Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Защита сети предприятия от атак извне, Как настроить?
 
Каким образом можно организовать эффективную защиту локальной сети фирмы от атак из интернета? Слышал, что можно сделать выход в интернет всех сотрудников через удалённый рабочий стол сервера, который будет иметь доступ в интернет. А компьютеры самой локальной сети выходить в инет не могут. Где можно почитать об этом подробнеее? Или, может, есть более эффективное решение?

Общая картина такова: около 200 компов выходит в интернет через прокси-сервер. В сети установлен также DHCP-сервер
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Прокси - это уже существенный шаг в направлении обеспечения безопасности локалки.

Существенно сузить "сектор обстрела" извне поможет официально узаконенная вами на предприятии "фашистская" :) фильтрация трафика на прокси-сервере. Лучше всего по белым спискам, но в крайнем случае хотя-бы по чёрным. При условии, что мимо прокси никто из локалки в инет не ходит, в т.ч. и с самой машины с прокси-сервером. Тогда проникновение извне или утечка наружу станут возможными лишь с веб-трафиком и загружаемыми извне файлами (эксплойты, трояны и т.п.) А этот риск тоже можно существенно минимизировать антивирусным ПО.

Также не забываем о необходимости наличия службы обновления вендов и прикладного ПО по всей локалке. Ну и о каком-нибудь централизованно управляемом антивирусе. Дыры в софте латать и а/в базы обновлять надо всегда, везде и чем побыстрее.

Ну и на шлюзе, естественно, никаких listen ports наружу, и внешний IP-адрес желательно динамический. Если всё-таки наружу что-то должно смотреть, например ssh - обновить его до последних версий, настроить в нём авторизацию по ключам и ограничить количество попыток соединения в единицу времени, при этом на левый порт его выносить уже не обязательно. Также желательно максимально ограничить перечень адресов, с которых возможен доступ по ssh и прочим протоколам на/через шлюз. Далее остаётся только бдеть за сохранностью закрытых ключей. В этом существенно помогает указание паролей при генерации ключей. Как вы уже поняли, ОС на шлюзе очень подразумевается НЕ виндовс :)

Ещё можно, конечно, извратиться и пускать в инет, например, только особым образом настроенные виртуальные машины и прочие песочницы. Но на любом предприятии обязательно найдутся умельцы, которые захотят, найдут время и смогут пробросить доступный им инет на свою основную машину. Да и от хождения файлов с инета по локалке одно это никак не спасёт.

Средства обеспечения безопасности внутри самой локалки - это уже другой обширный вопрос.
Изменено: disintegrator - 03.02.2011 02:09:48
 
Цитата
disintegrator пишет:
Тогда проникновение извне или утечка наружу станут возможными лишь с веб-трафиком
Именно в этом и проблема. Использование же виртуального рабочего стола сведёт на НЕТ такие вещи. А следить за безопасностью и обновлением ПО на 1 (или нескольких) серверах намного проще, чем за более 200 пользователями. Так что я пока что целюсь именно на это решение.

Цитата
disintegrator пишет:
Также не забываем о необходимости наличия службы обновления вендов и прикладного ПО по всей локалке
Задолбаюсь ходить и устанавливать обновление на такое кол-во компьютеров. Это не вариант. Тем более, если кто решит переставить систему - я даже не узнаю об этом.

Цитата
disintegrator пишет:
Ну и о каком-нибудь централизованно управляемом антивирусе.
Мало эффективно. У нас стоит такой корпоративный Касперский. У него даже проактивки нет никакой - не предупреждает о загрузке драйвера.

Цитата
disintegrator пишет:
Дыры в софте латать и а/в базы обновлять надо всегда, везде и чем побыстрее.
Так лучше заниматься этим на нескольких компьютерах, чем бегать по всему офису. К тому же, у нас несколько офисов в городе.
Изменено: Shanker - 03.02.2011 13:49:05
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Ну если у вас уже столько компьютеров, то неплохо бы задуматься уже и об IPS.
К примеру IBM Proventia IPS GX-series (в режиме inline-protection)
Полезно, когда на прокси-сервере антивирусный модуль прикручен.
И "+100500" - фильтрация, ограничения, политика.

По поводу переустановки систем - образы сделайте Акронисом.
 
Цитата
Задолбаюсь ходить и устанавливать обновление на такое кол-во компьютеров. Это не вариант. Тем более, если кто решит переставить систему - я даже не узнаю об этом.
Есть такая штука, WSUS. Поставил, настроил и никто никуда не бегает. Все переустановки систем видны как аномально высокое количество необходимых для установки апдейтов, по сравнению с остальными машинами. Все переименования машин тоже видны, как новые, не расставленные по имеющимся группам. Единственный минус - им обслуживается только венда, мсофис и некоторое прочее мелкософтовское ПО. Продукт бесплатный. Ставится на виндовс сервер 2003 и выше, за который у вас уже уплочено. И это чуть ли не единственный правильный вариант приведения вендового парка машин в порядок.
 
Shanker, а кто мешает (кроме лени конечно  :D ) присоеденить все машины в офисе к NT домейну, выделить их в разные OU по виду деятельности и ограничить через GPO по мере их "веса" в компании. Обновления винды опять же через GPO в нужное время. IPSec  трафик внутри LAN для защиты от ARP poisonning. И никуда, никто, никогда не вылезет с любыми привилегиями(кроме domain admin) из тех рамок, куда вы их загоните. На интернет гейтвее: спам защита и корпоротивный антивирус. Для кого все это делалось (все эти инструменты и технологии) если ими не пользоваться?!
 
TS родной или цитриксовский вполне себе вариант. Не панацея, конечно, как в прочем и все предложенное выше, но решает. Хотя на 200 юзеров сервер должен быть не слабый.
 
Пока надумали вот что:

1. кол-во компьютеров для доступа в сеть уменьшить
2. эти компы используются только для доступа в инет, для работы с документами - отвязанные от сети компьютеры
3. Возможно присоединение компьютеров (которые в инет выходят) к доменам
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
Страницы: 1
Читают тему (гостей: 1)