Ahoj,
Najde se někdo kdo v praxi provozuje nějaké zabezpečení sítě. Máme budovu kde v 1 patře je serverovna s našimi servery + Mikrotik router, ale sídlíme v 5 patře. Po cestě je několik switchu a tak bych chtěl nasadit nějaké zabezpečení šifrování dat, aby když se někdo napíchne na rozvod aby nemohl odposlouchávat provoz. Co by jste použili ?
SBS Windows 2008
+ hromada Linuxu
+ Mikrotik router
- Switch HP
- Stanice + Tiskárny + 3x Apple...
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Zabezpečení místní sítě (LAN)
Zabezpečení místní sítě (LAN)
Naposledy upravil(a) Warcz dne 20 Dec 2011 09:54, celkem upraveno 1 x.
0 x
VPN. Ale s tiskárnama máš problém ...
Pokud nemáš ty switche pod kontrolou, tak si nepomůžeš ani VLANou.
Pokud nemáš ty switche pod kontrolou, tak si nepomůžeš ani VLANou.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
VPN je pro mě blbe 
( Tu mam ( ve VLAN to je ale nepomuže to .o( Ten RADIUS nepomuže ?
( Tu mam ( ve VLAN to je ale nepomuže to .o( Ten RADIUS nepomuže ?
0 x
-
czatlantis
- Příspěvky: 316
- Registrován: 18 years ago
Natáhnout kolem stávajícího rozvodu svoje UTPčko by nešlo? bylo by to asi nejjednodušší a nejelegantnější řešení
0 x
radius je pokud vím Autentifikace. Nikoliv šifrování.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Aha omlouvam se (
Bohužel nešlo( Už tak bojuji s tím abych si dotáhl k serveru vlastní linku. Myslel jsem, že existují nějaké šifrovací algoritmy, že se nahraje certifikát do PC.
Co je třeba 802.11x ?
(Bohužel nešlo
( Už tak bojuji s tím abych si dotáhl k serveru vlastní linku. Myslel jsem, že existují nějaké šifrovací algoritmy, že se nahraje certifikát do PC. Co je třeba 802.11x ?
0 x
No, pokud nemůžeš dát vlastní rozumnou kabeláž, tak je to trošku horší.
Podstatná otázka je, zda chceš zabezpečovat jen ten propoj mezi 1. a 5. patrem nebo i koncové rozvody po 5. patře?
Pokud jen propoj, tak 2x (nebo 4x) VPN krabice, co to bude šifrovat mezi tím rackem se servery (předpokládám, že ten máš lokálně patřičně zabezpečen proti vniknutí cizích) a switchem nahoře v 5. patře (který je také plně pod tvojí kontrolou v prostoru nedostupném cizím, stejně jako celý rozvod po 5. patře). Pak tam by blyo i místo pro to 802.1x, která jen zajištujě ověření koncového počítače, zda ho má switch pustit do sítě nebo ne (a obvykle k tomu se obrací na radius server, který vlastní proces ověření provede a switch jen dle výsledné informace příslušný port otevře pro komunikaci, případně připojí na určenou VLANu).
Pokud nemáš pod kontrolou to 5. patro a chceš šifrovat až po konečný počítač, tak se dá toho docílit, nicméně to vede k méně pohodlnému používání lokální sítě, protože v tvé konfiuguraci bude chápána jao veřejná. Když máš server na bázi W2K., tak se podívej, co je to Microsoft NAP. V tvém případě včetně DirectAccess. Použiješ konfiguraci, kde bezpečný intreanet bude jen to v tom racku, ten bude přes router připojen do toho 5. patra a politika bude taková, že vše musí být v komunikaci šifrováno pomocí IPsec. Existují klienti pro Win XPSP3/Vista/7. Další strany dodávají i pro MacOS a Linux. Slušné tiskárny pro firemní nasazení to podporují, včetně IPsecu šifrování.
Nicméně prvotním krokem je, že management musí spočítat, co stojí ty chráněné informace a jak si cení jejich vyzrazení, ať máš měřítko pro to, co tě bude stát takovéto zabezpečenía zda za tu cenu a způsobené komplikace v používání to bude chtít používat a mít vůli prosadit to, aby to lidi používali a chovali se jak mají, jinak ti to celé naboří.
Podstatná otázka je, zda chceš zabezpečovat jen ten propoj mezi 1. a 5. patrem nebo i koncové rozvody po 5. patře?
Pokud jen propoj, tak 2x (nebo 4x) VPN krabice, co to bude šifrovat mezi tím rackem se servery (předpokládám, že ten máš lokálně patřičně zabezpečen proti vniknutí cizích) a switchem nahoře v 5. patře (který je také plně pod tvojí kontrolou v prostoru nedostupném cizím, stejně jako celý rozvod po 5. patře). Pak tam by blyo i místo pro to 802.1x, která jen zajištujě ověření koncového počítače, zda ho má switch pustit do sítě nebo ne (a obvykle k tomu se obrací na radius server, který vlastní proces ověření provede a switch jen dle výsledné informace příslušný port otevře pro komunikaci, případně připojí na určenou VLANu).
Pokud nemáš pod kontrolou to 5. patro a chceš šifrovat až po konečný počítač, tak se dá toho docílit, nicméně to vede k méně pohodlnému používání lokální sítě, protože v tvé konfiuguraci bude chápána jao veřejná. Když máš server na bázi W2K., tak se podívej, co je to Microsoft NAP. V tvém případě včetně DirectAccess. Použiješ konfiguraci, kde bezpečný intreanet bude jen to v tom racku, ten bude přes router připojen do toho 5. patra a politika bude taková, že vše musí být v komunikaci šifrováno pomocí IPsec. Existují klienti pro Win XPSP3/Vista/7. Další strany dodávají i pro MacOS a Linux. Slušné tiskárny pro firemní nasazení to podporují, včetně IPsecu šifrování.
Nicméně prvotním krokem je, že management musí spočítat, co stojí ty chráněné informace a jak si cení jejich vyzrazení, ať máš měřítko pro to, co tě bude stát takovéto zabezpečenía zda za tu cenu a způsobené komplikace v používání to bude chtít používat a mít vůli prosadit to, aby to lidi používali a chovali se jak mají, jinak ti to celé naboří.
0 x
proč do serverovny nedáš nějaký RBčko, do 5 parta taky a nenapícháš si do toho servery/pcčka a nepošleš to přes stávající síť v ipsecu mezi RBčky? Některý RBčka maji akceleraci IPsecu takže nebudou ani moc trpět.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
Oki zeptám se ještě jinak. Šlo by to udělat tak, aby kdo pracuje s citlivými daty mu byl na PC nastaven IPsec a nemusel se o to starat. Obecně VPN je fajn v podání mikrotiku. Spojeno to je ta 2 sekundy a nikdo o tom neví, ale v podání Windows to je opruz (
(
0 x
IPsec na IPv6 by mohlo být řešení.
Všechny tyhle řešení jsou tedy na dvě věci. Buď je to otravné, nebo k ničemu. Nebude jednodušší pracovat vzdáleně na terminálech toho SBS serveru?
Všechny tyhle řešení jsou tedy na dvě věci. Buď je to otravné, nebo k ničemu. Nebude jednodušší pracovat vzdáleně na terminálech toho SBS serveru?
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Nastuduj si Microsoft NAP, zvláště DirectAccess. Dělá to, co chceš. Ano, pomocí politik jde dosáhnout, že šifrovat má jen někdo. V podstatě je to VPN, ale skrytě před uživateli (ověření vázáno třeba na certifikát nahraném v systémovém certstore, lépe přímo v HW čipu v notebooku). V SBS serveru NAP zůstalo.
Stejně, pokud to neuděláš důkladně, tak ti ty informce budou utíkat někudy jinudy, když o ně bude zájem (třeba taková vylepšená multifunkční tiskárna, co vše, co tiskne/skenuje/kopíruje jako bonus posílá někam do Malajsie je úkaz až nepříjmeně častý).
Stejně, pokud to neuděláš důkladně, tak ti ty informce budou utíkat někudy jinudy, když o ně bude zájem (třeba taková vylepšená multifunkční tiskárna, co vše, co tiskne/skenuje/kopíruje jako bonus posílá někam do Malajsie je úkaz až nepříjmeně častý).
0 x
Rozumím. Díky za rady vím co hledat a začnu studovat. Ještě jestli správně chápu tak schema je
PC < --- šifrované ---- > Windows 2008 < ---- nešifrované ----> Router Mikrotik < ---- Nešifrované ----> Interent
Jde mi o to že teď dává DHCP, DNS Windows 2008, ale výchozí brána je na Mikrotik.
PC < --- šifrované ---- > Windows 2008 < ---- nešifrované ----> Router Mikrotik < ---- Nešifrované ----> Interent
Jde mi o to že teď dává DHCP, DNS Windows 2008, ale výchozí brána je na Mikrotik.
0 x
hapi píše:proč do serverovny nedáš nějaký RBčko, do 5 parta taky a nenapícháš si do toho servery/pcčka a nepošleš to přes stávající síť v ipsecu mezi RBčky? Některý RBčka maji akceleraci IPsecu takže nebudou ani moc trpět.
U tohodle řešení je otázka, jaký datový tok chce dosáhnout. Při daném zapojení by třeba při použití současně dostupné RB1100AH dosahoval tak toku 100-160 Mbps, což může být málo (RB1200 by na tom měla být podobně, ale s horší latencí). S RB1100AHx2 by to mělo být 4x lepší (RB1100 byla 2x rychlejší na šifrování než RB1100AH).
0 x
V servrovně RB1100 to by asi dala, ale volnou tady mam tak RB750. Asi to nebudu hrotit nepotřebuju aby to za provozu kleklo :-/
0 x