The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Как сделать сеть безопасней?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Как сделать сеть безопасней?"  +/
Сообщение от кировлес (?), 15-Авг-18, 13:22 
Здравствуйте уважаемые Форумчане!

Помогите пожалуйста средней нубности админу сделать сетку более надёжной.

Опишу сперва ситуацию:
У нас организация не шибко большая (порядка 50 пользователей), но имеется 3 офиса в городе.
Все офисы связаны через VPN. Офисы съёмные, сетка там организована "под потолком", с ворохами кабелей от предыдущих арендаторов, с выходящими кабелями в кабинеты соседей и прочие прелести.

Сейчас у нас одноранговая сеть, просто комп подключается в сетку, получает ip и всё. Максимум защиты это выдача адресов dhcp по прописанным на нём макам, но я сам прекрасно понимаю что это даже не видимость защиты а просто глупость.

Подскажите пожалуйста, как правильней организовать доступ к локальной сети только авторизованных ПК, подразумевая что на физическом уровне доступ в сеть ограничить сложно.

Рассматривал вариант с управляемыми коммутаторами, но у нас их придётся закупать много, т.к. кабели сведены не в одно место с центральным коммутатором, а исторически сложившаяся схема "корявая звезда".
В процессе самостоятельных поисков, нашёл много умных терминов типа авторизация в сети по протоколу 801.11, но насколько я понял из прочтения нескольких статей, для этого требуются управляемые коммутаторы и по видимому довольно дорогие.

Уважаемые опишите пожалуйста в общих чертах как мне реорганизовать сеть и какими средствами. Из того что я умею, чем владею - настройка сетевых сервисов на *NIX'ах.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Как сделать сеть безопасней?"  +1 +/
Сообщение от Alex_hha (?), 15-Авг-18, 15:17 
> для этого требуются управляемые коммутаторы и по видимому довольно дорогие.

что в вашем понятии дорогие? 8021.x поддерживают практически все коммутаторы. Но на офис в 50 пользователей это как из пушки по воробьям, имхо

> Уважаемые опишите пожалуйста в общих чертах как мне реорганизовать сеть и какими
> средствами. Из того что я умею, чем владею - настройка сетевых
> сервисов на *NIX'ах.

какую изначально проблему пытаетесь решить?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Как сделать сеть безопасней?"  +/
Сообщение от кировлес (?), 15-Авг-18, 21:32 
> что в вашем понятии дорогие? 8021.x поддерживают практически все коммутаторы. Но на
> офис в 50 пользователей это как из пушки по воробьям, имхо
> какую изначально проблему пытаетесь решить?

В общем проблему охарактеризовать такими могу тезисами:
1. Потенциально есть возможность постороннему устройству оказаться физически в нашей сети. Нет возможности избежать этого.
2. Учитывая п.1, как свести к минимуму возможный вред такой как: Заражение клиентских ПК, доступ к сетевым ресурсам.
3. Также, как в случае заражения отдельного клиентского ПК, как сделать чтобы он был без возможности распространять заразу по другим клиентским ПК.

Ну и если решение всё же коммутаторное, то надо чтобы абсолютно все свичи были заменены на управляемые? Или достаточно только центральные в офисах? Что должны поддерживать требуемые железки?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

12. "Как сделать сеть безопасней?"  +/
Сообщение от ALex_hha (ok), 21-Авг-18, 11:12 
> В общем проблему охарактеризовать такими могу тезисами:
> 1. Потенциально есть возможность постороннему устройству оказаться физически в нашей сети.
> Нет возможности избежать этого.
> 2. Учитывая п.1, как свести к минимуму возможный вред такой как: Заражение
> клиентских ПК, доступ к сетевым ресурсам.
> 3. Также, как в случае заражения отдельного клиентского ПК, как сделать чтобы
> он был без возможности распространять заразу по другим клиентским ПК.

так свитчи тут вообще не помогут, от слова совсем. Макс что можно, делать привязку мак адреса к порту свитча. Но это так, скорее защита от дурака. На линухе была прикольная утилитка - arpwatch, которая присылала отчеты, когда в сети появлялись новые мак адреса.

Учитывая 2 и 3, а с учетом того, что у вас скорее всего будет стоять венда - то единственное, что вы можете сделать для снижения вероятности заражения:

1. Использовать современные версии венды, забыть за XP и т.п. хлам
2. Своевременно устанавливать обновления
3. Использовать антивирус
4. Настроить фаерволы на локальных машинах
5. Пользователи должны работать с обычными учетками, без админ прав
6. Проводить обучение компьютерной грамотности персонала. Ибо когда бухгалтеру приходит письмо, с zip внутри которого вирусня, и она его запускает, то вы мало что сможете сделать
7. Выставлять и контролировать права доступа к ресурсам. Если это сетевая шара бухгалтерии, то к ней доступ должны иметь Вася, Петя, Маша. Таким образом, если Коля подхватит вирусню, то она не сможет зашифровать все файлы на этой шаре.
8. Бекапы, бекапы и еще раз бекапы.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

2. "Как сделать сеть безопасней?"  +/
Сообщение от NAIemail (?), 15-Авг-18, 18:00 
> ПК, подразумевая что на физическом уровне доступ в сеть ограничить сложно.

Я так понимаю вопрос как обезопасить ПК в филиалах?
1)Настроить firewall на клиентских ПК - запретить все кроме шлюза\требуемых ресурсов.
2.1)Закупить хотя бы web\smart-свичи. Cisco SF200\AlledTelesys FS750, настроить VLAN\802.11.
2.2)Если между вами и провайдерами туева куча свичей, а сотрудники сидят в одном-помещении то может рассмотреть вариант сделать свою разводку кабелем и спрятать всех за NAT.
3)Если работаете на MS то ввести всех в домен (если не сделано раньше) и организовать доступ к ресурсам только доменным пользователям.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Как сделать сеть безопасней?"  +/
Сообщение от кировлес (?), 15-Авг-18, 21:48 
>> ПК, подразумевая что на физическом уровне доступ в сеть ограничить сложно.
> Я так понимаю вопрос как обезопасить ПК в филиалах?
> 1)Настроить firewall на клиентских ПК - запретить все кроме шлюза\требуемых ресурсов.

На клиентских ПК фаер это виндовый? Звучит фантастично... Хотя из принтеров у нас только сетевые, а межкомповые коннекты вроде только для сетевых папок да расшареных принтеров нужны. Надо будет взять на заметку.

> 2.1)Закупить хотя бы web\smart-свичи. Cisco SF200\AlledTelesys FS750, настроить VLAN\802.11.

Свичи должны из требований только поддерживать VLAN?

> 2.2)Если между вами и провайдерами туева куча свичей, а сотрудники сидят в
> одном-помещении то может рассмотреть вариант сделать свою разводку кабелем и спрятать
> всех за NAT.

Они и так за натом, с нормальным шлюзом. Свичей да многовато, в целом все кабеля свои воткнуты, но просто поток посторонних подрядчиков, клиентов и разных других довольно велик, и я не могу быть уверен что кто-то не воткнётся в сеть.

> 3)Если работаете на MS то ввести всех в домен (если не сделано
> раньше) и организовать доступ к ресурсам только доменным пользователям.

Домен не охота поднимать. Сколько с доменом имел дела, то одно то другое вылазит. Понимаю что ответят типа "не умеешь готовить", но я считаю что с ним на уровне выше среднего знаком. И 5 сайтов с отдельным BDC в каждом и опыт в чистке схемы от подохших BDC и передачи ролей имею и связку AD с самбой, но вот эти грабли которые возникают на пустом месте, периодически и с ними гемор в виде затупливания логонов у клиентов - это мне просто осточертело. Я сделал просто на самбе прописанных пользователей, и набор скриптов которые разруливают доступы этих самбовых пользователей к определённым ресурсам.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Как сделать сеть безопасней?"  +1 +/
Сообщение от Сергей (??), 15-Авг-18, 22:41 
Можно еще включить ipsec, вот только не все устройства его будут понимать...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Как сделать сеть безопасней?"  +/
Сообщение от NAIemail (?), 16-Авг-18, 10:38 
>> 1)Настроить firewall на клиентских ПК - запретить все кроме шлюза\требуемых ресурсов.
> На клиентских ПК фаер это виндовый? Звучит фантастично...

А вот вы зря, виндовый фаерволл (по крайней мере в win7\2008R2) норм. Да, у него не самый удобный интерфейс. Да, надо знать PowerShell для удобного управления. Но сам по себе фаерволл как фаерволл. У меня сервер в интернете с ним, никаких проблем не замечено - режет все что нужно (от ICMP, до белых\черных списков).
Правда, как автоматически развернуть правила на 50 клиентах без домена (тут мы пересекаемся с п.3) я х.з. Только руками.

>> 2.1)Закупить хотя бы web\smart-свичи. Cisco SF200\AlledTelesys FS750, настроить VLAN\802.11.
> Свичи должны из требований только поддерживать VLAN?

В первую очередь ВЫ должны определить вектора атаки\проблем.
а)Вектор:Человек пришел воткнулся кабелем - увидел всю сетку и гуляющий траффик.
Решение:VLAN\802.1q Окей, бъем сеть на VLAN. Бухгалтерия видит только бухгалтерию и сервер, менеджеры только менеджеров и сервер, гости подключаются только в гостевые розетки.
b)Вектор:Кто-то запустил(осознанно или не очень) на своем ПК DHCP-сервер (или словил вирус который весь трафик гонит через себя), принесли маршрутизатор воткнули в сеть. Клиентские ПК получат кривые настройки и понеслось...
Решение:Включаем DHCP Snooping. На коммутаторе определяем порты которые МОГУТ посылать ответы на DHCP-запросы, все остальные запрещаем.
c)Вектор: Возникновение кольца. Сотрудник подключился кабелем к ноутбуку, wi-fi подключился сам автоматически, у сотрудника настроен мост между двумя этими интерфейсами - сеть легла
Решение:Включаем на коммутаторах *STP. Если нужна надежность то строим кольцо из коммутаторов, STP можно юзать как протокол резервирования.
d)Вектор:Забили канал в интернет\к серверу так что SIP\VoIP не ходит.
Решение:Настраиваем QoS
e)Вектор: wi-fi.
Решение:Разделяем на 2 сети. Гостевая и рабочая. Гостям один VLAN\своя IP-подсеть, работникам другая. Пароли разные, а то и вообще гостевой портал с одноразовыми паролями для доступа. Можно посмотреть в сторону ubiquiti.
f...z)....
вот как бы сначала такой перечень нужен, а потом уже оборудование подбирать. А то может у вас там все под 153 ФЗ надо делать. Или инфосеки требуют прям безопасность-безопасность, тогда только 802.1х (удачи, особенно, если есть wi-fi)

> ..и разных других довольно велик, и я не могу быть уверен
> что кто-то не воткнётся в сеть.

На управляемых коммутаторах можно отключить ненужные порты. Включать только по запросу\служебке. Но как бы никто не мешает воткнуться вместо существующего ПК или принести свой коммутатор. Нужна фильтрация по МАК, как один из элементов комплексной защиты (добавить как п.f). От профессионалов это не защитит, а вот от людей уровня пользователь вполне.

> Домен не охота поднимать.

Просто, насколько я помню домен устанавливает доверительные отношения между клиентом и сервером, в том числе можно прикрутить и сертификаты и шифрование. Но в целом дело ваше.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Как сделать сеть безопасней?"  –1 +/
Сообщение от NAIemail (?), 16-Авг-18, 10:39 
P.s. Виндовый фаерволл кстати еще и бесплатный, т.е. ничего закупать не надо - что на мой взгляд является вполне себе аргументом.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Как сделать сеть безопасней?"  +/
Сообщение от кировлес (?), 16-Авг-18, 12:20 
> P.s. Виндовый фаерволл кстати еще и бесплатный, т.е. ничего закупать не надо
> - что на мой взгляд является вполне себе аргументом.

Уважаемый NAI! Спасибо огромное за отличные и подробные ответы!

Буду тут если что ход работ описывать. Ну и вопросы по ходу новые формулировать. Думаю с VLAN у меня возникнут точно вопросы, потому как я теоретически знаю что это такое, а вот практически их пока не использовал. А судя по форумам, там и у хорошо знакомых в ними затыки случаются.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Как сделать сеть безопасней?"  +/
Сообщение от ПавелС (ok), 18-Авг-18, 11:15 
>[оверквотинг удален]
> ПК, подразумевая что на физическом уровне доступ в сеть ограничить сложно.
> Рассматривал вариант с управляемыми коммутаторами, но у нас их придётся закупать много,
> т.к. кабели сведены не в одно место с центральным коммутатором, а
> исторически сложившаяся схема "корявая звезда".
> В процессе самостоятельных поисков, нашёл много умных терминов типа авторизация в сети
> по протоколу 801.11, но насколько я понял из прочтения нескольких статей,
> для этого требуются управляемые коммутаторы и по видимому довольно дорогие.
> Уважаемые опишите пожалуйста в общих чертах как мне реорганизовать сеть и какими
> средствами. Из того что я умею, чем владею - настройка сетевых
> сервисов на *NIX'ах.

Ну если у тебя к коммутатора может подключиться кто угодно и это не надо кровь из носу, то я вижу вариант ставить в каждом офисе сервер и делать из него либо
1 Свой vpn, тогда нужна первоначальная ip адресация, но клиенты будут в одной подсети что хорошо для винды.
2 или свой pppoe сервер, тогда первичная адресация не нужна, но клиенты будут разделены, что плохо для вины.

Но это все такой огород и головная, что лучше воткнуть только нужные провода в свичи и запереть их в настенный ящик под замок. Займись лучше физикой с шуруповертиком и дрелью, поверь так будет лучше и dhcp достаточно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor