41 ответов в этой теме

[Kirill Polubelov]

"Что касается кривых ручек админа - они всегда имеют место быть, только почему-то у пользователей конкурирующих продуктов с упомянутым функционалом проблем не возникает, а здесь считают, что необходимо думать за других и беречь их юродивых."

 

Сами же говорили, что надо беспокоится о клиенте Никто не считает админов дураками, но зачем ему предлагать грабли на его тернистой дорожке?

Про конкурирующие продукты - см. постом выше, посл. абзац.

[Disaron]

Скопом их настраивать нельзя, надеюсь, это понятно. 99,(9)% что хоть одна машина да отвалится от сети после такой настройки.

Чего ей отваливаться-то? Первое правило - разрешить взаимодействие с сервером антивируса, приоритет - высший. Все - проблема решена.

Остальные правила - по функциональным обязанностям и определенному списку серверов. Это 5-6, максимум - 10, типовых групп.

 

Так подключитесь удаленно к ОС и настройте.

Удаленное управление рабочим столом - запрещено, в нормальных конторах. Максимум - удаленный помошник. А если надо группе станций разрешить выход на новый адрес? Как быть - пол-дня заходить на станции, вместо того чтобы пару минут на изменение правила потратить?

 

2000 машин - много? Так поставьте один фаерволл на входе в сеть и настройте только его.

Как это решит проблемы флуда или брута АД внутри локалки без прохождения трафика через пограничную стенку? Вспомним кидо: 10-15 машин лочат 500 пользователей за пол-часа, по вполне штатным входящим на сервер портам - никакая стенка его не спасет, а вот блокировка неизвестного приложения на уровне клиента - вполне.

 

Их защита не более, чем профанация.

Не вижу адекватных доводов к этому утверждению.

[basid]

Первая заповедь работы на клиента - клиент всегда прав.

Если клиент действительно так считает, то он должен очень много платить за свои прихоти.

 

P.S. В старые времена я делал единственную настройку штатного файервола: в домене - всё разрешено, вне домена - включен и без исключений.

[Kirill Polubelov]

Чего ей отваливаться-то? Первое правило - разрешить взаимодействие с сервером антивируса, приоритет - высший. Все - проблема решена.

 

Остальные правила - по функциональным обязанностям и определенному списку серверов. Это 5-6, максимум - 10, типовых групп.

 

 

 

Ага, повторить n-раз, где n - кол-во станций в сети + i-я итерация на _каждую_ новую или изменившуюся (!) станцию.

 

Другой вариант - ставите фаер на входе сети, настраиваете его, и изменения вам придется делать _только_ на нем. И вероятность зарубить доступ к нему - минимален.

 

Персональный фаерволл предназначен для станций, работающих временно или почти постоянно вне своей домашней (корпоративной) сети. И настраиваются они индивидуально, по уже перечисленным причинам.

 

В то же время, вы вспоминаете про кидо:

 

Как это решит проблемы флуда или брута АД внутри локалки без прохождения трафика через пограничную стенку? Вспомним кидо: 10-15 машин лочат 500 пользователей за пол-часа

 

Все не так просто, как нам и вам хотелось бы. 

Кидо пролезет в вашу сеть с машины партнера, у которого нет антивируса в помине (см. пост loganchik-а) и фаер на станции, с вашими настройками, его пропустит... Не пропустил? Хм, так это вам повезло, а как насчет DDoS-атаки? Не сломает, так затормозит станцию. А сервера во внутренней сети есть? На них персонального фаерволла вообще не рекомендуется, как им быть? Станции прикрыты фаером, а сервер нет. DNS, DHCP, ICMP, RPC - все это должно легко и непринужденно ходить во внутренней сети, ибо одно из основных требований сейчас - это доступность сервисов.

 

Потому и придуманы корпоративные сети и шлюзы для выхода в публичные сети. А так строили бы до сих пор сети как набор станций с персональными фаерволлами, зачем заморачиваться то - деньги тратить на железо для отдельного гейта и все такое?

 

Кажется, Disaron, мы с вами ходим по кругу

Сообщение было изменено Foxes: 16 Январь 2013 - 18:54

[Disaron]

Другой вариант - ставите фаер на входе сети, настраиваете его, и изменения вам придется делать _только_ на нем. И вероятность зарубить доступ к нему - минимален.

Да причем тут вход в сеть? Ежу понятно, что там стенка и IPS/IDS, но они не контролируют внутренний траффик, только внешний.

Хм, так это вам повезло, а как насчет DDoS-атаки? Не сломает, так затормозит станцию. А сервера во внутренней сети есть? На них персонального фаерволла вообще не рекомендуется, как им быть?

Бог с ней со станцией, главное чтобы сервер не положил и дал остальным станциям работать. В текущих реалиях сервера сидят за стеной из IPS/IDS и никак иначе. Но когда заражена сеть станций, которые сидят в одном сегменте, не отделенном МЭ от них, то упомянутая доступность сервисов этими самыми айпиэсками резко ликвидируется. Персональный экран же, при удаленном администрировании поможет оперативно заблокировать исходящий со станций траффик по нужным критериям, позволяя работать разрешенным программам, локализация проблемы значительно ускоряется. На серверах, к слову сказать, стенка не рекомендуется не по причине снижения производительности, а по причине чуть более чем полного отсутствия необходимости в ней - потому что сервер by design принимает траф на нужные порты, остальное - отрубается, а блокировка этих портов смысла не имеет. Пограничный же МЭ, о котором Вы мне говорите, максимум способен ограничить траф между объектами, находящимися в разделенных им сегментах сети по конкретным критериям, какие приложения работают на станциях и стараются воспользоваться этими условиями, он не знает (это я так - в качестве КО).

 

Ну в общем да - круги нарезаем.

Если клиент действительно так считает, то он должен очень много платить за свои прихоти.

Есть 2 варианта - платить много тому, к кому привыкли, но хотелки игнорирует который год, или уйти к конкуренту за совсем небольшую доплату. Я конечно понимаю, что звучит некорректно на профильном форуме, за что прошу прощения, но такова реальность.

[Kirill Polubelov]

Вообщем, налицо различное понимание правильной архитектуры (у каждого оно свое)

Кто-то считает, что персональный фаерволл, будучи, установлен на каждой рабочей станции, и управляемый централизовано, резко повышает безопасность сети и этих станций, не снижая доступности сервисов, удобства и надежности работы, а на сервере фаерволл вообще не нужен.  И согласен за это немного доплатить.

Кто-то, что при наличии нормального фаерволла, отделяющего внутреннюю рабочую сеть от внешней, публичной, необходимо и достаточно обеспечить персональными фаерволлами только станции, работающие вне внутренних защищенных сетей.

Кто-то не согласен ни с первым, ни со вторым

[VVS]

Вообщем, налицо различное понимание правильной архитектуры (у каждого оно свое)

Кто-то считает, что персональный фаерволл, будучи, установлен на каждой рабочей станции, и управляемый централизовано, резко повышает безопасность сети и этих станций, не снижая доступности сервисов, удобства и надежности работы, а на сервере фаерволл вообще не нужен.  И согласен за это немного доплатить.

Речь даже не про это...

Очень бы хотелось получить ответы на мои вопросы из

 http://forum.drweb.com/index.php?showtopic=312351#entry646415

и

http://forum.drweb.com/index.php?showtopic=312351#entry646430

[HHH]

Отлично. Первой и последней группе вы уже угодили. Осталось угодить только второй

[HHH]

VVS, ваши вопросы - это мелкие и сугубо технические детали.

 

Тот же windows firewall (если вам не нравятся конкуренты ЛК, Симантек и прочая) настраивается политиками, т.е. централизовано. Значит можно сделать при желании.

[Kirill Polubelov]

Отлично. Первой и последней группе вы уже угодили. Осталось угодить только второй

 

Мне кажется, или это выражение следует инвертировать?

[VVS]

VVS, ваши вопросы - это мелкие и сугубо технические детали.

 

 

Тот же windows firewall (если вам не нравятся конкуренты ЛК, Симантек и прочая) настраивается политиками, т.е. централизовано. Значит можно сделать при желании.

Т.е. на вопросы ответить не можете.

OK, подожду, может кто-нибудь сможет.

[Kirill Polubelov]

Тот же windows firewall (если вам не нравятся конкуренты ЛК, Симантек и прочая) настраивается политиками, т.е. централизовано. Значит можно сделать при желании.

 

Windows Firewall настолько великолепен, и несмотря на это, совершенно прекрасно настраивается централизовано. Совершенно непонятно, для чего столько компаний предлагают свои персональные fw

[Kirill Polubelov]

Очень бы хотелось получить ответы на мои вопросы из

 

Ну как, вести БД, с привязкой каждой уникальной программной сущности к конкретной ОС.

Хотите сказать, что Касперский, Симантек и кто там еще, не справились с этой задачей, и у них плохие фаерволлы?!

[VVS]

Очень бы хотелось получить ответы на мои вопросы из

 

 

Ну как, вести БД, с привязкой каждой уникальной программной сущности к конкретной ОС.

ТС ведь хочет, чтобы можно было создать ОДИН набор правил для группы станций...

[basid]

Тот же windows firewall (если вам не нравятся конкуренты ЛК, Симантек и прочая) настраивается политиками, т.е. централизовано. Значит можно сделать при желании.

Я привёл реальный пример настройки: "в домене - пускать всех и вся, вне домена - никого не впускать".

Речь, конечно, про XP, где исходящий трафик не контролируется вообще, но хочется услышать другой реальный пример, когда кто-то не удовольствовался штатными политиками, а создал и трудолюбиво настроил собственные.

Хоть для XP, хоть для висты/семёрки.

 

P.S. MS и IPSec позволяет настроить. С двухтонника, если не с NT4, но как-то вот не пришлось увидеть в реальной жизни тех, кто реально использовал.

Сообщение было изменено Василий А. Сидоров: 17 Январь 2013 - 16:23

[Disaron]

Вы предлагаете отказаться от контроля изменения приложений?

 

Зачем отказываться? Надо иметь функционал по управлению. Версии - одинаковы, обновляются разом и централизовано. Соответственно и менять их параметры в стенке надо центральзованно.

 

И версии Windows везде одинаковы, и обновления Windows везде одинаковы (то бишь в один и тот же момент времени у всех установлены одни и те же обновления)?

Да, в большинстве своем. Нерадивым - принудительная перезагрузка.

 

Windows FW - это... это.

Сообщение было изменено Disaron: 17 Январь 2013 - 19:37

[VVS]

И версии Windows везде одинаковы, и обновления Windows везде одинаковы (то бишь в один и тот же момент времени у всех установлены одни и те же обновления)?

Да, в большинстве своем. Нерадивым - принудительная перезагрузка.

Поздно пить боржоми...

На части компьютеров svchost и ещё парочка подобных компонент обновились, а на других - ещё нет => фаер их уже заблокировал.

[Disaron]

На части компьютеров svchost и ещё парочка подобных компонент обновились, а на других - ещё нет => фаер их уже заблокировал.

А предусмотреть вариативность, не?

[Eugeny Gladkih]

И согласен за это немного доплатить.

За это нужно много доплатить.

[HHH]

Это вы хотите много. А конкуренты согласны за небольшую доплату продать.

Хотя когда это вас волновали конкуренты/клиенты? Вы же за продажи не отвечаете