Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
pravoyar
Зарегистрирован: 18.07.2006 Сообщения: 12 Откуда: Одесса
|
Добавлено: Пт Дек 22 2006 12:07 Заголовок сообщения: есть ли защита от выделенки |
|
|
Ситуация:
Есть корпоративная сетка с парой десятков филиалов подключенных по выделенкам.
В одном из филиалов подключили отдельную выделенку на интернет. Причем подключили очень тупо - просто воткнули в свич шнур от провайдера. Т.е. Инет просто гуляет по сетке - пропиши только нужный шлюз.
Во всей корпоративной сети крутится распределенная БД на информиксе - у каждого филиала свой сервак с синхронизацией на центр через мыло.
Каждый пользователь в сети работает в БД и на серваке есть общие папки.
ВОПРОС - как защить этот филиал (хотябы сервак с базой) от интернета и как защититься от этого филиала?
Следует учесть нулевой бюджет и свободную 2600 циску. |
|
Вернуться к началу |
|
|
pravoyar
Зарегистрирован: 18.07.2006 Сообщения: 12 Откуда: Одесса
|
Добавлено: Пт Дек 22 2006 15:42 Заголовок сообщения: Re: есть ли защита от выделенки |
|
|
немного уточню
Есть две соединенные сети:
сеть 10.4.0.0 -> циска 2500 -> циска 2500 -> сеть 10.4.1.0 -> свич -> сервак провайдера 10.4.1.х -> инет
дайте советы как защитить сеть 10.4.1.
и ка не пустить "злоумышленика" в сеть 10.4.0. |
|
Вернуться к началу |
|
|
Pingvinenok
Зарегистрирован: 30.06.2005 Сообщения: 171
|
Добавлено: Пт Дек 22 2006 16:42 Заголовок сообщения: |
|
|
IMHO, да никак, пока и локалка, и конец провайдера воткнуты в один свич. И хотя не факт, что (возможно!) так уж легко из инета просто взять и пингануть комп из сети проблемного офиса, не говоря уже о вашей сети, в любом случае вы имеете абсолютно неуправлямый доступ в инет. Нужно ставить или вашу свободную циску, или программный шлюз. Еще лучше - и то, и другое. _________________ Съешь еще мягких французских булок,да выпей чаю! |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пт Дек 22 2006 23:22 Заголовок сообщения: |
|
|
Являются ли для вас знакомыми слова: "VLAN", "тегированный VLAN", "фильтрация трафика не 3-ем уровне" ?
Если да, то можете на свиче сделать VLAN для "Интернет", прокинуть точку подключения до Циски и уже с нее раздавать этот самый "Интернет".
Так, либо ставьте еще одну кошку между провайдером и сетью 10.4.1.0. Если вам нужна именно безопасность, то наверно вам нужен не роутер, а FireWall. Из арсенала Cisco - это PIX. |
|
Вернуться к началу |
|
|
Pingvinenok
Зарегистрирован: 30.06.2005 Сообщения: 171
|
Добавлено: Сб Дек 23 2006 07:23 Заголовок сообщения: |
|
|
and3008, при всем уважении - не вижу, где сказано, что свич "умеет" эти самые VLAN.
Кроме того, я никогда не понимал конторы(не провайдерские и близкие к ним, конечно), в которых инет раздают простым, скажем, NAT'ом с той же циски, не имея дополнительных средств - всевозможных прокси, ISA'в, юзергейтов и так далее. Безопасность и экономической бывает.
Только чур, не ссориться! Не хватало мне еще и на форуме разругаться!
Некоторое время тому назад звонит секретарь, босс, типа, рвет и мечет, срочно к нему.
Прихожу - с ходу на меня "почему у нас ничего никогда не работает?". "Почему я не могу ни один диск нормально посмотреть?". "Сколько еще это будет продолжаться?".
А что, спрашиваю, вообще-то случилось? "Диск не открывается и не вытаскивается". Странно... Нажимаю кнопку на двд. Лоток выезжает. Диск лежит ДРУГОЙ СТОРОНОЙ! Да вы, говорю, просто диск вверх ногами положили. "Ну ладно, типа, но чтобы в последний раз. И впредь не".
Это не анекдот, к сожалению. _________________ Съешь еще мягких французских булок,да выпей чаю! |
|
Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001 Сообщения: 1836 Откуда: Бердск
|
Добавлено: Сб Дек 23 2006 08:02 Заголовок сообщения: |
|
|
Pingvinenok писал(а): | and3008, при всем уважении - не вижу, где сказано, что свич "умеет" эти самые VLAN. |
так нигде несказано, что не умеет). |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Сб Дек 23 2006 12:31 Заголовок сообщения: |
|
|
Я дал решение, максимально близкое к реальному.
У меня, к примеру, уже не осталось неуправляемых свичей. Поэтому VLAN - не проблема.
А наезды на DVD вверх ногами - это бывает. Думаю стоило бы дать понять, что босс - сам дурак. Хотя... Я из-за подобного идиота уволился два года назад. Не жалко ни разу. |
|
Вернуться к началу |
|
|
Dmitry_Karpov
Зарегистрирован: 23.02.2006 Сообщения: 212 Откуда: Москва, Матвеевское
|
Добавлено: Пн Дек 25 2006 22:29 Заголовок сообщения: |
|
|
and3008 писал(а): | можете на свиче сделать VLAN для "Интернет" | А теперь представим себе, что кто-то извне сумел запихнуть на одну из машин филиала трояна, играющего роль терминального сервера - тогда хакер извне сможет иметь доступ всюду, куда может ходить законный юзер.
Лично я считаю, что pravoyar писал(а): | просто воткнуть в свич шнур от провайдера | может только совершенно безотвественный человек. Самое разумное - отделиться от провайдера машиной с двумя сетевухами, на машине поставить FreeBSD или Linux, настроить NAT (вместо машины можно использовать Циску), в локалке использовать IP-номера типа 192.168.*.*. Если провайдет уже организовал такое, то можно и втыкать кабель от провайдера в свич. _________________ Хочу в Хогвардс преподавателем информатики. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Дек 26 2006 00:41 Заголовок сообщения: |
|
|
Цитата: | А теперь представим себе, что кто-то извне сумел запихнуть на одну из машин филиала трояна, играющего роль терминального сервера - тогда хакер извне сможет иметь доступ всюду, куда может ходить законный юзер. |
Интересно как он это сможет сделать, если в организованном VLAN будет всего два порта. Один порт свича провайдера, второй Циска. Все остальные компы в другом VLAN.
Если хакер прорвется за периметр (Циска), то может быть всякое. Чтобы этого не было надо строить DMZ, а это уже совсем другая история. |
|
Вернуться к началу |
|
|
|