Ochrona sieci w firmie.

[Cupi]

Witam
Jako że to mój 1 post wypada się ze wszystkimi przywitać, co z wielka przyjemnością robie i życzę wam i sobie owocnej obustronnej pomocy

Zacznę może od tego, że jestem typowo "Windowsowym" adminem, i opiekuje się serwerami na MS Windows 2000/2003, SBS 2003, Exchange etc... W związku, z czym mogę zadawać dla was dość śmieszne pytania. Zmierzając do sedna tematu ma wolny serwer, który chce poświęcić na uruchomienie na nim serwera z Debianem+Firewall+Squid (o ile oczywiście to możliwe). Dotychczasowa infrastruktura opiera się na MS Windows Server 2003, czyli jest tam AD,Exchange,DHCP,IIS. Mój zamysł jest taki żeby przed serwerem, windowsa a Internetem postawić serwer z linuxem. Czyli wyglądałoby to tak:

INTERNET <-> Serwer z Debianem <-> Serwer MS 2003 <->LAN firmowy

Chciałbym przez postawienie serwera z debianem uzyskać większe bezpieczeństwo oraz wykorzystać squida do obcięcia w pewnym stopniu Internetu userom. Serwer poczty, www i inne usługi zostaną na serwerze Windows 2003, a linux będzie miał tylko za zadanie chronić siec.

Troche oczywiście czytałem, ale mimo to poradźcie mi jak się do tego wszystkiego zabrać, może podrzucicie mi jakieś linki do dobrych materiałów etc... Ogólnie będę wdzięczny za każdą pomoc

[bzyk]

Popraw błędy ortograficzne, bo to w oczy kłuje i aż wstyd aby osoba administrująca siecią komputerową popełniała takie babole.
Odnośnie linków, podaję jeden z naljepszych; google.com (pewno już znasz . Wbrew pozorom, nie jestem złośliwy - po prostu aby uzyskać jakąś pomoc musisz podać bardziej sprecyzowany problem. Tzw; "postawienie serwera" jest tematem tak obszernym, rozwlekłym że trudno cokolwiek konkretnego Ci radzić, oprócz banałów typu google.com (choć to może nie aż taki banał), czy ogólnych wskazówek typu; czytaj dokumentację, rtfm itp... Jeśli chodzi o samego squida, to zainteresuj się potem tematami typu delay_pool, czy dansguardian. Ale to potem - na razie skup się może na debian.org, załóż gdzieś tam testowo debiana (tzn; nie na debian.org, tylko "gdzieś tam u siebie" , zapoznaj się z apt, sprawdź z czym to się je, najlepiej na jakimś vmware gdzie będziesz mógł korzystać z opcji zamrażania systemu. No i ćwicz, ćwicz i jeszcze raz ćwicz A w razie konkretnych problemów pisz tutaj

¯yczę powodzenia.
Aha, żeby nie było że teoretyzuję; mam podobny układ do tego jaki opisujesz, z tym że to nie sieć firmowa, a szkoła i nie debian (choć jest tam w sieci ldap na debianie), a slackware. Ale układ podobny.

[Cupi]

Błędy poprawione (niestety, ale edytory tekstu w połączeniu z automatycznym sprawdzaniem błędów odmużdżają) .

Co do twojej odpowiedzi, oczywiście że googluje, i szukam odpowiedzi na nurtujące mnie problemy. Ale jednak pisząc tego posta liczyłem na zwrócenie mi uwagi, na co trzeba uważać ewentualnie, z czym mogę mieć problemy. W sumie po części to zrobiłeś, jednak nadal czuje pewien nie dosyt.

[giaur]

na co trzeba uważać ewentualnie

Na to zeby sie nie przewrocic i nogi nie zlamac. Zacznij dzialac a jak bedziesz miec jakis problem to spytaj zamiast filozofowac - to moje zdanie.

Ogolnie: bierzesz plyte Debiana, odpalasz instalacje, czytasz komunikaty. Po instalacji systemu wgrywasz squida czy jeszcze co ci tam potrzeba (zapoznaj sie z apt-get)... itd.

Jezeli naprawde jestes adminem Windowsa, to i z Linuksem sobie powinienes poradzic.

..odmużdżają

Mow za siebie..

[lolleq]

..odmużdżają

Mow za siebie..

Byle poprawnie ;-)
A żeby nie było OT zbytnio to może koledze na początek eboxa polecić?

[Jacekalex]

Jakie pytanie - taka odpowiedź.

W googlach wpisz IPTABLES - wyjdzie ci ze dwa tysiące stron o iptables.
Zamiast Debiana - na serwer radziłbym Ubuntu - Serwer - to też Debian - ale ma moduł zabezpieczający APPARMOR .

Co do Squida - przyda się chyba książeczka - w polskim necie zbyt wiele o squidzie nie przeczytasz.

Jedna uwaga - instrukcje na forach są zazwyczaj krótkie - i najczęściej nie obejmują całości zagadnienia.
Krótko mówiąc - piszący nie wie - ile wie czytelnik - dlatego -żeby stosować instrukcje z postów na forach - trzeba mieć pewne doświadczenie.
Na serwerze radziłbym zainstalować Snorta - skompilowanego samodzielnie z włączoną opcją enable-inline - do sterowania firewallem linuksowym, lub obsługą programu snortsam - do sterowania firewallami Iptables, Cisco i innych producentów.
Kompromisem jest skrypt guardian - do skryptów - które odpala po sygnale od snorta można wpisać dowolne reguły dla wszystkich firewalli - jakie zna cywilizacja.
Jest też komenda man (nazwa programu) - instrukcja obsługi.

Ze Squidem będzie ciężko -konfiguracja proxy jako filtra aplilkacji jest zadaniem dosć cieżkim - i przyda się dobra książka.
Jedna rada - najpierw serwer pocztowy z firewallem - np. linuxowy - na którym będą nasłuchiwać demony usług sieciowych.
Potem drugi serwer - drugi firewall, baza danych, programy do analizy logów zapisanych w bazie przez programy zabezpieczające - SNORT-MYSQL i firewall (poprzez uloga lub spectera).
Jeśli drugi serwer ma być wyłączany - a tylko pierwszy online non stop - nie ma przeszkód -żeby na nim był mysql - jednak wtedy konfig. firewalla radze sprawdzić trzy razy.
Nie radziłbym definiować reguł firewalla osobno dla każdego interfejsu sieciowego - tak się powinno robić i to działa tak długo - aż sprzątaczka miotłą nie wytarga wtyczek sieciowych, i nie włączy ich odwrotnie.Do tego AIDE lub TRIPWIRE - do sprawdzania integralności plików. Poczytaj też o prawach dostępu - chmod 440, 600 i 700 i kilka innych wartości.
Jeśli masz pod opieką sieć - gdzie jest dużo cennych informacji
- radziłbym kilka ksiązek np: z Helionu Debian - wielka księga, 100 sposobów na linux-serwer, - mają tam wiele ciekawych pozycji - na pewno coś ciekawego znajdziesz - wyłożone dokładnie -kawa na ławę.

Na stronach producentów softu linuxowego jest sporo wartościowych informacji - wszystko po angielsku.

To by było na tyle.

Pozdrawiam.

I pamiętaj - GI-GO - jakie pytanie - taka odpowiedź.