Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Kadisov Lev Гость
|
Добавлено: Чт Фев 21 2002 18:18 Заголовок сообщения: Как защитить свою Intranet-сеть от чужаков? |
|
|
Существует несколько локальных сетей (Intranet) на нашем предприятии, которые выходят в Internet через один маршрутизатор. Все сети имеют доступ к друг другу (есть сеть склада, производственная, бухгалтерии и т.д.) Сторонняя организация предлагает на нашей территории установить необходимый нам компьютер и подключиться в некоторые производственные сети. Все сети разбросаны в разных зданиях. Как нам лучше и дешевле всего оградить свои сети от возможного прослушивания с их стороны, но чтобы мы имели доступ к информации в их компьютерах сбора данных. Есть предложение поставить CISCO 1605 на каждую их машину. Но это скорее для них вариант, т.к. маршрутизатор CISCO-1605 позволяет шифровать поток данных между такими CISCами. Нам же ставить на каждую машину CISCO - будет слишком дорого, т.к. нас больше ... Может есть что-нибудь проще ? |
|
Вернуться к началу |
|
|
hoha Гость
|
Добавлено: Чт Фев 21 2002 18:38 Заголовок сообщения: Re: Как защитить свою Intranet-сеть от чужаков? |
|
|
Может я чего непонимаю, но все их сервера в отдельную сеть, а ее в свою очередь замаршрутезируйте на свой через ту-же Циску(одной будет достаточно...) В общем тот-же шлюз....(толко с фаерволами и онализаторами траффика,, этого более чем достаточно, можно аппаратный Фаервол поставить(но тоже на выходе), (у него толстая произвотительность...)( дело не очень хитрое... |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Фев 21 2002 23:22 Заголовок сообщения: Варианты (+) |
|
|
1. Использовать VLAN 2. Использовать IPSec 3. Использовать оптоволокно 4. Поставить везде Win2000/UNIX и использовать Kerberos как сервер аутентификации.
Лучше все это вместе и сразу.
VLAN позволит изолировать компы на транспортном уровне, IPSec зашифрует весь трафик, пароли Kerberos не поддаются подбору и хешированию, в отличии от NTLM. Оптика позволит изолировать трафик от прослушки и она по-быстрее будет |
|
Вернуться к началу |
|
|
Kadisov Lev Гость
|
Добавлено: Пт Фев 22 2002 05:56 Заголовок сообщения: Отдельная сеть хорошо, но ... |
|
|
Отдельная сеть для их серверов - отлично, но расстояния между зданиями большие и кидать, практически, вторую сеть будет дороговато ... У нас уже существует физическая сеть между зданиями, очень быстрая и очень дорогая (оптоволокно). Как бы иначе ? |
|
Вернуться к началу |
|
|
Kadisov Lev Гость
|
Добавлено: Пт Фев 22 2002 06:18 Заголовок сообщения: Хорошо, но дорого |
|
|
1. VLAN - было бы интересно: насколько я понимаю - это вируальная сеть поверх существующей сети. Это нам и надо - изолировать "чужаков" в виртуальную сеть, доступ к которой возможен через как через один сервер, так и напрямую (хотя от этого можно и отказаться). Насколько это будет дорого по стоимости ? Какую аппаратуру надо для этого поставить? На каждом сервере чужаков, который является сборщиком данных, ставится аппаратный модуль, который обеспечивает работу VLAN. Может это как раз CISCO 1605 и может сделать, или есть проще?
2. Пользовательских компов очень много (в каждой сети не менее 20, сетей не менее 20) и на каждом добавлять шифрование будет дороговато и утомительно. 3. Оптоволокно уже соединяет локальные сети в удалённых зданиях. 4. Ставить Win2000 - надо менять большинство компьютеров пользователей, существующие Pentium MMX 233 не потянут. UNIX - нереально для пользователей, которые используют офисные программы и производственные для Windows. |
|
Вернуться к началу |
|
|
Kadisov Lev Гость
|
Добавлено: Пт Фев 22 2002 06:21 Заголовок сообщения: VLAN - поподробнее где узнать? |
|
|
Где лучше всего узнать про VLAN и IPSec? Чтобы кратко и ясно? |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пт Фев 22 2002 11:23 Заголовок сообщения: Про VLAN вкраце (+) |
|
|
VLAN - это технология объединения компьютеров в группы на основе MAC-адреса.
Берем УПРАВЛЯЕМЫЙ коммутатор (switch) с поддержкой VLAN. Берем MAC-адреса всех компьютеров в сети. Создаем группы и пихаем туда MAC-адреса. Только компьютеры из одной группы могу передавать пакеты друг-другу. В другую группу их не пустит коммутатор. На раб.станциях делать вообще ничего не надо.
Один компьютер может входит в несколько VLAN-групп. Например сервер.
Ну и еще на свиче запретить подключения к сети с MAC-адресами, отсутствующими в таблице. Например 3COM SuperStack такую возможность имеет. Думаю Cisco тоже.
Управлять этим хозяйством прийдется. Т.е. следить за MAC-адресами.
Ну и чтоб было все хорошо надо чтоб все соединие шли через коммутор или группу коммутаторов.
А кто сказал, что будет легко?
Про IPSec и VLAN можно почитать на этом сайте.
Самый простой вариант - выдели этот комп в отдельный сегмент и отгороди их от себя маршрутизатором. Можно Cisco, можно UNIX. Настрой access list и дремай спокойно. |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://www. Гость
|
Добавлено: Пт Фев 22 2002 12:49 Заголовок сообщения: VLAN работают по портам, а не по MAC-адресам |
|
|
VLAN состоит из ядра (свичей с поддержкой VLAN, объединенных соединениями в транкинговом режиме) и периферии (подключенных к VLAN устройств). Каждый порт свича приписывается к одной или к нескольким VLAN'ам. При попадании Ethernet-кадра в VLAN ему приписывается тэг (список всех VLAN'ов, в которые входит порт, через котороый вошел Ethernet-кадр). На выходе из VLAN проверяется, входит ли выходной порт в одну из сетей, куда входит порт входа - если есть хотя бы одно совпадение, то кадр пропускается, иначе убивается. Для широковещательных кадров такие проверки делаются на каждом порту выхода - он же рассылается во все стороны, кроме порта входа.
Но вообще, VLAN - отстой. IP-FireWall гораздо лучше. |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://www. Гость
|
Добавлено: Пт Фев 22 2002 14:07 Заголовок сообщения: А какие протоколы используются и от чего надо защищать? |
|
|
Все зависит от того, какие протоколы используются и от чего надо защищать.
По идее, каждая машина должна быть сама по себе защищена (не предоставлять доступа посторонним), но если обычные юзеры на Windows рас'share'вают файлы, то о какой-либо защищенности речь не ведеься.
Если сторонние машины д.б. доступны по IP, то можно использовать FireWall (заодно устраняется возможность подслушивания), а еще лучше - NAT/Masquerading. VLAN - фигня, он стОит дорого, а устроен слишком грубо и примитивно. IP-FireWall и инкапсуляция трафика при гораздо меньшей стоимости дают то же самое и даже гораздо больше.
PS: Приглашаю на http://cs.mipt.ru - 22 февраля начинаются занятия, в ходе которых я буду освящать в т.ч. и эту тему. |
|
Вернуться к началу |
|
|
Lev Гость
|
Добавлено: Пт Фев 22 2002 14:30 Заголовок сообщения: Используются IP, TCP, HTTP, WINDOWS сеть и т.д. |
|
|
Чужаки работают только на IP, TCP, HTTP и свои протоколы поверх TCP. Предоставляют данные через HTTP. Мы работаем открыто в Windows-сети, такова политика нашей партии и руководства. Защита минимальна. Используются и наши промышленные задачи и протоколы поверх TCP. Конечно, бухгалтерию мы защитили Win2000 и прочее, но остальные все юзеры открыты. Защититься хочется: 1. От прослушивания IP-пакетов, чтобы даже не было возможности попыток расшифровки информации в локальной сети, где их сервер будет стоять. 2. От троянов, которые они могут поставить к нашим юзерам вручную (даже не по сети, а подойдя к нашему компьютеру) в нашу сеть и слать информацию о паролях и т.д. на свои сервера.
Компьютер дополнительный всё-таки не хочется ставить с FireWall'ом (UNIX, WIN2000), может есть коробочка, которую один раз настроил и всё, аля-улю?
Насколько я понимаю NAT/Masquerading и IP-FireWall устанавливается на комп, который ограждает подключение их сервера к нашей сети. Таких компов придётся поставить штук 20 в 20 зданиях, т.к. их серверов такое количество (почти на каждую нашу сеть по одному чужому серверу). Эти компы-FireWall'ы потом дополнительно настраивать и обслуживать. |
|
Вернуться к началу |
|
|
Lev Гость
|
Добавлено: Пт Фев 22 2002 14:39 Заголовок сообщения: IP-FireWall, есть ли реализации в коробочках, а не в компьютерах? |
|
|
Чем лучше IP-FireWall VLAN'а? |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пт Фев 22 2002 14:39 Заголовок сообщения: Ключевое слово - MAC адрес. :) На нем весь VLAN и сделан. Но ты дал более точное описание. (-) |
|
|
- |
|
Вернуться к началу |
|
|
Lev Гость
|
Добавлено: Пт Фев 22 2002 14:43 Заголовок сообщения: Re: Про VLAN вкраце (+) |
|
|
Т.е. надо будет долго сидеть и сканировать или даже ходить и записывать все MAC-адреса, потом их группировать: наши в один список, чужаков в другой список? И если кто-то поменял сетевую карту или добавил комп в сеть, то надо сообщать сетевому администратору, чтобы тот везде(?) прописал новый MAC-адрес? |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пт Фев 22 2002 15:31 Заголовок сообщения: Re: Про VLAN вкраце (+) |
|
|
Да. Именно так. Управление усложнится.
Я ж говорю, что проще выделить чужаков в отдельный сегмент и отгородится от них маршрутизатором. Тогда будет одна точка в чужую сеть. Управление упростится.
Единого рецепта нет. Для более точных рекомендаций мне нужна полная карта сети. |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://www. Гость
|
Добавлено: Пт Фев 22 2002 18:20 Заголовок сообщения: Чем IP-FireWall лучше VLAN |
|
|
- IP-FireWall лучше VLAN! - Чем IP-FireWall лучше? - Чем VLAN!
VLAN позволяет отделить только сегменты друг от друга, а при поддержке фильтрации по MAC-адресам - еще и отдельные машины, но только стоящие в разных сегментах. VLAN симметричен, т.е. если разрешен доступ в одну сторону, то разрешен и в другую.
IP-FireWall позволяет разрешать/запрещать доступ по отдельным протоколам (портам) и в определенную сторону (асимметрично), но взамен требует привязки IP-номеров к MAC-адресам (ARP). Впрочем, если надо разделять только сегменты, то можно и не привязывать...
NAT/Masquerading и IP-FireWall может работать и на писюке (рекомендую FreeBSD), и на спец.железке типа Cisco.
А отслеживание MAC-адресов надо делать - не так уж и сложно...
---------------------------------------------
Что делать:
Все чужеродные серверы ставить в один сегмент в одной комнате, чужих людей никуда короме как в эту комнату не пускать. HTTP и другие Internet-сервисы совершенно не требуют прямого доступа и прекрасно работают через роутеры (кроме M$явной сетИ). Отдельный сегмент не даст им прослушивать чужие пакеты - через роутер не проходят ни лишние пакеты, ни броадкасты.
Коробочки, "которую один раз настроил и всё, аля-улю", не бывает - и на базе писюка, и на базе спец.железки надо настроить, затем менять настройки под текущие задачи. Причем FreeBSD или Linux обойдется гораздо дешевле, а часть разницы лучше направить на оплату настройщика - ведь и дорогая железка в кривых руках ничего полезного не сделает.
---------------------------------------------
Приглашаю всех на Учебу - http://cs.mipt.ru |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://www. Гость
|
Добавлено: Сб Фев 23 2002 09:43 Заголовок сообщения: В том-то и дело, что нет! |
|
|
Рассмотрим сеть с VLAN'ами, на одном порту сервер, на остальных отделы. Политика такая: одному отделу можно ходить к серверу, остальным нельзя.
Допустим, мы реализуем защиту на фильтрации по MAC-адресам. Тогда изменив свой MAC-адрес, клиент сможет пролезть к серверу. Правда, только если MAC-адреса не привязаны к портам.
А реальные VLAN'ы сделаны иначе: они фильтруют доступ с одного порта на другой. Каждый отдел сидит на своем порту, при переносе машины в другой отдел она автоматически получает/теряет правА доступа. Никаких MAC-адресов отслеживать не надо.
Только IP-FireWall+NAT все равно лучше - стОит дешевле, позволяет больше. |
|
Вернуться к началу |
|
|
Lev Гость
|
Добавлено: Сб Фев 23 2002 15:49 Заголовок сообщения: На сколько IP-FireWall+NAT дешевле VLAN? |
|
|
Без FreeBSD и Linux, по-моему цена будет одинаковая? |
|
Вернуться к началу |
|
|
Lev Гость
|
Добавлено: Сб Фев 23 2002 15:49 Заголовок сообщения: Чужие люди в одной комнате - не реально ... |
|
|
Чужие люди - в общем-то они не кровожадные, но лишняя безопасность не помешает ... В одной комнате невозможно собрать их сервера, т.к. это промышленные контроллеры, которые занимаются сбором данных в отведённых им местах. Получается, надо поставить дополнительно около каждого их контроллера комп с FreeBSD(Linux) или CISCO и использовать IP-FireWall? Насколько CISCO дороже компа (с FreeBSD)? Какой CISCO это позволяет ? Комп очень не хочется ставить! Для него надо выделить место, со всеми согласовать, а CISCO в коробке можно в существующее место к их контроллеру поставить/ |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://www. Гость
|
Добавлено: Пн Фев 25 2002 13:53 Заголовок сообщения: Оказывается, это не серверы, а контроллеры! |
|
|
Никто кроме вас самих не представляет себе вашу геометрию, из которой следуют расходы на отделение "чужаков" от "своих". Возможно, имеет смысл ставить по одному IP-FireWall в каждое здание... Вопрос еще в том, какие машыны должны иметь доступ к этим контроллерам, а каким это нафиг не нужно. В ряде случаев можно поставить во все машины, где нужен доступ к контроллерам, по второй сетевой карте и объединить этот сегмент на хабе или на простом коммутаторе. Разумеется, надо будет отключить форвардинг пакетов и M$-сеть в этот сегмент. |
|
Вернуться к началу |
|
|
Kadisov Lev Гость
|
Добавлено: Вт Фев 26 2002 06:55 Заголовок сообщения: А какая разница (внутри тот же комп и сервер HTTP)? |
|
|
Всё понятно, есть много пищи для ума ... Будем учиться, учиться и ещё раз учиться ... А также узнавать цены ...
PS: вторая сетевая карта не пойдёт - надо всё таки, чтобы чужаки в сети были и у них ещё настоящий сервер будет (под Linux), который с контроллеров (НТТР - серверов) собирать информацию будет. |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://www. Гость
|
Добавлено: Вт Фев 26 2002 11:05 Заголовок сообщения: Ответ на: "А какая разница (внутри тот же..- Kadisov Lev- 26-02-2002 06:55" Разница в привязке к |
|
|
Их собственный сервер под Linux можно включить в ту же "вторую сеть", так что насчет второй карты имеет смысл подумать... |
|
Вернуться к началу |
|
|
Nolgen Гость
|
Добавлено: Вт Апр 02 2002 09:03 Заголовок сообщения: Re: Используются IP, TCP, HTTP, WINDOWS сеть и т.д. |
|
|
Как раз для BSD/Linux затрату будут меньше всего. Для маскарадинга, и Firewall'a нужна машина не выше 486 хорошо 16 мб памяти и две сетевые карты. (не нужна клавиатура, монитор, видеокарта) Винт на 40-200 мб (для первичной установки/наладки нужно больше порядка 500мб-1гб) Больше ничего не нужно. Настроить и отладить на одной машине, а потом копировать на остальные. После этого удаленное управление через telnet. Через него же сбор логов и т.п. PS Единственная проблема сейчас это память на 486, а все остальное просто валяется. pps В принципе можно брать даже 386 компы но проблема в памяти. |
|
Вернуться к началу |
|
|
|