Cool Folders ® :: Форум Компью@Нет :: Dial-up/выделенный канал. Безопасность

Dial-up/выделенный канал. Безопасность

Дата : 12-08-05, Птн, 05:09:00

Допустим, имеется локальная сеть (одноранговая), каджый комп имеет доступ с внутреннему серверу базы данных и имеет выход в интернет через комп, на котором используется "Win proxy" и настроено dial-up соединение с интернетом.
У меня два вопроса:
1. В чем принципиальное отличие "быстрого" (выделенный канал)и "медленного"(обычный модем через телефонную линию) интернета в плане безопасности хранения информации? То есть при каком подключении к интернету легче обеспечить безопасность ? Меня интересует ограничение доступа извне к компьютеру с базой данных.
2. Какие устройства и программное обеспечение необходимо иметь, чтобы настроить безопасность хранения информации в сети, где есть выход в интернет по выделенному каналу? Вообще, конечно, интересует принципиальная схема.
Спасибо.

Dial-up/выделенный канал. Безопасность

№ 2

Тигра

Дата : 13-08-05, Сбт, 07:06:05

на мой взгляд разницы практически нет. если есть подключение, то злоумышленик может проникнуть в систему. при использовании банального подбора паролей у диал-апа есть одно примущество: пароль будут подберать ДОЛЬШЕ.

в плане концептуального решения могу предложить следущую схему:
доступ к машине с СУБД должен быть ограничен фаерволом только на адреса внутренней подсетки, тоесть 192.*.*.* или 10.*.*.*, помимо этого на машине которая осуществляет доступ к интернету надо ОБЯЗАТЕЛЬНО перекрыть порт через который работает СУБД, это предотвратит доступ к базе извне напрямую. если финансы позволяют, имеет смысл задуматся об апаратном фаерволе.
если ожидается большая загрузка (много запросов извне) то имеет смысл установить постоянное (быстрое) соединение и подумать об кэшировании запросов к СУБД.

при работе с СУБД не рекомендуется использовать административные учётные записи (sa/root)

Dial-up/выделенный канал. Безопасность

№ 3

Dimka

Дата : 13-08-05, Сбт, 08:03:48

стандартная схема - файрволл снаружи, а сервер с БД в отдельный DMZ, защищенный другим файрволлом. таким образом если кто и пролазит за первую стену, пока он умудрится пробить и вторую - его админ отрежет на входе. плюс доступ снаружи TOЛЬКО через секьюрный VPN - VPN1/Checkpoint, L2TP/IPsec...

Горноуралький, хохлоеврейский псевдогрузин Шумахер НЕ_Миша ибн Ёжик Задунайский, уральско-грузинско-еврейско-турецко-поддатый.

Dial-up/выделенный канал. Безопасность

№ 4

sov

Дата : 15-08-05, Пнд, 07:56:33

Спасибо!

Автор: Dimka
Дата : 13-08-05, Сбт, 15:03:48

стандартная схема - файрволл снаружи, а сервер с БД в отдельный DMZ, защищенный другим файрволлом.

Теперь вопрос такой: Если использовать выделенку, то какое программное обеспечение нужно и лучше использовать между провайдером, (после которого и перед нами ставим раутер) и DMZ (где субд), чтобы точно засекать попытки проникновения?