70% респондентов считают RedHat Linux безопаснее продуктов Microsoft

>Разве ИСА умеет контроллировать доступ от приложений на клиентских компах о_О ?

Это уже можно делать модулями той же пандой вроде бы для ИСА Бордерменеджер это умел, а продукты Симантека точно умеют.

Это даже стандартный виндовый файрвол умеет...

В этом окне в списке программ перечислены те из них, которые установлены на компьютере. Если программа, которой необходимо разрешить принимать входящие подключения, отсутствует в списке, то при помощи кнопки Обзор можно указать путь к ней. После нажатия кнопки OK исключение будет создано и добавлено в список, где будет отмечено флажком, который говорит о том, что данное правило разрешает указанному приложению открывать порты и ожидать подключения из сети. Если необходимо запретить приложению открывать порты, то флажок следует снять.

http://www.secure.com.ru/modules.cfm?block=portal_b_firewall&id=41T81U433...

> Это уже можно делать модулями той же пандой вроде бы для ИСА Бордерменеджер это умел, а продукты Симантека точно умеют.

Ну давай подумаем насчёт секурности такого решения :) Начнём с того что на клиент надо ставить какой-то модуль, который будет работать как заглушка для Networking Api и взаимодействовать с сервером доступа. Ладно, допустим это мы поставили средствами AD+GPO (c).

Впрочем тут уже дыра - если ошибка в клиентском драйвере, то вся защита встаёт раком, потому как я могу запустить что угодно и выдать программу за разрешённую.

Ладно, опять же допустим что админ не дебил и пользователи сидят с минимальными правами, у них нет возможности загрузиться с диска, флэшки, нет возможности разобрать комп, да ещё и винда обновляется регулярно, так что локальных privilege escalation нет. Уже сложнее...

Должен быть также способ удостовериться, что ответ пришёл именно от этого клиента и от того, что он не был изменён при передаче. Выходит что он должен быть подписан. Так что опять же можно стибрить закрытый ключ и подписывать и менять всё что угодно.

В общем такие распределённые системы имеют сомнительную устойчивость к атакам изнутри :)

> Это даже стандартный виндовый файрвол умеет...

ты опять идиотом прикидываешься ? разумеется локальными приложениями он умеет рулить - я говорю что сервак на одной машине, а программа запущена на другой.

Виндовый файр обходится банальным инжектом в адресное пространство разрешённого процесса. Файры поновее это перехватывают, но есть ещё много разных способов поиметь такую защиту

Бэкдоры, вирусы, трояны обходящие Вин фаерволы есть, а обходящие iptables нету... Да и вообще почемуто грамотно настроенный Вин сервер взломать проще чем unix.

П.С. ты там бздел про то что рассуждают про компиз и 3Д, дак это ты первый насрал придурок, а ответеть нечем, вот и вые*ываешься тем что это все для лохов.

> Бэкдоры, вирусы, трояны обходящие Вин фаерволы есть, а обходящие iptables нету... Да и вообще почемуто грамотно настроенный Вин сервер взломать проще чем unix.

не неси ахинеи... iptables и windows firewall работают на разных уровнях и их глупо сравнивать.

А грамотно настроенный вин-сервер взломать тоже тяжко. Другое дело, что много ли таких серверов ?

>Ну давай подумаем насчёт секурности такого решения :) Начнём с того что на клиент надо ставить какой-то модуль, который будет работать как заглушка для Networking Api и взаимодействовать с сервером доступа. Ладно, допустим это мы поставили средствами AD+GPO (c).

Зачем ставить на клиент модуль? Клиент уже существует для всего этого, а модуль подгружает как и iptables ядро сервера...

>Должен быть также способ удостовериться, что ответ пришёл именно от этого клиента и от того, что он не был изменён при передаче. Выходит что он должен быть подписан. Так что опять же можно стибрить закрытый ключ и подписывать и менять всё что угодно.

Ну залогинился он через клиент...и? Что то за время функционирования Нетвари не припоминаю такие скандальные истории массовые.

>В общем такие распределённые системы имеют сомнительную устойчивость к атакам изнутри :)

А чтоимеют несомнительную репутацию? Открытые ssh https порты или ключи невозможно стибрить?

я и не несу, ты сам подтвердил то что твои виндовз фаерволы + куча стронних модулей (кстете среди них етсть бесплатные анологи?), в подметки не годится iptables, при этом iptables не отжирает кучу ресурсов.

> Зачем ставить на клиент модуль? Клиент уже существует для всего этого, а модуль подгружает как и iptables ядро сервера...

Ты же сам писал, что это реализуется через панду ? в общем всё зависит от реализации, но у меня есть подозрения, что это очередная кривая поделка направленная на вышибание денег из начальства руками некомпетентных админов.

> А чтоимеют несомнительную репутацию? Открытые ssh https порты или ключи невозможно стибрить?

Ещё раз объясняю - вся защита в сети построена по принципу - не доверять клиенту ни в чём. А в случае, если фильтрация сделана на уровне клиента, то инфу на сервер сливает сам клиент и сервер вынужден доверять этой информации, что приводит к большой дыре в системе безопасности.

Закрытый ключ для https лежит на самом сервере, а не на клиенте, улавливаешь разницу ?

Можно конечно украсть закрытый ключ и пароль админа для ssh, но это опять же сложнее, потому что этот ключ лежит на машине админа, а не на твоей.

> я и не несу, ты сам подтвердил то что твои виндовз фаерволы + куча стронних модулей (кстете среди них етсть бесплатные анологи?), в подметки не годится iptables, при этом iptables не отжирает кучу ресурсов.

во-первых я не про-виндовый аноним, а во вторых меня просто коробит неграмотность некоторых личностей.

Если уж на то пошло, то windows firewall коряв просто by design. Если появится файрволл уровня приложений под линукс (вроде где-то пробегало уже), то его тоже можно будет обойти.

Под винду есть нормальные пакетные фильтры, даже бесплатные есть - например порт ipfw под винду, но это не делает её бесполезной на задачах обеспечения доступа и безопасности.

Единственное что может винда - это файлопомойка + AD-сервер для виндовых клиентов.

2провиндовый аноним:

вот тебе небольшая задачка - есть 6 серверов, которые предоставляют сервисы в инет.. допустим HTTP, HTTPS ну и ещё пара протоколов самодельных, есть AS, есть PI пул адресов. Теперь назови мне те магические аббревиатуры, которые мне необходимо установить чтобы всё это начало работать + было защищено от атак снаружи.

а, чёрт, двойное отрицание пропустил :)

s/не делает её бесполезной/не делает её небесполезной/

незнал о ipfw. А он работает на томже уровне что и iptables. или просто как стороняя програмка?

> незнал о ipfw. А он работает на томже уровне что и iptables. или просто как стороняя програмка?

не совсем как iptables - ставится как драйвер-фильтр и управляется из userspace через канал.

В принципе штуковина неплохая, но для серьёзных применений не годится - так на клиентском компе порты входящие закрыть (ну может чего и поменялось - я последний раз давненько его смотрел).

>вот тебе небольшая задачка - есть 6 серверов, которые предоставляют сервисы в инет.. допустим HTTP, HTTPS ну и ещё пара протоколов самодельных, есть AS, есть PI пул адресов. Теперь назови мне те магические аббревиатуры, которые мне необходимо установить чтобы всё это начало работать + было защищено от атак снаружи.

Windows Server Internet Information Server Можешь что нить для защиты от взлома взять от того же NIS или Энтерпрайз версию Роутер циско какой нить. PIX....винду в кластер

а _отбрасывать_ (игнорировать) icmp запросы он умеет? (google мало инфы дает о нем).

Товарищи-линуксоиды, будьте умнее! Игнорьте глупых виндузятников, чтобы они не срали в комментах. Даже противно писать стало что-либо здесь. Они все равно никогда не поймут своей неправоты.

>Они все равно никогда не поймут своей неправоты.

А что мы должны понять? То что в то время, когда вы мечтали о том, что бы у вас хотя бы внутренний динамик заработал, не говоря о звуковой карте-мы уже во всю слушали объемный звук? То что ваши утверждения о каких то покупках файрволов и антивирусов вместе с офиссами разбиваются в клочья об опенсурс? Это действительно трудно понять.

у меня шестиканальный звук на Линаксе заработал без всякого секса с конфигами. Я конечно не застал тех времен, когда это было необходимо, т.к. сам только год на Линаксе, но я со всей уверенностью могу сказать, что никогда не вернусь в ужасный мир некрософта!

>Это даже стандартный виндовый файрвол умеет...

>В этом окне в списке программ перечислены те из них, которые установлены на компьютере. Если программа, которой необходимо разрешить принимать входящие подключения, отсутствует в списке, то при помощи кнопки Обзор можно указать путь к ней. После нажатия кнопки OK исключение будет создано и добавлено в список, где будет отмечено флажком, который говорит о том, что данное правило разрешает указанному приложению открывать порты и ожидать подключения из сети. Если необходимо запретить приложению открывать порты, то флажок следует снять.

Как понимаю такое реализуется через apparmor на уровне конкретного приложения. ЗЫ Надо побольше почитать будет:)

Уууу, если ты бы знал как все изменилось. Как кричали линуксоиды когда framebuffer запустили, то что это нарушение идиологии юниксоидов и командной строки. Хы когда запускались, КДЕешников вообще ламерами называли, потому что lynx рулит. :) Говорили что линукс для настоящих сисадминов, для которых нафиг не нужны ни Иксы, ни красоты,говорили, кстати, что ламеры набегут... ;) а сейчас картинки у кого красивей рабочего стола, но я то это все не в упрек вспомнил....просто молодость. Приятно вспомнить детство. ;)

> Линаксе

К логопеду, быдло!

>К логопеду, быдло!

к учителю английского языка, быдло!) по правилам чтения Linux читается как "Линакс", хотя я иногда употребляю и "Линукс", т.с. для разнообразия.

> Где такое было сказано что нет Файрвола? Везде говорилось что есть сторонние производители файрволов
> начиная ISA заканчивая Norton или Бордер менеджером

Тут речь не про сторонние, а про то, что оно в Win есть. Причём в дебильной конфигурации _по-умолчанию_. Кто их просил icmp echo закрывать, а ? Никогда не пробовал разбираться с проблемой домохозяйки, когда с той стороны ни ответа, ни привета ? А домохозяйка, вообще, сама ничего не может. Была бы у них голова на месте, открыли бы icmp, хотябы, для "своей" сети.

> Вот твой ufw навязывает iptables Для Виндз можно отключить свой родной файрволл и использовать файрволы сторонних
> производителей с намного лучшим функционалом чем у тупого iptables...

А знаешь, что такое этот iptables, а ? Это утилита для конфигурирования подсистемы обработски трафика самого ядра. Функционала выше быть, практически, не может. А, вообще, можешь себе хоть CheckPoint FireWall-1 купить.

А нам мпх, как оно по английски. "Hello, this is Leenooss Torvalds, and I pronounce Leenooks as Leenooks". Поэтому на ЛОРе все, кто не произносит "линукс" отправляются к логопеду первым попавшемся.

С уважением, КО.

Хех, учту! Это мое четвертое или пятое сообщение на ЛОРе, так что не судите строго, как говорится.

С уважением, KOnqui.

Линус англечанин? Он фин, так что и linux читается по правилам финского языка. Тобишь Линукс (как пишется так и читается)

> Не хватает серверной части и раздача правил по логинам,
> не хватает контроля приложений.

owner
This module attempts to match various characteristics of the packet creator, for locally-generated
packets. It is only valid in the OUTPUT chain, and even this some packets (such as ICMP ping
responses) may have no owner, and hence never match.

--uid-owner userid
Matches if the packet was created by a process with the given effective user id.

--gid-owner groupid
Matches if the packet was created by a process with the given effective group id.

--pid-owner processid
Matches if the packet was created by a process with the given process id.

--sid-owner sessionid
Matches if the packet was created by a process in the given session group.

--cmd-owner name
Matches if the packet was created by a process with the given command name. (this option is
present only if iptables was compiled under a kernel supporting this feature)

>Линус англечанин? Он фин, так что и linux читается по правилам >финского языка. Тобишь Линукс (как пишется так и читается)

Блин, да понял я). И книгу Линуса я кстати читал, так что прекрасно знаю, кто он и из какой страны. Вот уж не думал, что из-за одного поста такое развернется)

> Windows Server Internet Information Server Можешь что нить для защиты от взлома взять от того же NIS или
> Энтерпрайз версию Роутер циско какой нить. PIX....винду в кластер

Не было вопроса, как это реализовать с помощью железок. Был вопрос, что надо сделать с Windows. :-)

Это ЛОР. Тебя должны были предупредить, что все, что ты скажешь может быть использовано против тебя. Би рэди.

>Блин, да понял я). И книгу Линуса я кстати читал, так что прекрасно знаю, кто он и из какой страны. Вот уж не думал, что из-за одного поста такое развернется)

Линус-это наше фсио. Это нужно предвидеть и не просто читать.

> а _отбрасывать_ (игнорировать) icmp запросы он умеет? (google мало инфы дает о нем).

А вот за это надо что-нибудь отдавливать, кстати. Не надо icmp игнорировать бездумно.

>Вызвать настройщика

сам никак?

> То что в то время, когда вы мечтали о том, что бы у вас хотя бы внутренний динамик заработал, не
> говоря о звуковой карте-мы уже во всю слушали объемный звук?

В то время, как вы ставили драйвер для работы с каждой новой флешкой, у нас работали совершенно любые, как usb mass storage. В то время, как "находчивая" Windows находила модем при каждой перезагрузке, у нас просто всё работало. В то время, как Windows часто умирала после апгрейда железа и попытки перенайти оборудование, у нас просто всё работало. В то время, как у вас, до сих пор, кстати, при отключении интерфейса рвутся коннекты (хотя, с некоторых пор, это можно убрать, говорят, в реестре), у нас происходит реконнект и всё продолжаетя (привет качалкам с pppoe). В то время, как вам надо что-то придумать, чтобы посмотреть, что происходит на сетевом интерфейсе, у нас сразу есть tcpdump. В то время, как вам надо было ставить драйвера для работы с PTP-фотосамерой (Canon, например), у нас было достаточно запустить какой-нибудь фронтед к gphoto2, digikam, например. Продолжать можно долго. :-)

И мы не привязаны лицензией. :-)

>Нахрен обновлять кеды если они все равно валятся

кеды не валятся. пиздёш и провокация от вас исходит.

> Не хватает серверной части и раздача правил по логинам, не хватает контроля приложений.

Кстати, в винде действительно не хватает контроля приложений при работе с локальными данными. Например, я хочу запретить какому-нибудь Skype считывать профиль Firefox. Как это можно реализовать?

>нахрен обновлять кеды если они все равно валятся

ЛПиП

Вот и проверь как у меня настроено =)

sudo iptables -A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT sudo iptables -A OUTPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT

sudo iptables -A FORWARD -p icmp -m icmp --icmp-type echo-reply -j ACCEPT sudo iptables -A FORWARD -p icmp -m icmp --icmp-type echo-request -j ACCEPT sudo iptables -A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT sudo iptables -A OUTPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT sudo iptables -A INPUT -s 0/0 -d localhost -p icmp -m icmp --icmp-type echo-request -j DROP

sudo iptables -A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT sudo iptables -A OUTPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT

>В то время, как вы ставили драйвер для работы с каждой новой флешкой, у нас работали совершенно любые, как usb mass storage. В то время, как "находчивая" Windows находила модем при каждой перезагрузке, у нас просто всё работало.

Сам то веришь в это? ;) Вспоминаются, возможно и не твои слова, что нужно покупать нормальные модемы, а не всякие винмодемы. :) Ибо Линукс кроме как с ИСА модемами и КОМовскими работать и не мог то.

>В то время, как у вас, до сих пор, кстати, при отключении интерфейса рвутся коннекты (хотя, с некоторых пор, это можно убрать, говорят, в реестре), у нас происходит реконнект и всё продолжаетя (привет качалкам с pppoe). В то время, как вам надо что-то придумать, чтобы посмотреть, что происходит на сетевом интерфейсе, у нас сразу есть tcpdump. В то время, как вам надо было ставить драйвера для работы с PTP-фотосамерой (Canon, например), у нас было достаточно запустить какой-нибудь фронтед к gphoto2, digikam, например. Продолжать можно долго. :-)

Никогда не пользовался tcpdumpом зачем когда есть ethereal? На счет камер они всегда шли с драйверами вообщето-хотя спорить не буду. Тебе видней я в то время VFX1 юзал-трехмерный звук и трехмерное изоображение мне больше нравилось. ;)

трудно понять говняный звук в винде через 5.1

> Сам то веришь в это? ;)

Конечно.

> что нужно покупать нормальные модемы, а не всякие винмодемы.

Полностью под этим подпишусь. Вин-модем - это не модем. :-)
Это говно предусматривает софтовую часть, которая работает за счёт центрального процессора и, естественно, эта софтовая часть полностью зависит от ОС. соответственно, эта штука полностью зависит от воли производителя.

> Никогда не пользовался tcpdumpом зачем когда есть ethereal ?

tcpdump просто есть под руками практически в любом дистрибутиве, а ethereal надо держать под рукой на отдельном носителе.

>В то время, как вы ставили драйвер для работы с каждой новой флешкой, у нас работали совершенно любые, как usb mass storage. В то время, как "находчивая" Windows находила модем при каждой перезагрузке, у нас просто всё работало.

>Сам то веришь в это? ;) Вспоминаются, возможно и не твои слова, что нужно покупать нормальные модемы, а не всякие винмодемы. :) Ибо Линукс кроме как с ИСА модемами и КОМовскими работать и не мог то.

тётка у меня есть. так вот. у неё даилап до сих пор. человек включает комп, при этом забыв включить этот самый блять модем. внимание вопрос - почиму винда его не видит? рядом стоит убунта, модем виден при любом раскладе. з.ы. расскажы ещё про то как сложно ниибически завести усб модем в линуксе. камон.

> Вот и проверь как у меня настроено =)

Хреново. :-)
Осложняешь жизнь провайдеру невозможностью проконтролировать потери на канале, когда возникнет такая необходимость. :-)

у меня усб АДСЛ, 5 команд ввел, и подрубил модуль, все.

Ууууу нашего провайдера убить готовы все, потери 10-15% пакетов, пинг 1000+ так что мне насрать на провайдера, я сам решу проблемы если что. тем более у меня не через ethernet, инет подрублен. + я работал в интернет конторке и пинг не часто помогает проверить челостность, проще к абоненту подойти с ноутом и пропинговать с него сервак.

> потери 10-15% пакетов

Так при этом же работать невозможно практически. Это на проводах так ? 1000mc задержка - это уже мелочи при 10-15% потерь.

> у меня усб АДСЛ

Или оно вот на этим ? а скорость подключения какая и при какой загрузке канала всё это ?

> Windows Server Internet Information Server Можешь что нить для защиты от взлома взять от того же NIS или Энтерпрайз версию Роутер циско какой нить. PIX....винду в кластер

пипец... теперь посчитай во сколько мне одни циски обойдутся, потом сколько будут стоить лицензии на винду и софт и озвучь данную цифирь.

Забыл добавить - всё должно быть зарезервировано, т.е. если я выдерну провод из одного системника (или циски) всё должно продолжить работу как будто ничего и не случилось (ну как минимум простой должен быть не больше 10 - 15 секунд).

В общем винде в данной конфигурации ничего не светит вообще. Ставить винду на рутеры/файры вообще моветон, на более менее загруженные апп-серверы тоже, админить удалённо её неудобно, особенно на плохом канале. В общем непонятно куда её вообще пихать...

Аналога nginx для винды я не нашёл (в общем-то и не искал особо, но не думаю что кому-то это надо), сервисы надо инсталлить через жопу - либо через обёртки, либо добавлять возможность в прогу, тогда как в лине я могу любую прогу сделать демоном, запустив её в фоне и перенаправив поток вывода.

Чего там ещё... можно проехаться по виндовому DNS за невозможность автоматизации. Может это уже моя неграмотность, но я сомневаюсь что можно сгенерить reverse-lookup зону каким-нить скриптом, а для bind всё генерится простым скриптом.

В DHCP pxe настраивается через анус, tftp из коробки нет...

Ну и хватит пока :)

Вот такой у нас провайдер... тупые уроды немогут договорится о цене с Питером, при этом дотянули оптику до города, одновременно с финами, которые дают 14мбитный канал, зато наши говноуроды, теперь жлобятся и все равно хотят через питер гонять трафик, ибо уже на оптику потратились... а финам нельзя заниматся провайдерсвой ибо у нас такие законы, вообще пипец полный с нетом у нас в городе, ЖПРС работает лучше чем АДСЛ.