сетевой опыт админа ФЛЕНОВ МИХАИЛ AKA HORRIFIC Спецвыпуск: Хакер, номер #068, стр. 068-040-5 Если каждый сервис разнесен по физическим серверам, то взломав WEB сервер, хакер не получит доступа к корпоративной базе данных. [интернет.] Если ты решился выделить под каждую задачу свой сервер, то для сетевого экрана и проксика ты обязан выделить отдельную машину. Именно через нее будет происходить доступ в сеть и обратно. Таким образом, чтобы взломать WEB сервер, злоумышленнику придется сначала пройти через сетевой экран. Если этот экран правильно настроен и не дозволяет ничего лишнего, то проникновение сильно усложняется. Чтобы проще было настраивать политику безопасности на сетевом экране, всегда действуй от запрета. Если WEB сервер используется только для корпоративных нужд, он не должен быть виден из Интернета. Если у тебя два WEB сервера – публичный и корпоративный (или просто для внутреннего использования), то их лучше разнести по разным машинам. Таким образом, проще будет управлять политиками и проще будет следить за каждым из них. Если к внутреннему серванту запрещен доступ извне, то это не значит, что его не нужно обновлять. Это самая распространенная ошибка. Если хакер получит доступ к одной из машин сети, то через нее он проникнет на запрещенный сервер. Обновлять софт и латать дыры нужно абсолютно на всех серверах. Тем более что даже ближайший сосед может оказаться злым хакером. Никогда и никому не доверяй. [итого.] Заморочки есть везде и всегда, а возиться с кабелями занятие не из самых интересных, по крайней мере для меня. Не люблю перекладывать кабели и что-то переделывать: интереснее строить с нуля и делать это хорошо. Недаром Intel и Del вовсю продвигают свои идеи беспроводных соединений. С каждым днем к этой идее присоединяется все больше производителей и офисов. Мы уже сидим на WiFi, который избавляет нас от лишних розеток и кабелей, а ты? Но это уже совсем другая история. Сначала нужно преодолеть фактор страха перед незащищенностью старых протоколов WiFi. |