classic.ISPforum.cz

Ahoj,

Najde se někdo kdo v praxi provozuje nějaké zabezpečení sítě. Máme budovu kde v 1 patře je serverovna s našimi servery + Mikrotik router, ale sídlíme v 5 patře. Po cestě je několik switchu a tak bych chtěl nasadit nějaké zabezpečení šifrování dat, aby když se někdo napíchne na rozvod aby nemohl odposlouchávat provoz. Co by jste použili ?

SBS Windows 2008
+ hromada Linuxu
+ Mikrotik router
- Switch HP
- Stanice + Tiskárny + 3x Apple...

VPN. Ale s tiskárnama máš problém ...
Pokud nemáš ty switche pod kontrolou, tak si nepomůžeš ani VLANou.

VPN je pro mě blbe ( Tu mam ( ve VLAN to je ale nepomuže to .o( Ten RADIUS nepomuže ?

Natáhnout kolem stávajícího rozvodu svoje UTPčko by nešlo? bylo by to asi nejjednodušší a nejelegantnější řešení

radius je pokud vím Autentifikace. Nikoliv šifrování.

Aha omlouvam se (

Bohužel nešlo ( Už tak bojuji s tím abych si dotáhl k serveru vlastní linku. Myslel jsem, že existují nějaké šifrovací algoritmy, že se nahraje certifikát do PC.

Co je třeba 802.11x ?

No, pokud nemůžeš dát vlastní rozumnou kabeláž, tak je to trošku horší.
Podstatná otázka je, zda chceš zabezpečovat jen ten propoj mezi 1. a 5. patrem nebo i koncové rozvody po 5. patře?
Pokud jen propoj, tak 2x (nebo 4x) VPN krabice, co to bude šifrovat mezi tím rackem se servery (předpokládám, že ten máš lokálně patřičně zabezpečen proti vniknutí cizích) a switchem nahoře v 5. patře (který je také plně pod tvojí kontrolou v prostoru nedostupném cizím, stejně jako celý rozvod po 5. patře). Pak tam by blyo i místo pro to 802.1x, která jen zajištujě ověření koncového počítače, zda ho má switch pustit do sítě nebo ne (a obvykle k tomu se obrací na radius server, který vlastní proces ověření provede a switch jen dle výsledné informace příslušný port otevře pro komunikaci, případně připojí na určenou VLANu).

Pokud nemáš pod kontrolou to 5. patro a chceš šifrovat až po konečný počítač, tak se dá toho docílit, nicméně to vede k méně pohodlnému používání lokální sítě, protože v tvé konfiuguraci bude chápána jao veřejná. Když máš server na bázi W2K., tak se podívej, co je to Microsoft NAP. V tvém případě včetně DirectAccess. Použiješ konfiguraci, kde bezpečný intreanet bude jen to v tom racku, ten bude přes router připojen do toho 5. patra a politika bude taková, že vše musí být v komunikaci šifrováno pomocí IPsec. Existují klienti pro Win XPSP3/Vista/7. Další strany dodávají i pro MacOS a Linux. Slušné tiskárny pro firemní nasazení to podporují, včetně IPsecu šifrování.

Nicméně prvotním krokem je, že management musí spočítat, co stojí ty chráněné informace a jak si cení jejich vyzrazení, ať máš měřítko pro to, co tě bude stát takovéto zabezpečenía zda za tu cenu a způsobené komplikace v používání to bude chtít používat a mít vůli prosadit to, aby to lidi používali a chovali se jak mají, jinak ti to celé naboří.

proč do serverovny nedáš nějaký RBčko, do 5 parta taky a nenapícháš si do toho servery/pcčka a nepošleš to přes stávající síť v ipsecu mezi RBčky? Některý RBčka maji akceleraci IPsecu takže nebudou ani moc trpět.

Oki zeptám se ještě jinak. Šlo by to udělat tak, aby kdo pracuje s citlivými daty mu byl na PC nastaven IPsec a nemusel se o to starat. Obecně VPN je fajn v podání mikrotiku. Spojeno to je ta 2 sekundy a nikdo o tom neví, ale v podání Windows to je opruz (

IPsec na IPv6 by mohlo být řešení.

Všechny tyhle řešení jsou tedy na dvě věci. Buď je to otravné, nebo k ničemu. Nebude jednodušší pracovat vzdáleně na terminálech toho SBS serveru?

Nastuduj si Microsoft NAP, zvláště DirectAccess. Dělá to, co chceš. Ano, pomocí politik jde dosáhnout, že šifrovat má jen někdo. V podstatě je to VPN, ale skrytě před uživateli (ověření vázáno třeba na certifikát nahraném v systémovém certstore, lépe přímo v HW čipu v notebooku). V SBS serveru NAP zůstalo.
Stejně, pokud to neuděláš důkladně, tak ti ty informce budou utíkat někudy jinudy, když o ně bude zájem (třeba taková vylepšená multifunkční tiskárna, co vše, co tiskne/skenuje/kopíruje jako bonus posílá někam do Malajsie je úkaz až nepříjmeně častý).

Rozumím. Díky za rady vím co hledat a začnu studovat. Ještě jestli správně chápu tak schema je

PC < --- šifrované ---- > Windows 2008 < ---- nešifrované ----> Router Mikrotik < ---- Nešifrované ----> Interent

Jde mi o to že teď dává DHCP, DNS Windows 2008, ale výchozí brána je na Mikrotik.

hapi píše:proč do serverovny nedáš nějaký RBčko, do 5 parta taky a nenapícháš si do toho servery/pcčka a nepošleš to přes stávající síť v ipsecu mezi RBčky? Některý RBčka maji akceleraci IPsecu takže nebudou ani moc trpět.

U tohodle řešení je otázka, jaký datový tok chce dosáhnout. Při daném zapojení by třeba při použití současně dostupné RB1100AH dosahoval tak toku 100-160 Mbps, což může být málo (RB1200 by na tom měla být podobně, ale s horší latencí). S RB1100AHx2 by to mělo být 4x lepší (RB1100 byla 2x rychlejší na šifrování než RB1100AH).

V servrovně RB1100 to by asi dala, ale volnou tady mam tak RB750. Asi to nebudu hrotit nepotřebuju aby to za provozu kleklo :-/