Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Kompletna izolacja/segmantacja sieci

altruista 01 Kwi 2013 20:56 3705 8
  • #1 01 Kwi 2013 20:56
    altruista
    Poziom 2  

    Witam wszystkich forumowiczów, zwracam się z prośbą o pomoc bo naprawdę sobie nie potrafię poradzić. Jestem programistą, z sieciami nie mam nic wspólnego, potrafię tylko skonfigurować router w sieci domowej.

    Informacja kim jestem i podstawa problemu:
    Jestem programistą, jestem zatrudniony w bardzo małym sklepie komputerowym w Wielkiej Brytanii. Ludzie wybierają produkty, kupują, standard. Ostatnio wprowadziliśmy metodę płatności kartą płatniczą/kredytową (użytkownik wklepuje dane karty bezpośrednio u nas). Prawdopobnie Państwo nie wiecie, ale **KAŻDY** kto manipuluje danymi kart VISA/Mastercard itd. musi się dostosować do regulacji PCI DSS (stąd cały problem). Jeśli obracacie danymi kart czy to w Polsce, czy w Grecji, czy w Wielkiej Brytanii, musicie się dostosować do tych regulacji bo inaczej kary są ogromne, sięgające do miliona złotych.

    Także jesteśmy małą firemką, oczywiście korzystamy z usług np. Paypal ale **bardzo dużo klientów nie chce płacić w ten sposób**, także udostępniliśmy im płatność kartą - ludzie wklepują dane, przechodzi to przez bramkę płatnośći, płatność OK, zapisuijemy i wysyłamy. Wszyscy szczęśliwi.

    Jednak powrócę do wymogów PCI DSS które są **bardzo** rygorystyczne i są głównym problemem. Nie chcę się rozpisywać, także tylko powiem, że aby spełnić warunki PCI DSS, **oddzieliliśmy sklep internetowy i własną bramkę płatności** - własny serwer www w naszej sieci (na dedyka nas nie stać) - do pobierania danych z kart i przetwarzania - serwer zczytuje te dane, wysyła w tle do naszego usługodawcy, i przenosi z powrotem to sklepu, ang. "tokenized redirect".

    Problem polega na tym, że wymogi PCI DSS wymagają skanowania sieci z zewnętrz i wewnątrz.
    To są bardzo rygorystyczne skany które nie pozwalają na żadne dziury (np. stara wersja serwera Apache którą mam na komputerze nie przejdzie skanu). I o ile bramka/serwer płatności skonfigurowałem na tip-top i przechodzi zewnętrzne skany, to nasza wewnętrzna sieć ich nie przechodzi, bo np. mam stara wersje WAMP u siebie na biurowym komputerze, albo drukarka ma stary firmware i nie przejdzie skanu (SIC!)

    Właściwy problem
    Problem można rozwiązać tylko w jeden sposób - KOMPLETNE ODIZOLOWANIE SIECI. Próbowałem to zrobić, ale zwyczajnie brak mi wiedzy i doświadczenia, dlatego zwracam się z uprzejmą prośbą do Was abyście chociaż mi wskazali jak to zrobić.

    Sprzęt
    - Modem ADSL
    - MIKROTIK z najnowszym RouterOS (sześć pięć gniazd eth, kupiliśmy go specjalnie aby rozwiązać ten problem)
    - Router CISCO dla sieci LAN
    - Router Buffalo dla sieci WLAN




    - Serwer-bramka płatności (PC,Linux, **otwarty port HTTPS!**)
    - Serwer dyskowy (PC,Linux,Samba), każdy komputer z biura powinien mieć dostęp do niego.
    - Komputery, drukarki podłaczone do sieci LAN(cisco)/WLAN(buffalo)

    Problem
    Problem polega na tym, że:
    - Sieć w biurze (komputery, pal licho-drukarki) powinny mieć dostęp do internetu
    - Serwer płatności powinien mieć dostęp do internetu (ściąganie) i mieć otwarty, przekierowany port HTTPS 443
    - Nasze komputery, drukarki i serwer dyskowy powinny pracować w jednej sieci, mieć dostęp do siebie nawzajem
    - Serwer-bramka płatności powinien być KOMPLETNIE odizolowany. Także nikt z sieci firmowej (dwa punkty wyżej) nie powinien mieć szansy spingować go, wejść na niego przez https (wpisujac w url np. http://192.168.1.123),, z tego serwera (serwera płatności) nie powinno być szansy też spingować jakiegokolwiek komputera w sieci firmowej
    - j.w. chodzi mi o kompletne odizolowanie sieci, router MIKROTIK ma duże możliwośći, brak mi wiedzy żeby to skonfigurować, ale chciałbym, żeby sieć w biurze nie miała dostępu do serwera-płatności, i vice-versa.

    Prosze o pomoc
    Naprawdę BARDZO docenię każdą pomoc, kompletnie nie wiem jak to ugryźć.
    Ostatnim razem zrobiłem VLAN ale i to tak nie rozwiązywało problemu, aż szkoda mówić.

    Wierzę że są tu ludzie co potrafią wymyśleć schemat takiej sieci z zamkniętymi oczyma i pomogą mi to skonfigurować. Mam nadzieję że ten post i ewentualne odpowiedzi poslużą także jako pomoc dla innych.

    Proszę pamiętać że o ile mam całkiem dobre pojęcie o komputerach to temat sieci na tym poziomie to dla mnie Star Trek :)

    Załącznik
    Zrobiłem sam tą sieć póki nie zobaczyłem tego załącznika. Jest to "narzędzie" (ENG) które pomaga określić które urządzenia są w zasięgu skanowania. Cały właśnie problem polega na tym, aby nasza sieć firmowa nie była w "zasięgu" skanowania, a jedynie serwer-bramka płatności także głowny cel to jak najbardziej odizolować tę sieć.

    Żadne zwykłe biuro nie przejdzie tego skanowania, także stąd mój post, żeby kompletnie oddzielić sieć i przejść to skanowanie.

    Wymogi PCI DSS są rygostyryczne jakbyście mieli sieć silosów atomowych, ale jak im się nie dziwię. Wymiana kart dla xxx.xxx ludzi kosztuje o wiele więcej niż zabezpieczenie się przed hakerami.

    Załącznik tak naprawdę dla ciekawskich którzą chcą zobaczyć skąd jest problem

    Jak zrobić subnet/VLAN i to skonfigurować? Proszę o pomoc/wskazówki. O ile umiem pisać aplikacje/strony to jak widzę termin typu "maska sieci" "subnet" "vlan" to zwyczajnie nie wiem co zrobić.

    0 8
  • #2 01 Kwi 2013 22:35
    wampirek
    Poziom 18  

    Hmm msle ze roblem jest do rozwiazania. ja by zamiast mikrotika zastosowal serwer na linuxie i min 3 karty sieciowe. Juz ci wyjasniam dlaczego1 karta to WAN cyli dojscie ze swiata. 2-ga karta to LAN1 - tu wpinasz te urzadzenia które musza miec poaczenie ze switem do 3karty wpinsz ten swoj wywlazek:) oba lany ustawiasz na inna grupe adresowa i na inne maski i po temacie

    Proszę używać polskich znaków i pisać czytelnie. Regulamin, punkt 3.1.13. [piterus99]

    0
  • #3 01 Kwi 2013 22:45
    piterus99
    Poziom 43  

    wampirek - jesteś pewien? Bo ja nie bardzo. Jak włączy maskaradę i NAT, spokojnie bez wpisów na firewallu osiągnie sieć docelową z poziomu "niby-to-odseparowanej" sieci i na odwrót.

    Nie wiem jak obecnie RBka masz skonfigurowanego, ale żadne VLANy i inne nie są tutaj potrzebne.
    Wydziel osobny port na POSa, zrób na nim osobną podsieć, z zewnątrz przekieruj tylko port 443. Ruch na reszcie portów dla i z tego gniazdka - drop (o ile nie wymaga tego terminal, podejrzewam, że nie).
    Następnie dropnięciu podlegają wszystkie połączenia z ether2-4 do ether5 i na odwrót - z ether5 do ether2-4 (założyłem, że ether5 to port dla PoS).

    Jak oczekujesz gotowych regułek, musisz pochwalić się konkretną konfiguracją (możesz wyczyścić IPki zewnętrzne).

    Który to MT z sześcioma portami? Nie kojarzę takiego...

    0
  • #4 01 Kwi 2013 23:01
    wampirek
    Poziom 18  

    pietrus99 na 100% nie jestem pewny ale mam podobnie rozwiazana siec u siebie jak pisalem czyl na eth1 ma wpietego AP do laptopów a na eth2 mam podpiete 2 kompy inne i sa one od siebie odseparowane całkowiecie z tego co widze. Sprawdze to jeszcze jutro. Ale skoro sieci maja inna grupe adresów i inne maski to z tego co wiem powinny byc odseparowane.

    0
  • #5 01 Kwi 2013 23:15
    uzeb
    Poziom 12  

    Ja na mikrotiku ustawiłbym jakiś VLAN podpiął do niego ten PCI DDS i ustawił default gateway bez trunka. Co prawda nie znam zasad działania PCI DDS ale najprościej wydaje mi się że szukałbym w tym kierunku. Co do 3 kart sieciowych hmmmm, jeśli będą w innej klasie adresowej to to powinno zadziałać bo co niby będzie rutować ruch między nimi ? To tak na szybko choć mogę się mylić.

    0
  • #6 01 Kwi 2013 23:32
    altruista
    Poziom 2  

    Po pierwsze - serdeczne dzięki za odpowiedź i chęć pomocy.

    Cytat:
    Który to MT z sześcioma portami? Nie kojarzę takiego...

    Ups, sorry, nasz ma 5 portów, oto on: http://linitx.com/product/12417 - kupiliśmy go właśnie tylko po to, aby odizolować sieć.

    piterus99 napisał:
    Jak włączy maskaradę i NAT, spokojnie bez wpisów na firewallu osiągnie sieć docelową z poziomu "niby-to-odseparowanej" sieci i na odwrót.

    Nie wiem jak obecnie RBka masz skonfigurowanego, ale żadne VLANy i inne nie są tutaj potrzebne.
    Wydziel osobny port na POSa, zrób na nim osobną podsieć, z zewnątrz przekieruj tylko port 443. Ruch na reszcie portów dla i z tego gniazdka - drop (o ile nie wymaga tego terminal, podejrzewam, że nie).
    Następnie dropnięciu podlegają wszystkie połączenia z ether2-4 do ether5 i na odwrót - z ether5 do ether2-4 (założyłem, że ether5 to port dla PoS).

    Jak oczekujesz gotowych regułek, musisz pochwalić się konkretną konfiguracją (możesz wyczyścić IPki zewnętrzne).


    Proszę wyjaśnij w słowach "dla laika" o co chodzi, (niekoniecznie kliknij tu-i-tu)

    To co zrobiłem to jest naprawdę kicha - zrobiłem metodą prób i błędów wszystko w sieci 192.168.1.0/24 + vlan dla serwera płatności 10.1.1.0, ale ten serwer może pingować sieć biurową, a my z kolei możemy odwiedzić ten serwer przez http://192.168.1.2 (to jest adres mikrotika) co kompletnie wszystko rujnuje, i jest nieprofesjonalne, także -

    Chciałbym się dowiedzieć jak aby się dowiedzieć jak to poprawnie zrobić, kompletnie od zera bo to co zrobiłem to się nie nadaje do niczego...

    W twojej odpowiedzi szczególnie nie rozumiem(nie wiem jak to zrobić):
    - Wydziel osobny port
    - zrób na nim osobną podsieć
    i :
    - Następnie dropnięciu podlegają wszystkie połączenia z ether2-4 do ether5 i na odwrót - z ether5 do ether2-4 (założyłem, że ether5 to port dla PoS).
    nie umiem do końca pisać regułek do firewalla.

    Jakbyś mógł mnie +/- pokierować jak to zrobić byłbym bardzo wdzięczny.

    0
  • #7 02 Kwi 2013 00:21
    piterus99
    Poziom 43  

    450G - porządne urządzenie. Twarde jest;)

    Wydziel port - chodziło mi po prostu o zorganizowanie fizycznego gniazdka w tym urządzeniu, do którego wpięty jest POS. Zapewne tak masz, chociaż możesz mieć gdzieś jeszcze jakiś switch.
    Zrób na nim osobną podsieć - znowu nie wiem jak masz to tam zorganizowane, w jakim stopniu korzystasz z defaultowej konfiguracji, ale chodzi o to, żeby ten port nie był ani w switchu ani w bridge'u. W bri to wiadomo, wchodzisz w bridge->ports i ma tam go nie być, w switchu to musisz sobie zerknąć na właściwości danego portu. I jak już to zrobisz, w IP->Address dodajesz adres z kolejnej podsieci, którą będziesz separować. Przyda się też kolejny serwer DHCP, który ustawisz w IP->DHCP-Server->DHCP Setup i cały ten tutorial przeklikasz. W razie potrzeby, trzeba skorygować wpisy w Firewall->NAT - maskarada i przekierowanie portu.
    I w tym momencie widzialności po drugiej warstwie już nie będziesz mieć między urządzeniami (druga warstwa - adresy MAC). Widzialność w trzeciej warstwie (czyli po adresach IP) nadal będzie. I to musisz sobie wyfiltrować poprzez Firewall. Nie bardzo mam ochotę i czas rozpisywać się jak działa firewall... Zrób najpierw to, co opisałem w tym poście, zakładam, że będziesz miał kilka pytań, więc może rozbijmy to na kilka wiadomości.

    PS. Zdaje sobie sprawę z tego, że nie tłumaczę za dobrze - kiepski ze mnie nauczyciel:)

    0
  • #8 02 Kwi 2013 00:28
    altruista
    Poziom 2  

    Cytat:
    w jakim stopniu korzystasz z defaultowej konfiguracji

    szczerze to wszystko default i moje "czary" także jutro będę robić od nowa :))

    Powiedz tylko jak możesz co to znaczy "zrobić osobną podsieć"?
    Rozumiem przez to zrobić adres na porcie na mikrotiku 192.168.1.xxx/24 czy 192.168.1.0/xxx gdzie xxx to... no właśnie słyszę dzwony, ale nie wiem w którym kościele. Chodzi o netmask? czyli x.x.x.x/YY ale właśnie nie wiem do końca co i jak :(

    Cytat:
    PS. Zdaje sobie sprawę z tego, że nie tłumaczę za dobrze - kiepski ze mnie nauczyciel:)

    Za to ze mnie dobry uczeń, a twoje rady są naprawde pomocne także dzięki :)

    0
  • #9 02 Kwi 2013 00:42
    piterus99
    Poziom 43  

    Defaultowa konfiguracja może nie jest taka zła, ale ja za nią nie przepadam, jednak stanowi pewną bazę dla Ciebie - wycina połączenia z zewnątrz, więc możesz sobie podpatrzeć jak to tam wygląda.
    Ok, zacznij od podstaw. RB450G to router. Router zajmuje się routowaniem, czyli przekazuje pakiety do odpowiednich miejsc (załóżmy, że fizycznych gniazdek ethernetowych) na podstawie adresu docelowego, który pasuje do maski podsieci.
    Maska podsieci określa tak jakby zakres adresów, który do niej należy, czyli np maska 24 bity (w notacji CIDR /24, w notacji dziesiętnej 255.255.255.0) określa zakres x.y.z.0 - x.y.z.255. Maski podsieci są dowolne, od /0 do /32.
    Najprościej jest właśnie /24 wydzielać, bo są najłatwiejsze do policzenia w pamięci i zapamiętania.
    Ważną kwestią jest to, że na różnych portach routera nie mogą być takie same podsieci lub nachodzące na siebie. Więc skoro masz w tym momencie podsieć 192.168.1.0/24, to sobie ją miej, ale nowa musi być inna, i to któryś z pierwszych trzech członów musi się różnić. A ponieważ korzystasz z adresów nieroutowalnych, ogranicza Cię zakres 192.168.0.0-192.168.255.255 i to z tego zakresu powinieneś wybrać podsieć (są jeszcze 10.0.0.0-10.255.255.255 i 172.16.0.0-172.31.255.255).

    Pokręciłem, wiem, ale pisze Ci to trochę na szybko...

    TL;DR - Masz adres 192.168.1.1/24 ustawiony na MT dla reszty portów, ustaw 192.168.30.1/24 dla portu przeznaczonego dla PoS i potem zrób też nowy serwer DHCP tak, jak pisałem w poprzednim poście.
    Nie wiem jak masz maskaradę, domyślna jest z out-interface=ether1, wtedy nie trzeba jej zmieniać - będzie Internet od razu.

    1
  Szukaj w 5mln produktów