Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Sieć Firmowa - bezpieczeństwo serwera w sieci

mesjasz888 28 Sty 2011 22:19 4039 21
  • #1 28 Sty 2011 22:19
    mesjasz888
    Poziom 12  

    Witam, mam następujące problem dotyczący bezpieczeństwa sieci a właściwie serwera w moim miejscu pracy – z góry dziękuję dobre porady zaznaczę od razu że sieci komputerowe to nie jest moja mocna strona, i pisze na forum bo pod różnymi hasłami w Google nie wiele się dowiedziałem – nie wiem nawet czy dobrze przydzieliłem temat.

    Wygląda to następująco w grupie roboczej jest około 15 komputerów w większości mają one systemy Windows XP i Windows 7 w sieci tej jest dostęp do Internetu konkretnie DSL (konkretnie każdy komp wpięty jest do gniazdka a one idą do serwerowni gdzie jest szafa switche, panel krosowy i router), poza tymi komputerami które są podłączone do sieci jest tak jakby oddzielna sieć tzn.

    kilka komputerów które nie są podłączone do gniazdek sieciowych ( czyli nie są w tej grupie roboczej ) tylko są podłączone na zasadzie kilka kompów w jeden switch i do tego switcha również jest wpięty jeden komp, który pełni rolę serwera na windowsie XP prof. i te komputery nie są podpięte do gniazdek sieciowych i nie mają dostępu do neta – zaznaczę tu od razu że na tych komputerach są programy które zawierają dużo ważnych danych, wszystkie one spływają do tego serwera.

    A teraz co muszę i chciałbym zrobić.

    Chciałbym aby te komputery, które są z serwerem wpięte w switcha miały dostęp do Internetu również ten serwer, oraz aby była możliwość aby zdalnie firma mogła się podłączyć do serwera do tych komputerów i mogła zdalnie np. przez vnc wprowadzać zmiany w programie lub aktualizować itp.

    Oczywiście żeby je wpiąć do sieci to nie problem bo podpinam switcha pod gniazdko i one i Serwer już będą miały Internet ale Serwer i te kompy będą się widziały z pozostałymi kompami z tamtej sieci a ja chciałbym tego uniknąć – nie chce żeby inne kompy miały dostęp do tego serwera – do niego mogą mieć dostęp tylko te, które kopiują dane do tego serwera.

    W jaki sposób mogę zabezpieczy ten Serwer? tak żeby nie wyciekły dane przez Internet oraz te komputery i tak żeby pozostałe kompy nie miały dostępu głównie do serwera. Generalnie mam ból głowy jak to zrobić. Myślałem o 2 kartach sieciowych w tych komputerach i na zasadzie przełączania albo komp jest w jednej sieci albo w drugiej ale to trochę takie prymitywne i problematyczne dla pracowników.
    Wiem że Windows Serwer 2005 czy 2008 ma fajne funkcje i można w zasadzie wszystko skonfigurować jak się chce ale na chwilę obecną chciałbym to zrobić w ominięciu o zakup tego systemu.
    Jaki jest w ogóle prawdopodobieństwo, że jak podepnę taki Serwer normalnie do Internetu że mogą wyciec dane przez Internet?
    W zasadzie to w tej sieci co jest 15 kompów są ze 4 które rówież chciałbym podpiąć do tego serwera też z nich by spływały dane do niego.
    Trochę się rozpisałem, ale to dlatego żeby zaoszczędzić czas i żeby ktoś nie musiałby dopytywać o każdy drobny szczegół kilkakrotnie – z góry dziękuję za poradę.

    0 21
  • #2 28 Sty 2011 23:02
    hermes-80
    Poziom 43  

    Po pierwsze po co ci internet w tej małej podsieci jakie chcesz usługi wypuścić lub wpuścić w sieć ??
    najprościej było by postawienie routera z linuxem miedzy obiema sieciami WAN-em zwrócony do wyjścia na internet potem skonfigurowanie firewalla tak by tylko otworzyć te porty, które ci są potrzebne. Zablokować komunikacje z adresami IP podsieci wewnętrznych, w której znajdzie się twój WAN.

    0
  • #3 28 Sty 2011 23:15
    mesjasz888
    Poziom 12  

    Dlatego że Ci pracownicy muszą też mieć dostęp do internetu czasami muszą wchodzić na określone strony www które są związane z ich pracą poza tym, są na nich antywirusy, które muszą się aktualizować co jakiś czas, chciałbym również aby zdalnie firma mogła się połączyć z tą siecia żeby serwisować te programy na których pracują

    Dodano po 8 [minuty]:

    Da się to jakoś inaczej rozwiązać na chwilę obecną linux to dla mnie nie ukrywam czarna magia - jedyne co potrafie to zainstalować linuxa i wpisać kilka komend a nie mam aż tyle na to czasu żeby się tego nauczyć i zrobić jak należy jest prostsza metoda?

    0
  • #4 28 Sty 2011 23:20
    hermes-80
    Poziom 43  

    Vlany by odizolować podsieci od siebie na switchach ale ta droga musi pójść od głównego routera. Poza tym sieci chroni tylko jeden firewall dla obu sieci co niekoniecznie zapewnia bezpieczeństwo tej ważniejszej.

    Co do linuksa - wystarczy zakupić routerek z możliwością wgrania np: Tomato i lektura iptables i można wpisywać dowolne regułki firewalla bez zagłębiania się w konfiguracje sprzętu.

    0
  • #5 28 Sty 2011 23:30
    mesjasz888
    Poziom 12  

    Mógłbyśmi dokładniej wytłumaczyć pojęcie vlany? co mam przez to rozumieć - co do routera to do niego mam wpięty kabel tp DSL-a i jeden lan on idzie do switcha mam kilka miejsc wolnych i wolne wejście DMZ, przyszło mi do głowy że tp przydzieliło nam kilka adresów ip można te 2 sieci rozdzielić na 2 routery? to ma jakiś sens? Sieci to moja słaba strona więc jak mi piszesz takimi ogólnikami to średnio wiem o co chodzi ://

    Dodano po 4 [minuty]:

    Co do routera to mam model: Router Linksys RV042 jeśli to coś pomoże

    0
  • #6 28 Sty 2011 23:32
    hermes-80
    Poziom 43  

    vlany to inaczej separacja poszczególnych portów LAN w routerze czyli nie ma możliwości komunikacji np portu LAN1 z portami LAN2, LAN3, LAN4 oczywiście router i switche po drodze muszą to obsługiwać.

    Cytat:
    kilka adresów ip można te 2 sieci rozdzielić na 2 routery?

    To ma taki sens jak mój pomysł z wewnętrznym routerem. To będzie chyba najlepsze rozwiązanie.

    0
  • #7 28 Sty 2011 23:41
    mesjasz888
    Poziom 12  

    hmmm ale tak właściwie ten linux to tyczy się tego servera który obecnie ma zainstalowany windows XP? czyli mam wywalić ten system zainstalować np. Debiana i co dalej co z tymi 2 sieciami one mają być oddzielnie? dobrze rozumiem?

    Powinienem tą małą sieć podpiąć pod ten drugi router do którego będzie wpięty internet a na serverze zainstalować linuxa? średnio kumam to prawde mówiąc nie wiem jaka powinna być kolejność - chciałbym to zrobić możliwie jak najłatwiej się da do dyspozycji mam kilka adresów ip od tp sa mogę skołować drugi router jeśli będzie taka potrzeba noi mam ten server na windowsie XP tym dysponuję jedyne na czym mi zależy to żeby ta mała sieć miała dostęp do neta i żeby dane nie wyciekły i inne kompy żeby się nie wbiły na server - głównie o to mi chodzi

    0
  • #8 29 Sty 2011 00:09
    hermes-80
    Poziom 43  

    Nie nic nie masz instalować nigdzie tylko dorwać routerek, na który można wgrać alternatywny soft np: Tomato bo to nic innego jak linux i ma funkcjonalność linuxa - ma rozszerzone możliwości konfiguracyjne tylko, że pobiera znikome ilości prądu.
    (internet(sieć wewnętrzna ogólna(sieć z wrażliwymi danymi)))
    ten schemat pozwala ci mieć dostęp z sieci z wrażliwymi danymi do kompów z sieci wewnętrznej - na odwrót już nie bez przekierowania portów - jeśli masz włączone NAT na routerze miedzy sieciami wewnętrznymi.
    To samo osiągniesz instalując drugi router z publicznym IP wypuszczając go do sieci internetu, a nie do swojej wewnętrznej sieci.
    (internet(sieć wewnętrzna ogólna)(sieć z wrażliwymi danymi))
    ten schemat nie pozwala ci mieć dostępu z żadnej sieci wewnętrznej bezpośrednio do drugiej

    0
  • #9 29 Sty 2011 18:55
    mesjasz888
    Poziom 12  

    Czytając Twojego posta i patrząc na ten poniższy schemat przyznam, że się trochę zakręciłem nie wiem teraz czy potrzebuję tylko jednego routera z wgranym oprogramowaniem tomato czy ten co mam i dodatkowo mam drugi dokupić i tam wgrać to oprogramowanie. Na schemacie (internet(sieć wewnętrzna ogólna(sieć z wrażliwymi danymi))) wygląda to tak jak by ta sieć z wrażliwymi danymi była zawarta w sieci ogólnej a to jest podpięte pod router z Internetem tak zrozumiałem.
    Jeśli mają być 2 routery to jak podłączyć Internet i tu i tu jak kabel od tepsy mam jeden – przed routerami wpiąć w switcha Internet a na każdym z routerów nadać inny adres publiczny?

    Tak wiem, że Dla Ciebie się to wydaje wszystko takie oczywiste i jasne :),ale tak jak mówiłem, sieci to nie jest moja mocna strona.
    Dlatego szybko udało mi się narysować schemacik w Corelu jak to wygląda u mnie – jak byś naniósł jakąś poprawkę np. w paincie na tym JPG to na pewno bym szybciej zrozumiał.

    https://obrazki.elektroda.pl/9697697300_1296323643.jpg

    0
  • #10 29 Sty 2011 19:35
    hermes-80
    Poziom 43  

    Jeszcze by się przydała adresacja bo teraz nie wiem czy te 2 czerwone kompy w sieci P1 maja mieć dostęp do P2.
    Co do IP publicznych nie wiem jak ci TP przyznała te kilka IP publiczne.
    I nie wiem co to masz za rodzaj internetu.

    0
  • #11 29 Sty 2011 19:36
    szalikmars
    Poziom 11  

    hermes-80 dobrze ci pisze

    rysunki niepotrzebne

    kup cos pod tomato cena routera

    od 116 zł do 440

    zainstaluj tomato

    0
  • #12 29 Sty 2011 19:41
    mesjasz888
    Poziom 12  

    Jeśli chodzi o te 2 kompy z P1 chciałbym aby miały dostęp do P2 a co do internetu to DSL wiem, że na umowie jest jakoś przydzielone kilka adresów

    tzn. mam pewne wątpliwości jak to jest dokłądnie z tymi adresami ale jest podanych kilka adresów i napisane jest że jeden zarezerwowany dla sieci jeden dla modemu jeden rozgoszeniowy a reszta dla abonenta łącznie 8 i ten który jest w użyciu to jeden z tych co dla abonenta.

    0
  • #13 29 Sty 2011 19:49
    hermes-80
    Poziom 43  

    No ale podaj dokładnie jaka pula adresowa i maska. I co tam pisze na temat tych adresów.

    0
  • #14 29 Sty 2011 20:01
    mesjasz888
    Poziom 12  

    tzn. mam pewne wątpliwości jak to jest dokłądnie z tymi adresami ale jest podanych kilka adresów i napisane jest że jeden zarezerwowany dla sieci jeden dla modemu jeden rozgoszeniowy a reszta dla abonenta łącznie 8 i ten który jest w użyciu to jeden z tych co dla abonenta.

    Na przykład kompy z P2 mają ustawione adresy tylko na zasadzie 192.168.0.1 maska 255.255.255.0 bez bramy i dns-ów.

    Jeśli chodzi o adres od tp zaczyna się na 83.18…. , maska 255.255.255.248 zmieniają się tylko końcówki we wszystkich 8-u

    Kompy z P1 mają np. 192.168.0.20 adres, 255.255.255.0 maska, 192.168.1.1 brama

    0
  • #15 29 Sty 2011 20:55
    hermes-80
    Poziom 43  

    A jaki masz IP na WAN-ie routera w szafie ?? Ten przydzielony jeden z 8, podaj maskę na wan albo najlepiej status??

    0
  • #16 29 Sty 2011 21:24
    mesjasz888
    Poziom 12  

    To adres ten co wyżej podałem zaczyna się na 83.18…. , maska 255.255.255.248, to adres jeden z tych 8-iu nie chcę podawać pełnego adresu ze względu bezpieczeństwa a jaki to ma związek ?

    0
  • #17 29 Sty 2011 21:56
    hermes-80
    Poziom 43  

    To masz schemat sieci ten typ - (internet(sieć wewnętrzna ogólna(sieć z wrażliwymi danymi)))
    Sieć Firmowa - bezpieczeństwo serwera w sieci
    I w firewallu Tomato blokujesz sobie za pomocą iptables cały ruch z podsieci 192.168.1.0 oprócz bramki oczywiście.

    Jaki zostaje ci przydzielony IP teraz na WAN poprzez DHCP czy PPPoE ??

    A niżej masz ten typ sieci - (internet(sieć wewnętrzna ogólna)(sieć z wrażliwymi danymi))
    Sieć Firmowa - bezpieczeństwo serwera w sieci

    0
  • #18 29 Sty 2011 22:44
    mesjasz888
    Poziom 12  

    Dzięki za bardzo profesionalny schemat! - minie trochę czasu zanim uda mi się to zrealizować w każdym razie na chwilę obecną wydaje mi się to na tyle jasne żeby się za to zabrać - mam jeszcze tylko jedno pytanie czy ten router który mam RV042 linksys ma możliwośc wgrania tomato?

    0
  • #19 29 Sty 2011 22:51
    hermes-80
    Poziom 43  

    Chyba nie w każdym bać razie nie spotkałem się z tym. Ale możesz go zastosować zamiast tego z Tomato. Router z Tomato ma ta przewagę, że możesz zablokować komunikację z cała podsiecią 192.168.1.0.

    0
  • #20 30 Sty 2011 13:44
    mesjasz888
    Poziom 12  

    Jakoś bardziej czytelnie przemawia do mnie schemat nr 2 tylko rozumiem, że ten 2 właśnie schemat jest rozbity po prostu na 2 routery i ten po lewej nie ma wgranego oprogramowania tomato -a przypuśćmy że dam w to miejsce router z tym oprogramowanie po skonfigurowaniu da mi to taki efekt jak w schemacie nr 1 ??
    Czyli przy schemacie nr 2 komputery z P1 i P2 będą się widzieć w sieci ?

    0
  • Pomocny post
    #21 30 Sty 2011 14:44
    hermes-80
    Poziom 43  

    Kompy z podsieci P1 i P2 schematu 2 nie widzą się w sieci bo ich kontakt jest przez internet. W obu przypadkach sieci są maskowane NAT-em na routerach, czyli aby połączyć usługą oba sieci np FTP ruch musi przejść przez internet, a U i D ograniczone przez ISP

    Schemat 1 z każdego z kompów sieci P2 masz dostęp do kompów z P1 zaś z P1 nie masz dostępu bez przekierowań portów na routerze Tomato ponieważ P1 jest maskowany NAT-em, a ich transfer jest uzależniony od mocy obliczeniowej procesora na routerze czyli około 30Mb/s przy tańszych routerach.

    0
  • #22 30 Sty 2011 17:13
    mesjasz888
    Poziom 12  

    Dzięki raz jeszcze jak za jakiś zas będę miał z czymś problem będę pisał pozdrawiam

    0