Zabezpečení intranetové sítě
Dobrý den, chtěl bych se s Vámi poradit, jak nejlépe zabezpečit kabelovou síť v menší firmě.
Infrastruktura je v tuto chvíli taková, že je internet, pak router, ten je napojený do centrálního switche, z centrálního switche vedou tři kabely do dalších swichů, odkud už jsou pak kabely ke klietským PC. Z centrálního switche je i kabel do serveru.
Potřeboval bych udělat zabezpečení, aby se nikdo nemohl připojit do sítě (fyzicky to zajistit nejde). Zároveň mám ještě jednu skupinu počítačů, která je více důležitá a potřeboval bych jí udělat odděleně - aby se nemohl uživatel z ostatních počítačů dostat na počítač v této skupině i v případě, že by znal IP adresu stroje. Musí zůstat zachováno to, že obě skupiny počítačů mohou komunikovat se serverem.
Filtrování pomocí MAC adres jsem zamítl, protože to není moc dobrá bezpečnost - uživatel si může na svém NB změnit MAC adresu a pak počítač klidně připojit do sítě.
Zatím to mám udělané tak, že všichni jsou na jedné síti a mám pečlivě všechny sdílené složky zabezpečené, aby se do nich dostali jen ti co mají. Tohle by i vyhovovalo, ale může nastat situace, že někdo začně do sítě něco posílat a zahlcovat jí, posílat viry atd. Zároveň jsem vypnul přidělování MAC adres neznámým strojům, ale když si uživatel vyplní do svého NB adresu ručně, tak se stejně připojí.
V tuto chvíli mám k dispozici ještě jeden volný router, který by se mohl případně v síti využít.
Toto sa da celkom dobre spravit pomocou nastavenia VLAN. Je potrebne aby to switche ovladali.
Bez moznosti nastavenia VLAN na switchoch mas vpodstate tri moznosti.
1. kupit lepsie switche
2. spokojit sa so stavom aky mas teraz
3. fyzicky oddelit siete a do servera dat dve LAN karty, zvlast pre kazdu siet.
4. Dat mezi pracovni stanice a server firewall
5. Investovat do nejakeho draheho NAC reseni
Asi pořídím všechny switche s VLAN. Server má 2 síťové karty, ale zase by byl pak asi problém se službama jako je WINS, která nesnese více IP adres. Pak to nefunguje, jak by mělo.
Rozdělení sítě na 2 oddělené celky bychom měli, jak potom udělat to zabezpečení proti připojení neznámého PC do sítě? Nebo to zabezpečuje taky VLAN?
Googluj NAC
Pokud nechceš, aby se ti připojil do sítě někdo cizí, je nutné pořídit switche podporujicíc 802.1x ověřování a nastavit je proti nějakému radiusu. Pak se připojení dočkají jen počítače, které mají certifikát a znají přístupové údaje.
Co se týče skupiny VIP počítačů, nejlepším řešením by byla oddělená síť (VLAN) a mezi jednotlivými segmenty - normální počítače, VIP počátače a server postavit firewall a tím řídit přístup mezi segmenty.
Ja len doplnim, ze najlacnejsie riesenie su tie 2 sietovky a fyzicke oddelenie VIP siete od zvysku. Server potom zaroven sluzi ako fw a blokuje komunikaciu medzi vip a nonvip sietou.
Server neslouzi jako firewall, server nema s routovanim a predavanim paketu mit vubec nic spolecnyho. Proste jen bude obsluhovat dve oddelene site.
A ako chces oddelit tie siete od seba? Nepovolis routovanie alebo co? A co ked bude poziadavka sit z vip siete do nonvip?
Robil som niekolko takychto oddeleni sieti a vzdy som musel pouzit fw, aby to fungovalo tak ako si to oni predstavovali.
Ano, to tady taky vsichni tvrdi, ze spravnym resenim je oddelit to firewallem. Chce enterprise vlastnosti v siti, tak si do ni bude holt muset zainvestovat a doplnit ji o enterprise prvky, ktere tyto enterprise vlastnosti zvladaji. Routovat windowsim serverem? Ha, zapomen
, je to mozne.. ale..
V podstate tohle zvladne kazdy mikrotik nebo router s wrt, ale tam se holt bude zas muset zaplatit osoba, ktera to nastavi, SOHO segment, ktery to zlada je pak od 10 tisic nahoru. Switche (24 portu) s VLAN a 802.1x zacinaji nekde na peti tisicich (100/10 + 2xGb uplink). Jakekoli jine reseni bude bude jen chatrna obezlicka.
No je pravda, ze ja si pod pojmom server predstavujem vzdy linuxovy stroj, takze som vychadzal z tohoto predpokladu...
Díval jsem se, že oba switche, u kterých to je potřeba, už podpora VLAN a 802.1x autorizace je.
Radius jsem nastavil na Windows serveru, teď by mě čekalo nastavení switchů. Oba switche jsou Cisco, u jednoho ale chybí příkaz radius-server. Je tam ještě jiná možnost, jak to nastavit?
U Windowsu mi je jasné, že se počítač buď zautorizuje jako člen skupiny Domain Computers nebo vyskočí okno na přihlášení a tam zadám údaje pro přístup k síti.
Jak je to s autorizací 802.1x třeba u síťové tiskárny? Nebo jí nechat jen na nezabezpečeném portu?
Už jsem příkaz radius-server na obou switchích našel.
Konfiguraci Windows Serveru jsem udělal podle tohoto návodu:
http://www.fatofthelan.com/technical/using-windows -2008-for-radius-authentication/
Jenom jsem neinstaloval Routing a Remote Access Service, když se nepoužívají
Pak jsem zkusil nastavit jeden switch - Cisco Linksys
config
aaa authentication dot1x default radius
radius-server host 192.168.x.x
radius-server key Password
dot1x system-auth-control
interface ethernet e3
dot1x port-control auto
V tuto chvíli jsem nastavil Force-Unauthorized pro port s číslem 3. Když připojím počítač do switche přes tento port, tak se mě to na přihlašovací údaje vůbec nezeptá a do sítě se nepřipojí.
Co bych ještě musel nastavit, aby to fungovalo?
Doinstaloval jsem raději Routing a Remote Access Service a počítač jsem dokonfiguroval podle tohoto návodu:
http://www.windowsnetworking.com/articles_tutorial s/Setting-up-Wi-Fi-Authentication-Windows-Server-2 008-Part2.html
V NPS jsem vymazal všechny zásady pro nová připojení a vytvořil jsem novou, kde jsem dal jen do podmínek popisný název klienta a zadal jsem jeho hostname (LINKSYS).
Kromě toho jsem spustil na počítači službu Wired Auto Config, ale hned mě to nevyzvalo na zadání přihlašovacích údajů. Někdy jsem musel potvrdit i znovu nastavení, aby to začalo znovu ověřovat.
Ale pak když už se to zeptalo na přihlašovací údaje, tak to fungovalo.
Šlo by to ještě vylepšit, abych nemusel třeba ručně spouštět tu službu, a aby se to na přihlašovací údaje zeptalo hned při připojení do sítě?
To, že to nefungovalo na poprvé, bylo tím, že se mě to snažilo přihlásit pod mým účtem, který ale není v doméně. Když jsem odškrtnul Pokusit se přihlásit pod aktuálním účtem, tak se to ihned po připojení do sítě zeptalo na údaje a po zadání hned fungovalo.
Jen je potřeba spustit tu službu a trochu nastavit počítač, ale jelikož tady jsou všechny v doméně, takže by neměl být problém to nakonfigutovat přes zásady. Vím, že tam takové nastavení je pro WiFi, ale pro kabel to tam snad taky bude.