| ||
Защита локальной сети и сервера
Есть офисная сеть. 3 роутера, 9 ноутбуков рринт сервер и файловый сервер. Задача максимально защить локалку от проникновения из вне. Предпочтительно было бы строить сеть на впн через циско. Т.е. поставить вместо роутера-шлюза роутер циско. Какие еще средства защиты можно использовать?
Вы меня конечно извините, но что делают 3 роутера в сети из 9-ти ноутбуков? Они тоже все Cisco я надеюсь. Закрыть инет и все - нет доступа. Нет инета- нет проблем.Сообщение от Альтаир Бергадлер
Ну еще IDS какой-то можно поставить. Для сети из 10ка компов - самое оно. И какую роль VPN у вас в сети играет.
Вы подробно распишите структуру сети и укажите от какого типа угроз хотите защититься и почему. Потому как в типичную схему инет-роутер-сеть за натом на роутере пробраться достаточно проблематично. А если на роутере поставить фаервол - так вообще невозможно.
Этот принстскрин примерно характеризует нашу локальную сеть. Ноутбууки это локальные рабочие машины, настольный пк это файловый сервер. Роутеры разнесены по разным комнатам, поэтому такая сложная схема. Роутеры законектены следующим образом 1 точка доступа, 2 репитер и 3 мост по вайфай. нужно защитить файловый сервер от вторжения. Самое слабое место вайфпай кей. КРоме того, есть удаленные рабочие места, по украине. Нужно им обеспечить доступ. Интернет вырубать по условиям задачи нельзя. Поэтому думал о циско впн + система авторизации на сервере с помощью радиус/диметр
Если у вас все на windows сделайте принудительный ipsec между всемикомпьютерами, тогда вайфайхоть открытымможете сделать. Точно также можно поднимать ipsec тунели между удалеными компьютерами и вашей сетью. И сдается мне что вин сервер в качестве ендпоинта для тунелей или впн сервера дешевле циски будет.
еще более лютый вариант это сделать удаленной управление рабочим столом.
еще вопрос, как организовать доступ к документам по впн с айпада?
вот это из переписки с мастером по сетям.задача
1. Заменить роутер,
первый вариант cisco small business, с возможностью организации ipsec vpn.
так как у вас завязано все на wi-fi, предлагаю "комбайн" с хорошей производительностью и функциональностью
Межсетевой экран Cisco SB Cisco RV 220W Wireless N Network Security Firewall - $ 246
для вас он оптимален. Макс. количество VPN-соединений - 25 - это порядка 10 ipsec соединений.
http://www.cisco.com/web/RU/solutions/smb/products/routers_switches/small_business_routers/index.html#~models
второй вариант pfsense, более продвинутое решение на основе компьютера. кроме надежности, базовой защиты, ВПН, - до 100 ipsec vpn, более надёжные ключи шифрования(cisco - 128bit, pfsense - 256), управление трафиком, мониторинг трафика(базовый), статистика трафика (базовая), доступ к ресурсам по расписанию, разделение локальной сети на сегменты(безопасный, и общий), система обнаружения атак (из вне). ограничение доступа по словам, темам, странам.
Базовый компьютер без монитора - $ 290 - $ 350
http://ru.wikipedia.org/wiki/PfSense
настройка и того и другого - примерно $ 60. это настройка роутера, включение VPN, поднятие базовых сервисов, проверка безопасности и качества WiFi. во втором случае за дополнительный функционал отдельная плата $ 50 - $ 400.
Та циска, что он назвал только возле циски лежала. То не циска, а просто более-менее нормальній роутер.
И как он за $50-400 собрался проверять качества вайфая интересный вопрос. Смету у него что-ли попросите, тем более что цена в 8 раз отличается. Хотите безопасного вайфая - тут и думать особо нечего, вам надо уходить от вводимого ключа либо шифровать трафик по вайфаю передающийся. Шифровать не проблема - принудительній ipsec между всеми компьютерами и вайфай можете вообще открытым делать. Вариант номер 2 - поставить Windows Small Busines Server. Тогда вам и домен с централизованой аутентификацией будет и что-то типа такого: http://blogs.technet.com/b/sbs/archive/2011/03/10/introduction-to-sbs-2011-remote-web-access-rwa.aspx Ну и удаленный доступ он естественно тоже поддерживает. Плюс почтовый сервер с веб-оутлуком получите как побочный эффект.
PfSense тоже неплох. А ві уже вібирайте чего вам надо.
ох едрыть колотить, как все непросто
а можно по полочкам, как бы вы сделали на этой сетке, начиная с момента замены роутера и тд.?
Технически - ipsec между всеми компьютерами, в том числе и удаленными. Практическая реализация зависит от возможности, желания и необходимости использовать существующее оборудование и выделеного бюджета.
А вообще варианта 2 - сделать все используя аппаратные или програмные средства для релизации ipsec, второй вариант, более кардинальный и непривычный вариант - выкинуть все, взять аккаунт на office 365 и за 5-10 баксов в месяц с пользователя иметь нужный сервисы.От сетки в офисе потребуется только одно - обеспечить компам доступ в инет. Но все зависит от того, что за софт у вас используется.
лучше вариант с ipsec, у меня шеф помешан на том, что бы исключить использование облачных ресурсов. Так то.
значит ставим нормальный циско (а какой? минимум 20 машин) поднимаем впн с принудителным ipsec ?
[QUOTE=Альтаир Бергадлер;35578984]лучше вариант с ipsec, у меня шеф помешан на том, что бы исключить использование облачных ресурсов.
Обратитесь к сетевым интеграторам, которые ими торгуют. Они вам порекомендую что есть и сколько стоит. А также подумайте кто вам ее настроит. Можете ознакомиться с первичным мануалом
А чтоб потренироваться, поставьте себе Windows Server 2012 Essentials. ipsec на нем поднять можно, потренеруетесь, может и оставите. Или потом на циску поменяете.
спасибо (на форуме есть репа?)
вопрос в туже степь, как с помощью айпада расшарить каталоги на сервере вин 2003
?
А шо значит с помощью айпада?
а вот так, что бы можно было войти в катаоги сервера и открыть любой документ у себя на планшете, примерно как это делается на андроиде с любого адеквкатного файлового менеджера
Это у яблочников спросите.
А Windows Server 2012 Essentials так тот вообще веб-интерфейс предлагает, ему безразличен в общем клиент.
если это фирма то Мелкософты не одобрят пиратский windows .. А шеф вряд ли купит . А если купит будет не очень умно .. Как по мне поднять OpenBSD и юзать тунели SSH там же есть и SFTP /// все это завернуть vpn в реализации от openvpn появилась такая плюха
+ На локальных компьютерах использовать TrueCrypt шифрануть все и вся - в идеале перейти на linux стабильный к примеру Debian - очень хорошо с безпасностью
ну и нужнен zfs Бэкап сервер ;D для всего барахла .
от Вайфая откатся ..в пользу Блютус в пользу безопасности .. А если не отказыватся то ставить сервер аторизации он же Radius / ну и мощьность передатчика ставить минимальную чтобы за стены не выходило . В идеале на шнурки переходить..Если есть деньги на оптику по офису
В Айпаде монтировать SFTP папку ;D
Последний раз редактировалось modding; 21.01.2013 в 23:30.
А вот нафига все эти понты, туннели. Если есть ipsec - работает абсолютно прозрачно для пользователя и всего остального софта. Зачем тратиться на проклажку оптики или ещн чего, если длстаточно настроить ipsec между машинами. И вайфай при этом может быть даже открытый.
Да и советовать людям дебиан, не зная чего они делают - очень умно. Если у нмх на всех ноутах уже стоит винда лицензионная, то смысл прехедить на что-то другое.
Винда не лиценщионная. Ставить линуксоиды тоже не лучшая идея. Хотя то что вы предложили это крутой рулет, но слишком сложный в реализации. Реально ли сгибридить ipsec и radius?
Ваши права
Тема: 
Ответить с цитированием
Социальные закладки