![]() |
как защитить внутреннюю сеть от интернета
Сеть в школе: 5 компьютеров, роутер, кабель. WinXP Profewssional sp3, Касперский интернет секьюрити 2012.
Директор, завуч, учительская, библиотекарь, врач обмениваются документами через внутреннюю сеть. Все компьютеры выходят в интернет. Как сделать, чтобы к документам, передаваемым по внутренней сетке (по адресам 192.168.0.100 -192.168.0.105) невозможно было добраться из интернета? Может, службы какие-то отключить, еще какую-то защиту поставить? Директор даже готов купить отдельные компьютеры для внутренней сети и соединить их через свич. А в интернет выходить через рлутер, как и раньше, то есть сделать две совершенно отджельные сети. Может, есть более экономное предложение? Я предложила просто посылать документы через SKYPE, используя режим отображения экрана - тогда эти документы можно будет напечатать прямо с экрана, но зато, тогда не будет возможности редактиролвать документ. Что посоветуете? Спасибо. |
Цитата:
Цитата:
Цитата:
|
Цитата:
Спасибо |
Цитата:
|
Спасибо большое, очень ценные и полезные советы.
А как вы относитесь к скайпу? Это, конечно, совсем просто, но насколько он защищен, не знаю, аськи у нас ломали уже несколько раз. |
Скайп, в первую очередь, средство общения, а не построения VPN. К тому же, он никак не защищает от атак. Для построения VPN есть специализированные решения, в т.ч. и бесплатные.
|
И лучшим таким решением, на Ваш взгляд, является pfSense?
Уже начала читать об этой программе, интресно, действтельно. Действительно, по описанию не так это все и страшно. Я так поняла, что на компьютере, где будет эта программа, доложны быть две сетевые карты, в одну вставляем провод от интернета, в другую - от роутера. В роутер втсавляем провода от других компьютеров. В отличие от роутера, когда любой компьютер входил в интернет независимо от других, нужно будет, чтобы компьютер-маршрутизатор был постоянно включен. Хоть это и не очень удобно, зато надежно. Спасибо |
Цитата:
Так уж точно выйдет дешевле, чем покупать коробочку. Но если под маршрутизатор на базе ПК покупать новое железо, разумеется, это выйдет дороже. Цитата:
Цитата:
|
А, поняла, компьютер-маршрутизатор просто включен, как роутер, его не нужно специально включать и настраивать, тогда, действительно, нет проблем
Еще раз спасибо за дельный совет, уже прочитала руководство к этой программе, все понятно и, кажется, не очень сложно. С уважением, uchiha/ |
Цитата:
То есть (в очень простой форме) роутер это устройство принимающее одним портом интернет WAN, а раздает его на порты LAN. А свич другое устройство, которое используется для построение сетей. А настраивать прокси все ровно придется если хотите защитить свою сеть максимально. |
Ну я про что и говорю - pfSense это специальный дистрибутив, позволяющий сделать из ПК полноценный маршрутизатор и брандмауэр. Ничего более не требуется, ни ОС, ни дополнительного ПО, никаких лицензий. Просто рассматривайте его как ту же коробочку-рутер, просто побольше размером и пошумнее.
|
Ну, да, настройка производится, как и у роутера один раз, а дальше все работатет само собой.
Только насчет прокси, пожалуйста, поподробнее. там, в руководстве про это, вроде, не было. |
Цитата:
|
Ну, да, насчет pfSense.
А где это прочитать, как Цитата:
|
Цитата:
|
Ух, спасибо! Именно то, что надо.
Попробую - компьютеров старых у нас полно, ничего не списывают, так что есть с чем работать. Спасибо. С уважением, uсhiha |
Ну немножко дам напутствие, сетевухи по возможности ставьте туда Intel или 3Com 905. Сомнительно, конечно, что в школе завалялись приличные сетевухи, но чем чёрт не шутит.
|
Цитата:
Вот куда денежки улетают образовательные. Купите маршрутизатор (да он видимо у вас уже стоит) и включите NAT. Кому ваши документы нужны, очень интересно. |
Цитата:
|
Нет, насчет "купить" это, конечно же, мечта, у нас достаточно старых (пентиум 1, 2), которые можно объединить в сеть.
А насчет того, кому эти документы нужны, не знаю, детки сейчас грамотные, а вдруг для прикола натворят чего-то через интернет, а потом придется всю школьную базу восстанавливать. Почитала тут некоторые чаты - он не знает, где находится панель управления, а уже интересуется, как отформатировать жесткий диск на чужом компьютере - не слабо? А за советы спасибо. Да, у нас есть роутер с натом - Длинк100. Нормально работает. Но бывают например, такие штуки - вдруг на все 4 компьютера администрации приходит сообщение по аське с аськи директора с приглашением зайти по указанной ссылке, все дисциплинированно жмут на ссылку, а там порно, при этом директор никаких сообщений, естественно, не отправляла, значит, очевидно, взломали ее аську. И таких "приколов" у нас хватает. Поэтому и возникло желание отделиться от интернета. |
Цитата:
Схему сети всё же приведите, а то вдруг что-то недопонято. Скажем, я говорил о разделении сети администрации и школоты - так она должна быть разделена не только маршрутизатором, но и коммутаторами. Либо VLAN'ы делать, если свитчи это умеют (сомневаюсь после упоминания DIR-100, что там такое железо), либо физически отдельные сети с отдельными свитчами. |
Схема такова:
4 компьютера соединены через свич, свич соединен с роутером, в роутер вставлен провод от 5-го компьютера - все. Идея с разделением была такой - все компьютеры администрации соединить через свич - это одна сетка. Другая сетка, а которую входит учительская, кабинеты, библиотека (всем нужен интернет) - все компьютеры через свич, свич - в роутер. Да, почему 5-й компьюте воткнули в роуте - в свиче не хватило дырочек, нужно было сделать дешево и быстро, о безопасности не думали, все хорошо работало, но сейчас появились опасения. |
Цитата:
|
Другая - это пока в проекте, в принципе, те же пользователи (поставить у каждого второй компьютер), к ним можно добавить и еще несколько других, в зависимости от количества портов на новом свиче, а вот этот новый свич соединить с роутером DIR-100 или с более приличным, чтобы вся эта компания могла ходить в инет.
Первая сетка замкнута, не связана со второй. Бред? |
Цитата:
Я вообще столбенею от идеи завести всем по второму компу. :) Поменяйте свич на восьмипортовый, чтобы хватило "дырочек". Роутер оставьте какой есть. Если включен NAT, системы на компьютерах обновляются и не стоит никакое ПО удаленного администрирования, ну и антивирус приличный, то никакой ученик к вам не пролезет извне. Грамотный товарищ может теоретически конечно зайти, но это будет дорого стоить. Кому оно надо. Другое дело если у вас компьютерный класс и вы опасаетесь, что ушлая школота залезет к вам изнутри. |
Цитата:
|
Цитата:
Ну или создать программный маршрутизатор/прокси-сервер - старый системник, три сетевые карты (сеть учителей, компьютерный класс, интернет) и Linux |
А не легче купить один комп, поднять сервак с AD и дать школоте права юзера...
Для ограничение инета ISA или UserGate... Цитата:
И не дай бог в компе не отключен CD и usb-hdd. Цитата:
Я не понимаю логики создания 2 подсетей... Для меня вообще дикость что учитель информатики боится что его взломают школьники... Выходит что не школьников учить надо а учителей. |
У нас компьютерный класс, к счастью, отдельно, там своя сеть, свич, маршрутизатор, после уроков электричество вырубается, так что опасения со стороны этой сети нет.
Просто сейчас на компьютерах директора, завуча стоят специальные программы с базой данных по всем ученикам, учителям, родителям, Эти базы заполнялись в течение долгого времени; конечно, данные резервируются, но, к сожалению, бывало, (в лругих школах), когда эти компьютеры выходили из строя и все приходилось набирать заново. Учитель не боится своих учеников, и пароли стоят нормальные, и права ограниченные у всех "юзеров", да и ученики пока не покушаются - и без них в интернете полно охотников навредить ближнему: за последние три года мою почту на рамблере 3 раза взламывали, периодически выскакивают порнографические картинки с предложением отправить куда-то деньги, чтобы от них избавиться и т.п. Зачем, кому это нужно? Уж точно - не ученикам. За все предложения спасибо, |
Цитата:
|
Цитата:
Цитата:
Или хотя бы на другой физически HDD. Программа Cobian backup поможет с резервным копированием по сети. Запакует, зашифрует, запаролит, будет делать последние n копий по желанию. В общем must have. |
Цитата:
|
uchiha, во-первых ставить какие-то варианты шлюзов (аппаратных или программных) имеет смысл, в вашем случае, только если вы хотите ограничить трафик(квоты выставить, закрыть ненужные порты), ну или мониторить кто куда лазил, кто где порно баннеры наловил. Не думаю что ваша сеть кому-то интересна снаружи. Да компы все-равно за NATом D-Link'a. Конечно впоследствии при росте сети дешманская железка от D-linka перестанет тянуть, понадобится разделить студентов от преподавателей, VLANы, все дела. Вот тогда можно уже и думать что да как.
во-вторых, сильно боитесь за базу? Тогда делайте резервные копии. Как уже писали выше Cobian backup прекрасное бесплатное решение для дома. А ваша сеть она как раз "домашняя" в-третьих, если это еще не сделано, ограничьте у пользователей права на компьютерах, переведите их учетные записи из админских в ограниченные(желательно и флешки запретить). Это значительно повысит безопасность. И от вирусов вреда меньше. Создать себе на всех компах админскую учетку, и если надо будет что-то установить то делать это самостоятельно. А то люди натаскают всего чего только можно. в-четвертых, ссылки с аськи директора говорят только о том, что его аську взломали, в результате его же безалаберности, например простой пароль, или тыкание по таким же ссылкам от людей из его контакт листа. Советую провести ликбез по элементарным основам безопасной работы в сети. Порно-баннеры та же нечисть и причины их появления точно такие же. в-пятых, заниматься всем этим делом должен не учитель информатики, а если уж и заниматься, то за отдельные деньги, а то сядут на шею, потом еще и домашние компы потащат. Короче говоря, из всего обсуждения понятно что более менее внятный шлюз в данный момент не первоочередная задача и угрозы в данный момент надо ждать прежде всего изнутри, а именно от неграмотных юзеров. |
Цитата:
Так же можно просто устроить ddos на d-link... Да и не сказано есть ли управление роутером по wan или нет... Я уж молчу про эксплойты на некоторых сайтах... Цитата:
А вообще Вам все верно говорят, ваша сеть не кому не нужна... |
Цитата:
Цитата:
Цитата:
Цитата:
Врядли сетевые хулиганы кинутся рушить ученическую black-base. |
Severny,
Я абсолютно с Вами согласен. Это я просто к тому что если захотеть что то взломать то как взломать всегда найдешь :) Цитата:
Сам раньше многие компы на vpn сажал т.к дома сервак стоял :) Цитата:
Цитата:
|
Атомный бред.
В вашем случае достаточно будет soho-роутера с возможностью подключения соотвествующего числа рабочих станций. Все остальное к сетевым технологиям имеет посредственное отношение. |
Время: 01:00. |
Время: 01:00.
© OSzone.net 2001-