https://ssl.opennet.dev/openforum/vsluhforumID1/97254.html Здравствуйте уважаемые Форумчане!<br><br>Помогите пожалуйста средней нубности админу сделать сетку более надёжной.<br><br>Опишу сперва ситуацию:<br>У нас организация не шибко большая (порядка 50 пользователей), но имеется 3 офиса в городе.<br>Все офисы связаны через VPN. Офисы съёмные, сетка там организована "под потолком", с ворохами кабелей от предыдущих арендаторов, с выходящими кабелями в кабинеты соседей и прочие прелести.<br><br>Сейчас у нас одноранговая сеть, просто комп подключается в сетку, получает ip и всё. Максимум защиты это выдача адресов dhcp по прописанным на нём макам, но я сам прекрасно понимаю что это даже не видимость защиты а просто глупость.<br><br>Подскажите пожалуйста, как правильней организовать доступ к локальной сети только авторизованных ПК, подразумевая что на физическом уровне доступ в сеть ограничить сложно.<br><br>Рассматривал вариант с управляемыми коммутаторами, но у нас их придётся закупать много, т.к. кабели сведены не в одно место с центральным коммутатором, а исторически сложившаяся схема "коряв https://ssl.opennet.dev/openforum/vsluhforumID1/97254.html#12 Tue, 21 Aug 2018 08:12:15 GMT &gt; В общем проблему охарактеризовать такими могу тезисами: <br>&gt; 1. Потенциально есть возможность постороннему устройству оказаться физически в нашей сети. <br>&gt; Нет возможности избежать этого.<br>&gt; 2. Учитывая п.1, как свести к минимуму возможный вред такой как: Заражение <br>&gt; клиентских ПК, доступ к сетевым ресурсам.<br>&gt; 3. Также, как в случае заражения отдельного клиентского ПК, как сделать чтобы <br>&gt; он был без возможности распространять заразу по другим клиентским ПК.<br><br>так свитчи тут вообще не помогут, от слова совсем. Макс что можно, делать привязку мак адреса к порту свитча. Но это так, скорее защита от дурака. На линухе была прикольная утилитка - arpwatch, которая присылала отчеты, когда в сети появлялись новые мак адреса.<br><br>Учитывая 2 и 3, а с учетом того, что у вас скорее всего будет стоять венда - то единственное, что вы можете сделать для снижения вероятности заражения:<br><br>1. Использовать современные версии венды, забыть за XP и т.п. хлам<br>2. Своевременно устанавливать обновления<br>3. Использовать антивиру https://ssl.opennet.dev/openforum/vsluhforumID1/97254.html#11 Sat, 18 Aug 2018 08:15:11 GMT &gt;[оверквотинг удален]<br>&gt; ПК, подразумевая что на физическом уровне доступ в сеть ограничить сложно. <br>&gt; Рассматривал вариант с управляемыми коммутаторами, но у нас их придётся закупать много, <br>&gt; т.к. кабели сведены не в одно место с центральным коммутатором, а <br>&gt; исторически сложившаяся схема "корявая звезда".<br>&gt; В процессе самостоятельных поисков, нашёл много умных терминов типа авторизация в сети <br>&gt; по протоколу 801.11, но насколько я понял из прочтения нескольких статей, <br>&gt; для этого требуются управляемые коммутаторы и по видимому довольно дорогие.<br>&gt; Уважаемые опишите пожалуйста в общих чертах как мне реорганизовать сеть и какими <br>&gt; средствами. Из того что я умею, чем владею - настройка сетевых <br>&gt; сервисов на *NIX'ах.<br><br>Ну если у тебя к коммутатора может подключиться кто угодно и это не надо кровь из носу, то я вижу вариант ставить в каждом офисе сервер и делать из него либо<br>1 Свой vpn, тогда нужна первоначальная ip адресация, но клиенты будут в одной подсети что хорошо для винды. <br>2 или свой pp https://ssl.opennet.dev/openforum/vsluhforumID1/97254.html#8 Thu, 16 Aug 2018 09:20:26 GMT &gt; P.s. Виндовый фаерволл кстати еще и бесплатный, т.е. ничего закупать не надо <br>&gt; - что на мой взгляд является вполне себе аргументом.<br><br>Уважаемый NAI! Спасибо огромное за отличные и подробные ответы!<br><br>Буду тут если что ход работ описывать. Ну и вопросы по ходу новые формулировать. Думаю с VLAN у меня возникнут точно вопросы, потому как я теоретически знаю что это такое, а вот практически их пока не использовал. А судя по форумам, там и у хорошо знакомых в ними затыки случаются.<br> https://ssl.opennet.dev/openforum/vsluhforumID1/97254.html#7 Thu, 16 Aug 2018 07:39:50 GMT P.s. Виндовый фаерволл кстати еще и бесплатный, т.е. ничего закупать не надо - что на мой взгляд является вполне себе аргументом.<br> https://ssl.opennet.dev/openforum/vsluhforumID1/97254.html#6 Thu, 16 Aug 2018 07:38:03 GMT &gt;&gt; 1)Настроить firewall на клиентских ПК - запретить все кроме шлюза\требуемых ресурсов.<br>&gt; На клиентских ПК фаер это виндовый? Звучит фантастично... <br><br>А вот вы зря, виндовый фаерволл (по крайней мере в win7\2008R2) норм. Да, у него не самый удобный интерфейс. Да, надо знать PowerShell для удобного управления. Но сам по себе фаерволл как фаерволл. У меня сервер в интернете с ним, никаких проблем не замечено - режет все что нужно (от ICMP, до белых\черных списков).<br>Правда, как автоматически развернуть правила на 50 клиентах без домена (тут мы пересекаемся с п.3) я х.з. Только руками.<br><br>&gt;&gt; 2.1)Закупить хотя бы web\smart-свичи. Cisco SF200\AlledTelesys FS750, настроить VLAN\802.11.<br>&gt; Свичи должны из требований только поддерживать VLAN?<br><br>В первую очередь ВЫ должны определить вектора атаки\проблем. <br>а)Вектор:Человек пришел воткнулся кабелем - увидел всю сетку и гуляющий траффик.<br>Решение:VLAN\802.1q Окей, бъем сеть на VLAN. Бухгалтерия видит только бухгалтерию и сервер, менеджеры только менеджеров и сервер, https://ssl.opennet.dev/openforum/vsluhforumID1/97254.html#5 Wed, 15 Aug 2018 19:41:02 GMT Можно еще включить ipsec, вот только не все устройства его будут понимать...<br><br> https://ssl.opennet.dev/openforum/vsluhforumID1/97254.html#4 Wed, 15 Aug 2018 18:48:18 GMT &gt;&gt; ПК, подразумевая что на физическом уровне доступ в сеть ограничить сложно.<br>&gt; Я так понимаю вопрос как обезопасить ПК в филиалах?<br>&gt; 1)Настроить firewall на клиентских ПК - запретить все кроме шлюза\требуемых ресурсов.<br><br>На клиентских ПК фаер это виндовый? Звучит фантастично... Хотя из принтеров у нас только сетевые, а межкомповые коннекты вроде только для сетевых папок да расшареных принтеров нужны. Надо будет взять на заметку.<br><br>&gt; 2.1)Закупить хотя бы web\smart-свичи. Cisco SF200\AlledTelesys FS750, настроить VLAN\802.11. <br><br>Свичи должны из требований только поддерживать VLAN?<br><br>&gt; 2.2)Если между вами и провайдерами туева куча свичей, а сотрудники сидят в <br>&gt; одном-помещении то может рассмотреть вариант сделать свою разводку кабелем и спрятать <br>&gt; всех за NAT.<br><br>Они и так за натом, с нормальным шлюзом. Свичей да многовато, в целом все кабеля свои воткнуты, но просто поток посторонних подрядчиков, клиентов и разных других довольно велик, и я не могу быть уверен что кто-то не воткнётся в сеть.<br><br>&gt; 3)Если https://ssl.opennet.dev/openforum/vsluhforumID1/97254.html#3 Wed, 15 Aug 2018 18:32:51 GMT &gt; что в вашем понятии дорогие? 8021.x поддерживают практически все коммутаторы. Но на <br>&gt; офис в 50 пользователей это как из пушки по воробьям, имхо <br>&gt; какую изначально проблему пытаетесь решить?<br><br>В общем проблему охарактеризовать такими могу тезисами:<br>1. Потенциально есть возможность постороннему устройству оказаться физически в нашей сети. Нет возможности избежать этого.<br>2. Учитывая п.1, как свести к минимуму возможный вред такой как: Заражение клиентских ПК, доступ к сетевым ресурсам.<br>3. Также, как в случае заражения отдельного клиентского ПК, как сделать чтобы он был без возможности распространять заразу по другим клиентским ПК.<br><br>Ну и если решение всё же коммутаторное, то надо чтобы абсолютно все свичи были заменены на управляемые? Или достаточно только центральные в офисах? Что должны поддерживать требуемые железки?<br> https://ssl.opennet.dev/openforum/vsluhforumID1/97254.html#2 Wed, 15 Aug 2018 15:00:14 GMT &gt; ПК, подразумевая что на физическом уровне доступ в сеть ограничить сложно. <br><br>Я так понимаю вопрос как обезопасить ПК в филиалах?<br>1)Настроить firewall на клиентских ПК - запретить все кроме шлюза\требуемых ресурсов.<br>2.1)Закупить хотя бы web\smart-свичи. Cisco SF200\AlledTelesys FS750, настроить VLAN\802.11.<br>2.2)Если между вами и провайдерами туева куча свичей, а сотрудники сидят в одном-помещении то может рассмотреть вариант сделать свою разводку кабелем и спрятать всех за NAT.<br>3)Если работаете на MS то ввести всех в домен (если не сделано раньше) и организовать доступ к ресурсам только доменным пользователям.<br>