Безопасность локальной сети

[sysser]

Сорики...
ОС: Win XP SP2 Prof со всеми последними обновлениями
Фаервол: Outpost Firewall Pro ver. 3.0.557.5918 (437)
Антивирус: Касперский 6.0.0.297g
Соединение: ADSL

Задача:
В настоящее время я администрирую ЛВС в финоргане одной шараге машин 12 (админ я начинающий поэтому извиняйте за незнание в некоторых вопросах)
Ну так вот:
Для электронной почты выделина рабочая станция с которой с ейчас и вещаю. Сама ЛВС организована на базе сервера Win Server 2003 на машинках Win XP SP2.
Из сети сейчас доступа в НЭТ физически нету так как модем ADSL напрямую подключен к моему компу.
Получается что моя рабочая станция оторвана от общей локалки, что конечно неодобно, приходится постоянно в сервак лазить.
Есть идея установки дополнительной сетевой карты и подключения к моей ЛВС.
Но встает опасность взлома сети и крушения базы, чего допустить никак не могу. Поэтому хочется точно знать: как настроить фарвол или там еще чего нибудь, чтобы надежно прикрыть несанкционированный доступ из вне.
Кто поопытней: что можете рекомендовать?

[Bosmr]

Цитата:

Есть идея установки дополнительной сетевой карты и подключения к моей ЛВС.

Угу, а потом можно будет развести интернет на остальные компы посредством встроенного в Windows XP "ICS"а, компов у тебя немного, будет в самый раз. Стоит лишь подумать об учете трафика с юзеров.

Касаемо фаерволла: настроятельно рекомендую Visnetic Firewall , как корпоративный фаерволл под винду - лучше не видел. От Аутпосла лучше отказаться, все-таки персональный он, не для сети.


Для твоей задачи

Наружу должны быть открыты соединения с:

[TCP]
локальный порт удаленный порт
----------------------------------------------------
[135-137,139,445] <X> [all ports] (самое первое правило. Блокируй нещадно эти порты, нечего им наружу торчать открытыми)
[1024-65536] <X> 135-137,139,445 (аналогично, твоим виндам снаружи тоже нечего искать)
[1024-65536] -> 21 (если используешь FTP)
[1024-65536] <-> 20 (FTP: active) (кажется именно <-> так)
[1024-65536] -> 25 (SMTP - отправка почты)
[1024-65536] -> 43 (whois клиент)
[1024-65536] -> 80 (HTTP)
[1024-65536] -> 110 (POP3 - получение почты)
[1024-65536] -> 443 (Secure HTTP)
[1024-65536] -> 5190 (ICQ)

UDP:
локальный порт удаленный порт
----------------------------------------------------
[1024-65536] -> 53 [Primary DNS IP] (обращения к основному DNS-серверу)
[1024-65536] -> 53 [Secondary DNS IP] (обращения к дополнительному DNS-серверу)
(оба DNS-сервера у тебя д.б. прописаны в настройках подключения к инету)
Лучше запретить соединения на другие DNS-сервера, дабы избежать возможных проблем. Однако стоит периодически проверять указанные тобой DNS - сервера на работоспособность.

[ICMP]
----------------------------------------------------
11 <-> 11 (time exceed)
8 <-> 0 (Ping others)
0 <-> 8 (Others ping)

[ARP]
----------------------------------------------------
allow all arp


"->" (установленные "blocking incoming packets" и "blocking incoming connections")
"<->" (отменены "blocking incoming packets" и "blocking incoming connections")
" <X> " (блокирование соединений в обе стороны)

Все остальные порты - наглухо закрыты

P.S.
Многие из HTTP по раздаче файлов, FTP и Прокси - серверов в интернете по различным причинам работают на нестандартных портах, стало быть, если ты видишь ссылку типа: http://[adress]:[xxxx], где xxxx - обозначенный номер порта, отличный от 80, указанными правилами выше фаерволл будет блокировать такое соединение, соответственно, надо будет создать правило, разрешающее соединение

TCP
локальный порт удаленный порт
----------------------------------------------------
[1024-65536] -> [xxxx]

То же самое касается и FTP
ftp://[adress]:[xxxx]
Если значение порта [xxxx] отлично от 21

TCP
локальный порт удаленный порт
----------------------------------------------------
[1024-65536] -> [xxxx]

Только не злоупотребляй.

Все, описанное выше относится ТОЛЬКО к сетевому интерфейсу, смотрящему в интернет. Внутри локальной сети крайне рекомендую оставлять все на [allow all traffic]


В фаерволле - полезная вещь - лог, который (в зависимости от настроек) фиксирует обработку каждого действия, попадающего под заведенны тобой правила, и отказ в обработке действий, если подходящих прави не создано.
На момент настройки тщательно следи за логом, чтобы найти и исправиь возможные проблемы.

В дальнейшем, если какой-ниьудь из пользователей спросит тебя что-нить "а у меня аська не работает/сайт не открывается/программка не соединяется", смотри в лог фаерволла в первую очередь.

P.P.S. крайне рекомендую держать как на раутере, так и на клиентах антивирь с активированным резидентным модулем. Например, Drweb.

Вроде бы ничего не забыл.
Да, и не забудь отключить встроенный в виндах фаерволл. неприемлимо держать две стены на одном компе.

[sysser]

Bosmr,
Все четко и лаконично!!!

Цитата:

Сообщение от Bosmr

P.P.S. крайне рекомендую держать как на раутере, так и на клиентах антивирь с активированным резидентным модулем. Например, Drweb.

А Касперский не справится? Жалко растоваться привык уже...

[SinClaus]

Пардон, но если в "финоргане в одной шараге" открыть доступ всем компам в сеть, ничего не нужно будет и взламывать, юзвери сами натаскают всякой гадости
Так что приличный FW и исключить возможность рутинга из внутренней сети в и-нет - самое то в данном случае, IMHO

[Bosmr]

SinClaus, я ведь не просто так упомянул свежий антивирь с резидентным модулем.

Цитата:

SinClaus:
Так что приличный FW

а что ты подразумеваешь под приличным FW?

P.S. http://www.imho.ws/showthread.php?t=20387

Если не стоит задача открыть доступ локалки к инету, то лучше этого не делать.
sysser, поясни плз этот момент.

[sysser]

Острой необходимости в разводки Инета вообщем-то нет, но в есть личная необходимость профессионального роста и поэтому я буду реализовывать намеченую задачу, чтобы как можно подробней осветить этот раздел администрирования. А то ведь сегодня сдесь работаеш а завтра совсем в другом месте и поэтому чем больше умеешь тем выгоднее пристроешся. Вот только помощь нужна будет в некоторых вопросах.
Поможете?
PS: А если все получится и материала будет достаточно то статейку накропую "Организация политики безопасности при построении сети с нуля"(или что-то в этом роде) И конечно для www.imho.ws!