Архив форумов ЦИТФорума

[pravoyar]

Ситуация:
Есть корпоративная сетка с парой десятков филиалов подключенных по выделенкам.
В одном из филиалов подключили отдельную выделенку на интернет. Причем подключили очень тупо - просто воткнули в свич шнур от провайдера. Т.е. Инет просто гуляет по сетке - пропиши только нужный шлюз.
Во всей корпоративной сети крутится распределенная БД на информиксе - у каждого филиала свой сервак с синхронизацией на центр через мыло.
Каждый пользователь в сети работает в БД и на серваке есть общие папки.
ВОПРОС - как защить этот филиал (хотябы сервак с базой) от интернета и как защититься от этого филиала?
Следует учесть нулевой бюджет и свободную 2600 циску.

[pravoyar]

немного уточню
Есть две соединенные сети:
сеть 10.4.0.0 -> циска 2500 -> циска 2500 -> сеть 10.4.1.0 -> свич -> сервак провайдера 10.4.1.х -> инет
дайте советы как защитить сеть 10.4.1.
и ка не пустить "злоумышленика" в сеть 10.4.0.

[Pingvinenok]

IMHO, да никак, пока и локалка, и конец провайдера воткнуты в один свич. И хотя не факт, что (возможно!) так уж легко из инета просто взять и пингануть комп из сети проблемного офиса, не говоря уже о вашей сети, в любом случае вы имеете абсолютно неуправлямый доступ в инет. Нужно ставить или вашу свободную циску, или программный шлюз. Еще лучше - и то, и другое.
_________________
Съешь еще мягких французских булок,да выпей чаю!

[and3008]

Являются ли для вас знакомыми слова: "VLAN", "тегированный VLAN", "фильтрация трафика не 3-ем уровне" ?

Если да, то можете на свиче сделать VLAN для "Интернет", прокинуть точку подключения до Циски и уже с нее раздавать этот самый "Интернет".

Так, либо ставьте еще одну кошку между провайдером и сетью 10.4.1.0. Если вам нужна именно безопасность, то наверно вам нужен не роутер, а FireWall. Из арсенала Cisco - это PIX.

[Pingvinenok]

and3008, при всем уважении - не вижу, где сказано, что свич "умеет" эти самые VLAN.
Кроме того, я никогда не понимал конторы(не провайдерские и близкие к ним, конечно), в которых инет раздают простым, скажем, NAT'ом с той же циски, не имея дополнительных средств - всевозможных прокси, ISA'в, юзергейтов и так далее. Безопасность и экономической бывает.
Только чур, не ссориться! Не хватало мне еще и на форуме разругаться!
Некоторое время тому назад звонит секретарь, босс, типа, рвет и мечет, срочно к нему.
Прихожу - с ходу на меня "почему у нас ничего никогда не работает?". "Почему я не могу ни один диск нормально посмотреть?". "Сколько еще это будет продолжаться?".
А что, спрашиваю, вообще-то случилось? "Диск не открывается и не вытаскивается". Странно... Нажимаю кнопку на двд. Лоток выезжает. Диск лежит ДРУГОЙ СТОРОНОЙ! Да вы, говорю, просто диск вверх ногами положили. "Ну ладно, типа, но чтобы в последний раз. И впредь не".
Это не анекдот, к сожалению.
_________________
Съешь еще мягких французских булок,да выпей чаю!

[crash]

[and3008]

Я дал решение, максимально близкое к реальному.
У меня, к примеру, уже не осталось неуправляемых свичей. Поэтому VLAN - не проблема.

А наезды на DVD вверх ногами - это бывает. Думаю стоило бы дать понять, что босс - сам дурак. Хотя... Я из-за подобного идиота уволился два года назад. Не жалко ни разу.

[Dmitry_Karpov]

[and3008]