как защитить внутреннюю сеть от интернета
 

Сеть в школе: 5 компьютеров, роутер, кабель. WinXP Profewssional sp3, Касперский интернет секьюрити 2012.
Директор, завуч, учительская, библиотекарь, врач обмениваются документами через внутреннюю сеть.
Все компьютеры выходят в интернет.
Как сделать, чтобы к документам, передаваемым по внутренней сетке (по адресам 192.168.0.100 -192.168.0.105) невозможно было добраться из интернета?
Может, службы какие-то отключить, еще какую-то защиту поставить?
Директор даже готов купить отдельные компьютеры для внутренней сети и соединить их через свич. А в интернет выходить через рлутер, как и раньше, то есть сделать две совершенно отджельные сети.
Может, есть более экономное предложение?
Я предложила просто посылать документы через SKYPE, используя режим отображения экрана - тогда эти документы можно будет напечатать прямо с экрана, но зато, тогда не будет возможности редактиролвать документ.
Что посоветуете?
Спасибо.

К ним и так невозможно добраться снаружи без дополнительных усилий, ибо RFC1918.
Вынести служебные ПК и сревера, если таковые есть, в отдельную от школоты подсеть(подсети) - здравая мысль.
Самое простое и дешёвое решение - приобрести и настроить маршрутизатор младшего бизнес-класса с развитым брандмауэром и настроить. Например, D-Link DFL-800. Можно также рассмотреть решения для маршрутизатора/брандмауэра на базе PC-железа при помощи ну скажем pfSense.

Надеюсь, это не очень сложно для учителя информатики, на настоящих специалистов у школы денег нет, так что придется все делать самой.
Спасибо

Вам никто не запрещает скачать дистрибутив и опробовать, скажем, в виртуальной машине, хоть сейчас. Мне он даже больше нравится чем аналогичные решения от D-Link, на мой взгляд у pfSense конфигурация проще и логичнее. В DFL-серии можно с непривычки и заблудиться, к тому же документации на него мало и она ненадлежащего качества.

Спасибо большое, очень ценные и полезные советы.
А как вы относитесь к скайпу? Это, конечно, совсем просто, но насколько он защищен, не знаю, аськи у нас ломали уже несколько раз.

Скайп, в первую очередь, средство общения, а не построения VPN. К тому же, он никак не защищает от атак. Для построения VPN есть специализированные решения, в т.ч. и бесплатные.

И лучшим таким решением, на Ваш взгляд, является pfSense?
Уже начала читать об этой программе, интресно, действтельно.

Действительно, по описанию не так это все и страшно.
Я так поняла, что на компьютере, где будет эта программа, доложны быть две сетевые карты, в одну вставляем провод от интернета, в другую - от роутера. В роутер втсавляем провода от других компьютеров.
В отличие от роутера, когда любой компьютер входил в интернет независимо от других, нужно будет, чтобы компьютер-маршрутизатор был постоянно включен.
Хоть это и не очень удобно, зато надежно.
Спасибо

Не могу утверждать так категорично. Это может оказаться более дешёвым решением, если у вас уже есть полусписанное оборудование - собсно ПК не особо большой мощности и две-три сетевухи.
Так уж точно выйдет дешевле, чем покупать коробочку. Но если под маршрутизатор на базе ПК покупать новое железо, разумеется, это выйдет дороже.
Или три сетевые карты - одна наверх, вторая - в служебную подсеть, третья - в студенческую.
Не понял смысл сентенции. Разумеется, маршрутизатор должен быть включен, что была сеть. Что в этом неудобного?

А, поняла, компьютер-маршрутизатор просто включен, как роутер, его не нужно специально включать и настраивать, тогда, действительно, нет проблем
Еще раз спасибо за дельный совет, уже прочитала руководство к этой программе, все понятно и, кажется, не очень сложно.
С уважением, uchiha/

Рекомендую вам не путать, что роутер это роутер, а свич это свич и никак иначе.
То есть (в очень простой форме) роутер это устройство принимающее одним портом интернет WAN, а раздает его на порты LAN. А свич другое устройство, которое используется для построение сетей.
А настраивать прокси все ровно придется если хотите защитить свою сеть максимально.

Ну я про что и говорю - pfSense это специальный дистрибутив, позволяющий сделать из ПК полноценный маршрутизатор и брандмауэр. Ничего более не требуется, ни ОС, ни дополнительного ПО, никаких лицензий. Просто рассматривайте его как ту же коробочку-рутер, просто побольше размером и пошумнее.

Ну, да, настройка производится, как и у роутера один раз, а дальше все работатет само собой.
Только насчет прокси, пожалуйста, поподробнее. там, в руководстве про это, вроде, не было.

Если вы насчёт pfSense, то там squid со squidGuard можно в два клика поставить.

Ну, да, насчет pfSense.
А где это прочитать, как именно в pfSense

Ух, спасибо! Именно то, что надо.
Попробую - компьютеров старых у нас полно, ничего не списывают, так что есть с чем работать.
Спасибо.
С уважением, uсhiha

Ну немножко дам напутствие, сетевухи по возможности ставьте туда Intel или 3Com 905. Сомнительно, конечно, что в школе завалялись приличные сетевухи, но чем чёрт не шутит.

Я было подумал, что это шутка..
Вот куда денежки улетают образовательные.
Купите маршрутизатор (да он видимо у вас уже стоит) и включите NAT.
Кому ваши документы нужны, очень интересно.

Он стоит и явно с натом, только видать совсем простой. Хотя виноват, надо бы вытребовать с ТС описание и схему сети, а уж потом рекомендации давать. :)

Нет, насчет "купить" это, конечно же, мечта, у нас достаточно старых (пентиум 1, 2), которые можно объединить в сеть.
А насчет того, кому эти документы нужны, не знаю, детки сейчас грамотные, а вдруг для прикола натворят чего-то через интернет, а потом придется всю школьную базу восстанавливать.
Почитала тут некоторые чаты - он не знает, где находится панель управления, а уже интересуется, как отформатировать жесткий диск на чужом компьютере - не слабо?
А за советы спасибо.

Да, у нас есть роутер с натом - Длинк100. Нормально работает.
Но бывают например, такие штуки - вдруг на все 4 компьютера администрации приходит сообщение по аське с аськи директора с приглашением зайти по указанной ссылке, все дисциплинированно жмут на ссылку, а там порно, при этом директор никаких сообщений, естественно, не отправляла, значит, очевидно, взломали ее аську.
И таких "приколов" у нас хватает.
Поэтому и возникло желание отделиться от интернета.

DIR-100 что-ли? Так это сугубо домашняя железка, держать сеть больше 4-х компов не предусмотрена.

Схему сети всё же приведите, а то вдруг что-то недопонято. Скажем, я говорил о разделении сети администрации и школоты - так она должна быть разделена не только маршрутизатором, но и коммутаторами. Либо VLAN'ы делать, если свитчи это умеют (сомневаюсь после упоминания DIR-100, что там такое железо), либо физически отдельные сети с отдельными свитчами.

Схема такова:
4 компьютера соединены через свич, свич соединен с роутером, в роутер вставлен провод от 5-го компьютера - все.
Идея с разделением была такой - все компьютеры администрации соединить через свич - это одна сетка.
Другая сетка, а которую входит учительская, кабинеты, библиотека (всем нужен интернет) - все компьютеры через свич, свич - в роутер.

Да, почему 5-й компьюте воткнули в роуте - в свиче не хватило дырочек, нужно было сделать дешево и быстро, о безопасности не думали, все хорошо работало, но сейчас появились опасения.

Какая другая? Сколько всего компов?

Другая - это пока в проекте, в принципе, те же пользователи (поставить у каждого второй компьютер), к ним можно добавить и еще несколько других, в зависимости от количества портов на новом свиче, а вот этот новый свич соединить с роутером DIR-100 или с более приличным, чтобы вся эта компания могла ходить в инет.
Первая сетка замкнута, не связана со второй.
Бред?

Ужасный.
Я вообще столбенею от идеи завести всем по второму компу. :)
Поменяйте свич на восьмипортовый, чтобы хватило "дырочек".
Роутер оставьте какой есть.
Если включен NAT, системы на компьютерах обновляются и не стоит никакое ПО удаленного администрирования, ну и антивирус приличный, то никакой ученик к вам не пролезет извне.
Грамотный товарищ может теоретически конечно зайти, но это будет дорого стоить. Кому оно надо.

Другое дело если у вас компьютерный класс и вы опасаетесь, что ушлая школота залезет к вам изнутри.

Собсно мои предложения и отталкивались от этого предположения. ;)

Для этого достаточно закупить ещё один маршрутизатор и вынести компьютеры учителей в отдельную подсеть, скрытую NATом этого маршрутизатора.

Ну или создать программный маршрутизатор/прокси-сервер - старый системник, три сетевые карты (сеть учителей, компьютерный класс, интернет) и Linux

А не легче купить один комп, поднять сервак с AD и дать школоте права юзера...
Для ограничение инета ISA или UserGate...
Ой да лан... Если у меня права админа на внутренем компе я те такое на ворочу )
И не дай бог в компе не отключен CD и usb-hdd.
Надо всего лишь поставить нормальные пароли.

Я не понимаю логики создания 2 подсетей...
Для меня вообще дикость что учитель информатики боится что его взломают школьники...
Выходит что не школьников учить надо а учителей.

У нас компьютерный класс, к счастью, отдельно, там своя сеть, свич, маршрутизатор, после уроков электричество вырубается, так что опасения со стороны этой сети нет.
Просто сейчас на компьютерах директора, завуча стоят специальные программы с базой данных по всем ученикам, учителям, родителям, Эти базы заполнялись в течение долгого времени; конечно, данные резервируются, но, к сожалению, бывало, (в лругих школах), когда эти компьютеры выходили из строя и все приходилось набирать заново.

Учитель не боится своих учеников, и пароли стоят нормальные, и права ограниченные у всех "юзеров", да и ученики пока не покушаются - и без них в интернете полно охотников навредить ближнему: за последние три года мою почту на рамблере 3 раза взламывали, периодически выскакивают порнографические картинки с предложением отправить куда-то деньги, чтобы от них избавиться и т.п.
Зачем, кому это нужно? Уж точно - не ученикам.
За все предложения спасибо,

Не обращайте внимания это не аську взломали, а прото спам разослали, поставьте фильтр и все.

Начинается. Сначала речь шла о защите от взлома извне.

Настройте обязательно ежедневное копирование базы на другой компьютер в сети.
Или хотя бы на другой физически HDD.
Программа Cobian backup поможет с резервным копированием по сети. Запакует, зашифрует, запаролит, будет делать последние n копий по желанию. В общем must have.

Эту схему взломать из вне нереально - с точки зрения безопасности, роутера вполне достаточно. Если к данной сетке будут подключены еще компы, то нужно установить сервер и выдать всем права доступа.

uchiha, во-первых ставить какие-то варианты шлюзов (аппаратных или программных) имеет смысл, в вашем случае, только если вы хотите ограничить трафик(квоты выставить, закрыть ненужные порты), ну или мониторить кто куда лазил, кто где порно баннеры наловил. Не думаю что ваша сеть кому-то интересна снаружи. Да компы все-равно за NATом D-Link'a. Конечно впоследствии при росте сети дешманская железка от D-linka перестанет тянуть, понадобится разделить студентов от преподавателей, VLANы, все дела. Вот тогда можно уже и думать что да как.
во-вторых, сильно боитесь за базу? Тогда делайте резервные копии. Как уже писали выше Cobian backup прекрасное бесплатное решение для дома. А ваша сеть она как раз "домашняя"
в-третьих, если это еще не сделано, ограничьте у пользователей права на компьютерах, переведите их учетные записи из админских в ограниченные(желательно и флешки запретить). Это значительно повысит безопасность. И от вирусов вреда меньше. Создать себе на всех компах админскую учетку, и если надо будет что-то установить то делать это самостоятельно. А то люди натаскают всего чего только можно.
в-четвертых, ссылки с аськи директора говорят только о том, что его аську взломали, в результате его же безалаберности, например простой пароль, или тыкание по таким же ссылкам от людей из его контакт листа. Советую провести ликбез по элементарным основам безопасной работы в сети. Порно-баннеры та же нечисть и причины их появления точно такие же.
в-пятых, заниматься всем этим делом должен не учитель информатики, а если уж и заниматься, то за отдельные деньги, а то сядут на шею, потом еще и домашние компы потащат.
Короче говоря, из всего обсуждения понятно что более менее внятный шлюз в данный момент не первоочередная задача и угрозы в данный момент надо ждать прежде всего изнутри, а именно от неграмотных юзеров.

Ну знаешь если я подрублю один комп к vpn серверу и из дома разнесу пол сети эт буит норм? А создать vpn можно и под гостем и не палится не одним антивирем...
Так же можно просто устроить ddos на d-link...
Да и не сказано есть ли управление роутером по wan или нет...
Я уж молчу про эксплойты на некоторых сайтах...
Я прям вижу банк с одним роутерам и не взламываемый...

А вообще Вам все верно говорят, ваша сеть не кому не нужна...

Это внутренняя диверсия. Нигде не сказано, что учителя и друг другу не доверяют.
Это дороговато будет во первых, а во вторых чего ты добъешься? Что они лишатся интернета на время? Да все и так испытывают такой "ddos" со стороны провайдера время от времени. :)
По умолчанию оно всегда неактивно, как и включен NAT по умолчанию.
Тут надо обновлять систему раз, во вторых самое страшное обычно от эксплоитов, компы учительские вольются в чей то ботнет.
Врядли сетевые хулиганы кинутся рушить ученическую black-base.

Severny,
Я абсолютно с Вами согласен.
Это я просто к тому что если захотеть что то взломать то как взломать всегда найдешь :)
Ну я про школоту.
Сам раньше многие компы на vpn сажал т.к дома сервак стоял :)
Особенно мозговой :laugh:
ну в старых cisco например root. Хоть и не ломал их но читал об этом достаточно :)

Атомный бред.

В вашем случае достаточно будет soho-роутера с возможностью подключения соотвествующего числа рабочих станций. Все остальное к сетевым технологиям имеет посредственное отношение.