Архив форумов ЦИТФорума

[Kadisov Lev]

Существует несколько локальных сетей (Intranet) на нашем предприятии, которые выходят в Internet через один маршрутизатор.
Все сети имеют доступ к друг другу (есть сеть склада, производственная, бухгалтерии и т.д.)
Сторонняя организация предлагает на нашей территории установить необходимый нам компьютер и подключиться в некоторые производственные сети. Все сети разбросаны в разных зданиях.
Как нам лучше и дешевле всего оградить свои сети от возможного прослушивания с их стороны, но чтобы мы имели доступ к информации в их компьютерах сбора данных.
Есть предложение поставить CISCO 1605 на каждую их машину. Но это скорее для них вариант, т.к. маршрутизатор CISCO-1605 позволяет шифровать поток данных между такими CISCами. Нам же ставить на каждую машину CISCO - будет слишком дорого, т.к. нас больше ...
Может есть что-нибудь проще ?

[hoha]

Может я чего непонимаю, но все их сервера в отдельную сеть, а ее в свою очередь замаршрутезируйте на свой через ту-же Циску(одной будет достаточно...) В общем тот-же шлюз....(толко с фаерволами и онализаторами траффика,, этого более чем достаточно, можно аппаратный Фаервол поставить(но тоже на выходе), (у него толстая произвотительность...)( дело не очень хитрое...

[and3008]

1. Использовать VLAN
2. Использовать IPSec
3. Использовать оптоволокно
4. Поставить везде Win2000/UNIX и использовать Kerberos как сервер аутентификации.

Лучше все это вместе и сразу.

VLAN позволит изолировать компы на транспортном уровне, IPSec зашифрует весь трафик, пароли Kerberos не поддаются подбору и хешированию, в отличии от NTLM.
Оптика позволит изолировать трафик от прослушки и она по-быстрее будет

[Kadisov Lev]

Отдельная сеть для их серверов - отлично, но расстояния между зданиями большие и кидать, практически, вторую сеть будет дороговато ...
У нас уже существует физическая сеть между зданиями, очень быстрая и очень дорогая (оптоволокно). Как бы иначе ?

[Kadisov Lev]

1. VLAN - было бы интересно:
насколько я понимаю - это вируальная сеть поверх существующей сети.
Это нам и надо - изолировать "чужаков" в виртуальную сеть, доступ к которой возможен через как через один сервер, так и напрямую (хотя от этого можно и отказаться).
Насколько это будет дорого по стоимости ?
Какую аппаратуру надо для этого поставить?
На каждом сервере чужаков, который является сборщиком данных, ставится аппаратный модуль, который обеспечивает работу VLAN. Может это как раз CISCO 1605 и может сделать, или есть проще?

2. Пользовательских компов очень много (в каждой сети не менее 20, сетей не менее 20) и на каждом добавлять шифрование будет дороговато и утомительно.
3. Оптоволокно уже соединяет локальные сети в удалённых зданиях.
4. Ставить
Win2000 - надо менять большинство компьютеров пользователей, существующие Pentium MMX 233 не потянут.
UNIX - нереально для пользователей, которые используют офисные программы и производственные для Windows.

[Kadisov Lev]

Где лучше всего узнать про VLAN и IPSec?
Чтобы кратко и ясно?

[and3008]

VLAN - это технология объединения компьютеров в группы на основе MAC-адреса.

Берем УПРАВЛЯЕМЫЙ коммутатор (switch) с поддержкой VLAN.
Берем MAC-адреса всех компьютеров в сети.
Создаем группы и пихаем туда MAC-адреса.
Только компьютеры из одной группы могу передавать пакеты друг-другу. В другую группу их не пустит коммутатор.
На раб.станциях делать вообще ничего не надо.

Один компьютер может входит в несколько VLAN-групп. Например сервер.

Ну и еще на свиче запретить подключения к сети с MAC-адресами, отсутствующими в таблице.
Например 3COM SuperStack такую возможность имеет. Думаю Cisco тоже.

Управлять этим хозяйством прийдется. Т.е. следить за MAC-адресами.

Ну и чтоб было все хорошо надо чтоб все соединие шли через коммутор или группу коммутаторов.

А кто сказал, что будет легко?

Про IPSec и VLAN можно почитать на этом сайте.

Самый простой вариант - выдели этот комп в отдельный сегмент и отгороди их от себя маршрутизатором. Можно Cisco, можно UNIX. Настрой access list и дремай спокойно.

[Dmitry.Karpov http://www.]

VLAN состоит из ядра (свичей с поддержкой VLAN, объединенных соединениями в транкинговом режиме) и периферии (подключенных к VLAN устройств). Каждый порт свича приписывается к одной или к нескольким VLAN'ам. При попадании Ethernet-кадра в VLAN ему приписывается тэг (список всех VLAN'ов, в которые входит порт, через котороый вошел Ethernet-кадр). На выходе из VLAN проверяется, входит ли выходной порт в одну из сетей, куда входит порт входа - если есть хотя бы одно совпадение, то кадр пропускается, иначе убивается. Для широковещательных кадров такие проверки делаются на каждом порту выхода - он же рассылается во все стороны, кроме порта входа.

Но вообще, VLAN - отстой. IP-FireWall гораздо лучше.

[Dmitry.Karpov http://www.]

Все зависит от того, какие протоколы используются и от чего надо защищать.

По идее, каждая машина должна быть сама по себе защищена (не предоставлять доступа посторонним), но если обычные юзеры на Windows рас'share'вают файлы, то о какой-либо защищенности речь не ведеься.

Если сторонние машины д.б. доступны по IP, то можно использовать FireWall (заодно устраняется возможность подслушивания), а еще лучше - NAT/Masquerading. VLAN - фигня, он стОит дорого, а устроен слишком грубо и примитивно. IP-FireWall и инкапсуляция трафика при гораздо меньшей стоимости дают то же самое и даже гораздо больше.

PS: Приглашаю на http://cs.mipt.ru - 22 февраля начинаются занятия, в ходе которых я буду освящать в т.ч. и эту тему.

[Lev]

Чужаки работают только на IP, TCP, HTTP и свои протоколы поверх TCP. Предоставляют данные через HTTP.
Мы работаем открыто в Windows-сети, такова политика нашей партии и руководства. Защита минимальна. Используются и наши промышленные задачи и протоколы поверх TCP. Конечно, бухгалтерию мы защитили Win2000 и прочее, но остальные все юзеры открыты.
Защититься хочется:
1. От прослушивания IP-пакетов, чтобы даже не было возможности попыток расшифровки информации в локальной сети, где их сервер будет стоять.
2. От троянов, которые они могут поставить к нашим юзерам вручную (даже не по сети, а подойдя к нашему компьютеру) в нашу сеть и слать информацию о паролях и т.д. на свои сервера.

Компьютер дополнительный всё-таки не хочется ставить с FireWall'ом (UNIX, WIN2000), может есть коробочка, которую один раз настроил и всё, аля-улю?

Насколько я понимаю NAT/Masquerading и IP-FireWall устанавливается на комп, который ограждает подключение их сервера к нашей сети.
Таких компов придётся поставить штук 20 в 20 зданиях, т.к. их серверов такое количество (почти на каждую нашу сеть по одному чужому серверу). Эти компы-FireWall'ы потом дополнительно настраивать и обслуживать.

[Lev]

Чем лучше IP-FireWall VLAN'а?

[and3008]

-

[Lev]

Т.е. надо будет долго сидеть и сканировать или даже ходить и записывать все MAC-адреса, потом их группировать: наши в один список, чужаков в другой список?
И если кто-то поменял сетевую карту или добавил комп в сеть, то надо сообщать сетевому администратору, чтобы тот везде(?) прописал новый MAC-адрес?

[and3008]

Да. Именно так.
Управление усложнится.

Я ж говорю, что проще выделить чужаков в отдельный сегмент и отгородится от них маршрутизатором. Тогда будет одна точка в чужую сеть. Управление упростится.

Единого рецепта нет. Для более точных рекомендаций мне нужна полная карта сети.

[Dmitry.Karpov http://www.]

- IP-FireWall лучше VLAN!
- Чем IP-FireWall лучше?
- Чем VLAN!


VLAN позволяет отделить только сегменты друг от друга, а при поддержке фильтрации по MAC-адресам - еще и отдельные машины, но только стоящие в разных сегментах. VLAN симметричен, т.е. если разрешен доступ в одну сторону, то разрешен и в другую.

IP-FireWall позволяет разрешать/запрещать доступ по отдельным протоколам (портам) и в определенную сторону (асимметрично), но взамен требует привязки IP-номеров к MAC-адресам (ARP). Впрочем, если надо разделять только сегменты, то можно и не привязывать...

NAT/Masquerading и IP-FireWall может работать и на писюке (рекомендую FreeBSD), и на спец.железке типа Cisco.

А отслеживание MAC-адресов надо делать - не так уж и сложно...

---------------------------------------------

Что делать:

Все чужеродные серверы ставить в один сегмент в одной комнате, чужих людей никуда короме как в эту комнату не пускать. HTTP и другие Internet-сервисы совершенно не требуют прямого доступа и прекрасно работают через роутеры (кроме M$явной сетИ). Отдельный сегмент не даст им прослушивать чужие пакеты - через роутер не проходят ни лишние пакеты, ни броадкасты.

Коробочки, "которую один раз настроил и всё, аля-улю", не бывает - и на базе писюка, и на базе спец.железки надо настроить, затем менять настройки под текущие задачи. Причем FreeBSD или Linux обойдется гораздо дешевле, а часть разницы лучше направить на оплату настройщика - ведь и дорогая железка в кривых руках ничего полезного не сделает.

---------------------------------------------

Приглашаю всех на Учебу - http://cs.mipt.ru

[Dmitry.Karpov http://www.]

Рассмотрим сеть с VLAN'ами, на одном порту сервер, на остальных отделы. Политика такая: одному отделу можно ходить к серверу, остальным нельзя.

Допустим, мы реализуем защиту на фильтрации по MAC-адресам. Тогда изменив свой MAC-адрес, клиент сможет пролезть к серверу. Правда, только если MAC-адреса не привязаны к портам.

А реальные VLAN'ы сделаны иначе: они фильтруют доступ с одного порта на другой. Каждый отдел сидит на своем порту, при переносе машины в другой отдел она автоматически получает/теряет правА доступа. Никаких MAC-адресов отслеживать не надо.

Только IP-FireWall+NAT все равно лучше - стОит дешевле, позволяет больше.

[Lev]

Без FreeBSD и Linux, по-моему цена будет одинаковая?

[Lev]

Чужие люди - в общем-то они не кровожадные, но лишняя безопасность не помешает ...
В одной комнате невозможно собрать их сервера, т.к. это промышленные контроллеры, которые занимаются сбором данных в отведённых им местах.
Получается, надо поставить дополнительно около каждого их контроллера комп с FreeBSD(Linux) или CISCO и использовать IP-FireWall?
Насколько CISCO дороже компа (с FreeBSD)?
Какой CISCO это позволяет ?
Комп очень не хочется ставить!
Для него надо выделить место, со всеми согласовать, а CISCO в коробке можно в существующее место к их контроллеру поставить/

[Dmitry.Karpov http://www.]

Никто кроме вас самих не представляет себе вашу геометрию, из которой следуют расходы на отделение "чужаков" от "своих". Возможно, имеет смысл ставить по одному IP-FireWall в каждое здание...
Вопрос еще в том, какие машыны должны иметь доступ к этим контроллерам, а каким это нафиг не нужно. В ряде случаев можно поставить во все машины, где нужен доступ к контроллерам, по второй сетевой карте и объединить этот сегмент на хабе или на простом коммутаторе. Разумеется, надо будет отключить форвардинг пакетов и M$-сеть в этот сегмент.

[Kadisov Lev]

Всё понятно,
есть много пищи для ума ...
Будем учиться, учиться и ещё раз учиться ...
А также узнавать цены ...

PS: вторая сетевая карта не пойдёт - надо всё таки, чтобы чужаки в сети были и у них ещё настоящий сервер будет (под Linux), который с контроллеров (НТТР - серверов) собирать информацию будет.

[Dmitry.Karpov http://www.]

Их собственный сервер под Linux можно включить в ту же "вторую сеть", так что насчет второй карты имеет смысл подумать...

[Nolgen]

Как раз для BSD/Linux затрату будут меньше всего. Для маскарадинга, и Firewall'a нужна машина не выше 486 хорошо 16 мб памяти и две сетевые карты. (не нужна клавиатура, монитор, видеокарта) Винт на 40-200 мб (для первичной установки/наладки нужно больше порядка 500мб-1гб) Больше ничего не нужно.
Настроить и отладить на одной машине, а потом копировать на остальные. После этого удаленное управление через telnet. Через него же сбор логов и т.п.
PS Единственная проблема сейчас это память на 486, а все остальное просто валяется.
pps В принципе можно брать даже 386 компы но проблема в памяти.