> четверг, 21 декабря 2000 г., 16:41:50, Eugeny Kuzakov <coredumped@coredumped.org.ru> написал(а):
> Отстреливание HTML part или жёсткая фильтрация JS/VBS, Java, безусловное
> отстреливание вложенных ActiveX, .exe/vbs/shs/hta...
так и предполагалось:)
> EK> Исходящая почта:
> EK> 1. ограниченный список отправителей
> EK> 2. auth+ssl
> EK> 3. avp+отстреливание писем с аттачментами на неизвестные адреса или что-то подобное.
>
> Наверное, то же, что и для входящей.
>
> EK> Доступ к www/ftp/etc с рабочих станций:
> EK> на каждой станции avp+atguard/norton security
>
> Принудительное заворачивание http и ftp коннектов через прокси, на
только прокси, никаких маскарадов. иначе оно всё неуправляемо.
> котором реализована жёсткая фильтрация траффика, permit/deny site lists,
> запрет пользоваться чужими DNS-серверами. Можно вообще разрешить на
> выход только http и возможно, какие-то ftp. В паре с AtGuard можно
а какой смысл ограничивать доступ к ftp?
> использовать ZoneAlarm, если уж так хочется... Если на рабочих станциях
кстати, об atguard. очень приятно, что он работает с приложениями.
но вот...некий, запущенный под vmware, делает что хочет без всяких ограничений....
да, а atguard справится с троянцами, которые цепляются/прячутся к уже запущенным приложениям?
где-то я читал, что такое возможно.
> стоит NT, то можно разрешить запускать только определённые программы.
ну прямо так-то уже жестого:)
> А какая цель стоит, от кого пытаемся защититься и что примерно
> представляют собой юзеры?
юзеры как юзеры:)
внутри "врагов" нет, но любой модет кликнуть куда не стоило.
просто мне, как админу, интересно как можно более спокойно
себя чувствовать защищённым от троянцев и т.д.
это сейчас(да и всегда) наиболее реальный пробраться во внутренную сеть.
Просто было несколько неприятных моментов...:(
В общем это требует кроме настройки оборудованию/софта еще и организационнх
мероприятий. Неинтересно ограничиться списки емаилов и www/ftp, с которыми будут
общаться пользователи и быть вахтёром по проверке и расширению данных списков...:)
Спасибо, Евгений.
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
