- Utan ubuntu är du bara en fähund
- Det bästa här i livet är gratis
- Pixlar i maskineriet
- Virus, maskar och löss
- Släpp programmen fria det är vår!
- Ubuntu på kontoret
- E-banker och Ubuntu
- Enkel e-post och katalog-server
- Företaget Ernie Ball
- Företaget Toystore
- Filserver
- Kalenderserver
- Kontorsprogram - övriga
- Kontorsprogram - ekonomi
- Kontorsprogram - personlig effektivitet
- Miljökonsultföretaget Paxterra
- Nätverket
- Optimering av Ubuntu för äldre datorer
- Säker kommunikation, elektronisk signatur och kryptering
- Säkerhet
- Sätta upp en telefonväxel
- Skapa egna distributionspaket
- Trycksaksproduktion
- Tunna klienter
- Ubuntu lämplig för skolor?
- Utrullning i stor skala
- Ubuntu i serverhallen
- Datorkomponenter
- Köra backup mot utdelad WinXP mapp.
- Ubuntu hemma
- Ubuntu på USB 4GB+ Persistant mode.
- Böcker i tryck om Ubuntu
Stinky
Stinky
Inskrivet av aw tis, 2005-08-23 12:50Allmän
Potato: Oh, really? Well, I'm from Playskool.
Rex: And I'm from Mattel. Well, actually I'm from a smaller company that was purchased
by Mattel in a leveraged buyout.
Stinky och Rex är identiskt konfigurerade brandväggar. Servrarna är försedda med tre nätverkskort som ansluts till Internet-leverantören, ett DMZ och slutligen ett lokalt nätverk. Det lokala nätverket använder privata nätverksadresser som delas ut med DHCP som sedan översätts med NAT till en publik adress.
Toystores Internet-operatör har tilldelat företaget två adresserier med publika ip-adresser för de två DMZ som används. Brandväggarna har också fått andra publika ip-adresser som bara används mellan brandväggen och Internet-operatören.
Brandväggsprogramvaran är Shorewall, brandväggen ansvarar också för domännamnserver (Bind9), utdelning av privata adresser till det lokala nätverket (Dhcp3-server) och katalogserver (OpenLDAP). Webmin används för administration av tjänsterna.
Varför lägga alla ägg i en korg? Katalog- och namnservern är företagets absolut känsligaste system och borde ha högsta möjliga skydd. Svaret är just det att brandväggen är det system som bör få mest omsorger när det gäller säkerhet och därmed är känsliga system som mest skyddade ombord på brandväggen. Även om Ubuntu är ett säkert operativsystem redan från start så finns det hjälpmedel som skruvar upp säkerheten några steg ytterligare: Bastille och Snort. Det förra undersöker och säkrar systemet, det sendare kan även löpande övervaka och larma vid eventuella intrångsförsök. Regelbundna externa säkerhetsskanningar med Nessus kan också vara idé att göra.
Brandväggen installeras för att endast accessas via SSH och SSL (Webmin) vilket betyder att all kommunikation direkt med brandväggen sker krypterat. Administrationen kan också låsas till vissa datorer på det lokala nätverket - men detta innebär också längre ledtider när ansvarig personal är i sommarhuset och snabba ändringar måste göras. Avvägning mellan säkerhet och bekvämlighet.
Redundans
Stinky replikerar OpenLDAP-databasen till Rex med rsync eller med rdiff-backup om man önskar historik. Totalt tre namnservrar arbetar parallellt. Stinky är master, Rex och Al är sekundärer. Alla ändringar i DNS-databasen sker på Sid som i sin tur talar om för Rex och Al när det skett uppdateringar. NS-posterna kan visas med Nätverksverktyget eller host:
aw@andy:~$ host -t ns toystore.se toystore.se name server ns1.toystore.se. (Stinky) toystore.se name server ns2.toystore.se. (Rex) toystore.se name server ns3.toystore.se. (Al) aw@andy:~$
Buzz respektive Woody, telefonväxeln, är även konfigurerad som Stinky och Rex för att snabbt kunna ersätta en havererad brandvägg. Eftersom den ena telefonväxeln är redundant så är det möjligt att tillfälligt använda en av dessa för andra ändamål. Utan brandvägg stannar nätet så det är en osynlig men vital funktion.
Informationssäkerhet
Bra brandvägg är inte hela lösningen, mycket av de praktiska säkerhetsproblemen företag tampas med härrör sig från egen personal som exempelvis kopierar kundregistret innan de slutar. Brandväggen, routrar och utrustning från ISP måste förvaras i låsta utrymmen. Informationssäkerhet är också vad som händer vid stöld av bärbar dator, virus- och hacker-attacker, förlust av information, förskingring (ekonomisk brottslighet), driftsavbrott och redundans, brand och vattenskada, strömavrott och internetavbrott. Beroenden av leverantörer liksom kunder. Man bör göra en riskanalys för sin verksamhet och en åtgärdsplan med tydligt utpekade ansvariga personer. Värdera riskerna och gör åtgärder innan olyckan är framme.
Kryptering av datatrafik, kryptering av lokala hårddiskar är viktiga åtgärder. Tänk på att datorutrustningens hårddiskar kommer i främmande händer vid service och reparationer. Företagets lokala nätverk är lika sårbara för intrång och avlyssning som vanliga icke krypterade trådlösa nätverk. Men relativt billig utrustning kan man till och med avlyssna den trådbundna trafiken utanför byggnaden. Med programmen Airsnort så knäcker en Ubuntu-dator vanlig WEP-kryptering som används tillsammans med WLAN och marknadens vanligaste accesspunkter. Används därför alltid SSH och andra krypteringar. I princip kan man strunta i WEP, kryptering på kryptering blir definitionsmässigt aldrig säkrare.
Installation
Samtliga progam finns i Synaptic med universe påslagen.
Mer information
Svenska Dataföreningen SBA-analysen
» utskriftsvänlig version | 1707 läsningar
