Сейчас моя подшефная локальная сеть питается Интернетом от одной машины, на которой стоит WinRoute. Сконфигурировано всё так, что, в сущности, безопасность работы в Интернете не выше, чем при использовании стандартного ICS, -- из-за недостатка знаний и умений. Не поможет ли кто ликвидировать "дыры" в сети? Интересует:
1. Какие порты закрывать, какие -- нет и почему. Как закрытие портов влияет на скорость работы ПК в сети и в Интернете.
2. Какое ПО лучше использовать. Для домашних целей использую AtGuard, но, кажется, в качестве firewall для Интернет-сервера он не подходит. Или там прокси-сервер надо использовать?
3. Слышал, что у всех машин в сети может быть один IP-адрес с т. зр. Интернета, а может быть и уникальный у каждой. Что лучше?
Потом, наверное, ещё вопросы появятся, так что, если откликнитесь, буду очень признателен. Ссылок в Интернете на эту тему, конечно, много, но бОльшая часть либо относится к Linux, либо даёт информацию на уровне выше начального. А хочется ab ovo и постепенно дальше, глубже…
Да, чуть не забыл: мой "Интернет-сервер" пока по Win98, хотя планирую перевести на Win2K.

Исправлено: Raistlin, 2:13 18-02-2003

Какие порты закрывать, а какие нет - это решаешь сам, проведя аудит приложений и ресурсов, которыми пользуются в сети.
Для небольшой типичной офисной сетки надо оставить 80 исходящий) *- чтобы браузеры могли в инет выползать, 25 - SMTP (входящий чтобы почтовый сервер мог принимать почту и исходящий, чтобы отправлять) дальше смотри уже по приложениям, кому что надо, а остальные порты закрывай нафиг (у меня даже ICPM запрещен)
Файрвол сильно напрягает машину, на которой установлен, на остальные влияет однозначно - если разрешен порт - выпускает, если нет - "не доступен ресурс"
На серваке стоит поставить 2 сетевые карты одну внешнюю для доступа в нет и вторую для внутренней сети (вместе внешней сетевой карты можешь просто использовать интерфей модема, если он у тебя к компу прилеплен, у мня в одном офисе выделенка по типу LAN, а в другом модем в сетевую карту воткнут)
На внутреннюю сетвую вешаешь частный диапазон (типа 192.168.0.х или 10.х.х.х) Клиентским машинам совершенно нет смысла раздавать реальные IP, выгоды от них никакой точно.
Прокси и файрвол - разные вещи. Прокси по большому счету только помойка кэшированных страниц, призвана ускорить их загрузку, потому как если страница уже есть в кэше, она грузится с твоего сервера, а не с забугорного скажем.
Если хочешь остаться пока на 98-й винде в качестве сервера, оставь Винроутер и поставь обычный персональный файрвол (подойдет даже OutPost Free)
Вообще рекомендую поставить Win 2000 Server (упаси бог ставить Advanced или тем более Datacenter), но тут уже варианты пошли - рабочая группа или домен AD.
Для клиентов Win 9х домен или воркгруп - практически по барабану, так что решай сам :о)))
В качестве прокси рекомендую MS ISA Server 2000 - классная штука! Абсолютный контроль над доступом в инет, разграничение прав по пользователям, можешь назначить кому какими приложениями в какое время можно пользоваться! Если поднимаешь AD - ставь аррэй интерпрайз с интеграцией политик в AD, если воркгруп - как стандалон, особой разницы нет в принципе, я просто привык всё цетрализованно держать.
Если интересно, можем пообщаться мылом или аськой

Исправлено: FWC, 12:18 19-02-2003


Исправлено: FWC, 12:24 19-02-2003

Кстати, AtGuard у меня на NT-4 Сервере уже третий год стоит - не жалуюсь.
Другой вопрос, зачем  там фаерволл - ведь в WinRout'е он уже есть. Остается только настроить. Если хочешь поднимать Инет-сервер на W2k (денег много, и все такое), то послушай FWC. Но я бы на твоем месте  потратил 10$ на хорошую книгу про *NIX - за плечами не носить, а в будущем пригодится, поверь.

Мне почему-то не нравятся интегрированные прокси/файрволы, за исключением MS ISA Srv, какие-то файрволы в проксях ущербные... я пользовался Wingate5.0 так в нем файрвол настолько дохлый :-( я его отключил и outPost Pro поставил. Он, конечно, для сервера слабо подходит, но всё же лучше, чем гейтовский.
Кста если поставить W2k как StandAlone и поднять на нем ISA, денег не больше понадобится чем на книжку по тому же ISA :о))

Danilo
А хорошую -- это какую? Порекомендуй, пожалуйста… А то прилавки ведь разным хламом часто завалены (сужу по количеству и качеству книг по той же Windows). Ещё слышал, что, как ни защищай сеть Windows-средствами, всё равно можно влезть. А вот если прокси/firewall на основе UNIX -- нельзя. Это правда? Прошу прощения за наивный вопрос :).

Я купил "Linux" Алексея Стаханова.  Неплохая книга, хоть и не "фонтан". Добавь сюда еще Интернет, man'ы, howto'шки, статьи - недостатка в информации нет, нужно только не поленится потратить время на ее поиски.
Плохому админу и Винда мешает. Хоть ИМХО, Windows и более уязвима, чем *nix, однако при грамотной настройке  никто никуда не влезет и ничего не хакнет. А с кривыми руками и *nix сломают.
Некоторые вещи под Виндой реализованы гораздо лучше - например, domain controller.  Другие - например, фаерволл - лучше под Linux. Все зависит от конкретных задач. Инет-сервер - как раз традиционно  сильная сторона *nix. Но можно и на Винде. Решай сам.

Попробовал залезть в настройки фильтрации пакетов WinRoute. Прямо руки опускаются... Входящие, исходящие, отправитель, адресат, правила для сетевой карты, для контроллера удалённого доступа... А справку, кажется, писали ребята из MS -- такие же общие рассуждения. Хоть бы один пример!
Скажите, пожалуйста, кто-нибудь настраивал firewall в WinRoute? Как там разобраться, куда какое правило писать? Вот, скажем, хочу я, чтобы у компьютера с адресом 192.168.0.9 не было выхода в Интернет по http. Как это сделать?

Вот, скажем, хочу я, чтобы у компьютера с адресом 192.168.0.9 не было выхода в Интернет по http. Как это сделать?
Создаешь правило блокировки входящих пакетов, где отправитель 192.168.0.9, а локальный порт 3128 (если на нем прокси крутится) или 80 (если поднята NAT).

Я вчера скачал с www.kerio.com русский хелп по WinRoute. Погляди,там достаточно подробно все описано, размер около метра. Но сам сейчас тоже ставлю Winroute и ни хрена не получается.

BSOD
Спасибо :), я уже и ответ на свой старый пост нашёл, в котором мне ссылки были кинуты, спасибо Yustus:
http://forum.oszone.net/topic.cgi?forum=1&topic=687&start=0#1

BeZoN
Создаешь правило блокировки входящих пакетов, где отправитель 192.168.0.9
Создаю, но у меня при этом почему-то по всей сети http-протокол перестаёт работать :(. Правило вешаю на сетевую карту, во входящие. Порт 3128 указываю в "Адресате" ("любой адрес" оставляю по умолчанию).

Raistlin
"любой адрес" оставляю по умолчанию
Непонял, ты же хотел заблокировать 192.168.0.9, а заблокировал всех.
А по поводу мануала советую почитать никсовые хауту по ихним файрволам (например ipchains-HOWTO), там, как правило, достаточно подробно рассматриваются сами принципы фильтрации пакетов, а они одинаковы для всех систем.
Сам я под виндами использую Kerio Personal Firewall и вполне доволен. Все просто, надежно, бесплатно.

BeZoN
Непонял, ты же хотел заблокировать 192.168.0.9, а заблокировал всех
Правило (вкладка Входящие, сет. интерфейс 3Com EtherLink PCI) такое:
Протокол -- TCP
Отправитель -- 192.168.0.9/255.255.255.0. Порт -- любой.
Адресат -- любой адрес. Порт -- 3128.
Правильно?

Raistlin
192.168.0.9/255.255.255.0
Вот ты всех и заблокировал. Маска д.б. 255.255.255.255
Адресат -- любой адрес.
Ну и тут в качестве адресата можешь себя прописать, а можешь и не прописывать

Наверняка кто-нибудь сталкивался: попытался проверить на безопасность WinRoute. По UDP открыты порты 137,138,139. Как я понял, это связано с NetBIOS. Никак не могу эти порты прикрыть, а может и не надо? Кто знает про это хоть что-то и как эту траблу устранить?

BSOD
попытался проверить на безопасность WinRoute.
Как проверял? Опиши. Если сканировал внутренний интерфейс, то они там и должны висеть, если внешний обязательно затыкай

BeZoN
да вот по этой ссылке сходил http://scan.sygatetech.com.  Взял с нашего форума. Все прекрасно протестилось и нашлись только 3 дыры - 137,138,139 порты по UDP. В настройках WinRoute чего только не перепробовал, ни фига не закрывается. Проблема где-то глубже.

Добавлено:

Естественно внешний интерфейс

BSOD
да вот по этой ссылке сходил http://scan.sygatetech.com.
Ничего путного из себя этот сканер не представляет, у меня увидел только открытый для всех РОР3. XSpider на порядок больше информации выдает.
А порты закрой так:
В самом начале создай правило по которому будет блокироваться все что пришло на эти порты с внешнего интерфейса. Не помню как в WinRoute, но скорей всего также как в KerioPersonalFirewall, фирма-то одна ваяла, правила читаются сверху вниз, и когда файрволл находит валидное правило дальше уже не смотрит, а применяет его.

BeZoN
Не помогло. Поставил запрет на конкретный 139 порт, все-равно его видно. Интересно, протеститлся на другом сайте, тоже по ссылке с форума. Там показало, что у меня все ОК. Лажа какая-то.
Может быть еще поставить и KerioPersonalFirewall? Или это уже паранойя?

Может быть еще поставить и KerioPersonalFirewall? Или это уже паранойя?
Я вобще WinRoute'у не доверяю. Были у него проблемы с безопасностью. Попробуй отрубить его родной файрволл и поставь что нибудь другое.

Есть у кого-нибудь нормальные средства для мониторанга и ведения отчетов для прокси/мейл сервера ВинРоута?