Transparentni ochrana

Úterý Prosinec 18 07:38:48 CET 2007

Nepostřehl jsem přesně které produkty, ale na stanici je komunikace již 
dešifrovaná, mezi mail serverem a klientem je sice komunikace šifrovaná, 
ale na mailserveru je většinou mail dešifrován (protože komunikace mezi 
mail servery je většinou nešifrovaná. Pravda eXchange např. šifruje 
ukládání dat na disk, ale dá se nacpat mezi to.

Filtry na firewallu většinou odstíní komunikaci na porty, pak to tak 
nezatěžuje klienty a taky odstíní servery, protože řadu věcí a spamu 
odfiltrují před mailovým serverem, ten se pak zbaví zátěže různých SPAM 
útoků a může v klidu řešit komunikaci mailem např. uvnitř firmy.
Dá se to řešit taky tak, že uděláte vnější a vnitřní mail server a SPAM 
filtr nasadíte venku. Pak pokud komunikují zaměstnanci uvnitř, jdou 
pouze přes vnitřní server a ten je méně zatížen.

Řešení je vždy víc. Různé řešení na stanici a na serveru obecně umožní 
zvýšit bezpečnost (různí výrobci, různá aktualizace různé nedostatky se 
vzájemně eliminují...)

Řada řešení je zdarma, pokud budet postupovat vhodně. SpamAssasin, 
ClamAV, atd. FW taky.

Komerční produkty.
No, některé šifrovanou komunikaci dešifrují (ale musíte jim poskytnout 
klíče) a to není moc čisté řešení = např. přístup zaměstnance do banky. 
Dá se to vyblokovat, ale mi se to osobně nelíbí.

Neříkám, že komerční produkty nejsou dobré, pokud máte dost peněz FW 
Sidewinder, WebWasher, McAfee, Symantec, pokud ne, dá se to řešit s 
trochou snahy i zadarmo, ale následky jsou na Vás...

Jinak můžete alibisticky říct, když se něco podělá : "No co já, chudáček 
malý, I Symantec to posral..." a jste z toho venku.

MB.

Cramer napsal(a):
> No na stanicich pobezi windows.
> 
> Co se tyka serveru (fw,mail...), tak tam pochopitelne bude UNIX / Linux.
> 
> Ano, s tou sifrovanou komunikaci je celkem problem v tomhle ohledu.
> 
> S tim vyuzitim jako terminalu to take bohuzel nepripada v uvahu.
> 
> No a jakym zpusobem maji tyto veci resene ty zminovane komerni produkty?
> 
> cRam
> 
>> K tomu také musím říct, že pokud stanice nepřeinstalujete na UNIX, pak 
>> budete potřebovat ochranu minimálně:
>>
>> 1. Na FW
>> 2. Na stanicích
>> 3. Na mailovém serveru
>>
>> Jinak máte smůlu, jak už o tom tady někdo psal. Stačí, když někdo donese 
>> nakažené USB a zastrčí ho do díry... Donese svůj COMP a píchne ho do 
>> sítě. P2P komunikace se také používá šifrovaně (teda apoň rozumní lidé), 
>> takže to taky neodstíníte. Rozumní lidé používají také IMAPS a POP3S, 
>> tam si taky neškrtnete.
>>
>> Viděl bych ještě jednu možnost ochrany a to nedovolit spouštět na MS Win 
>> žádné programy, používat to jako terminál, ale to nevím, zda by vyhovovalo.
>>
>> Milan Berka
>>
>> Cramer napsal(a):
>>   
>>> Tak abych to trochu upresnil.
>>>
>>> Rad bych si postavil neco na zpusob tohoto produktu
>>>
>>> http://www.zyxel.cz/web/product_family_detail.php?PC1indexflag=20040908175941&CategoryGroupNo=4327696E-D248-4212-9CC7-97A5725A2764
>>>
>>> Nejake napady?
>>>
>>> Pravda je, to co tu uz nekdo rikal, ze asi bude dost slozite (ne-li 
>>> nemozne) prohanet prez filtry (at uz antivirove,antispamove nebo jine) 
>>> SSL, SSH a podobna spojeni.
>>> To zatim netusim vubec, jak to udelat.
>>>
>>> cRam
>>>
>>>
>>>     
>>>> Zdravim,
>>>>
>>>> resili jste nekdo uz podobny problem?
>>>>
>>>> Potrebuju pred sit umistit router, ktery by mi filtroval sitovy provoz 
>>>> na viry a spyware a podobny plebs.,
>>>> tak abych pokud mozno na klientskych stanicich nemusel konfigurovat 
>>>> zadnou ochranu (maximalne vymeneni IE
>>>> za FFox a podobne upravy.). Doplnim jeste, ze se jedna prevazne o 
>>>> Windows stanice.
>>>>
>>>> To same bych potreboval pro firewall. (Aby na stanicich nemusel byt 
>>>> personal firewall).
>>>>
>>>> Momentalne resim, jakym zpusobem jej nakonfigurovat. Jsem zvykly na 
>>>> Debian a Ubuntu, ale pokud existuje distribuce,
>>>> ktera se timto primo zabyva...?
>>>>
>>>> Diky za tipy a za rady.
>>>>
>>>> cRam
>>>>
>>>> "Software is like sex, it's better when it's free"  - Linus Torvalds
>>>>
>>>>
>>>> _______________________________________________
>>>> Linux mailing list
>>>> Linux na linux.cz
>>>> http://www.linux.cz/mailman/listinfo/linux
>>>>
>>>>   
>>>>       
>>> _______________________________________________
>>> Linux mailing list
>>> Linux na linux.cz
>>> http://www.linux.cz/mailman/listinfo/linux
>>>
>>>     
>> _______________________________________________
>> Linux mailing list
>> Linux na linux.cz
>> http://www.linux.cz/mailman/listinfo/linux
>>
>>   
> 
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux
> 