Vitaliusss Posted November 15, 2022 В нашей организации встала задача дополнительной защиты корпоративных ресурсов внутри сети. Необходимо, чтобы часть серверов была изолирована от всех и сетевой доступ к ним был возможен только после прохождения аутентификации (в идеале использовать базу данных AD) Какие варианты решения данной задачи возможны (желательно на opensource)? Вариант с 802.1х не подходит, т.к часть оборудования не поддерживает данный протокол. Есть вариант - устанавливать VPN канал для доступа к каждому серверу (группе серверов) - не очень интересный, придется плодить подсети и их может быть очень много. DHCP не подходит, везде статика. Брандмауэр с аутентификацией? Что-то еще? Буду признателен за небольшой совет, если есть ссылки с удовольствием почитаю Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted November 15, 2022 Ну да, хороший вопрос, как ехать на автомобиле без бензина? К лошади привязать! Или крестик снимите (управляемое оборудование) или трусы оденьте (делите сеть на части). Главное помните, что защиту на оконечном оборудовании можно сломать, заменив оборудование зная какие VLAN в сети. Ну или смотрите на экзотику типа IPsec. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted November 15, 2022 В 15.11.2022 в 15:40, Vitaliusss сказал: В нашей организации встала задача дополнительной защиты корпоративных ресурсов внутри сети. Необходимо, чтобы часть серверов была изолирована от всех и сетевой доступ к ним был возможен только после прохождения аутентификации (в идеале использовать базу данных AD) Если вы админ - наймите безопасника. Если безопасник - наймите толкового админа. В 15.11.2022 в 15:40, Vitaliusss сказал: DHCP не подходит, везде статика. Таки похоже вам нужен админ. В 15.11.2022 в 15:40, Vitaliusss сказал: Буду признателен за небольшой совет, если есть ссылки с удовольствием почитаю Читайте, в инете полно Best practices. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted November 15, 2022 В принципе, такое делается с помощью HA Proxy: Security | Authentication | Basic Authentication | HAProxy Enterprise 2.6r1 , особенно, если используются в основном веб-сервисы. С протоколами бизнес-аппликух сложнее, их надо или переводить на HTTPS, или делать что-то вроде Remote Desktop Gateway до терминального сервера, на котором будут доcтупны клиенты. Правильно же будет вывезти критический сегмент в датацентр и использовать VPN, заодно решается задача физической безопасности оборудования. А то видел я попытки спрятать серверную, просто повесив табличку "Щитовая"... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
