Kako podesiti racunare koji idu preko Lan-a na net?

Pozdrav,


Molio bih za jedan savjet.
Imam 15 umrezenih racunara i mreza radi uredno.
Sada se pojavila potreba da cetiri racunara idu na internet.Na mom racunaru je modem
i preko njega bih dijelio ICS konekciju na ova ostala cetiri.
Odlucio sam se za Wingate.
Interesuje me zastita na internet-u.

Evo ovako:

Na svoj racunar koji bi bio server za ICS instalisao bih firewall i antivirusni program.
Na klijente bih instalisao samo AV program.
Da li je ovakva zastita dovoljna i da li je na ostale racunare (koji nece i nemaju potrebe da idu na net)potrebno instalisati AV program.

Ukratko,
1. kako zastititi server za ICS(na kojem je Wingate),
2.kako zastiti klijente,
3.kako zastiti racunare (i da li je potrebno) koji ne idu na net i da li postoji mogucnost da oni pokupe neki virus kada je neko trenutno na internetu?

Svi OS-i su Win 98se.

Unaprijed zahvalan.

Drzi antivirus na svakom racunaru. Nema veze da li se racunar povezuje na net ili ne, dovoljno je sto je povezan sa nekim drugim racunarom a pogotovo ako je taj drugi povezan na net.

O.K. hvala,


Znaci AV na svaki racunar a firewall samo na server?

ma treba ti samo AV na racunaru na kom je share-ovana konekcija...mada od viska ne boli glava ako imas dobre racunare...

Hm,


Ne znam bas da li AV koji je na serveru filtrira saobracaj koji ide na klijente.On bi trebao samo da dijeli konekciju.

AV ne filtrira ni saobracaj, niti deli konekciju. AV je antivirus, nije rounting/ICS program.

Slazhem se sa brokerom. Firewall na server gde ti je proxy, na sve mashine AV (ukljuchujuci i server).

2.5 OSNOVNE FIREWALL KONFIGURACIJE 2.5.1 DUAL-HOMED GATEWAY Dual-Homed Gateway ("među-sistemski") je Firewall koji se sastoji od računara sa najmanje dva mrežna adaptera. Ovakav sistem se normalno konfiguriše tako da se paketi ne rutiraju direktno sa jedne mreže (Internet) na drugu mrežu (Intranet). Računari na Internet-u mogu da komuniciraju sa Firewall-om, kao i računari sa unutrašnje mreže, ali je direktan saobraćaj blokiran.Glavna mana Dual-Homed Gateway-a je činjenica da blokira direktni IP saobraćaj u oba pravca. Ovo dovodi do ne mogućnosti rada svih programa koji zahtevaju direktnu putanju TCP/IP paketa. Da bi se rešio ovaj problem, Dual-Homed Gateway računari izvršavaju programe pod nazivom Proxy, da bi prosledili pakete između dve mreže. Umesto da direktno razgovaraju, klijent i server "pričaju" sa Proxy-jem, koji radi na bastion hostu. Poželjno je da Proxy bude transparentan za korisnike. -10-
2.5.2 SCREENED HOST GATEWAY Screened Host Gateway ("zaklonjeni") je Firewall koji se sastoji od bar jednog rutera i bastion hosta sa jednostrukim mrežnim interfejsom. Ruter se tipično konfiguriše da blokira sav saobraćaj do unutrašnje mreže tako da je bastion host jedini računar kome se može spolja pristupiti. Za razliku od Dual-Homed Gateway-a, Screened Host Gateway ne forsira sav saobraćaj kroz bastion host; pomoću konfiguracije rutera moguće je da se otvore "rupe" u Firewall-u, tako da postoji prolaz i do drugih računara u okviru unutrašnje mreže.Bastion host je zaštićen ruterom. Ruter se konfiguriše tako da dozvoli saobraćaj samo za određene portove na bastion hostu. Dalje, ruter se može konfigurisati tako da dozvoljava saobraćaj samo sa određenih spoljnih računara. Često je da se ruter konfiguriše tako da se dozvoljava prolaz svih konekcija koje su potekle sa unutrašnje mreže. Ovakva konfiguracija omogućava korisnicima da koriste sve standardne mrežne funkcije pri komunikaciji sa spoljnom mrežom bez korišćenja Proxy servisa. -11-
2.5.3 VIRTUELNE PRIVATNE MREŽE (VPN – Virtual Private Networks) Virtualne privatne mreže (tzv. enkripcijski tuneli) omogućavaju sigurno spajanje dvije fizički odvojene mreže preko Interneta bez izlaganja podataka neautoriziranim korisnicima. Zadatak vatrozida je da omogući sigurno stvaranje virtualne veze nekog udaljenog računala sa zaštićenom mrežom. Primjer uspostavljanja VPN-a između dvije lokalne mreže Nakon što je jednom uspješno uspostavljena, virtualna privatna mreža je zaštićena od neovlaštenih iskorištenja sve dok su enkripcijske tehnike sigurne. Koncept VPN-a omogućava udaljenim korisnicima na nezaštićenoj strani da direktno adresiraju računala unutar lokalne mreže, što drugim korisnicima nije moguće zbog Network Address Translation-a i filtriranja paketa. Brzina kojom takvi udaljeni računri komuniciraju sa lokalnim računarima mnogo je sporija od one koju računari u lokalnoj mreži koriste. Razlog tome je njihova fizička udaljenost i oslonjenost na brzinu Interneta, ali i procesi enkripcije podataka, filtriranja paketa na firewall-u, i dekripcije originalnih podataka. Kako bi udaljeni korisnici uspješno prošli fazu spajanja na lokalnu mrežu potrebno je da se uspješno obavi autentifikacija istih. Ta autentifikacija mora biti kriptirana da bi se spriječila krađa podataka od strane napadača i iskorištenje istih. -12-
2.5.4 KONFIGURACIJA MREŽE BEZ SERVERA U slučajevima kada organizacija koja koristi vatrozid ne pruža nikakve usluge korisnicima Interneta, vatrozid je dovoljno konfigurirati na način da propušta samo pakete koji napuštaju lokalnu mrežu, i pakete koji dolaze kao povratne informacije na temelju uspostavljenih veza. Primjer konfiguracije mreže bez servera Ova konfiguracija u odnosu na konfiguracije mreža sa serveražiteljima je prvenstveno jednostavnija za konfigurirati, ali i sigurnija za lokalnu mrežu. Ali danas je takva mreža izrazito neučinkovita gledano sa poslovne i informacijske strane. Organizacije sve češće ne koncentriraju sve zaposlenike i rad na jednom mjestu, već ih raspoređuju po udaljenim lokacijama. U slučajevima kad je potrebno ostvariti vezu udaljenih lokacija, moguće je uz danu konfiguraciju jedino primijeniti fizičko povezivanje udaljenih LAN-ova što je za većinu organizacija ipak preskupo. Zbog toga je ovakva restriktivna konfiguracija rjeđa kod većih organizacija, ali češća kod kućnih ureda. 2.5.5 KONFIGURACIJA MREŽE SA JEDNIM SERVEROM I JEDNIM FIREWALLOM Ukoliko organizacija treba imati servere onda je potrebno konfigurirati mrežu i firewall na kompleksniji način od prethodno opisanog. Lokalna mreža može biti konfigurisana na način da se koristi samo jedan firewall i serveri unutar lokalne mreže ili izvan lokalne mreže. Ako je lokalna mreža konfigurisana na način da su serveri locirani izvan lokalne mreže, konfiguracija lokalne mreže i firewall-a može u potpunosti biti jednaka kao u slučaju mreže bez servera. -13-
Takva konfiguracija koja ne dozvoljava prolazak paketa prema zaštićenoj mreži, ukoliko oni nisu dio neke prethodno uspostavljene veze, osigurava i dalje maksimalnu sigurnost za računare locirana u lokalnoj mreži. Ali računari locirani izvan lokalne mreže, koji rade kao serveri izložena su različitim napadima. Zlonamjerni napadači su u mogućnosti da izvedu DoS (eng. Denial of Service) napad, pri kojem se ostalim korisnicima Interneta, ali i lokalne mreže onemogućava korištenje usluga servera. Za organizaciju je čak puno gore od spomenutog napada ukoliko napadači modificiraju podatke koji se nalaze na serveru. Primjerice napadači mogu podvaljivati lažne obavijesti serveriima, ili čak programe koji su virusi. Time napadači mogu uvelike naštetiti ugledu organizacije. Primjer konfiguracije mreže sa serverima lociranim izvan lokalne mreže U slučaju kada je lokalna mreža konfigurisana na način da su serveri locirani unutar lokalne mreže, konfiguracija lokalne mreže i firewall-a je složenija. Osim dolaznih paketa koji su dio uspostavljene veze potrebno je omogućiti i prolazak početnih paketa samo prema serverima. -14-
Primjer konfiguracije mreže sa serverima lociranim unutar lokalne mreže Konfiguracija lokalne mreže sa serverima lociranim unutar lokalne mreže ostavlja brojne sigurnosne rupe koje vješti napadači mogu iskoristiti. Napadači mogu iskoristiti konfiguraciju firewalla koja propušta i početne pakete kako bi preko servera dospjeli do ostalih računala u mreži ili barem saznali određene informacije o njima.

Passwd,puno ti hvala na iscrpnom odgovoru.


Pozdrav

Dal je rijesen "problem" il ima jos nesto sto te muci??
Bar sam se o firewallima nacito :) ...

Sve je O.K.

Hvala.