Срочно! Защита сервера w2k

Имеется сервер windows 2000. Нужно максимально быстро и максимально эффективно настроить ему безопасность. Посоветуйте, плиз, софт (firewall), ссылки и все такое...
Спасибо.

Atgaurd 3.22 лучшего брандмауера я не знаю. Думаю, его можно и скачать, он всего-то ничего, менее десяти мегов. Точно уж и не помню...

AtGuard - в морг. К нему эксплойтов уже более, чем достаточно - так что наружу его выводить, если есть вероятность взлома - не стоит.

Гм... Ты бы лучше посоветовал тогда что получше. А критиковать каждый может... Атгард и вправду древность, но мне пока ничего не лучше под виндой не встречалось...

Ребята, если админ мышей совсем не ловит, то никакие средства защиты не помогут!

Дык это ясный пень. Но если он мышей все-таки ловит, то я утверждаю, что Атгард ему вполне подходит. И что его хватит... НГу а если совсем уж кул хацкер попадется, то там никакая софтина не поможет, окромя навыков самого админа...

согласен.

Ну я бы присоветовал WinRoute Pro. Хотя не в курсе на кол-во эксплоитов к этой штуке сейчас. Раньше кажется не так было и много. На странице говорят - сертифицирована кем-то
Лучший файрвол вообще - уникс + iptables. Ну а под виндовоз - этот софт имхо - один из неплохих.

Ну вот немного посмотрел в инете по поводу експлоитов для WinRoute, пока ничего "толкового" не нашел. Зато нашел техническое втиралово:

Цитата

"Драйвер WinRoute (называемый Engine, или механизмом) активизируется в тот момент, когда файлы ядра (kernel) операционной системы Windows загружаются в память. Конкретно, механизм загружается раньше модулей NDIS (Network Device Interface Specification - спецификация интерфейса сетевых устройств), благодаря чему сетевое подключение просто не поддерживается до момента полной активизации WinRoute. Таким образом, все интерфейсы оказываются полностью защищенными, прежде чем в систему могут попасть какие-либо зловредные данные, либо она иным образом подвергнется атаке. Такая схема обладает очевидными преимуществами перед автономными средствами обнаружения признаков вторжения, которые являются, по сути дела, сетевым сервисом, а следовательно, не могут быть активизированы до того момента, как система полностью загрузится. Особая технология, примененная в программном комплексе WinRoute, "обволакивает" модули NDIS таким образом, что весь TCP/IP-трафик перенаправляется от сетевого адаптера (network interface card, сокращенно NIC) к механизму WinRoute, прежде чем он достигнет сетевого коммуникационного стека и далее - операционной системы. Благодаря такому "вмешательству" в работу операционной системы на низком уровне механизм WinRoute получает уникальную возможность взять под контроль весь сетевой трафик (как входящий, так и исходящий) прежде чем он дистигнет любого интерфейса . Как и многие межсетевые экраны уровня предприятия (например, Firewall-1 компании Check Point), WinRoute обладает полномочиями принятия приоритетного решения относительно того, принять или отвергнуть тот или иной пакет. Отметим еще раз, что такая схема обеспечивает предотвращение атак на операционную систему или любое другое программное обеспечение, даже если нарушителю удается обойти межсестевой экран. Безуловно, это крайне важно для Интернет-шлюзов, обеспечивающих доступ извне, однако и автономные узлы, нуждающиеся в высокой степени безопасности или анонимности, получают неоспоримые преимущества, в частности, в отношении применения систем обнаружения вторжения. На узле, защищенном WinRoute, такие программные средства обнаружения вторжения, как, например, система Real Secure компании Internet Security Systems (ISS), становятся практически невидимыми. Механизм WinRoute берет на себя все функции операционной системы Windows (будь то Windows 9x, NT или 2000) по маршрутизации любых коммуникационных средств. Благодаря этому в случае сбоя, произошедшего по той или иной причине в механизме WinRoute, весь межсетевой трафик гарантированно блокируется. Такой способ "блокировки по сбою", который традиционно применяется по умолчанию в самых разнообразных конфигурациях межсетевых экранов на протяжении многих лет, обеспечивает защиту закрытых сетей от наиболее распространенных системных сбоев."

Поиски продолжаются. Может кто поможет?

Цитата Iskander, 21.10.02, 12:23:07

Гм... Ты бы лучше посоветовал тогда что получше. А критиковать каждый может... Атгард и вправду древность, но мне пока ничего не лучше под виндой не встречалось...

Эээ.. Да я, вобщем-то не критикую, просто постаивть AtGuard и включить на нем explicit block это вроде как от дождя газетой закрываться. Помогает, но в основном от сканеров и просто отстойщиков. А когда речь идет о защите просто нельзя полностью доверять.
Что касается личной практики - именно так как Джо сказал - Linux+iptables. И не жужжу. Машину под линух можно самую древнюю брать, ей много не надо.

Винроутом я пользовался, правда больше как проксей. Понравилось.

Так ведь гы. Речь-то именно  о винде шла. Так-то ясен пень что с пингвином все намного лучше и безоблачней в плане защиты... Если только админ в нем варит и шарит ;D

слишком громко сказано ...

Цитата purpe, 21.10.02, 12:47:33

Ребята, если админ мышей совсем не ловит, то никакие средства защиты не помогут!

Ну-у-у ... это чистой воды фатализм ;D;D;D

Есть одно средство защиты для неловящих мышей админов  - удаление с сервака всего сетевого оборудования.  Наверное слышал что винду согласились сертифицировать на высший (не помню точно какой, кажется ц1) уровень безопасности при условии если на компьютере, ее "несущем", будут удалены все сетевые карточки, модемы, монитор и клавиатура. ;D

P.S. Я бы для надежности еще проц(ы) выдернул
;D ;D ;D

Завалялся у меня тут один документик...
http://home.earthlink.net/~akimka/HardenW2K101.pdf

Может поможет...