Перейти к содержимому
Калькуляторы

Организация безопасности в сети

В локальной сети - можно по разному понять. Вообще любой локальный трафик, в том числе в пределах сегмента (если это не влан на юзера)? Или трафик до каких-то сервисов в локальной сети?

на данный момент у меня vlan не per user, а per department :)

 

Или трафик до каких-то сервисов в локальной сети?

интересует трафик как до сервисов, хотя в малой степени ибо почти все они на linux, а там есть iptables + -j LOG. А так же трафик между вланами и в пределах одного влана.

 

Между вланами тут проблем нет, так как трафик все равно будет проходить через linux, а вот в пределах одного влана (подсети) уже не все так просто.

 

В пределах влан-а или что-то серьезное и дорогое, с поддержкой netflow, или приводить все в итоге к маршрутизации, даже для взаимодействия пользователей в пределах влан-а. Для этого тем или иным способом организовать изоляцию на L2 и локал-прокси-арп на svi интерфейсе маршрутизирующего оборудования. Опять же вопрос - потянет ли оно локальный трафик, на сколько он велик в пределах влан-а. Per departament - это корпоративная ЛВС? А нафига там разрешать трафик между юзерами? Ну кроме, возможно, подключенных к пользовательским станциям принтеров (лучше так не делать)? Сам сейчас варюсь в корпоративных делах, трафик между юзерами - зло с любой стороны, однозначное табу. И с вирями меньше холопот будет и вообще, порядка больше. Для обмена - файлопомойка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если запретить трафик между пользователями, что не всегда возможно (по крайней мере в бухгалтерии с ее долбанными клиентбанками), то как быть со skype?

 

Опять же вопрос - потянет ли оно локальный трафик, на сколько он велик в пределах влан-а

ради интереса понаблюдаю

 

Per departament - это корпоративная ЛВС?

да

 

А нафига там разрешать трафик между юзерами?

а как вы его предлагаете запретить в пределах одной подсети (vlan)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2TC, вы переоцениваете масштабы производительности своей сети.... У нас 50 разработчиков сидят на 100Мбит/с портах с общим home/samba на nfs на 1G и трафика честно скажу, там не очень-то... Если * 7 (пусть даже так, чего вряд-ли будет), то получите максимум 1x10GE на центральный узел маршрутизации, хотя я уверен, что у вас там и 4 x 1G не будет... Кроме того... Есть же Cisco 3550-12G, которая чудесно все это сможет отмаршрутизировать в 1U, включая unnumbered и еще NetFlow снимать, ... или TCPDUMP миррорить... В общем, вы бы сначала реальные графики нагрузки хотя бы привели, а то напугали всех топологией и теперь в позу "мне лень, это сложно" встали. Резюмирую: масштабы проблемы переоценены. Значительно.

Изменено пользователем dignity

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если запретить трафик между пользователями, что не всегда возможно (по крайней мере в бухгалтерии с ее долбанными клиентбанками), то как быть со skype?

 

 

skype? Уж если так все плохо с финансами - можно и свою телефонию поднять на каком-нибудь астериске с проксированием rtp в настройках. Тогда p2p между пользователями не нужен будет. А вообще удивлен.

 

а как вы его предлагаете запретить в пределах одной подсети (vlan)?

 

Если какой-то влан (в смысле пользователей) живет в пределах одного многопортового свича доступа - да хоть switchport protected. Если влан размазан по оборудованию - приват влан, vlan acl (VACL), port acl (PACL). Это если про изоляцию вообще.

Что бы конкретно локал-прокси-арп заработал, изоляция должна быть на L2 в том числе, что бы соседи по влан на арп ответить не могли.

 

2TC, вы переоцениваете масштабы производительности своей сети.... У нас 50 разработчиков сидят на 100Мбит/с портах с общим home/samba на nfs на 1G и трафика честно скажу, там не очень-то... Если * 7 (пусть даже так, чего вряд-ли будет), то получите максимум 1x10GE на центральный узел маршрутизации, хотя я уверен, что у вас там и 4 x 1G не будет... Кроме того... Есть же Cisco 3550-12G, которая чудесно все это сможет отмаршрутизировать в 1U, включая unnumbered и еще NetFlow снимать, ... или TCPDUMP миррорить... В общем, вы бы сначала реальные графики нагрузки хотя бы привели, а то напугали всех топологией и теперь в позу "мне лень, это сложно" встали. Резюмирую: масштабы проблемы переоценены. Значительно.

 

С каких пор c3550 умеет нетфлов? Его и 3560 и 3750 не умеют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С каких пор c3550 умеет нетфлов? Его и 3560 и 3750 не умеют.

 

Эм, может и прогнал касательно NF, но порт-миррор точно умеет)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Опять же вопрос - потянет ли оно локальный трафик, на сколько он велик в пределах влан-а

ради интереса понаблюдаю

 

Как извратный вариант и для тесту - можно нетфлов сенсор под винду поставить всем (или избранным тестовым жертвам) ndsad (от netUP). Встает как служба, требует винпкап, будет netflow данные вам на коллектор сбрасывать. Сможете на примере какого-нибудь отдела оценить и прикинуть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С каких пор c3550 умеет нетфлов? Его и 3560 и 3750 не умеют.

 

Эм, может и прогнал касательно NF, но порт-миррор точно умеет)

 

Да, умеет. В том числе RSPAN. Можно по специально выделенному влан-у гнать зеркальный трафик в транке до нужного свича. Только изначальная идея и хотелки бредовые, имхо. В корпоративной сети взаимодействие левое должно быть ограничено и вопрос - куда лазают стоять не должен. Туда - куда разрешено. А разрешено в серверные сегменты, принтерные и подобное. Внешний трафик учесть не проблема, трафик (уж если так хочется) к централизованным корпоративным вещам внутри лвс тоже можно учесть без извратов, хотя бы теми же нетфлов сенсорами на самих серверах. В конце концов, если интерес изначальный обусловлен какими-то инцидентами конкретными и переживаниями в духе как бы у нас кто чего не тогой - ну выделить в отдельные вланы критичных персонажей, зафайрволить их в точке L3-терминации. Или без выделения в персональный влан, теми же PACL или VACL прикрыть + механизмы защиты от спуфинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по хорошему вам сюда

http://www.endace.com/endace-high-speed-packet-capture-probes.html

 

Собственно столкнулся с проблемой. Начальство хочет в любой момент времени знать - кто, куда и зачем ходил, даже внутри локальной сети. Можно ли такое организовать? Псомотрел в сторону sflow, но по ходу он не обеспечит такой детальной статистики

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по хорошему вам сюда

http://www.endace.com/endace-high-speed-packet-capture-probes.html

 

Собственно столкнулся с проблемой. Начальство хочет в любой момент времени знать - кто, куда и зачем ходил, даже внутри локальной сети. Можно ли такое организовать? Псомотрел в сторону sflow, но по ходу он не обеспечит такой детальной статистики

 

По хорошему надо максимально сузить возможность для нелигитимных хождений, чем потом их пытаться отследить заради любопытства начальства.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В корпоративной сети взаимодействие левое должно быть ограничено и вопрос - куда лазают стоять не должен. Туда - куда разрешено. А разрешено в серверные сегменты, принтерные и подобное

это все понятно, вот вы допустим в пределах бухгалтерии разрешили с компов А, B, С заходить на комп X на порт 3306. И у вас начальство спрашивает, а какой именно комп (А, B, С) заходил на X с 13:30 до 13:35 ;)

 

skype? Уж если так все плохо с финансами - можно и свою телефонию поднять на каком-нибудь астериске с проксированием rtp в настройках. Тогда p2p между пользователями не нужен будет. А вообще удивлен.

ага, и внешних клиентов то же на них перевести? Не вариант однозначно.

 

В общем, вы бы сначала реальные графики нагрузки хотя бы привели, а то напугали всех топологией и теперь в позу "мне лень, это сложно" встали.

как будут цифры - выложу

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ещё объяснять начальству, чтобы не страдало паранойей. У меня возникали предложения сделать такое, и чтобы узнавать всё что куда кто лазил сходу, и красивый интерфейс, и начальство само следило. Я показывал вывод tcpdump с одного коммутатора за пару минут, и wireshark, желание как-то сдувалось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

это все понятно, вот вы допустим в пределах бухгалтерии разрешили с компов А, B, С заходить на комп X на порт 3306. И у вас начальство спрашивает, а какой именно комп (А, B, С) заходил на X с 13:30 до 13:35 ;)

Включить логирование в винде, это пишется в лог безопасности.

Но лучше всего найти очень дорогую херню под эту хотелку, чтобы отбить глупое желание.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 на линуксе поднять netflowd (том же самом, что роутер или отдельном)

плохая идея. скорее всего, будет терять трафик.

 

' timestamp='1354762053' post='783094']

tcpdump гарантирует. Смотрите RFC по netflow.

плохая идея. скорее всего, будет терять трафик.

 

правильный ответ - ipt_netflow.

 

Если запретить трафик между пользователями, что не всегда возможно (по крайней мере в бухгалтерии с ее долбанными клиентбанками), то как быть со skype?

 

скайп должен быть запрещён корп. политикой.

да, и 802.1x у вас настроен?

 

Как извратный вариант и для тесту - можно нетфлов сенсор под винду поставить всем (или избранным тестовым жертвам) ndsad (от netUP). Встает как служба, требует винпкап, будет netflow данные вам на коллектор сбрасывать. Сможете на примере какого-нибудь отдела оценить и прикинуть.

 

продвинутые пользователи его деинсталлируют. чуть более продвинутые сгенерируют фейковый netflow.

 

это все понятно, вот вы допустим в пределах бухгалтерии разрешили с компов А, B, С заходить на комп X на порт 3306. И у вас начальство спрашивает, а какой именно комп (А, B, С) заходил на X с 13:30 до 13:35 ;)

для этого есть логи на X.

 

skype? Уж если так все плохо с финансами - можно и свою телефонию поднять на каком-нибудь астериске с проксированием rtp в настройках. Тогда p2p между пользователями не нужен будет. А вообще удивлен.

ага, и внешних клиентов то же на них перевести? Не вариант однозначно.

почему? сип-клиентов много, если даже работающие из браузера.

Изменено пользователем ^rage^

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

скайп должен быть запрещён корп. политикой. да, и 802.1x у вас настроен?

осталось заставить само руководство следовать этой корпоративной политике :)

 

идея имхо бредовая, классический случай "xy".

 

для справки: "xy" - это когда надо решить проблему "x", а "y" - это один из неочевидных, но известных человеку вариантов ее решения. Он приходит на форум, спрашивает, как сделать "y", а потом все удивляются, зачем это вообще надо делать, если проблема гораздо лучше и удобнее решается другими способами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

скайп должен быть запрещён корп. политикой. да, и 802.1x у вас настроен?

осталось заставить само руководство следовать этой корпоративной политике :)

 

Элементарно. Обычно, достаточно показать умение скайпа "просачиваться" через фаерволлы и "фичу" в виде одновременной доставки сообщения на несколько клиентов. Ну и добить недавней уязвимостью с восстановлением пароля.

 

У топикстартера 2 пути:

1)показать железку за много $$

2)костылить самому.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тут налицо логическая нестыковка: если бы руководству не было бы пофиг на "просачивание через файрволлы" и уязвимости с восстановлением пароля, то оно не ставило бы ТС таких дебильных задач.

 

ну а если ставит, то это говорит о его совершенной непонятливости в предмете обсуждения.

 

из чего выходит простейшее решение проблемы: развести руками и сказать "ну тут нужна гигажелезяка за стотыщ баксов". Руководство поймет и забудет о задаче через 3 дня.

 

так что во второй части сообщения я с тобой полностью согласен :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

почему? сип-клиентов много, если даже работающие из браузера.

думаю вы слышали правило - "клиент ВСЕГДА прав!". Так вот у нас это аксиома, и никто не будет навязыывать клиенту использовать какие-либо программы. Пендосы они такие, знают скайп и фейсбук с твитером :D

 

Включить логирование в винде, это пишется в лог безопасности.

там можно настроить логирование на определенный порт?

 

продвинутые пользователи его деинсталлируют. чуть более продвинутые сгенерируют фейковый netflow.

ну не так то и просто будет, админа ни у кого из пользователей нет. Ну кроме одной машины с кривым клиент-банком

 

да, и 802.1x у вас настроен?

нет, но рассматриваю возможность внедрения

 

Элементарно. Обычно, достаточно показать умение скайпа "просачиваться" через фаерволлы и "фичу" в виде одновременной доставки сообщения на несколько клиентов. Ну и добить недавней уязвимостью с восстановлением пароля.

покажите мне программу, которую используют десятки миллионов людей без уязвимостей (да еще и на windows) :D. Так что тут палка о двух концах имхо ;)

 

Я показывал вывод tcpdump с одного коммутатора за пару минут, и wireshark, желание как-то сдувалось.

ну совсем не аргумент. А когда они спрашивают, кто и на какие сайты лазил, вы им показываете логи squid в реальном времени? :)

 

из чего выходит простейшее решение проблемы: развести руками и сказать "ну тут нужна гигажелезяка за стотыщ баксов". Руководство поймет и забудет о задаче через 3 дня.

вот не факт, что забудет. Может и купить, но тогда и спрос будет соотв-щий (уже были преценденты)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я бы предложил закрыть тему... вопрос себя исчерпал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я бы предложил закрыть тему... вопрос себя исчерпал.

пока не стоит, на след неделе постараюсь предоставить цифры по объему трафика на роутере

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Информационная безопасность на 60% состоит из административной части. Без этого 40% на технических решениях безполезны.

Правда и 60% без 40% техники не работают, но это точно не ваш случай.

 

Поэтому, если вас, или руководство, действительно волнует информационная безопасность, начинайте с процедур и с оценки рисков.

Если хочется попробовать какую-то прикольную технологию - делайте, что понравилось. Реальной пользы от этого будет немного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В корпоративной сети взаимодействие левое должно быть ограничено и вопрос - куда лазают стоять не должен. Туда - куда разрешено. А разрешено в серверные сегменты, принтерные и подобное

это все понятно, вот вы допустим в пределах бухгалтерии разрешили с компов А, B, С заходить на комп X на порт 3306. И у вас начальство спрашивает, а какой именно комп (А, B, С) заходил на X с 13:30 до 13:35 ;)

 

skype? Уж если так все плохо с финансами - можно и свою телефонию поднять на каком-нибудь астериске с проксированием rtp в настройках. Тогда p2p между пользователями не нужен будет. А вообще удивлен.

ага, и внешних клиентов то же на них перевести? Не вариант однозначно.

 

В общем, вы бы сначала реальные графики нагрузки хотя бы привели, а то напугали всех топологией и теперь в позу "мне лень, это сложно" встали.

как будут цифры - выложу

 

Или я дурак или лыжи не едут. А как связана проблема общения внутри влан-а с внешними клиентами, пользующимися скайпом? Если все правильно делать - ровно никак. Тот же астериск со скайпом дружить давно стал. В нормальных конторах (которые реально о безопасности пекутся) со скайпом и подобными вещами борются вообще-то.

На счет - разрешил в пределах бухгалтетрии, так это опять же вопрос дизайна, централизации сервисов и прочее. Если уж совсем никак это изжить на 100% - ndsad + родной журнал сервиса. Если это накладно, потому что массовое явление - опять же вопросы к дизайну.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Или я дурак или лыжи не едут. А как связана проблема общения внутри влан-а с внешними клиентами, пользующимися скайпом?

это две разных проблемы, не знаю почему вы их свели воедино ;)

 

Тот же астериск со скайпом дружить давно стал. В нормальных конторах (которые реально о безопасности пекутся) со скайпом и подобными вещами борются вообще-то.

оно уже научилось и по чату общаться? Про голос я знаю, но важен момент и с чатом.

 

Если уж совсем никак это изжить на 100%

к сожалению никак. Я хз кто разрабатывал все эти клиент банки, БЕСЗВIТ и т.п. фигню, но за такое надо руки просто отбивать

Изменено пользователем ALex_hha

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.