Одесса: 5°С (вода 8°С)
Киев: 1°С
Львов: 3°С

Тема: Защита локальной сети и сервера

Ответить в теме
Страница 1 из 2 1 2 ПоследняяПоследняя
Показано с 1 по 20 из 28
  1. Вверх #1

    По умолчанию Защита локальной сети и сервера

    Есть офисная сеть. 3 роутера, 9 ноутбуков рринт сервер и файловый сервер. Задача максимально защить локалку от проникновения из вне. Предпочтительно было бы строить сеть на впн через циско. Т.е. поставить вместо роутера-шлюза роутер циско. Какие еще средства защиты можно использовать?


  2. Вверх #2
    Модератор
    Мистер Одесский Форум
    Аватар для maxx™
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    38
    Сообщений
    23,356
    Репутация
    6088
    Цитата Сообщение от Альтаир Бергадлер Посмотреть сообщение
    Есть офисная сеть. 3 роутера, 9 ноутбуков рринт сервер и файловый сервер. Задача максимально защить локалку от проникновения из вне. Предпочтительно было бы строить сеть на впн через циско. Т.е. поставить вместо роутера-шлюза роутер циско. Какие еще средства защиты можно использовать?
    Вы меня конечно извините, но что делают 3 роутера в сети из 9-ти ноутбуков? Они тоже все Cisco я надеюсь. Закрыть инет и все - нет доступа. Нет инета- нет проблем.
    Ну еще IDS какой-то можно поставить. Для сети из 10ка компов - самое оно. И какую роль VPN у вас в сети играет.
    Вы подробно распишите структуру сети и укажите от какого типа угроз хотите защититься и почему. Потому как в типичную схему инет-роутер-сеть за натом на роутере пробраться достаточно проблематично. А если на роутере поставить фаервол - так вообще невозможно.

  3. Вверх #3
    Нажмите на изображение для увеличения
Название: IMG_20012013_223649.jpg
Просмотров: 7
Размер:	71.3 Кб
ID:	5543341

    Этот принстскрин примерно характеризует нашу локальную сеть. Ноутбууки это локальные рабочие машины, настольный пк это файловый сервер. Роутеры разнесены по разным комнатам, поэтому такая сложная схема. Роутеры законектены следующим образом 1 точка доступа, 2 репитер и 3 мост по вайфай. нужно защитить файловый сервер от вторжения. Самое слабое место вайфпай кей. КРоме того, есть удаленные рабочие места, по украине. Нужно им обеспечить доступ. Интернет вырубать по условиям задачи нельзя. Поэтому думал о циско впн + система авторизации на сервере с помощью радиус/диметр

  4. Вверх #4
    Модератор
    Мистер Одесский Форум
    Аватар для maxx™
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    38
    Сообщений
    23,356
    Репутация
    6088
    Если у вас все на windows сделайте принудительный ipsec между всемикомпьютерами, тогда вайфайхоть открытымможете сделать. Точно также можно поднимать ipsec тунели между удалеными компьютерами и вашей сетью. И сдается мне что вин сервер в качестве ендпоинта для тунелей или впн сервера дешевле циски будет.

  5. Вверх #5
    еще более лютый вариант это сделать удаленной управление рабочим столом.

  6. Вверх #6
    еще вопрос, как организовать доступ к документам по впн с айпада?

  7. Вверх #7
    задача
    1. Заменить роутер,

    первый вариант cisco small business, с возможностью организации ipsec vpn.
    так как у вас завязано все на wi-fi, предлагаю "комбайн" с хорошей производительностью и функциональностью
    Межсетевой экран Cisco SB Cisco RV 220W Wireless N Network Security Firewall - $ 246
    для вас он оптимален. Макс. количество VPN-соединений - 25 - это порядка 10 ipsec соединений.
    http://www.cisco.com/web/RU/solutions/smb/products/routers_switches/small_business_routers/index.html#~models

    второй вариант pfsense, более продвинутое решение на основе компьютера. кроме надежности, базовой защиты, ВПН, - до 100 ipsec vpn, более надёжные ключи шифрования(cisco - 128bit, pfsense - 256), управление трафиком, мониторинг трафика(базовый), статистика трафика (базовая), доступ к ресурсам по расписанию, разделение локальной сети на сегменты(безопасный, и общий), система обнаружения атак (из вне). ограничение доступа по словам, темам, странам.
    Базовый компьютер без монитора - $ 290 - $ 350
    http://ru.wikipedia.org/wiki/PfSense

    настройка и того и другого - примерно $ 60. это настройка роутера, включение VPN, поднятие базовых сервисов, проверка безопасности и качества WiFi. во втором случае за дополнительный функционал отдельная плата $ 50 - $ 400.
    вот это из переписки с мастером по сетям.

  8. Вверх #8
    Модератор
    Мистер Одесский Форум
    Аватар для maxx™
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    38
    Сообщений
    23,356
    Репутация
    6088
    Цитата Сообщение от Альтаир Бергадлер Посмотреть сообщение
    вот это из переписки с мастером по сетям.
    Та циска, что он назвал только возле циски лежала. То не циска, а просто более-менее нормальній роутер.
    И как он за $50-400 собрался проверять качества вайфая интересный вопрос. Смету у него что-ли попросите, тем более что цена в 8 раз отличается. Хотите безопасного вайфая - тут и думать особо нечего, вам надо уходить от вводимого ключа либо шифровать трафик по вайфаю передающийся. Шифровать не проблема - принудительній ipsec между всеми компьютерами и вайфай можете вообще открытым делать. Вариант номер 2 - поставить Windows Small Busines Server. Тогда вам и домен с централизованой аутентификацией будет и что-то типа такого: http://blogs.technet.com/b/sbs/archive/2011/03/10/introduction-to-sbs-2011-remote-web-access-rwa.aspx Ну и удаленный доступ он естественно тоже поддерживает. Плюс почтовый сервер с веб-оутлуком получите как побочный эффект.

    PfSense тоже неплох. А ві уже вібирайте чего вам надо.

  9. Вверх #9
    ох едрыть колотить, как все непросто
    а можно по полочкам, как бы вы сделали на этой сетке, начиная с момента замены роутера и тд.?

  10. Вверх #10
    Модератор
    Мистер Одесский Форум
    Аватар для maxx™
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    38
    Сообщений
    23,356
    Репутация
    6088
    Технически - ipsec между всеми компьютерами, в том числе и удаленными. Практическая реализация зависит от возможности, желания и необходимости использовать существующее оборудование и выделеного бюджета.
    А вообще варианта 2 - сделать все используя аппаратные или програмные средства для релизации ipsec, второй вариант, более кардинальный и непривычный вариант - выкинуть все, взять аккаунт на office 365 и за 5-10 баксов в месяц с пользователя иметь нужный сервисы.От сетки в офисе потребуется только одно - обеспечить компам доступ в инет. Но все зависит от того, что за софт у вас используется.

  11. Вверх #11
    лучше вариант с ipsec, у меня шеф помешан на том, что бы исключить использование облачных ресурсов. Так то.
    значит ставим нормальный циско (а какой? минимум 20 машин) поднимаем впн с принудителным ipsec ?

  12. Вверх #12
    Модератор
    Мистер Одесский Форум
    Аватар для maxx™
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    38
    Сообщений
    23,356
    Репутация
    6088
    [QUOTE=Альтаир Бергадлер;35578984]лучше вариант с ipsec, у меня шеф помешан на том, что бы исключить использование облачных ресурсов.
    Цитата Сообщение от Альтаир Бергадлер Посмотреть сообщение
    Так то.
    значит ставим нормальный циско (а какой? минимум 20 машин) поднимаем впн с принудителным ipsec ?
    Обратитесь к сетевым интеграторам, которые ими торгуют. Они вам порекомендую что есть и сколько стоит. А также подумайте кто вам ее настроит. Можете ознакомиться с первичным мануалом

    А чтоб потренироваться, поставьте себе Windows Server 2012 Essentials. ipsec на нем поднять можно, потренеруетесь, может и оставите. Или потом на циску поменяете.

  13. Вверх #13
    спасибо (на форуме есть репа?)
    вопрос в туже степь, как с помощью айпада расшарить каталоги на сервере вин 2003
    ?

  14. Вверх #14
    Модератор
    Мистер Одесский Форум
    Аватар для maxx™
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    38
    Сообщений
    23,356
    Репутация
    6088
    Цитата Сообщение от Альтаир Бергадлер Посмотреть сообщение
    спасибо (на форуме есть репа?)
    вопрос в туже степь, как с помощью айпада расшарить каталоги на сервере вин 2003
    ?
    А шо значит с помощью айпада?

  15. Вверх #15
    а вот так, что бы можно было войти в катаоги сервера и открыть любой документ у себя на планшете, примерно как это делается на андроиде с любого адеквкатного файлового менеджера

  16. Вверх #16
    Модератор
    Мистер Одесский Форум
    Аватар для maxx™
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    38
    Сообщений
    23,356
    Репутация
    6088
    Это у яблочников спросите.

  17. Вверх #17
    Модератор
    Мистер Одесский Форум
    Аватар для maxx™
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    38
    Сообщений
    23,356
    Репутация
    6088
    Цитата Сообщение от maxx™ Посмотреть сообщение
    Это у яблочников спросите.
    А Windows Server 2012 Essentials так тот вообще веб-интерфейс предлагает, ему безразличен в общем клиент.

  18. Вверх #18
    Посетитель Аватар для modding
    Пол
    Мужской
    Возраст
    34
    Сообщений
    141
    Репутация
    14
    если это фирма то Мелкософты не одобрят пиратский windows .. А шеф вряд ли купит . А если купит будет не очень умно .. Как по мне поднять OpenBSD и юзать тунели SSH там же есть и SFTP /// все это завернуть vpn в реализации от openvpn появилась такая плюха
    + На локальных компьютерах использовать TrueCrypt шифрануть все и вся - в идеале перейти на linux стабильный к примеру Debian - очень хорошо с безпасностью
    ну и нужнен zfs Бэкап сервер ;D для всего барахла .
    от Вайфая откатся ..в пользу Блютус в пользу безопасности .. А если не отказыватся то ставить сервер аторизации он же Radius / ну и мощьность передатчика ставить минимальную чтобы за стены не выходило . В идеале на шнурки переходить..Если есть деньги на оптику по офису

    В Айпаде монтировать SFTP папку ;D
    Последний раз редактировалось modding; 22.01.2013 в 00:30.

  19. Вверх #19
    Модератор
    Мистер Одесский Форум
    Аватар для maxx™
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    38
    Сообщений
    23,356
    Репутация
    6088
    А вот нафига все эти понты, туннели. Если есть ipsec - работает абсолютно прозрачно для пользователя и всего остального софта. Зачем тратиться на проклажку оптики или ещн чего, если длстаточно настроить ipsec между машинами. И вайфай при этом может быть даже открытый.
    Да и советовать людям дебиан, не зная чего они делают - очень умно. Если у нмх на всех ноутах уже стоит винда лицензионная, то смысл прехедить на что-то другое.

  20. Вверх #20
    Винда не лиценщионная. Ставить линуксоиды тоже не лучшая идея. Хотя то что вы предложили это крутой рулет, но слишком сложный в реализации. Реально ли сгибридить ipsec и radius?


Ответить в теме
Страница 1 из 2 1 2 ПоследняяПоследняя

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения