آقا حالا با چي شروع كنيم!؟
|
آقا حالا با چي شروع كنيم!؟
|
اگر از امنيت روتر هم بگبد بد نيست. ولي اينكه ميگيد پورت هاي اضافي، اينها رو چه جوري ميشه دراورد؟ در ضمن اگر ميشه درباره Ids هم بگبد كه چيه. چون ما تازه وارديم.
کیهان عزیز
امنیت شبکه با امنیت DataBase متفاوته..
موفق باشید.
نوشته اصلی توسط shakib
دوستان سلام
از همگي شما تشكر مي كنم كه جواب سوال من رو داديد.
مي خواستم بدونم كه چه پورتهايي را باز بگذارم و چه پورتهايي رو ببندم.اگه كسي شماره اون پورتها را مي دونه براي بقيه هم بنويسه . در ضمن اگه بیشتر توضیح بدید که چطوری جلوی ویروس ها رو ببندم و اگه آدرس اين نرم افزارهايي رو كه معرفي ميكنيد و يا جايي كه بشه اونها رو تهيه كرد رو هم بگيد كلي حال داديد.
من تو ISP از Symantec Antivirus Corporation 2003 استفاده می کنم و تو خونه از Zone Alarm .می خواستم نظر شما رو هم بدونم.خودم که راضی ام ولی بد نیست که منو بیشتر راهنمایی کنید.
ویرایش توسط a_arabbeigi : 2004-02-16 در ساعت 05:07 PM
ببخشيد پا برهنه مي پرم وسط بحث.
من منظور اين دوست خوبمون رو فهميدم. مشكل امنيتي كه خيلي از دوستان در مورد اون دل مشغولي دارن همش برمي گرده به بانك اطلاعاتي كاربرانشون. البته جاي نگراني هم داره . مثلا براي يه Isp هك شدن بانك كاربراش يعني نابودي.
من با آقا صادق هم موافقم هم مخالف. به چند دليل. براي موافقتم اينو بگم كه چون راه حلهاي امنيتي تا 60% بودجه يه پروژه رو مي تونه بگيره پس بايد دليلي وجود داشته باشه و مجموعه ارزش هزينه ها رو داشته باشه كه در مورد 100 تا كامپيوتر من موافقم. به اين دليل مخالفم كه نگفتن كه روي اين 100 تا كامپيوتر كاربرها داران چي كار ميكنن. بله من با جايي قرارداد دارم كه 150 نا كامپيوتر تو سايت دارن ولي مراجعين غير از چت و علافي تو اينترنت كار ديگه اي نمي كنن. براي اين جور جايي هزينه امنيتي يعني پول تو آشغال دوني ريخت. ولي اگه 5 تا كامپيوتر تو يه اتاق به اينترنت اتصال داشته باشه و اين كامپيوتر ها مثلا اطلاعات اداراي و مالي مربوط به قرارداد ها يا خيلي مسايل محرمانه ديگه رو تو خودشون داشته باشن اونوقت حتي براي همين 5 تا هم هزينه ها رو بايد كرد و امنيت رو بالا برد. اينو بگم هيچ وقت نمي شه گفت امنيت 100% . پس بحث ما لينوكس و ويندوز و اينها نيست. همه در خطر هستن.
حالا بر مي گرديم به موضوع اوليه. انتدايي ترين, بهترين و آسانترين راه دوستان خوب من براي محدود دسترسي به اكانتينگ سرور قرار دادن سرور پشت يك فايروال با عمل Nat هست. يعني دسترسي به اين سرور منوط به ارتباط از طريق شبكه داخلي و از طريق چند عدد Ip خاص باشه. كه اين قسمت دوم رو هم مي تونين فاكتور بگيرين و دسترسي رو فقط از طريق شبكه داخلي داشته باشين. اين جوري با خيال راحت تري به مي خوابين و مطمئن هستين اگه كسي شما رو هك مي كنه از كاربرها خودتون هست و دست استكبار جهاني و آمريكاي جهانخوار در كار نبوده.
موفق باشيد.
صادق جان، اينجا تا بحال نديدم کسی باشه که علاقه داشته باشه کارهای تحقيقاتی انجام بده. بحث های ما در مورد مباحث امنيتی با بحث های اينجا کمی متفاوته. اينجا بايد به مسائل کاربردی پرداخت.
مخاطبان اين انجمن صاحبان شبکه های کوچکی هستند که به دلايل مختلف (اکثرا صرفه جويی مالی) از داشتن يک مدير شبکه متبحر محرومند. اين شبکه ها منافذ بسيار زيادی دارند که موجب ميشود ارزشمند ترين نقطه شبکه يعنی بانک اطلاعاتی کاربران آن از بين برود! اين يعنی از بين رفتن همه چيز . . .
حالا بايد فرض کنيم يه شبکه داريم که کلا 2 - 3 تا سيستم بيشتر توش موجود نيست. يکی اش هم Accounting است که کل Database بر روی اون قرار داره.
حالا امان از روزی که IP اين سيستم Valid و password مدير سيستم (Administrator) ساده باشه! (مثلا 123 يا Admin يا . . . )
يا اينکه امان از روزی که از برنامه هايی برای Accounting استفاده بشه که ضعف های امنيتی زيادی دارند! (اسم هم ببرم؟!)
و يا اينکه مثلا بانک اطلاعاتی اش توسط کسی نصب شده باشه که هيچ چيز از اون Database نميدونه!
و باز امان از روزی که يک بچه! برای لذت بردن! بياد و همه کاسه و کوزه رو به هم بريزه!
بايد يه سری توصيه های امنيتی تهيه کنيم که مثل يک Check List در اختيار افراد باشه که سيستم هاشون رو کنترل کنن.
در ادامه صحبت هاي كوروش جان
1- بعد از نصب ويندوز كاربر Administrator رو disable كنيد و يه كاربر جديد به يه اسم دلخوا و با پسوردي كه از حروف و اعداد تشكيل شده بسازيد و بهش اختيارات كامل مديريتي رو بديد
2- در مواقعي كه نياز به Terminal Service يا هر نرم افزار Remote Administration نداريد اونها رو disable كنيد.
3- حتما از Nat استفاده كنيد.
4- در صورت عدم نياز IIS رو حذف كنيد. و اگر استفاده مي كنيد دسترسي ها رو كنترل كنيد و هميشه Update ها رو بگيريد.( حتي براي شبكه محلي)
5- از نصب كردن برنامه هايي P2P مثل Kaza و Imesh و Morphius روي سرور خودداري كنيد.
6- سعي كنيد كه از Messenger روي سرور به غير از موارد ضروري استفاده نكنيد.
7- .... ادامه دارد.
بايد يه سری توصيه های امنيتی تهيه کنيم که مثل يک Check List در اختيار افراد باشه که سيستم هاشون رو کنترل کنن.[/QUOTE]
ما مخلص همه دوستانيم به خصوص آقا كورش كه اگه درست فهميده باشم مدوراتور سايت هم هستند.من هم با نظر ايشون مبني بر درست كردن يه چك ليست موافقم ولي اگه يه قسمت ديگه مخصوص Security و امنيت در شبکه داشته باشيم و مستقل از بقيه مباحث فکر کنم بهتر باشه و براي دوستان هم اينطوري راحتتره؟
بهر حال با اينکه يه تازه کار بيشتر نيستم ولي قول ميدم تا آخرش باهاتون باشم و بتونيم در رفع مشکلات دوستان به هم کمک کنيم.
a_arabbeigi@yahoo.com
a_arabbeigi عزيز،
بزودی در نظر داريم تغييراتی انجام بديم که فضای اينجا رو تخصصی تر کنيم و بحث های مختلف رو بصورت مجزا مطرح کنيم و پيش بريم.
يکی از بخشهای اختصاصی مربوط به مسائل امنيتی در شبکه هاست.
اگه دوستان ديگه هم مثل آقا رضا لطف کنند و مسائلی رو که به نظرشون ميرسه که برای بالا بردن سطح امنيتی شبکه مفيده رو بنويسن بزودی ميتونيم با جمع کردن اين نوشته ها يه Check List کامل آماده کنيم.
هميشه به خاطر داشته باشيم که فقط امکانات مورد نياز رو روی سيستم نصب کنيم. دليلی نداره که سيستم ما کلکسيونی از Service ها باشه.
در مورد SQL Server
هيچگاه در هنگام نصب، گزينه Blank password for SA رو انتخاب نکنيم.
قراره با هم بريم جلو . . .
سلام
من کم میام شرمنده واسه اينکه گرفتارم
اقا اول بريم کار firewall ,اون تا لايه 4 جلوی نفوز رو میگيره (البته استثنا هم هست)
ولی تو ايران اکثره نفوذها تو لايهapplication
است واسه همين ids نياز است
اينو بگم من خيلی isp هارو میشناسم که میشه database شون رو تغير داد(drop,update,....!!!!)
واسه اينکه اونا اصلان به security اهميت نمیدن
مثلا tiny personal firewall خيلی تو ispها پر کار برده ولی defualt setting انbuffer overflow داره!!!!!!
يا.........
در مورد محيط های کوچک securityبه اون اندازه محيط های
بزرگ نيز نيست ولی اينطور نيست که اسلان نياز نباشه
ids & firewall فرع هستند نه اصل همه چيز به اون admin برميگرده
راستی هرکی میخاد isp چک کنم يه ندا بده من مخلصتونم
البته واسه فقط يه bug خفن نه همه چيز (data base bug!!!!!!)
خلاصه من که چشمم اب نمیخره اين isp ها واسه security کاری بکنن
راستی من دارم رو check point firewall کار میکنم بعدا اگه شد يه زره شرو ور کلی از صفر مینويسم
for data base check in your isp plz contact me at
peyman_kazemi@yahoo.com
راستی اگه میخاي يه کم کار firewall درست باشههتما اون رو رو يه سيستمی نصب کن که فقط ويندوز يا ... روش نصب باشه يعنی هيچ
سرويسی رو اون نسب نباشه و هر firewall يه سيستم جداگانه میخاد و همچنين بايد
اون ويندوز safe ya secure بشه كه بعدا ميگم چه جوري
hi
chaker agha korosh, sign-protect,ssa1357,aryagohar,ilia,.....
ham hastim
ebraze alaghe khafan be dostane bozorgavari ke hamishe dar hale komak hastand
tnx for all
bye
سلام من دوباره اومدم.
به به
دو روز من نبودم اومدم ميبينم مباحث باحالي اينجا اومده.
خوب من باالشخصه كاري كردم كه سرور Database رو به جز روتر و اكسس سرور و وب سرور كس ديگيي نبينه. (يه رنج IP مخصوص خودش ) در ضمن با كوروش 100%موافقم چون اكثر جاهايي كه رفتم ديدم پسورد SQL ( واسه يوزر sa) خاليه يه سري پورتها رو هم كه همگي رو روتر بستيم در مورد Check point هم يه مدت تو يه شبكه نصبتا كوچولو با 42 تا LAN كه حداقل 5 - 6 تا LAN با بيشتر از 100 تا client امتحان كردم خوب جواب ميداد ( البته نصبش رو مديون يكي از دوستام بودم يكمم ازش ياد گرفتم ) ولي خدايش يه فايروال با امكانات خيلي خوبه من كه پسنديدم . جالب هم جواب ميداد.( اون تو همون شبكه هستش ولي من ديگه تو اون شبكه كار نميكنم.)
ولي به نظر من فاير والي مثل Check point واسه يه ISP مستحبه واجب نيستش
فعلا همينقدر باز اگه چيزي يادم اومد ميگم.
آدم كه اين بحثهاي امنيتي رو ميخونه ترس ورش ميداره. زماني كه نميدوني ترسي هم نداري. بيخيال بيخيال ميخوابي. ولي الان نه.
راستش من تازگيها كه Cachexpress رو نصب كردم يه سري به log هاش زدم ديدم تو رنج IP ها يكي دو تا IP ناشناخته هست كه 5-2 صبح وصل شدن. يكي دو روز قبل رو هم نگاه كردم باز IP ناشناس بود مثلا 200.44.225.61يا 67.164.42.115
با اين توضيحاتي كه داديد من هيچگونه امنيتي ندارم چون اولا IP هام Valid هستند و دوم اينكه فايروال ندارم.
با اين توضيحات من در اولين قدم چكاري رو انجام بدم از شر اينا خلاص شم تا كم كم كه پيش ميريم بقيه رو هم اعمال كنم. چون من و خيلي ها مثل من هستند كه حرفه اي نيستند و نميتونن همه رو يكدفعه و يكجا اعمال كنن مخصوصا من كه فقط آخر هفته بالا سر ISP هستم.
با تشكر از لطف همه
شما بايد در Configuration > Http Access فقط اجازه عبور برای IP های Range خودت رو صادر کنی. اينگونه Proxy Server ها سريعا پيدا ميشوند و از آنها برای Spam استفاده ميشود.
و يک خواهش از Security Man عزيز،
اگه ممکنه اون مسائلی که ميخوای روی Database ها Check کنی اينجا بنويس.
چون ميخواهيم به اون Check-List نزديک بشيم.
نوشته اصلی توسط ssa1357
سلام و عرض ارادت خدمت همه دوستان عزيز مخصوصا پيش كسوت ها
همه مي گن كه پورتها تون رو ببنديد و از Nat استفاده کنيد ولي کسي نگفته که چه پورتهايي را بايد ببنديم مثلا 80 يا ... و من هنوز نمي دونم Nat چيه و چه جوري بايد پياده سازي کرد؟
اگه کسي راهنمايي کنه ممنون مي شم.
a_arabbeigi@yahoo.com