djet

Просто их больше и они доступнее.

А сервера на Win постоянно хватают червей и прочую ерунду. К тому же за каждой системой, в не зависимости от происхождения, надо следить, ставить патчи. И просто грамотно настраивать.
И все Web сервера, что находились под моим присмотром постоянно в логах имели попытки использования уязвимостей IIS. А еще я помню как мы через адресную строку в браузере гуляли как по проспекту по системному диску сервака через дыру в IIS. И я сомневаюсь что админы это засекли, т.к. пользоваться дырой можно было до тех пор пока нам не надоело. Получается что их ломают, а они об этом и не знают
Вот почему Linux ломается чаще - потому что об этом чаще узнают. А проникновение в Windows машину остается просто незамеченным.

Почесал

Именно. А все потому что сервера имеют открытые порты, которые слушают соответствующие сервисы, а на пользовательской машине прослушиваемых портов как правило гораздо меньше.

djet

Для того чтобы можно было воспользоваться портом, его должен кто-то слушать. От открытых портов, если их не слушают, нет никакого проку.

Это встроеное убожество, которое по умолчанию в Вин, ещё смеет называться фаерволом?

А что должен делать файервол ещё, песни петь? И вообще у меня, например, очень дружественный файервол я открываю конфигурационный файл к нему в vim и там цветные буковки меня встречают, красота

На workstation вообще слушать порты нечему. Чему там слушать - то? Хотя, если чесно, на Линуксе граница между сервером и рабочей станцией очень размыта. К примеру phpMMS - приблуа к медиаплееру, спомошью которой можно управлять плеером из php скрипта, развёрнутого на http сервере И ещё знаю одного чудика, тот на рабочий стол инфу о компе выводил через тот - жа http - php ^)) Так что...

http://www.thinkfree.com/download/dl_windows.jsp -качай бесплатно  и работай с doc и xls
http://soft.compulenta.ru/39251/  зачем мне windows ?

Никакой это не файер, тем более уровня приложений, apache у меня заблокировал, адварю которую DivX поставил, пропустил. Ну и на хрен такой файер? А как в нем запретить всем вход ко мне на 80-й порт, а себе разрешить выход на 80-й хоть куда? А то колебают уже, дома выйдешь в винде в инет, а какая то падла уже цепанлась к апачу.

Это просто хорошо .

Есть такая штука, Linux Standart называется, регламентирует различные протоколы, соглашения, наборы, правила и т.д. общие для всех дистрибутивов Linux, кажется LSB зовётся.

А на счёт iptables, то стандартныёй не совсем он, сам файервол (netfilter) встроен в ядро, а iptables - это оболочка к ядру, вот и получилось что файервол (netfilter) для линуксы стандартный и оболочка к нему тоже стала стандартной, т.к. другой давно уже нет.

Почесал, хорошо что вы сразу признались что не имеете отношения к ИТ, я бы над вами долго хихикал бы и издевался. В винде безопасность обеспечивает, если не ошибаюсь, Internet Acces Server, не видел, посему не могу прокомментировать.

А Outpost это, я даже не смог его классифицировать, то ли текстовый редактор, то ли подколка под брандмауер, в любом случае когда настраиваешь безопасность и в Outpost и в линуксе, то сразу видно убожество Outpost.

Понимаете, Outpost, WinRoute, WinGate, это как кастрированный танцор и безрукий солдат в одном лице, ни детей не нарожать, ни семью защитить. Конечно поверхностную настройку безопасности в них сделать можно. Но профессионально настраивать безопасность в них нельзя.

В линуксе есть набор программ для настройки безопасности, подобие Outpost там тоже есть, есть даже программы, которые задают пользователю несколько вопросов и настраивают фильтры безопасности. Но больше контроля даёт, увы, ручное указание правил безопасности. В Windows думаю так же. Только в одном случае ручками разрешаешь правило для входящих пакетов, в другом мышкой щёлкаешь.

Правда в тех же виндовых файерволах возможностей очень мало, хотя в IA Server может их и больше, но кто из вас может его себе позволить?

Не легче, просто чаще. На настройку защиты рабочей станции тратится меньше денег, усилий, времени, средств. Гораздо больше ресурсов тратится на быстрое востановление. Это конечно при централизации данных.

Для большинства случаев его действительно хватает. В линуксе есть аналоги виндовому мастеру защиты сети. Просто для винды средства защиты сети, действительно реальные средства защиты сети, поставляются отдельно и за отдельную плату. Outpost, Wingate, Winroute на средства защиты смахивают честно говоря мало, и не потому что я такой линуксоид, просто они действительно маломощные.

Я задавал вопросы по файерволам на семинарах от Microsoft, там консультанты сказали что есть отдельные средства, ничуть не уступающие линуксовым. Сам я их не видел, но консультантам верю. Всё таки виндовые сервера как то стоят в инете.

А встоенных средств хотя по уши и не хватает, но этих по уши нужны не всем, мне например нужно, а вам Малакай думаю не нужны.

В принципе если сравнивать встроенные средства защиты винды и линукса (FreeBSD), то так оно есть, только вот весовые категории разные. Да и платить в линуксе за отдельный пакет не надо. Обычный пользователь линукса просто запускает мастер защиты сети (в RedHAT он должен быть), отвечает на вопросы и получает более-менее приемлемый результат.

Вообщето он так и позиционируется фирмой Microsoft.

Ну почему сразу так, мы же не рассматривали средства защиты от Microsoft и Symantec. Вообще iptables действительно мощное и удобное средство, именно удобное, для человека который не побоится прочитать руководство к нему на русском языке и написать несколько строк.

Есть у него и минусы. Но у кого их нет? Но эти минусы совсем не смертельны.

Гм, уязвимости уязвимостям рознь. Есть критические и некритические.  к тому же разработчики линукса так дрожат над безопасностью, что стараются сразу выпускать заплаты.

А в Gentoo Linux вообще есть средства мониторинга уязвимостей (например glsa-check), позволяющие протестировать систему и наложить фиксы. Информация о фиксах и уязвимостях обновляется вместе с деревом портежей.

Г-н Почесал, я абсолютно не спорю что вы превосходный дизайнер, но то что вы ещё оказывается и прекрасный специалист по информационной безопасности я даже и не знал, ну так и скажите:

- Outpost круче, чем Microsoft ISA Server!

Ну скажите. То что без фотошопа фрезеровщику смерть я ещё поверю, но убедите, что Outpost это крутая прога для защиты.

Даллее:

Вы знаете, а он для этого и создавался, правда там теперь и функциональности поболе. Он может фильтровать, перенапралять, логировать, и не только пакеты идущие по определённому интерфейсу, а пакеты вообще, по разным критериям.

Это же фильтр пакетов, ничего более от него не требуется.

Бред какой-то, а в линуксе просто настроил правила доступа и всё, и никаких трабл с ThunderBird'ом, FireFox'ом, не надо при установке новой аськи заниматься сексом. Он что, для всех нормальную политику доступа выстроить не может?

Бред какой то, на кой хрен он мне там сдался? У меня FAM есть, на кой дуделка фильтру?

Ну, я уже сказал, что для этого есть специальное и нормальное ПО, которое и на мыло пишет, и в аську стучит, и т.д.

Может. Хотя смотря что вы под эти подразумеваете. Вы сами то этим пользовались? Расскажите о своих случах.

На кой это в фильтре, когда есть стандартные средства для этого? А если у меня DNS стоит, кеширующий? А если я использую прокси? Зачем мне лишний сервис?

Можно пример spyware под линуксом? Вообще в iptables усть логи, которые можно подробно просмотреть на предмет всяких руткитов. Есть netstat, который может тебе сказать о нелегальных коннектах, есть комманда ps.

Правила гибкие, просто это лишь фильтр пакетов, если нужно что-то ещё, то ставьте другой софт.

Концепция юникса заключается в том, что в нём программы выполняет только свои функции и только то, для чего она предназначена.

Такой лабуды, которую вы требуете от фильтра пакетов мне не надо, если она появится, то я сменю линукс на FreeBSD.

Г-н Почесал, если вы сравниваете что то, то сравнивайте с аналогом. Outpost - это брандмауер, iptables - это фильтр пакетов. Под линукс есть брандмауеры, но ими редко пользуются, т.к. плохо настроеный брандмауер может причинить больше вреда, чем его отсутствие вообще.

Отредактировано ladserg (18-04-2006 11:25:28)

Каким местом это бэкдор? Это всего-лишь способ сформировать не TCP пакет. Например ARP.

Действительно. Полностью согласен. Всё у этих виндузятников как на параде - свистелку с шуршалкой туда, "цифровой сертификат" - сюда, да "извините", да "пожалуйста", "мерси", а так, чтобы по-настоящему, по Unix-way, - это нет. Мучают себя, как при царском режиме.

Так и iptables не аппаратный фаервол
И я так подозреваю, что рабочей станции не к чему эти "комплексы сетевой защиты". А iptables мало того, что сложен в освоении, так еще и многого не умеет, что мог бы уметь.

Он достаточен для обеспечения безопасности системы Вообще система не должна требовать фаервола, иначе это дурацкая система. Windows+все обновления прекрасно обходится без него. У меня он стоит только для мониторинга сетевой активности.

А какие сетевые комплексы защиты? Перечислите, пожалуйста, что там такое?

Я лучше отрывок из мануала к аутпосту дам, сами прочтите (особенно подчеркнутое):

rawsocket'ы находятся ниже, чем фильтрация пакетов iptables'ом.

Аутпост -- это большой комплекс всего (вплоть до баннерорезалки), дружественный в настройке и мощный. А в линуксе как всегда -- вместо одной программы две сотни прог по 2 килобайта, которые друг от друга зависят и каждую надо настраивать отдельно (да еще версии совместимые подбирать).

Отредактировано Почесал (18-04-2006 12:39:31)

Ну, да, а должен быть?

Ну почему сложен, я же говорю, что есть стандартные программы оболочки, которые задают вопросы вида:

- В инет ходишь?
- Почту скачиваешь?

а пользователь ему:

- Да
- Да
- Только по пятницам
- НЕТ!!!

Ну и по результатам ответов эти проги настраивают iptables. Сам пользователь ничего не пишет руками, просто несколько раз щёлкнул мышкой. Т.к. я могу и ручками написать правила, то я этими прогами не пользуюсь, но они есть, и в ASPLinux'е в своё время они поставлялись.

Иногда нужно просто закрыть некоторые сервисы, например у меня стоит РСУБД FirebirdSQL, не давать же к ней доступ всем. Доступ к прокси у меня закрыт из вне, ну и иные сервисы.

Если именно защиты, а не функциональности на вроде DNS, HTTP-Accelerator, то примерно такие:

    iptables - фильтр пакетов

    squid - прокси сервер, позволяет резать разные вещи (скрипты там)

    сканеры почты - отлавливают спам, вирусы, тоже защита
различные запреты на уровне ядра - есть возможность отключить форвард (перессылку пакетов из одной сети в другую), возможность перенаправления пакетов, есть у протокола IP такая штука, когда маршрутизатору дают пакет и говорят перешли его в локальную сеть а ответ передай мне, не путать с NAT, ну и иные ограничения.

   Есть SELinux, это часть ядра, которая накладывает различные ограничения по безопасности, например запрет на уровне ядра руту трогать пользовательские файлы если стоит запрет на изменение всем. Вам наверно известно, root по умолчанию может удалить любой файл, так вот эту возможность можно отключит на уровне ядра. Есть там и другие вкусности, я просто пока подробно не изучал.

    Есть chkrootkit пакет для отслеживания всяких руткитов.

    Есть мониторы следящие за изменениями в файлах.

    Есть мониторы сети, если в локальной сети появляется неизвестный MAC адрес, то они будут вонять до тех пор пока ты либо не занесёшь этот MAC адрес в список известных, либо пока не найдёшь вторженца не оторвешь ему уши вместе с сетевухой. Есть сканеры и по IP адресу.

    Есть iproute2, который позволяет задать пути маршрутов только определённым сетям.

Есть и другие средства.

Ни фига не понимаю в английском.

Неужели на канальном, а то и на физическом уровне? И как он пошлёт пакет обойдя сетевой и транспортный уровень? Я и не знал, что Outpost может контролировать канальный и физический уровни. Ну канальный бог с ним, может чего то придумали, но физический. Блин куплю эту прогу.

А он может одному компу дать соединение с инетом по модему, а другому по ADSL, при чем что бы у каждого компа была своя таблица маршрутизации. А сбалансировать интернет трафик по двум, трём и более каналам ему слабо? А управлять очередью пакетов, разгружая трафик, он умеет. А пакеты протокола VoIP прослушивать на предмет заложенных фраз он может?

Не совсем так. В линуксе ставится только то, что нужно. Есть немало маршрутизаторов, которые грузятся с дискетки, для них кэширующий DNS по умолчанию означает, что система прото не влезет на дискету.

К тому же ко всей куче есть FrontEnd'ы и BackEnd'ы. Только вот пользоваться предпочитают самими программами, т.к. вручную настройка почти всегда получается более точной.