Jump to content
Калькуляторы

Организация безопасности в сети

В локальной сети - можно по разному понять. Вообще любой локальный трафик, в том числе в пределах сегмента (если это не влан на юзера)? Или трафик до каких-то сервисов в локальной сети?

на данный момент у меня vlan не per user, а per department :)

 

Или трафик до каких-то сервисов в локальной сети?

интересует трафик как до сервисов, хотя в малой степени ибо почти все они на linux, а там есть iptables + -j LOG. А так же трафик между вланами и в пределах одного влана.

 

Между вланами тут проблем нет, так как трафик все равно будет проходить через linux, а вот в пределах одного влана (подсети) уже не все так просто.

 

В пределах влан-а или что-то серьезное и дорогое, с поддержкой netflow, или приводить все в итоге к маршрутизации, даже для взаимодействия пользователей в пределах влан-а. Для этого тем или иным способом организовать изоляцию на L2 и локал-прокси-арп на svi интерфейсе маршрутизирующего оборудования. Опять же вопрос - потянет ли оно локальный трафик, на сколько он велик в пределах влан-а. Per departament - это корпоративная ЛВС? А нафига там разрешать трафик между юзерами? Ну кроме, возможно, подключенных к пользовательским станциям принтеров (лучше так не делать)? Сам сейчас варюсь в корпоративных делах, трафик между юзерами - зло с любой стороны, однозначное табу. И с вирями меньше холопот будет и вообще, порядка больше. Для обмена - файлопомойка.

Share this post


Link to post
Share on other sites

Если запретить трафик между пользователями, что не всегда возможно (по крайней мере в бухгалтерии с ее долбанными клиентбанками), то как быть со skype?

 

Опять же вопрос - потянет ли оно локальный трафик, на сколько он велик в пределах влан-а

ради интереса понаблюдаю

 

Per departament - это корпоративная ЛВС?

да

 

А нафига там разрешать трафик между юзерами?

а как вы его предлагаете запретить в пределах одной подсети (vlan)?

Share this post


Link to post
Share on other sites

2TC, вы переоцениваете масштабы производительности своей сети.... У нас 50 разработчиков сидят на 100Мбит/с портах с общим home/samba на nfs на 1G и трафика честно скажу, там не очень-то... Если * 7 (пусть даже так, чего вряд-ли будет), то получите максимум 1x10GE на центральный узел маршрутизации, хотя я уверен, что у вас там и 4 x 1G не будет... Кроме того... Есть же Cisco 3550-12G, которая чудесно все это сможет отмаршрутизировать в 1U, включая unnumbered и еще NetFlow снимать, ... или TCPDUMP миррорить... В общем, вы бы сначала реальные графики нагрузки хотя бы привели, а то напугали всех топологией и теперь в позу "мне лень, это сложно" встали. Резюмирую: масштабы проблемы переоценены. Значительно.

Edited by dignity

Share this post


Link to post
Share on other sites

Если запретить трафик между пользователями, что не всегда возможно (по крайней мере в бухгалтерии с ее долбанными клиентбанками), то как быть со skype?

 

 

skype? Уж если так все плохо с финансами - можно и свою телефонию поднять на каком-нибудь астериске с проксированием rtp в настройках. Тогда p2p между пользователями не нужен будет. А вообще удивлен.

 

а как вы его предлагаете запретить в пределах одной подсети (vlan)?

 

Если какой-то влан (в смысле пользователей) живет в пределах одного многопортового свича доступа - да хоть switchport protected. Если влан размазан по оборудованию - приват влан, vlan acl (VACL), port acl (PACL). Это если про изоляцию вообще.

Что бы конкретно локал-прокси-арп заработал, изоляция должна быть на L2 в том числе, что бы соседи по влан на арп ответить не могли.

 

2TC, вы переоцениваете масштабы производительности своей сети.... У нас 50 разработчиков сидят на 100Мбит/с портах с общим home/samba на nfs на 1G и трафика честно скажу, там не очень-то... Если * 7 (пусть даже так, чего вряд-ли будет), то получите максимум 1x10GE на центральный узел маршрутизации, хотя я уверен, что у вас там и 4 x 1G не будет... Кроме того... Есть же Cisco 3550-12G, которая чудесно все это сможет отмаршрутизировать в 1U, включая unnumbered и еще NetFlow снимать, ... или TCPDUMP миррорить... В общем, вы бы сначала реальные графики нагрузки хотя бы привели, а то напугали всех топологией и теперь в позу "мне лень, это сложно" встали. Резюмирую: масштабы проблемы переоценены. Значительно.

 

С каких пор c3550 умеет нетфлов? Его и 3560 и 3750 не умеют.

Share this post


Link to post
Share on other sites

С каких пор c3550 умеет нетфлов? Его и 3560 и 3750 не умеют.

 

Эм, может и прогнал касательно NF, но порт-миррор точно умеет)

Share this post


Link to post
Share on other sites

Опять же вопрос - потянет ли оно локальный трафик, на сколько он велик в пределах влан-а

ради интереса понаблюдаю

 

Как извратный вариант и для тесту - можно нетфлов сенсор под винду поставить всем (или избранным тестовым жертвам) ndsad (от netUP). Встает как служба, требует винпкап, будет netflow данные вам на коллектор сбрасывать. Сможете на примере какого-нибудь отдела оценить и прикинуть.

Share this post


Link to post
Share on other sites

С каких пор c3550 умеет нетфлов? Его и 3560 и 3750 не умеют.

 

Эм, может и прогнал касательно NF, но порт-миррор точно умеет)

 

Да, умеет. В том числе RSPAN. Можно по специально выделенному влан-у гнать зеркальный трафик в транке до нужного свича. Только изначальная идея и хотелки бредовые, имхо. В корпоративной сети взаимодействие левое должно быть ограничено и вопрос - куда лазают стоять не должен. Туда - куда разрешено. А разрешено в серверные сегменты, принтерные и подобное. Внешний трафик учесть не проблема, трафик (уж если так хочется) к централизованным корпоративным вещам внутри лвс тоже можно учесть без извратов, хотя бы теми же нетфлов сенсорами на самих серверах. В конце концов, если интерес изначальный обусловлен какими-то инцидентами конкретными и переживаниями в духе как бы у нас кто чего не тогой - ну выделить в отдельные вланы критичных персонажей, зафайрволить их в точке L3-терминации. Или без выделения в персональный влан, теми же PACL или VACL прикрыть + механизмы защиты от спуфинга.

Share this post


Link to post
Share on other sites

по хорошему вам сюда

http://www.endace.com/endace-high-speed-packet-capture-probes.html

 

Собственно столкнулся с проблемой. Начальство хочет в любой момент времени знать - кто, куда и зачем ходил, даже внутри локальной сети. Можно ли такое организовать? Псомотрел в сторону sflow, но по ходу он не обеспечит такой детальной статистики

Share this post


Link to post
Share on other sites

по хорошему вам сюда

http://www.endace.com/endace-high-speed-packet-capture-probes.html

 

Собственно столкнулся с проблемой. Начальство хочет в любой момент времени знать - кто, куда и зачем ходил, даже внутри локальной сети. Можно ли такое организовать? Псомотрел в сторону sflow, но по ходу он не обеспечит такой детальной статистики

 

По хорошему надо максимально сузить возможность для нелигитимных хождений, чем потом их пытаться отследить заради любопытства начальства.

Share this post


Link to post
Share on other sites

В корпоративной сети взаимодействие левое должно быть ограничено и вопрос - куда лазают стоять не должен. Туда - куда разрешено. А разрешено в серверные сегменты, принтерные и подобное

это все понятно, вот вы допустим в пределах бухгалтерии разрешили с компов А, B, С заходить на комп X на порт 3306. И у вас начальство спрашивает, а какой именно комп (А, B, С) заходил на X с 13:30 до 13:35 ;)

 

skype? Уж если так все плохо с финансами - можно и свою телефонию поднять на каком-нибудь астериске с проксированием rtp в настройках. Тогда p2p между пользователями не нужен будет. А вообще удивлен.

ага, и внешних клиентов то же на них перевести? Не вариант однозначно.

 

В общем, вы бы сначала реальные графики нагрузки хотя бы привели, а то напугали всех топологией и теперь в позу "мне лень, это сложно" встали.

как будут цифры - выложу

Share this post


Link to post
Share on other sites

Ещё объяснять начальству, чтобы не страдало паранойей. У меня возникали предложения сделать такое, и чтобы узнавать всё что куда кто лазил сходу, и красивый интерфейс, и начальство само следило. Я показывал вывод tcpdump с одного коммутатора за пару минут, и wireshark, желание как-то сдувалось.

Share this post


Link to post
Share on other sites

это все понятно, вот вы допустим в пределах бухгалтерии разрешили с компов А, B, С заходить на комп X на порт 3306. И у вас начальство спрашивает, а какой именно комп (А, B, С) заходил на X с 13:30 до 13:35 ;)

Включить логирование в винде, это пишется в лог безопасности.

Но лучше всего найти очень дорогую херню под эту хотелку, чтобы отбить глупое желание.

Share this post


Link to post
Share on other sites

2 на линуксе поднять netflowd (том же самом, что роутер или отдельном)

плохая идея. скорее всего, будет терять трафик.

 

' timestamp='1354762053' post='783094']

tcpdump гарантирует. Смотрите RFC по netflow.

плохая идея. скорее всего, будет терять трафик.

 

правильный ответ - ipt_netflow.

 

Если запретить трафик между пользователями, что не всегда возможно (по крайней мере в бухгалтерии с ее долбанными клиентбанками), то как быть со skype?

 

скайп должен быть запрещён корп. политикой.

да, и 802.1x у вас настроен?

 

Как извратный вариант и для тесту - можно нетфлов сенсор под винду поставить всем (или избранным тестовым жертвам) ndsad (от netUP). Встает как служба, требует винпкап, будет netflow данные вам на коллектор сбрасывать. Сможете на примере какого-нибудь отдела оценить и прикинуть.

 

продвинутые пользователи его деинсталлируют. чуть более продвинутые сгенерируют фейковый netflow.

 

это все понятно, вот вы допустим в пределах бухгалтерии разрешили с компов А, B, С заходить на комп X на порт 3306. И у вас начальство спрашивает, а какой именно комп (А, B, С) заходил на X с 13:30 до 13:35 ;)

для этого есть логи на X.

 

skype? Уж если так все плохо с финансами - можно и свою телефонию поднять на каком-нибудь астериске с проксированием rtp в настройках. Тогда p2p между пользователями не нужен будет. А вообще удивлен.

ага, и внешних клиентов то же на них перевести? Не вариант однозначно.

почему? сип-клиентов много, если даже работающие из браузера.

Edited by ^rage^

Share this post


Link to post
Share on other sites

скайп должен быть запрещён корп. политикой. да, и 802.1x у вас настроен?

осталось заставить само руководство следовать этой корпоративной политике :)

 

идея имхо бредовая, классический случай "xy".

 

для справки: "xy" - это когда надо решить проблему "x", а "y" - это один из неочевидных, но известных человеку вариантов ее решения. Он приходит на форум, спрашивает, как сделать "y", а потом все удивляются, зачем это вообще надо делать, если проблема гораздо лучше и удобнее решается другими способами.

Share this post


Link to post
Share on other sites

скайп должен быть запрещён корп. политикой. да, и 802.1x у вас настроен?

осталось заставить само руководство следовать этой корпоративной политике :)

 

Элементарно. Обычно, достаточно показать умение скайпа "просачиваться" через фаерволлы и "фичу" в виде одновременной доставки сообщения на несколько клиентов. Ну и добить недавней уязвимостью с восстановлением пароля.

 

У топикстартера 2 пути:

1)показать железку за много $$

2)костылить самому.

Share this post


Link to post
Share on other sites

тут налицо логическая нестыковка: если бы руководству не было бы пофиг на "просачивание через файрволлы" и уязвимости с восстановлением пароля, то оно не ставило бы ТС таких дебильных задач.

 

ну а если ставит, то это говорит о его совершенной непонятливости в предмете обсуждения.

 

из чего выходит простейшее решение проблемы: развести руками и сказать "ну тут нужна гигажелезяка за стотыщ баксов". Руководство поймет и забудет о задаче через 3 дня.

 

так что во второй части сообщения я с тобой полностью согласен :)

Share this post


Link to post
Share on other sites

почему? сип-клиентов много, если даже работающие из браузера.

думаю вы слышали правило - "клиент ВСЕГДА прав!". Так вот у нас это аксиома, и никто не будет навязыывать клиенту использовать какие-либо программы. Пендосы они такие, знают скайп и фейсбук с твитером :D

 

Включить логирование в винде, это пишется в лог безопасности.

там можно настроить логирование на определенный порт?

 

продвинутые пользователи его деинсталлируют. чуть более продвинутые сгенерируют фейковый netflow.

ну не так то и просто будет, админа ни у кого из пользователей нет. Ну кроме одной машины с кривым клиент-банком

 

да, и 802.1x у вас настроен?

нет, но рассматриваю возможность внедрения

 

Элементарно. Обычно, достаточно показать умение скайпа "просачиваться" через фаерволлы и "фичу" в виде одновременной доставки сообщения на несколько клиентов. Ну и добить недавней уязвимостью с восстановлением пароля.

покажите мне программу, которую используют десятки миллионов людей без уязвимостей (да еще и на windows) :D. Так что тут палка о двух концах имхо ;)

 

Я показывал вывод tcpdump с одного коммутатора за пару минут, и wireshark, желание как-то сдувалось.

ну совсем не аргумент. А когда они спрашивают, кто и на какие сайты лазил, вы им показываете логи squid в реальном времени? :)

 

из чего выходит простейшее решение проблемы: развести руками и сказать "ну тут нужна гигажелезяка за стотыщ баксов". Руководство поймет и забудет о задаче через 3 дня.

вот не факт, что забудет. Может и купить, но тогда и спрос будет соотв-щий (уже были преценденты)

Share this post


Link to post
Share on other sites

я бы предложил закрыть тему... вопрос себя исчерпал.

пока не стоит, на след неделе постараюсь предоставить цифры по объему трафика на роутере

Share this post


Link to post
Share on other sites

Информационная безопасность на 60% состоит из административной части. Без этого 40% на технических решениях безполезны.

Правда и 60% без 40% техники не работают, но это точно не ваш случай.

 

Поэтому, если вас, или руководство, действительно волнует информационная безопасность, начинайте с процедур и с оценки рисков.

Если хочется попробовать какую-то прикольную технологию - делайте, что понравилось. Реальной пользы от этого будет немного.

Share this post


Link to post
Share on other sites

В корпоративной сети взаимодействие левое должно быть ограничено и вопрос - куда лазают стоять не должен. Туда - куда разрешено. А разрешено в серверные сегменты, принтерные и подобное

это все понятно, вот вы допустим в пределах бухгалтерии разрешили с компов А, B, С заходить на комп X на порт 3306. И у вас начальство спрашивает, а какой именно комп (А, B, С) заходил на X с 13:30 до 13:35 ;)

 

skype? Уж если так все плохо с финансами - можно и свою телефонию поднять на каком-нибудь астериске с проксированием rtp в настройках. Тогда p2p между пользователями не нужен будет. А вообще удивлен.

ага, и внешних клиентов то же на них перевести? Не вариант однозначно.

 

В общем, вы бы сначала реальные графики нагрузки хотя бы привели, а то напугали всех топологией и теперь в позу "мне лень, это сложно" встали.

как будут цифры - выложу

 

Или я дурак или лыжи не едут. А как связана проблема общения внутри влан-а с внешними клиентами, пользующимися скайпом? Если все правильно делать - ровно никак. Тот же астериск со скайпом дружить давно стал. В нормальных конторах (которые реально о безопасности пекутся) со скайпом и подобными вещами борются вообще-то.

На счет - разрешил в пределах бухгалтетрии, так это опять же вопрос дизайна, централизации сервисов и прочее. Если уж совсем никак это изжить на 100% - ndsad + родной журнал сервиса. Если это накладно, потому что массовое явление - опять же вопросы к дизайну.

Share this post


Link to post
Share on other sites

Или я дурак или лыжи не едут. А как связана проблема общения внутри влан-а с внешними клиентами, пользующимися скайпом?

это две разных проблемы, не знаю почему вы их свели воедино ;)

 

Тот же астериск со скайпом дружить давно стал. В нормальных конторах (которые реально о безопасности пекутся) со скайпом и подобными вещами борются вообще-то.

оно уже научилось и по чату общаться? Про голос я знаю, но важен момент и с чатом.

 

Если уж совсем никак это изжить на 100%

к сожалению никак. Я хз кто разрабатывал все эти клиент банки, БЕСЗВIТ и т.п. фигню, но за такое надо руки просто отбивать

Edited by ALex_hha

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.