеров в сети, пытающихся попробовать что-то взломать. Я не говорю, что это защита от всех бед.

Гость писал(а):а отчего фаер вас может защитить? приведите примеры...

дык, и дело то в том, что у меня порван шаблон... вот и спрашиваю (видимо у более опытного бойца), почему мне не нужен фаерволЪ?
у меня не однои мысли... как грица: что жил - все зазаря

не надо так круто переворачивать моийо мировоззрение,
пожалуйста объясните на примерах помимо ддоса или чего там еще

alex117 писал(а):Нет ну firewall - это первая ступень защиты сервера. Он может защитить от начинающих хакеров или юзеров в сети, пытающихся попробовать что-то взломать. Я не говорю, что это защита от всех бед.

"что-то" это что?
или абы шонибудь було

вот и спрашиваю (видимо у более опытного бойца), почему мне не нужен фаерволЪ?

я так же могу спросить а зачем он нужен?
приведите свои правила фаервола и обоснуйте что без них - у вас случится бЭда

не, ну есть такое (вполне здравое) мнение, что на сервере всё, что слушается - оно должно быть доступно, а если что-то не должно быть доступно, то и слушаться не должно. То есть фаер по сути не нужен.

Но таки зачастую реальность несколько сложнее и определенные разграничения доступа внутри сети проще и удобнее всего реализовывать фаером прямо на сервере.

хм... хм...
не могу привести примеры зачем мне нужен фаер..
разве что пробрасываение портов, я кроме как фаером этого делать ничем другим не умею...

аа вот еще вспомнил такое есть

...Чтобы предотвратить атаки NTLM релеинга с помощью протокола CIFS, следует ограничить использование этого протокола. Во-первых подключения по протоколам NetBIOS (TCP/139) и CIFS over TCP (TCP/445) не должны пропускаться не только из внешней сети во внутрь, но и из внутренней сети наружу...

тут же тожа нужен фаер

думаю если еще подумать, али кто помогет, то еще можно привести зачем фаер нужон

FiL писал(а):...определенные разграничения доступа внутри сети проще и удобнее всего реализовывать фаером прямо на сервере.

тут мы пытаемся выити на реальные примеры зачем фаер нужен, приведите ваш пример пожалуиста

_FreeBSD писал(а):аа вот еще вспомнил такое есть

...Чтобы предотвратить атаки NTLM релеинга с помощью протокола CIFS, следует ограничить использование этого протокола. Во-первых подключения по протоколам NetBIOS (TCP/139) и CIFS over TCP (TCP/445) не должны пропускаться не только из внешней сети во внутрь, но и из внутренней сети наружу...

тут же тожа нужен фаер

фаер нужон что бы охранять винду?
а можно я сам буду охранять свою винду, а мне пожалуста полноценный доступ в интернет
может я буду тестировать вирус на 445 порту
а какой то горе админ решить мне закрыть доступ из вне по этому порту
точно так же и по другим портам

если по большому, то фаер нужен в корпоративных оффисах, где политика безопаснони определяется руководством с выше
но разве это полноценные сервера? это какие то приватные DMZ, которые смешно даже впоминать
в глобальных сетях фаервол никогда не используют

"что-то" это что?
или абы шонибудь було

Ну, к примеру такая вещь как подмена адреса, то есть когда из внешки хакер посылает свой пакет на сервер под видом пакета, пришедшего из локальной сети.
В общем смысл весь в том, что все соединения, не зарегистрированные в таблице соединений firewall'a и не подходящие ни под одно правило из его цепочек будут посылаться сервером на три буквы.

alex117 писал(а):

"что-то" это что?
или абы шонибудь було

Ну, к примеру такая вещь как подмена адреса, то есть когда из внешки хакер посылает свой пакет на сервер под видом пакета, пришедшего из локальной сети.
В общем смысл весь в том, что все соединения, не зарегистрированные в таблице соединений firewall'a и не подходящие ни под одно правило из его цепочек будут посылаться сервером на три буквы.

это называется hijackip
учите основы когда и в каких случаях это работает, что бы не защищатся от сферического коня в вакуме
и да, это не надо

Гость писал(а):...если по большому, то фаер нужен в корпоративных оффисах, где политика безопаснони определяется руководством с выше
но разве это полноценные сервера? это какие то приватные DMZ, которые смешно даже впоминать
в глобальных сетях фаервол никогда не используют

а ну тогда мы видимо друг друга не правильно поняли. Я то имел ввиду как раз типокорпоративные недосервера... хм... "которые смешно вспоминать"...

теперь все правильно... и начальник правильно ругает... и срок правильно дали....

а ну тогда мы видимо друг друга не правильно поняли. Я то имел ввиду как раз типокорпоративные недосервера... хм... "которые смешно вспоминать"...

теперь все правильно... и начальник правильно ругает... и срок правильно дали....

и то там фаер нужен только если DMZ стоит без NAT,
а с NAT поробуйте снаружи пробейтесь внутрь хотябы до 445?
вообщем тема смех да и только

вообщем тема смех да и только

Это до того момента, пока тебя не вломают. Посмотрим потом как ты посмеешься.

я слышал про холивары...
фряха против линукс
линукс против сцо
все против виндоуз
экзим против постфик
айпифв против пф ещё куда не шло

но холивар "фаерволы нах не нужны" - эт явный перебор)))

Гость писал(а):

вообщем тема смех да и только

Это до того момента, пока тебя не вломают. Посмотрим потом как ты посмеешься.

ога, сижу такой борзый на винде, с реальным айпишником, и за 10 лет ну хоть бы кто вломал мою винду((
а вы фряху ломайте ломайте, особенно когда ломато то там нечего
кривой и дырявый апач? так к теме то фаервола это как относится?

_Менделеев писал(а):я видимо наивно пологал, что фаер это какая-никакая защита все-таки как ни как...

+1
По сабжу: я всегда использовал фаервол как средства "Кнута", для запрета скорее а не для защиты,но что мешает сочетать нужное с ненужным? "одна голова хорошо, а 3..."

ога, сижу такой борзый на винде, с реальным айпишником, и за 10 лет ну хоть бы кто вломал мою винд

ога, тем временем, модем он же по совместительству роутер, сидит себе и натит все подряд, а также разворячивает все что не прет из его сетевого интервейса, и никто не знает о том что маленкий модем трудится прикрывая спины борзоты

ога, тем временем, модем он же по совместительству роутер, сидит себе и натит все подряд, а также разворячивает все что не прет из его сетевого интервейса, и никто не знает о том что маленкий модем трудится прикрывая спины борзоты

что вы порите чушь
причем здесь модем?
причем здесь натит? где вы видели вообще что бы нат натил что попалу куда попало

вообщем если человек не уверен в себе и в том что он делает
то можно как параноик окружить себя сотнями фаерволами
толку ->0

вам модем кто настраивал, вы хоть его модель знаете7? вообщем я не собираюсь продолжать ету тему. мой ответ : Нужен. усе я ушел а тонас сейчас забанят нахрен.

какой модем? причем здесь модем?
интернет без модемов никак не работет что ли?

ключевое слово _реал_айпи_ вам ничего не говорит?
какой может быть нат при риал айпи?