Jump to content

Защита корпоративных ресурсов внутри сети

Vitaliusss
 Share

Recommended Posts

Vitaliusss

Vitaliusss

Posted
Posted

В нашей организации встала задача дополнительной защиты корпоративных ресурсов внутри сети. Необходимо, чтобы часть серверов была изолирована от всех и сетевой доступ к ним был возможен только после прохождения аутентификации (в идеале использовать базу данных AD)
Какие варианты решения данной задачи возможны (желательно на opensource)? Вариант с 802.1х не подходит, т.к часть оборудования не поддерживает данный протокол. Есть вариант - устанавливать VPN канал для доступа к каждому серверу (группе серверов) - не очень интересный, придется плодить подсети и их может быть очень много.
DHCP не подходит, везде статика. Брандмауэр с аутентификацией? Что-то еще? Буду признателен за небольшой совет, если есть ссылки с удовольствием почитаю

sdy_moscow

sdy_moscow

Posted
Posted

Ну да, хороший вопрос, как ехать на автомобиле без бензина? К лошади привязать! Или крестик снимите (управляемое оборудование) или трусы оденьте (делите сеть на части). Главное помните, что защиту на оконечном оборудовании можно сломать, заменив оборудование зная какие VLAN в сети. Ну или смотрите на экзотику типа IPsec.

Ivan_83

Ivan_83

Posted
Posted
В 15.11.2022 в 15:40, Vitaliusss сказал:

В нашей организации встала задача дополнительной защиты корпоративных ресурсов внутри сети. Необходимо, чтобы часть серверов была изолирована от всех и сетевой доступ к ним был возможен только после прохождения аутентификации (в идеале использовать базу данных AD)

Если вы админ - наймите безопасника.

Если безопасник - наймите толкового админа.

 

В 15.11.2022 в 15:40, Vitaliusss сказал:

DHCP не подходит, везде статика.

Таки похоже вам нужен админ.

 

В 15.11.2022 в 15:40, Vitaliusss сказал:

Буду признателен за небольшой совет, если есть ссылки с удовольствием почитаю

Читайте, в инете полно Best practices.

jffulcrum

jffulcrum

Posted
Posted

В принципе, такое делается с помощью HA Proxy: Security | Authentication | Basic Authentication | HAProxy Enterprise 2.6r1 , особенно, если используются в основном веб-сервисы. С протоколами бизнес-аппликух сложнее, их надо или переводить на HTTPS, или делать что-то вроде Remote Desktop Gateway до терминального сервера, на котором будут доcтупны клиенты. 

 

Правильно же будет вывезти критический сегмент в датацентр и использовать VPN, заодно решается задача физической безопасности оборудования. А то видел я попытки спрятать серверную, просто повесив табличку "Щитовая"...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.