Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2009-10-13 19:34:16

  lolek - Użytkownik

lolek
Użytkownik
Zarejestrowany: 2009-01-26

[Bezpieczeństwo] Osobny serwer @ i DNS?

Przenoszę serwerownie w nowe miejsce i przy okazji zmieniam troszkę sprzęt. Zastanawiam się, czy ze względów bezpieczeństwa nie zrobić osobnego serwera poczty i DNS (+ew. www).
Co o Tym myslicie?

Offline

 

#2  2009-10-13 19:49:58

  kamikaze - Administrator

kamikaze
Administrator
Zarejestrowany: 2004-04-16

Re: [Bezpieczeństwo] Osobny serwer @ i DNS?

Zrób.

Offline

 

#3  2009-10-13 20:00:12

  lolek - Użytkownik

lolek
Użytkownik
Zarejestrowany: 2009-01-26

Re: [Bezpieczeństwo] Osobny serwer @ i DNS?

Możesz więcej się wypowiedzieć :-) ??

Dla mnie minus, to
- osobna maszyna
- dodatkowy UPS
- więcej prądu bierze
- więcej nagrzewa otoczenie
- z oszczędności pewnie odpadnie raid w najbliższym czasie (pewnie dodam za jakiś czas)


Plus:
+ bezpieczeństwo

Offline

 

#4  2009-10-13 20:02:20

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: [Bezpieczeństwo] Osobny serwer @ i DNS?

Kupujesz dobra maszynę i robisz to na wirtualnych maszynach.

Offline

 

#5  2009-10-13 20:06:53

  skotx - Członek DUG

skotx
Członek DUG
Skąd: Olkusz
Zarejestrowany: 2008-01-22

Re: [Bezpieczeństwo] Osobny serwer @ i DNS?

Ja się kiedyś spotkałem z takim zdaniem odnośnie wirtualizacji, że każdą ważniejszą usługę lepiej postawić osobno.


Jeśli mam wysłuchiwać czyichś poglądów, to niech będą one wypowiedziane w formie twierdzącej, wątpliwości sam mam dosyć.

Offline

 

#6  2009-10-13 20:10:59

  kamikaze - Administrator

kamikaze
Administrator
Zarejestrowany: 2004-04-16

Re: [Bezpieczeństwo] Osobny serwer @ i DNS?

[quote=lolek]Możesz więcej się wypowiedzieć :-) ??

Dla mnie minus, to
- osobna maszyna
- dodatkowy UPS
- więcej prądu bierze
- więcej nagrzewa otoczenie
- z oszczędności pewnie odpadnie raid w najbliższym czasie (pewnie dodam za jakiś czas)


Plus:
+ bezpieczeństwo[/quote]
No to nie rób. Skoro ci sie nie kalkuluje sprawa prosta. Ten plus na bezpieczeństwo to za to że jak ktoś na pocztowy wejdzie to może reszty maszyn nie ruszy? Bo imho jedną maszynę można dobrze zabezpieczyć tak jak i trzy. Ja bym się bardziej doszukiwał względów wydajnościowych. Bo z bezpieczeństwem to nie wiem co za różnica oprócz tej co wyżej napisałem. To już może lepiej dwie maszyny, na jednej wszystko na innej jakieś analizatory ruchu, serwer logów, żeby w ogóle móc się dowiedzieć czy atak w ogóle nastapił. Postaw wszystko na OpenBSD, bedzie śmigać i może nikt nie ruszy.

Offline

 

#7  2009-10-13 20:11:44

  lolek - Użytkownik

lolek
Użytkownik
Zarejestrowany: 2009-01-26

Re: [Bezpieczeństwo] Osobny serwer @ i DNS?

Maszyna jest konkretna i na zapas ale jakoś nie lubię wirtualizacji.

A i dodatkowy minus... kolejna maszyna więcej hałasu :)  no ale to nie będzie tragedii bo myślę, że na maila i dns spokojnie starczy starsza maszyna, której można zrobić tuning :)

Offline

 

#8  2009-10-13 20:31:07

  bercik - Moderator Mamut

bercik
Moderator Mamut
Skąd: Warszawa
Zarejestrowany: 2006-09-23
Serwis

Re: [Bezpieczeństwo] Osobny serwer @ i DNS?

ale jezeli mowa o serwerowni (takiej prawdziwej) to i tak jest tam halas i jedna maszyna wte czy wewte ... co do UPSa to nie musi byc osobny ... moze byc jeden o wystarczajaco duzej mocy ...

wirtualizacja do wiekszosci zastosowan jest fajna :-)

jezeli ma byc to wybor osobne maszyny albo raid to bralbym raida ...


"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)

Offline

 

#9  2009-10-13 20:50:31

  lolek - Użytkownik

lolek
Użytkownik
Zarejestrowany: 2009-01-26

Re: [Bezpieczeństwo] Osobny serwer @ i DNS?

OK interesuje mnie najważniejsza kwestia: bezpieczeństwo.
Czym byście mnie przekonali do postawienia osobnej maszyny na to?

Offline

 

#10  2009-10-13 21:00:40

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: [Bezpieczeństwo] Osobny serwer @ i DNS?

Jak bezpieczeństwo to osobne maszyny z rożnymi przystosowanymi do usługi zabezpieczeniami.

Offline

 

#11  2009-10-14 09:38:42

  ba10 - Członek DUG

ba10
Członek DUG
Skąd: jesteś ?
Zarejestrowany: 2006-03-07
Serwis

Re: [Bezpieczeństwo] Osobny serwer @ i DNS?

[quote=lolek]OK interesuje mnie najważniejsza kwestia: bezpieczeństwo.
Czym byście mnie przekonali do postawienia osobnej maszyny na to?[/quote]
Osobna maszyna na DNS z takiego otóż powodu. Jeśli nie daj bóg ktoś by ci się dostał na maszynę poprzez jakiś bug w np. usłudze poczty i miał by dostęp do wszystkich usług na serwerze i wtedy też dostęp do DNS, a wtedy mógłby np. spreparować zapytania o stronę www i przekierować je na jakiś swój serwer ( np zapytania o stronę banku ) jednym słowem nastąpi wyciek poufnych danych. Jeśli by był bardzo złośliwy unieruchomił by całą maszynę to wtedy pada Tobie sieć plus usługi które masz na tej maszynie czyli np. www, poczta co się równa wielkie bubu i usunięcie usterki może potrwać dużo czasu, czego użytkownicy mogą nie przeboleć. Może trzeba sobie zdać sprawę co robi serwer DNS i jakie są konsekwencje braku takiego serwera dla sieci, a wtedy myślę, że odpowiedź jest prosta. Jeśli masz dużo użytkowników to naprawdę warto się zastanowić nad osobnymi serwerami dla poczty, dns, www, dhcp itd.  Warto się może zastanowić nad strefa DMZ dla właśnie serwerów z takimi usługami. Lepiej jest dmuchać na zimne.

Ostatnio edytowany przez ba10 (2009-10-14 09:39:50)


"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój [url=jarekw.eu]Blog[/url], a później [url=tanczymy.com]Tańczymy[/url] ;)

Offline

 

#12  2009-10-14 10:10:21

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: [Bezpieczeństwo] Osobny serwer @ i DNS?

1) Jak jedna maszyna zostanie z dyskryminowana to na reszcie jest czas na poprawienie luki
2) Jak siądzie Tobie maszyna fizyczna to albo przenosisz na inną albo podmieniasz, ale reszta działa dalej
3) Dopuszczasz ruchy tylko dla konkretnej usługi.
4) Exploit na jedną usługę nie dalej dojścia do innych usług
5) Nie przesadzaj z rozbiciem (nadgorliwość gorsza od faszyzmu)
6) Przeprowadzenie ataku blokującego serwer na jeden jest łatwy i położy wszystkie usługi a na kilka maszyn jest trudniejsze.

Offline

 

#13  2009-10-14 12:08:39

  djjanek - Użytkownik

djjanek
Użytkownik
Skąd: whereis
Zarejestrowany: 2007-11-15
Serwis

Re: [Bezpieczeństwo] Osobny serwer @ i DNS?

[quote=tgR][quote=djjanek]4) Exploit na jedną usługę nie dalej dojścia do innych usług[/quote]
ale jak zdobedzie prawa roota to zadna usluga nie jest zabezpieczona :)[/quote]
Exploit najczęściej polega na przejęciu największego prawa :) i jak masz na kilku maszynach to reszta powinna być bezpieczna :)

Offline

 

#14  2009-10-14 13:39:15

  kamikaze - Administrator

kamikaze
Administrator
Zarejestrowany: 2004-04-16

Re: [Bezpieczeństwo] Osobny serwer @ i DNS?

[quote=djjanek][quote=tgR][quote=djjanek]4) Exploit na jedną usługę nie dalej dojścia do innych usług[/quote]
ale jak zdobedzie prawa roota to zadna usluga nie jest zabezpieczona :)[/quote]
Exploit najczęściej polega na przejęciu największego prawa :) i jak masz na kilku maszynach to reszta powinna być bezpieczna :)[/quote]
W sumie to dobry argument.

Offline

 

#15  2009-10-14 15:58:02

  bercik - Moderator Mamut

bercik
Moderator Mamut
Skąd: Warszawa
Zarejestrowany: 2006-09-23
Serwis

Re: [Bezpieczeństwo] Osobny serwer @ i DNS?

@ba10 - nie wiem czy masz dobra czy popsuta szklana kule ;-) ale w watku nigdzie nie bylo ze ten dns jest cache dns ani ze system ten bedzie sluzyl udostepnianiu netu

ogolnie jezeli to ma byc faktycznie (jakis niezaduzy) routing to cache dns stawialbym na maszynie routujacej a na usulugi (masz jakies poza poczta?) robil osobna maszyne ... i to przedewszystkim ze wzgledu na sytuacje awaryjne czyli mozliwosc przerzucenia uslug z jednej maszyny na druga w wypadku padu ...


"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)

Offline

 

#16  2009-10-14 16:17:03

  ba10 - Członek DUG

ba10
Członek DUG
Skąd: jesteś ?
Zarejestrowany: 2006-03-07
Serwis

Re: [Bezpieczeństwo] Osobny serwer @ i DNS?

[quote=bercik]@ba10 - nie wiem czy masz dobra czy popsuta szklana kule ;-) ale w watku nigdzie nie bylo ze ten dns jest cache dns ani ze system ten bedzie sluzyl udostepnianiu netu[/quote]
Hmm baterie wysiadły i musiałem improwizować ;)
A poważnie kolega lolek nie napisał nic na temat sieci swojej, więc odpowiedź jest jak najbardziej ogólna jak ogólne było pytanie ;) i racja bercik chyba mnie wyobraźnia poniosła.
[quote=djjanek]/.../i jak masz na kilku maszynach to reszta powinna być bezpieczna :)[/quote]
Właśnie mowa jest o tym, że kilka usług znajduje się na jednej maszynie, a więc w razie przejęcia największych praw jest fail, jakby na to nie patrzeć.
[quote=djjanek]Jak bezpieczeństwo to osobne maszyny z rożnymi przystosowanymi do usługi zabezpieczeniami.[/quote]
[quote=djjanek]5) Nie przesadzaj z rozbiciem (nadgorliwość gorsza od faszyzmu)[/quote]
:D

Ostatnio edytowany przez ba10 (2009-10-14 16:25:32)


"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój [url=jarekw.eu]Blog[/url], a później [url=tanczymy.com]Tańczymy[/url] ;)

Offline

 

#17  2009-10-15 01:18:12

  lolek - Użytkownik

lolek
Użytkownik
Zarejestrowany: 2009-01-26

Re: [Bezpieczeństwo] Osobny serwer @ i DNS?

@ba10 ja wiem dokladnie co mozna by zrobic wbijajac na DNS-a, jednak o pad jego bardzo bym sie nie martwil bo jest wtedy zapasowy.
Jako serwer pocztowy wybraem qmiala i niby z tego co wiem nie znane sa przypadki aby udao sie komus wbic przez niego :) z reszta nie zmienie i tak na innego bo na dotychczasoej maszynie mam, dziala mi i jestem zadowolony wiec po co sie uczyc nowego.

Jedna duza maszyna to moim zdaniem bezsens... bo jak padnie lub bedzie trzeba zrobic modernizacje to wtedy wsio nie dziala, a tak konkretnie jedna usluga, ktora mozna przezucic na rezerwe.
Decyzja i tak jest juz podjeta odnosnie dzielenia lacza... beda 2 niezalezne maszyny pracujace w routingu dynamicznym, wiec jedna moze nie dzialac calkiem to druga przejmie kontrole nad podzialem lacza itd...

Chcodzilo mi tu o bezpieczenstwo w sensie... hmm jak by tu napisac... rozbic je na prawdopodobienstwa wbicia sie na nie z uwzglednieniem aplikacji krytycznych, czyli jednym sowem podstawowe zadania do wykonania to:
- podzial lacza - tu jak pisalem decyzja podjeta... beda 2 niezalezne maszyny z 2 niezaleznymi laczami (calkowicie redundantne)... generalnie routing oraz QOS + zbieranie i zapisywanie logow polaczen
- serwer RADIUS do autoryzacji klientow (mysle ze beda odpalone na obu maszynach do podzialu lacza)
- serwer DNS (drugi zapasowy serwer jest w zupelnie innej serwerowni)
- serwer WWW (strona firmowa + panel kliencki + panele do zarzadzania siecia)
- baza danych MYSQL (do obslugi paneli do zarzadzania, fakturowania oraz obslugi klientow... dosc istotna kwestia bo wszyscy klienci tu sa zebrani w jednej bazie i dane nie moga wyciec)
- serwer poczty
.... o czyms zapomnialem?

Jakbyscie to rozbili? Wiem wiem najlepiej wszytsko na osobne maszyny ale kasowo nie da rady... za malo userow w sieci aby sobie na to pozwolic... z czasem mysle ze to sie zrobi ale na dzis dzien niestety nie.


Moja propozycja:
Maszyna nr 1:
- podzial lacza
- serwer RADIUS
- serwer WWW
- baza danych MYSQL

Maszyna nr 2:
Maszyna nr 1:
- zapasowy podzial lacza  (zsynchronizowany z maszyna nr1)
- zapasowy serwer RADIUS (zsynchronizowany z maszyna nr1)
- zapasowy serwer WWW (zsynchronizowany z maszyna nr1)
- zapasowy baza danych MYSQL (zsynchronizowany z maszyna nr1)

Maszyna nr 3:
- DNS
- serwer poczty
(- moze ftp? bo czasem sie przyda cos udostepnic)

Pod wzgledem prawdopodobienstwa wbicia na jakas usluge bedzie OK? Czy proponujecie zmienic? Jesli tak to prosil bym o info dla czego tak myslicie.



P.S. Czy bind z paczki jest bezpieczny?

Ostatnio edytowany przez lolek (2009-10-15 01:19:32)

Offline

 

#18  2009-10-15 10:38:01

  bercik - Moderator Mamut

bercik
Moderator Mamut
Skąd: Warszawa
Zarejestrowany: 2006-09-23
Serwis

Re: [Bezpieczeństwo] Osobny serwer @ i DNS?

ja bym dns dawal na maszynach routingowych (bo domyslam sie ze ma byc tez chache dns-em dla sieci, wiec wtedy jest usluga o sporym znaczeniu dla sieci) a WWW+MySQL+poczta na maszynie nr 3

Ostatnio edytowany przez bercik (2009-10-15 10:40:31)


"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)

Offline

 

#19  2009-10-15 13:49:55

  lolek - Użytkownik

lolek
Użytkownik
Zarejestrowany: 2009-01-26

Re: [Bezpieczeństwo] Osobny serwer @ i DNS?

Jest ważny ale nie krytyczny bo zawsze jest secondary DNS. Gdzieś kiedyś czytałem opinie, że BIND nie jest super odporny na włamy dla tego myślałem o daniu go na osobną maszynę.

Offline

 

#20  2009-11-24 00:26:27

  TuRKiN88 - Członek DUG

TuRKiN88
Członek DUG
Skąd: Korzenna
Zarejestrowany: 2005-01-09
Serwis

Re: [Bezpieczeństwo] Osobny serwer @ i DNS?

Witam. Podepnę się pod wątek: osobne maszyny powiedzmy mini serverownia (www, mail, dns). Czym zgrabnie zarządzacie? Co/jakie oprogramowanie polecacie aby z jednego poziomu konfigurować 3 maszyny? Podzielicie się koledzy doświadczeniami?
Pozdrawiam


Tomasz TuRKiN88 Turek

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.011 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00012 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00132 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.81.210' WHERE u.id=1
0.00093 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.81.210', 1733960730)
0.00047 SELECT * FROM punbb_online WHERE logged<1733960430
0.00053 SELECT topic_id FROM punbb_posts WHERE id=134670
0.00160 SELECT id FROM punbb_posts WHERE topic_id=15203 ORDER BY posted
0.00056 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=15203 AND t.moved_to IS NULL
0.00009 SELECT search_for, replace_with FROM punbb_censoring
0.00103 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=15203 ORDER BY p.id LIMIT 0,25
0.00086 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=15203
Total query time: 0.00756 s