Egy halozat vedelmeben

Linux-security

Udv tudorok!

Nagy reszt linuxos szerverek vannak egy halozatban. Nagy szamu felhasznaloval.
Mit javasoltok alap security intezkedeseknek.

Amit tartalmaz a halozat:
- VLAN-ok
- wifi halozat
- managelheto szvicsek
- managelheto routerek
- linux, unix, es egy kicsi windowsos szerverek(web, levelezes, mysql es egyeb kategoriaban)

Azt hiszem semmit nem hagytam ki! Alap biztonsagi dolgok erdekelnenek. Ki mivel vedene a halozatat belso illetve kulso tamadas ellen. Johet a leg banalisabb is. :)

Hanzo

  • 4442 megtekintés

( zeller | 2010. 11. 28., v – 11:19 )

A management forgalmat külön vlan-ra rakni, a wifi-t szintén, a szerverek felügyeletére egy masszívan védett ugródeszkát használnék, ahova csak ssh-val, egyszer használatos jelszóval (opie) van bejárás, admin jogosultságú userek esetében jelszóval védet kulcsok használatával. Tűzfalak természetesen kellenek, egyik a "belső" vlan-ok közötti forgalmakat szűri, a másik a "nagyvilág" és a wifi vlan és az intranet (belső, nem védett zóna) közötti forgalom szabályozására szolgál. (Ha az internet felől elkezdik döngetni a tűzfalat, a belső hálózat működését ez nem veszélyezteti).
A szerverekhez központi naplózás, ha lehet, szintén szeparáltan, de minimum valamilyen titkosított/védett csőbe húzva.
Egységes jelszópolicy (8+ karakter, bonyolultság, lejárat, korábbi 3-5 darab jelszó megőrzése, stb.). Egységes és központi felhasználó-kezelés(!) - ha valakit ki kell hajítani, akkor ne 1234567 helyen legyen szükség a jogosultságainak a visszavonására.

( STP | 2010. 11. 28., v – 11:25 )

Nem is értem a kérdést.
Topológia hiányában igen nehéz ilyenre választ adni.
Hmmm..
Firmware-t frissítesz.
Nézed a security bulletineket.
nmap-ot és a tcpdump/wireshark-ot megtanulod használni jól.
Frontális támadások ellen hatékony tűzfal. Az azon átfolyó forgalom proxyzása, átvizsgálása, naplózása (külön hostra).
Kívülről a belső hálózatba csak VPN koncentrátoron keresztül lehet belépni.
Ha normálisan vlan-ozol, akkor a mezei és a támadó user nem nagyon érheti el a menedzsment felületeket.
Minden hoston tűzfal, ill. csak olyan szolgáltatások futtatása, amire valóban szükség is van.
Fel kell rántani valamilyen menedzsment rendszert, ami a deviáns adatok -a menedzselhető eszközök lekérdezésével- alapján riaszt, és/vagy policy szerint elindít eljárásokat.
Audit rendszer beüzemelése.
Rendszer menedzselésére külön, dedikált gép.
Ugye nem a topicból akarsz security policy-t faragni?

bevallom, sosem csinaltam meg sec.pol-t, de ha egyszer csinalnom kellene, biztos nem magam akarnam a nullarol kitalalni. Sokkal inkabb begyujtenek egy rakas best policy-t, meg gyakorlati velemenyeket/tanacsokat, es ezek alapjan.

SPAMtelenül - MX spamszűrő szolgáltatás, ahogyan még sosem próbálta

( torzi | 2010. 11. 28., v – 13:29 )

IPTABLES semmiképp sem maradhat ki a védelemből :)

Tudsz szűrni forrás és cél címet portot protokollt és ezekre tudsz írni szabályokat

Gregor N. Purdy - Linux iptables zsebkönyv

Kiadó: Kiskapu Kft.
Kiadás éve: 2006
Oldalszám: 121
ISBN: 9789639637122

2000 forint alatt hozzá tudsz jutni, elengedhetetlen szerintem :)