Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Обеспечение приватности и безопасности участка локальной сети

Requester

Автор Requester
в Сети и их администрирование

 Поделиться

Рекомендуемые сообщения

Requester

Requester

Опубликовано
Опубликовано

Здравствуйте. Сразу опишу суть проблемы. Есть локальная сеть организации, приблизительно из 20-25 компьютеров. Все они подключены к одному серверу, через который объединены и имеют доступ в интернет.

Задача заключается в том, чтобы обособить около 5 компьютеров в отдельную мини-сеть так, чтобы она могла пользоваться расшаренными файлами, папками и программами остальной части сети и выходом в интернет через основной сервер. При этом никакие данные(расшаренные папки, программы и т.п.) внутри этой мини-сети не должны быть доступны извне(ни из сети интернет, ни из остальной части локальной сети). Ко всему прочему необходимо максимально надежно защитить все эти 5 компьютеров от вирусов, троянов, хакерских атак и т.п., как со стороны пользователей сети 2(бывает-то всякое), так и со стороны внешних пользователей.

Отсюда возникает основной вопрос, что будет эффективнее - сделать такое разделение и защиту на программном уровне с основного сервера, либо же поставить аппаратный фаервол для этих 5 компьютеров и организовать для них отдельную сеть за этим фаерволом? Возможно, есть какие-то более эффективные способы?

P.S. Цена решения большой роли не играет. Хотелось бы услышать все "за" и "против" по каждому из возможных вариантов. Заранее спасибо.

Ссылка на комментарий
Поделиться на другие сайты
Requester

Requester

Опубликовано
  • Автор
Опубликовано

Andrey_al:

Правильно ли я понимаю, что если отделить эти компьютеры в отдельную VLAN, то в отношении безопасности для них не меняется ничего, кроме того, что расшаренные документы на этих компьютерах не будут видны из остальной части сети?

Ссылка на комментарий
Поделиться на другие сайты
Timba

Timba

Опубликовано
Опубликовано

Andrey_al:

Правильно ли я понимаю, что если отделить эти компьютеры в отдельную VLAN, то в отношении безопасности для них не меняется ничего, кроме того, что расшаренные документы на этих компьютерах не будут видны из остальной части сети?

Andrey_al совершенно правильно дал рекомендацию, если простым языком, то эти сети находящиееся в одном адресном пространстве разделены и из одного VLAN`a не увидишь, да и доступ не получишь к компьютерам другого VLAN`a для этого собственно и придумано все.

VLANы можно организовать по портам на сетевом оборудовании (это было изначально и классически), но сейчас на продвинутом дорогом сетевом оборудовании можно это делать и по пользователям и по рабочим станциям (правда это дороже и оборудование должно поддерживать такие фичи)

Ссылка на комментарий
Поделиться на другие сайты
Requester

Requester

Опубликовано
  • Автор
Опубликовано

Andrey_al совершенно правильно дал рекомендацию, если простым языком, то эти сети находящиееся в одном адресном пространстве разделены и из одного VLAN`a не увидишь, да и доступ не получишь к компьютерам другого VLAN`a для этого собственно и придумано все.

VLANы можно организовать по портам на сетевом оборудовании (это было изначально и классически), но сейчас на продвинутом дорогом сетевом оборудовании можно это делать и по пользователям и по рабочим станциям (правда это дороже и оборудование должно поддерживать такие фичи)

Суть в том, что эти 5 компьютеров должны видеть все расшаренные сервисы, папки и т.п. с других компьютеров сети, а те, в свою очередь, не должны видеть ничего с этих 5ти компьютеров. Насколько я понял по вашему описанию, если я выделяю их в отдельный VLAN, то ничего, кроме доступа в инет через центральный сервер, я не больше получить из сети не смогу?

Ссылка на комментарий
Поделиться на другие сайты
Requester

Requester

Опубликовано
  • Автор
Опубликовано

Пока что просто одноранговая сеть... Вскоре, насколько мне известно, будут что-то менять, но пока - ничего конкретного.

Ссылка на комментарий
Поделиться на другие сайты
Maikll

Maikll

Опубликовано
Опубликовано

Requester: тогда рекомендую поднять AD. Используя групповые политики можно гибко настраивать уровни доступа к компьютерам, все что вы написали выше вполне реализуемо.

Ко всему прочему необходимо максимально надежно защитить все эти 5 компьютеров от вирусов, троянов, хакерских атак и т.п., как со стороны пользователей сети 2(бывает-то всякое), так и со стороны внешних пользователей.

самое эффективное - предоставить пользователям минимальные права в системе. Как показывает практика случаи вирусного заражения и т.п. уменьшаются в десятки раз.

Ссылка на комментарий
Поделиться на другие сайты
Requester

Requester

Опубликовано
  • Автор
Опубликовано

самое эффективное - предоставить пользователям минимальные права в системе. Как показывает практика случаи вирусного заражения и т.п. уменьшаются в десятки раз.

Ну это уже и так сделано.

На самом деле проблема еще и в следующем. Я являюсь не системным администратором(еще одна проблема в том, что постоянного админа нету, а занимаются сетью те, кто умеет - в т.ч. и я) нашей сети, а одним из топ-менеджеров компании и нашему отделу требуется очень высокий уровень безопасности хранимой информации. Если в ближайшее время ситуация с постоянным сисадмином не решится, то доверяться настройкам центрального сервера, к которому доступ есть у нескольких человек, мне не очень бы хотелось. Отсюда и встает вопрос о том, чтобы создать отдельную локальную сеть для отдела не на программном, а на аппаратном уровне, и уже к ее настройкам доступ будет только у меня.

Ссылка на комментарий
Поделиться на другие сайты
Andrey_al

Andrey_al

Опубликовано
Опубликовано (изменено)
чтобы создать отдельную локальную сеть для отдела не на программном, а на аппаратном уровне

управляемый свитч с VLAN

Я являюсь не системным администратором

похоже еще и иностранцем

(еще одна проблема в том, что постоянного админа нету, а занимаются сетью те, кто умеет - в т.ч. и я)

это не еще одна, а первая и основная...

Если в ближайшее время ситуация с постоянным сисадмином не решится,

а вы попробуйте ему зарплату предложить :blink:

Изменено пользователем Andrey_al
Ссылка на комментарий
Поделиться на другие сайты
Timba

Timba

Опубликовано
Опубликовано

Ну без затрат на сетевое оборудование как предложил Maikll поднять Active Directory и рулить хоть на уровне доступа к папкам: хоть через GPO. Затрат не требует, ВиЛАНы тоже делать не надо, но.... ограничить доступ легко и просто, если не для хакеров! :blink:

Ссылка на комментарий
Поделиться на другие сайты
Requester

Requester

Опубликовано
  • Автор
Опубликовано

Я же говорю - основной фактор - надежность и защищенность от всего и вся. Деньги - не проблема. Компания зарабатывает достаточно, чтобы обеспечить максимально надежные условия хранения информации, просто вопрос в том, какими они должны быть и как их реализовать? Можно конечно заплатить специалистам, которые придут, расскажут, купят и установят все, что надо, но лишние затраты, если их можно избежать, тоже никому не нужны.

Ссылка на комментарий
Поделиться на другие сайты
Andrey_al

Andrey_al

Опубликовано
Опубликовано (изменено)
основной фактор - надежность и защищенность от всего и вся. Деньги - не проблема.

понты корявые

Компания зарабатывает достаточно, чтобы обеспечить максимально надежные условия хранения информации,

но, недостаточно, что бы нанять специалиста и оплачивать его услуги... отсюда:

постоянного админа нету, а занимаются сетью те, кто умеет - в т.ч. и я

:blink:

вопрос в том, какими они должны быть и как их реализовать?

нанять специалиста и не компостировать мозги ни себе ни другим, это же полный бред, когда менеджеры на форумах выясняют основы сетепостроения и обеспечения безопасности, вместо того, что бы заниматься своими прямыми обязанностями

Можно конечно заплатить специалистам

не можно, а нужно... другого пути нет

но лишние затраты, если их можно избежать, тоже никому не нужны

это не лишние затраты, а необходимость, и, нужно это, прежде всего, вашей фирме... и, беда, если вы этого не понимаете

Изменено пользователем Andrey_al
Ссылка на комментарий
Поделиться на другие сайты
Maikll

Maikll

Опубликовано
Опубликовано
Можно конечно заплатить специалистам

не можно, а нужно... другого пути нет

Однозначно.

Requester: без специалистов вам все-равно не обойтись. Нет таких решений, чтобы воткнул и все работает, нужна настройка под вашу конфигурацию, а сделать это своими силами...

Если ваша специальность далека от информационных технологий - ничего путного из этого не выйдет

Я же говорю - основной фактор - надежность и защищенность от всего и вся. Деньги - не проблема.

Ну блин, мои руки развязаны. :blink:

Как насчет аппаратно-программного комплекса "КОНТИНЕНТ-К"? стоит всего-то 7-8 тысяч позеленевших американских президентов...зато защита соответсвует требованиям гостехкомиссии ФАПСИ.

Вы пишете

отсюда и встает вопрос о том, чтобы создать отдельную локальную сеть для отдела не на программном, а на аппаратном уровне

а ваше было

...могла пользоваться расшаренными файлами, папками и программами остальной части сети и выходом в интернет через основной сервер

без настройки на стороне "остальной сети" не получится. А этого вы не хотите.

нашему отделу требуется очень высокий уровень безопасности хранимой информации.

используйте шифрование, программное или аппаратное.

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...