On Tuesday 17 May 2005 22:23, Andrzej Dalasiński wrote: > Bartłomiej Grasza napisał(a): > > Ciekaw jestem co myślicie o urządzeniu o następującej konfiguracji. > > Miałby to być debian, z jak najmniejszą ilością usług i samą konsolą > > oczywiście, służący jako router oraz firewall. Czy uważacie że jest to > > bezpieczne połączenie czy raczej jakiś sprzętowy lepiej się sprawdzi. > > hmmm sprzętowy powiadasz? > A zgadnij co jest wewnątrz takego PIXa? > Chcesz powiedzieć że tam jest odchudzony linux ? Spojrzałem szybko na te PIXy i tam jest jakiś sys op co zwie się: PIX Firewall operating system.
> > Miałby obsługiwać około 70 userów i DMZ z http, smtp, dns. > > Jeśli uważacie/stosujecie takie coś to czy macie jakiś producentów, albo > > już konkterny wybrany sprzęt który by do tego najlepiej się nadawał. > > Tak, Debian (Linux), OpenBSD, Cisco (PIXy i routery z funkcjami fw). > > > Czy takie coś będzie równie lub prawie tak samo bezpieczne jak jakiś > > sprzętowy router-firewall. Znaczenie ma również koszt zastosowanego > > rozwiązania. > > Jeśli argumentem jest cena (podziału pasma nie robiłem nigdy na sprzęcie > CISCO), > to najlepiej będzie jakiś Linux lub BSD. Polecam je również, jeśli nie > masz większego doświadczenia z pudełkowymi fw lub nie chcesz zatrudniać > specjalisty. Co do bezpieczeństwa - żaden sprzęt się sam nie > administruje, poznanie zaawansowanych funkcji ciskaczy wymaga > poświęcenia trochę czasu i podobnie jak w przypadku Linuksa czy BSD > trzeba śledzić listy dyskusyjne bo pojawiają się informacje o błędach > i podatnoościach na ataki. > > > I jeszcze jedno. Co wy na to żeby na tego serwera wrzucić jeszcze squida, > > ale nie jako cache, a wyłącznie blokowanie wybranych stron, blokowanie > > dostępu w wybranych godzinach oraz pobierania mp3 itp. Jak zmienia to > > wymagania stawiane serwerowi. Powiedzmy że ma obsłużyć łącze 2Mb/2Mb. > > Ja zrobiłbym to osobno. FW - jedna maszyna, proxy - druga, IDS+logi - > trzecia maszyna. > Jeezu! A czemu osobna na logi i IDS? Ja miałem na myśli prosty ids (host based) monitorujący przede wszystkim ruch z netu, no i może jeszcze LAN <-> DMZ. Proponujesz to (i proxy -przypominam że bez cachowania) na osobnej maszynie ze względu na bezpieczeństwo ? > > A może jakieś inne usługi na to jeszcze powrzucać aby dodatkowo > > chronić/zabezpieczyć? Snort czy inne ... > > Snort jest dobrym pomysłem. > > pozdrawiam > yanek Dzięki wszystkm za sugestie Pozdrawiam Bartek