|
 Все новости от 23 октября 2000 г.
Microsoft доводит веб-защиту до ума
Пакет ПО Microsoft Internet and Security Acceleration (ISA) Server 2000 обладает мощными средствами администрирования, хотя его версия Release Candidate 1 справилась не со всеми хакерскими инструментами, использованными при тестировании в лаборатории eWEEK.
Мы испытывали ISA Server 2000 при помощи двух популярных бесплатных инструментов с открытым исходным кодом для организации сетевых атак: Nessus 1.0.5 от Nessus.org и NMAP 2.53 от Insecure.org. Оба хакерских инструмента смогли обнаружить слабые места в защите типа открытых портов, но такие, которые вряд ли позволили бы нанести сети реальный вред: большинство опасных атак ISA Server 2000 заблокировал. Официальные представители Microsoft сказали, что к моменту выпуска окончательной версии — он планируется на конец года (о ценах пока не сообщается) — компания решит эти проблемы.
В ходе испытаний ISA Server 2000 продемонстрировал впечатляющие возможности администрирования, а его поддержка защитных устройств от независимых производителей обеспечит удовлетворение потребностей любых компаний, переходящих на платформу Windows 2000, в средствах защиты. Прежние меры безопасности Microsoft состояли в использовании одноуровневых proxy-серверов. Proxy-сервер для Windows NT имел низкую производительность, сложный интерфейс управления и допускал мало вариантов конфигурации, что вынуждало системных администраторов искать лучшие решения защиты на стороне. В отличие от него, ISA Server 2000 обеспечивает функции системного буфера, брандмауэра и детектора проникновений и имеет централизованный интерфейс управления. Предприятиям электронной коммерции и крупным организациям, которые переходят на Windows 2000, следует внимательно присмотреться к ISA Server 2000. Этот двухуровневый proxy-сервер с брандмауэром и кэш-сервером надежнее гарантирует безопасность и удобнее в управлении по сравнению с предыдущим proxy-сервером Microsoft.
Централизованная консоль MMC (Microsoft Management Console) пакета ISA Server 2000 с ее инструментами администрирования на основе правил позволяла нам управлять инфраструктурой брандмауэра и кэша с одной рабочей станции. Это упрощает сеть и снижает расходы на ее эксплуатацию. Важной особенностью ISA Server 2000 служит интеграция Active Directory, что позволяет администраторам хранить учетные записи пользователей, правила и информацию о конфигурации в централизованной базе данных. В ходе испытаний мы могли пользоваться общими схемами, строить кэш-структуры, автоматически менять настройки по всему предприятию, применять правила и публиковать их, а также следить за конфигурациями.
Встроенный кэш решает четыре категории задач: высокопроизводительное веб-кэширование, кэширование по расписанию, распределенное и иерархическое кэширование. Высокопроизводительное веб-кэширование осуществляется посредством быстродействующего ОЗУ и оптимизированной работы диска. Интеллектуальное кэширование достигается за счет предварительного кэширования популярных объектов, в зависимости от того, как давно данный объект попадал к кэш и когда извлекался из него последний раз. Кэширование по расписанию позволяет заранее загрузить в кэш все содержимое веб-сайтов по особому расписанию, так, чтобы каждый пользователь мог работать со свежими данными. При распределенном и иерархическом кэшировании контент распределяется между несколькими компьютерами ISA Server, что позволяет клиентам обращаться к тому кэшу, который расположен ближе к ним. Это гарантирует максимальное быстродействие.
Мы тестировали предварительную версию ISA Server 2000 в интрасети, которая включала сервер под Windows 2000, а также ISA Server 2000, веб-сервер, две рабочие станции и внешний атакующий компьютер. Для работы ISA Server 2000 в системе должен быть установлен Service Pack 1 для Windows 2000 Advanced Server, а на диске следует выделить изолированную область для NT File Server. Пошаговые инструкции и мастера для создания правил упрощают процесс установки, и нам легко удалось довести степень защиты сети до желаемого уровня как со стороны брандмауэра, так и со стороны сервера веб-кэшировния.
|
 |
 | viv
24 Oct 2000 10:55 AM |
Вынь2куска в качестве _защиты_?! Оригинально-с...
"С лыжами и в гамаке", как говорится...
Следующими шагами, видимо, будут апдейт Win3.1 до менеджера ОЗУ и MSIE Advanced Edition с функциями фильтра водопроводной воды :-
Когда не получается сделать заявленное, баги объявляются фичами и официальной целью декларируется то, что получилось... Знакомая позиция... Жаль, только, что ZD|Net в роли первоклашки тоже становится привычным явлением :( |
|
| Petr - chulkov inbox.ru
24 Oct 2000 1:51 PM |
| Полностью не согласен с viv: дело не в системе, а в руках !!! - почуствуй разницу !!!! |
|
| viv
24 Oct 2000 2:45 PM |
Да, конечно, гайсу с прямыми руками заколачивать гвозди окуляром микроскопа, несомненно, будет удобнее, чем молотком! Жаль только, что бОльшая часть "здравомыслящих" предпочитает забивать гвозди молотками... Они тут абсолютно не правы - было бы куда полезней ровнять _руки_ для забивания гвоздей окулярами микроскопов. Потому что это модно. Да - это модно!
Heh!.. |
|
| Nikita - nikita1beep.ru
24 Oct 2000 3:39 PM |
2viv: Плохому лыжнику всегда чего-то мешает, то гамак, то...
А Ваши шуточки по поводу Windows ничего не изменят - работать на юниксах могут только большие "любители".
|
|
| K.Garger - gargerukrpost.net
24 Oct 2000 3:53 PM |
2Nikita именно эти любители и обеспечивают Sun, IBM, SGI, HP и др. миллиардами $.
Microsoft I квартал 2001 года I квартал 2000 года
Продажи 5,800 млрд $ 5,384 млрд $
Sun Microsystems I квартал 2001 года I квартал 2000 года
Продажи 5,045 млрд $ 3,146 млрд $
Тенденцию не наблюдаете?
А строить защиту корпоративноий сети на инструменте про который пишут что "его версия Release Candidate 1 справилась не со всеми хакерскими инструментами, использованными при тестировании в лаборатории eWEEK." я бы не стал.
|
|
| viv
24 Oct 2000 4:47 PM |
Я что-то упустил? Откуда никс-то вылез?
Файрволами проще всего (а, значит, надёжнее) делать маршрутизаторы (те же киски). Можно рядом ещё аппаратный проксик поставить - и будет просто надёжный комплект _железяк_. Да - "унутре у ней" фирмваре, да - похожая на ОС. Но специализированная, риалтаймовая и вполне живущая _годами_ без участия человека (при неизменной сетке, естессно). "В отличе от..."
Да и хардварь - далеко не последнее дело... При падении питания киска через пол-минуты уже пашет, а писюшатника?... То-то :)))
Да ещё и собственная жизнеспособность: вальни-ка киску... давай... а я понаблюдаю за процессом =)
|
|
| VVS - valeracnd.ru
24 Oct 2000 4:55 PM |
2Garger
Данные для Sun приведены с учетом продаж оборудования? Некорректно :)
2ALL
Сравнивать между собой различные программные продукты вообще дело тяжкое. А постоянные наезды со стороны любителей unix всех мастей на win - просто маразм. Не нравится продукт - не используй. В любом продукте, в любой ОС есть дыры, ошибки, неудобства, невозможности простыми способами решить какую-либо задачу. Есть продукты более высокого или более низкого качества (или более и менее подходящие для решения конкретных задач). Выбор - дело пользователя (администратора). А по поводу хакерских атак - это также, как и обычные системы безопасности - чем выше безопасность, тем выше неудобства для пользователей. Идеальное решение (в случае хакерских атак через Инет) - оторвать сеть от Инета. Все остальные решения - уязвимы по определению. |
|
| K. Garger - gargerpronet.kiev.ua
24 Oct 2000 5:30 PM |
2VVS
Данные по сану приводились как пример того что рынок Юникса растет и к тому же более быстрыми темпами чем WIN, да и Солярис бесплатен по его продажам данные не приведешь.
По поводу наездов они связанны с тем, что реклама мелкософта навязывает форточки как панацею от всех бед, хотя они таковой не являются.
Да и в таком деле как защита репутация производителя не последнее дело.
2viv На роутере ты сможешь настроить фильтр, а полноценная защита сети требует не только этого.
К слову Киска то же валится :(
|
|
| Прохожий
24 Oct 2000 10:06 PM |
2Garger
Сегодня был на презентации Сompaq, так тот про Sun вообще всякие гадости говорил, ну типа там намекнул, что eBay на Sane падал и он на месте представителя Sun лучше бы под землю провалился, чем отвечал на вопросы прессы. И тут выскочил господин из Oracle и сказал что их софт в плане электронной коммерции вообще не имеет конкурентов, правда про цену такого решения умалчал - 10000 инсталляций и вообщем годовой оборот 5 млрд долларев. И вааще на linuxWorld лучшим линуксом оказывается выбрали Compaqовский true64. А насчет кривой или нет NT. Checkpoint делает две версии своего софта и под юних и под NT. Да и не было бы Гейтса был бы кто-нибудь другой или юниксы до сих пор стоили бешеных денег. Пускай дерутся нам же лучше. Вот так господа. |
|
| viv
25 Oct 2000 11:11 AM |
| когда "дерутся" по-людски - это одно, а когда один "выхухоль" лезет наверх, мешая с дерьмом всех своих коллег и себя самого тоже - это уже другое. Речь идёт о профессиональной этике. Я могу с другим ИТ-челом хоть глотки друг-другу грызть, но юзеру ЗАВЕДОМО ВРАТЬ не буду. Понимаю, что я совру раз, два, три, ... потом меня и всех моих коллег будут воспринимать только как пи[beep]лов. Но некоторые (не будем показывать пальцем) идут к кошельку по осколкам костей своей профессиональной чести. И не только своей. Отношение к ним соответствующее. |
|
| K. Garger - gargerukrpost.net
25 Oct 2000 11:48 AM |
2Прохожий Ну и хорошо ли это? Надо рассказывать о том какой ты хороший, а не о том какие плохие окружающие. К слову SWIFT(я думаю многие знают что это такое) работает теперь только на AIX, Solaris и WinNT.
2viv как эмоционально то, что сильно достали?
|
|
| Прохожий
25 Oct 2000 1:53 PM |
2 K. Garger.
Я привел пример не для того чтобы определять хорошо это или нет (Не суди и не судимым будешь). Просто голые факты. В тесте можно было бы заменить названия фирм на другие, но ВСЕ делают одно и тоже.
Да еще вот один интересный момент. 2-3 года назад
MS билась с Novell за рынок файл и принт серверов. А сегодня то ли рынка такого нет, то ли Novell, что то не то делает... Потом былись за сервера приложений, теперь за е-бизнес (причем каждая фирма-производитель не только софта, но и железа называет его по своему, но суть не меняется - вспомните как P!!! ускорял работу инета). Т.к. через годик будет просто интересно прочитать что му тут за пару дней наговорили.
Просто много - очень много людей сейчас дают советы другим, что лучше и почему-то у нас считают, что истина в последней инстанции - Администратор.(Кажется отошел от темы, но наболело).
С уважением Прохожий. |
|
| Вкуц
25 Oct 2000 4:14 PM |
| 2 viv "Выхухоль, лезуший наверх и мешающий..." :) Это ты про Элиссона, что ли? :)))))) На представителей Оракла и Сана по моему в суд не подают за их высказывания и действия толькко потому что они "партизаны"... А "партизанам" прощают то, что что никогда не простят лидерам. И как всегда и те и другие забывают о простых людях.. о тех кто будет пользовать и настраивать этот софт. Половина багов в Микрософтовской (да и в прочей) продукции - последствия тупой спешки! Невооруженным взглядом видно. Конкуренция заставляет спешить...и делать ошибки. :(( А страдаем мы с вами. |
|
| K. Garger - gargerpronet.kiev.ua
25 Oct 2000 6:08 PM |
2Вкуц Ну ладно Сан, но Оракле ты за что так?>Половина багов в Микрософтовской (да и в прочей) >продукции - последствия тупой спешки! >Невооруженным взглядом видно. Конкуренция >заставляет спешить...и делать ошибки. :(( А >страдаем мы с вами.
Хорошие слова, вот только к SUNу не относятся да и к ряду других поставщиков изначально работающих на корпоративном рынке. Взвешенность и консерватизм. Большие деньги надо доверять большим машинам :)))
|
|
| Прохожий
26 Oct 2000 10:39 AM |
2K. Garger
Насчет спешки - все таки все производители под богом ходят. И Оракл и Информих и MS SQL. Имели удовольствие со всеми из них работать. Я вот чего не понимаю. С точки зрения бизнеса всем софтверным компаниям давно пара сделать два направления:
собственно сам софт(можно даже бесплатно) и за деньги (можно за большие) сервис паки.
Полностью поддерживаю Вас по поводу "Большие деньги надо доверять большим машинам". Но это как всегда думы о сладком. У нас почему-то думают понакупил писишек, поставил офис и на тебе документооборот с анализом результатов деятельности и тебе оптимизация бизнеспроцессов.
Потом появляется какой-нибудь студент (причем без разницы с линуксом или MS - для него все равно, т.к. покупает исключительно левые диски). И начинает ваять. Потом его "переезжает трамвай" или что то в этом духе приходит другой и все заново. Сколько борюсь с заказчиками, чтобы документировали свои действия, так даже грамотные администраторы плюют на все. Зато все "вумные". |
|
| Вкуц
26 Oct 2000 10:54 AM |
| 2 K. Garger Оракл нас как то "окучивал"... :((( Укажешь им на то, что такой то функции у них нет, а в ответ ТАКОЕ.... Мне понравился "сильный" аргумент, что такой то продукт разработан нелицеприятной личностью :)))) Но спешат все... ЧТо тут делать... У них у всех есть сроки выпуска ПО... За перенос его по головке не гладят... Вот и оттуда дыры в защите... А Прохожий хорошо сказал про документирование. :))) Зачастую разработчик не может понять, что его какой нить сервис можно ТАК использовать... Для него все очевидно и он не считает что нужны дополнительные разъяснения... Или сознательно идет на недоговорки что б привязать клиента (опять, кстати, Оракл) к своей ПЛАТНОЙ поддержке... |
|
| K.Garger - gargerpronet.kiev.ua
26 Oct 2000 11:36 AM |
2Прохожий я к слову не администратор, а как раз даже наоборот и то о чем ты говоришь мне знакомо.
Но виноваты в этом не студенты, а руководство и интеграторы которые не способны объяснить(в частности потому как сами не понимают)для чего все это делается.
2Вкуц На любой купленный сложный продукт надо покупать поддержку. Я вообще исхожу из того, что если есть задача, но нет денег значит задача не важна для клиента либо у него сильно завышенны требования.
|
|
| KAiZeR - xkaizermail.ru
29 Oct 2000 10:38 AM |
| Не знаю, как остальные на этом форуме, но я юзаю ИСУ уже более трех месяцев... До этого перепробовал много: либо сильно тупые, либо безопстность очень хромает. И я не рекламирую ISA server, но мне дейтвительно он понравился. Мои юзеры лазали в инет еще через 3ю бету и не один не пожаловался... |
|
| Brock Meeks - brock.meeksmsnbc.com
31 Oct 2000 12:05 AM |
Brock Meeks of MSNBC.com here.
If anyone has any information on this Msft hack, I'd like to hear from you. As you know, part of the investigation is pointing toward St. Petersburg, but no other information is forthcoming.
Disclaimer: I'm a U.S. journalist, we are pathetically void of foreign language skills, for which I apologize in advance. So, if you could respond in English, to my email address above, I'd appreciate it.
Thanks -- Brock |
|
| George - infoallbestweb.com
31 Oct 2000 10:51 PM |
Hi Everybody!
My name is George.I am IT Manager in Toronto. Currently my company is looking for programmers with Java and C++ experience. If you have not this skills, tell your friend. We can relocate you in 3-4 weeks to Toronto. No money is involved. Send your resume to info@allbestweb.com
George. |
|
| John - Johnisp.com
27 Dec 2000 11:24 PM |
| Da klas |
|
|
