Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   как защитить внутреннюю сеть от интернета (http://forum.oszone.net/showthread.php?t=225939)

uchiha 22-01-2012 16:56 1841896

как защитить внутреннюю сеть от интернета
 
Сеть в школе: 5 компьютеров, роутер, кабель. WinXP Profewssional sp3, Касперский интернет секьюрити 2012.
Директор, завуч, учительская, библиотекарь, врач обмениваются документами через внутреннюю сеть.
Все компьютеры выходят в интернет.
Как сделать, чтобы к документам, передаваемым по внутренней сетке (по адресам 192.168.0.100 -192.168.0.105) невозможно было добраться из интернета?
Может, службы какие-то отключить, еще какую-то защиту поставить?
Директор даже готов купить отдельные компьютеры для внутренней сети и соединить их через свич. А в интернет выходить через рлутер, как и раньше, то есть сделать две совершенно отджельные сети.
Может, есть более экономное предложение?
Я предложила просто посылать документы через SKYPE, используя режим отображения экрана - тогда эти документы можно будет напечатать прямо с экрана, но зато, тогда не будет возможности редактиролвать документ.
Что посоветуете?
Спасибо.

vadblm 22-01-2012 17:18 1841911

Цитата:

Цитата uchiha
Как сделать, чтобы к документам, передаваемым по внутренней сетке (по адресам 192.168.0.100 -192.168.0.105) невозможно было добраться из интернета? »

К ним и так невозможно добраться снаружи без дополнительных усилий, ибо RFC1918.
Цитата:

Цитата uchiha
Директор даже готов купить отдельные компьютеры для внутренней сети и соединить их через свич. А в интернет выходить через рлутер, как и раньше, то есть сделать две совершенно отджельные сети. »

Вынести служебные ПК и сревера, если таковые есть, в отдельную от школоты подсеть(подсети) - здравая мысль.
Цитата:

Цитата uchiha
Что посоветуете? »

Самое простое и дешёвое решение - приобрести и настроить маршрутизатор младшего бизнес-класса с развитым брандмауэром и настроить. Например, D-Link DFL-800. Можно также рассмотреть решения для маршрутизатора/брандмауэра на базе PC-железа при помощи ну скажем pfSense.

uchiha 22-01-2012 17:25 1841914

Цитата:

Цитата vadblm
маршрутизатора/брандмауэра на базе PC при помощи ну скажем pfSense »

Надеюсь, это не очень сложно для учителя информатики, на настоящих специалистов у школы денег нет, так что придется все делать самой.
Спасибо

vadblm 22-01-2012 17:39 1841929

Цитата:

Цитата uchiha
Надеюсь, это не очень сложно для учителя информатики, на настоящих специалистов у школы денег нет, так что придется все делать самой. »

Вам никто не запрещает скачать дистрибутив и опробовать, скажем, в виртуальной машине, хоть сейчас. Мне он даже больше нравится чем аналогичные решения от D-Link, на мой взгляд у pfSense конфигурация проще и логичнее. В DFL-серии можно с непривычки и заблудиться, к тому же документации на него мало и она ненадлежащего качества.

uchiha 22-01-2012 17:52 1841946

Спасибо большое, очень ценные и полезные советы.
А как вы относитесь к скайпу? Это, конечно, совсем просто, но насколько он защищен, не знаю, аськи у нас ломали уже несколько раз.

vadblm 22-01-2012 17:58 1841949

Скайп, в первую очередь, средство общения, а не построения VPN. К тому же, он никак не защищает от атак. Для построения VPN есть специализированные решения, в т.ч. и бесплатные.

uchiha 22-01-2012 18:09 1841960

И лучшим таким решением, на Ваш взгляд, является pfSense?
Уже начала читать об этой программе, интресно, действтельно.

Действительно, по описанию не так это все и страшно.
Я так поняла, что на компьютере, где будет эта программа, доложны быть две сетевые карты, в одну вставляем провод от интернета, в другую - от роутера. В роутер втсавляем провода от других компьютеров.
В отличие от роутера, когда любой компьютер входил в интернет независимо от других, нужно будет, чтобы компьютер-маршрутизатор был постоянно включен.
Хоть это и не очень удобно, зато надежно.
Спасибо

vadblm 22-01-2012 19:04 1841998

Цитата:

Цитата uchiha
И лучшим таким решением, на Ваш взгляд, является pfSense? »

Не могу утверждать так категорично. Это может оказаться более дешёвым решением, если у вас уже есть полусписанное оборудование - собсно ПК не особо большой мощности и две-три сетевухи.
Так уж точно выйдет дешевле, чем покупать коробочку. Но если под маршрутизатор на базе ПК покупать новое железо, разумеется, это выйдет дороже.
Цитата:

Цитата uchiha
Я так поняла, что на компьютере, где будет эта программа, доложны быть две сетевые карты, в одну вставляем провод от интернета, в другую - от роутера. »

Или три сетевые карты - одна наверх, вторая - в служебную подсеть, третья - в студенческую.
Цитата:

Цитата uchiha
В отличие от роутера, когда любой компьютер входил в интернет независимо от других, нужно будет, чтобы компьютер-маршрутизатор был постоянно включен. »

Не понял смысл сентенции. Разумеется, маршрутизатор должен быть включен, что была сеть. Что в этом неудобного?

uchiha 22-01-2012 19:39 1842035

А, поняла, компьютер-маршрутизатор просто включен, как роутер, его не нужно специально включать и настраивать, тогда, действительно, нет проблем
Еще раз спасибо за дельный совет, уже прочитала руководство к этой программе, все понятно и, кажется, не очень сложно.
С уважением, uchiha/

vicas 22-01-2012 19:42 1842040

Цитата:

Цитата uchiha
Я так поняла, что на компьютере, где будет эта программа, доложны быть две сетевые карты, в одну вставляем провод от интернета, в другую - от роутера. В роутер втсавляем провода от других компьютеров. »

Рекомендую вам не путать, что роутер это роутер, а свич это свич и никак иначе.
То есть (в очень простой форме) роутер это устройство принимающее одним портом интернет WAN, а раздает его на порты LAN. А свич другое устройство, которое используется для построение сетей.
А настраивать прокси все ровно придется если хотите защитить свою сеть максимально.

vadblm 22-01-2012 19:45 1842046

Ну я про что и говорю - pfSense это специальный дистрибутив, позволяющий сделать из ПК полноценный маршрутизатор и брандмауэр. Ничего более не требуется, ни ОС, ни дополнительного ПО, никаких лицензий. Просто рассматривайте его как ту же коробочку-рутер, просто побольше размером и пошумнее.

uchiha 22-01-2012 20:16 1842070

Ну, да, настройка производится, как и у роутера один раз, а дальше все работатет само собой.
Только насчет прокси, пожалуйста, поподробнее. там, в руководстве про это, вроде, не было.

vadblm 22-01-2012 20:22 1842079

Цитата:

Цитата uchiha
Только насчет прокси, пожалуйста, поподробнее. там, в руководстве про это, вроде, не было. »

Если вы насчёт pfSense, то там squid со squidGuard можно в два клика поставить.

uchiha 22-01-2012 20:34 1842092

Ну, да, насчет pfSense.
А где это прочитать, как
Цитата:

Цитата vadblm
со squidGuard можно в два клика поставить »

именно в pfSense

vadblm 22-01-2012 20:47 1842103

Цитата:

Цитата uchiha
именно в pfSense »

http://doc.pfsense.org/index.php/Set...nsparent_Proxy

uchiha 22-01-2012 21:38 1842156

Ух, спасибо! Именно то, что надо.
Попробую - компьютеров старых у нас полно, ничего не списывают, так что есть с чем работать.
Спасибо.
С уважением, uсhiha

vadblm 22-01-2012 21:44 1842163

Ну немножко дам напутствие, сетевухи по возможности ставьте туда Intel или 3Com 905. Сомнительно, конечно, что в школе завалялись приличные сетевухи, но чем чёрт не шутит.

Severny 22-01-2012 21:51 1842170

Цитата:

Цитата uchiha
Директор даже готов купить отдельные компьютеры для внутренней сети и соединить их через свич. »

Я было подумал, что это шутка..
Вот куда денежки улетают образовательные.
Купите маршрутизатор (да он видимо у вас уже стоит) и включите NAT.
Кому ваши документы нужны, очень интересно.

vadblm 22-01-2012 21:59 1842181

Цитата:

Цитата Severny
Купите маршрутизатор (да он видимо у вас уже стоит) и включите NAT. »

Он стоит и явно с натом, только видать совсем простой. Хотя виноват, надо бы вытребовать с ТС описание и схему сети, а уж потом рекомендации давать. :)

uchiha 22-01-2012 22:10 1842198

Нет, насчет "купить" это, конечно же, мечта, у нас достаточно старых (пентиум 1, 2), которые можно объединить в сеть.
А насчет того, кому эти документы нужны, не знаю, детки сейчас грамотные, а вдруг для прикола натворят чего-то через интернет, а потом придется всю школьную базу восстанавливать.
Почитала тут некоторые чаты - он не знает, где находится панель управления, а уже интересуется, как отформатировать жесткий диск на чужом компьютере - не слабо?
А за советы спасибо.

Да, у нас есть роутер с натом - Длинк100. Нормально работает.
Но бывают например, такие штуки - вдруг на все 4 компьютера администрации приходит сообщение по аське с аськи директора с приглашением зайти по указанной ссылке, все дисциплинированно жмут на ссылку, а там порно, при этом директор никаких сообщений, естественно, не отправляла, значит, очевидно, взломали ее аську.
И таких "приколов" у нас хватает.
Поэтому и возникло желание отделиться от интернета.

vadblm 22-01-2012 22:20 1842217

Цитата:

Цитата uchiha
Длинк100 »

DIR-100 что-ли? Так это сугубо домашняя железка, держать сеть больше 4-х компов не предусмотрена.

Схему сети всё же приведите, а то вдруг что-то недопонято. Скажем, я говорил о разделении сети администрации и школоты - так она должна быть разделена не только маршрутизатором, но и коммутаторами. Либо VLAN'ы делать, если свитчи это умеют (сомневаюсь после упоминания DIR-100, что там такое железо), либо физически отдельные сети с отдельными свитчами.

uchiha 22-01-2012 22:32 1842231

Схема такова:
4 компьютера соединены через свич, свич соединен с роутером, в роутер вставлен провод от 5-го компьютера - все.
Идея с разделением была такой - все компьютеры администрации соединить через свич - это одна сетка.
Другая сетка, а которую входит учительская, кабинеты, библиотека (всем нужен интернет) - все компьютеры через свич, свич - в роутер.

Да, почему 5-й компьюте воткнули в роуте - в свиче не хватило дырочек, нужно было сделать дешево и быстро, о безопасности не думали, все хорошо работало, но сейчас появились опасения.

zai 22-01-2012 23:41 1842284

Цитата:

Цитата uchiha
Идея с разделением была такой - все компьютеры администрации соединить через свич - это одна сетка.
Другая сетка, а которую входит учительская, кабинеты, библиотека (всем нужен интернет) - все компьютеры через свич, свич - в роутер. »

Какая другая? Сколько всего компов?

uchiha 23-01-2012 00:18 1842324

Другая - это пока в проекте, в принципе, те же пользователи (поставить у каждого второй компьютер), к ним можно добавить и еще несколько других, в зависимости от количества портов на новом свиче, а вот этот новый свич соединить с роутером DIR-100 или с более приличным, чтобы вся эта компания могла ходить в инет.
Первая сетка замкнута, не связана со второй.
Бред?

Severny 23-01-2012 02:02 1842389

Цитата:

Цитата uchiha
Бред? »

Ужасный.
Я вообще столбенею от идеи завести всем по второму компу. :)
Поменяйте свич на восьмипортовый, чтобы хватило "дырочек".
Роутер оставьте какой есть.
Если включен NAT, системы на компьютерах обновляются и не стоит никакое ПО удаленного администрирования, ну и антивирус приличный, то никакой ученик к вам не пролезет извне.
Грамотный товарищ может теоретически конечно зайти, но это будет дорого стоить. Кому оно надо.

Другое дело если у вас компьютерный класс и вы опасаетесь, что ушлая школота залезет к вам изнутри.

vadblm 23-01-2012 02:24 1842398

Цитата:

Цитата Severny
Другое дело если у вас компьютерный класс и вы опасаетесь, что ушлая школота залезет к вам изнутри. »

Собсно мои предложения и отталкивались от этого предположения. ;)

El Scorpio 23-01-2012 05:31 1842422

Цитата:

Цитата Severny
Другое дело если у вас компьютерный класс и вы опасаетесь, что ушлая школота залезет к вам изнутри. »

Для этого достаточно закупить ещё один маршрутизатор и вынести компьютеры учителей в отдельную подсеть, скрытую NATом этого маршрутизатора.

Ну или создать программный маршрутизатор/прокси-сервер - старый системник, три сетевые карты (сеть учителей, компьютерный класс, интернет) и Linux

Rezor666 23-01-2012 07:14 1842443

А не легче купить один комп, поднять сервак с AD и дать школоте права юзера...
Для ограничение инета ISA или UserGate...
Цитата:

Цитата Severny
Если включен NAT, системы на компьютерах обновляются и не стоит никакое ПО удаленного администрирования, ну и антивирус приличный, то никакой ученик к вам не пролезет извне. »

Ой да лан... Если у меня права админа на внутренем компе я те такое на ворочу )
И не дай бог в компе не отключен CD и usb-hdd.
Цитата:

Цитата Severny
что ушлая школота залезет к вам изнутри. »

Надо всего лишь поставить нормальные пароли.

Я не понимаю логики создания 2 подсетей...
Для меня вообще дикость что учитель информатики боится что его взломают школьники...
Выходит что не школьников учить надо а учителей.

uchiha 23-01-2012 10:17 1842502

У нас компьютерный класс, к счастью, отдельно, там своя сеть, свич, маршрутизатор, после уроков электричество вырубается, так что опасения со стороны этой сети нет.
Просто сейчас на компьютерах директора, завуча стоят специальные программы с базой данных по всем ученикам, учителям, родителям, Эти базы заполнялись в течение долгого времени; конечно, данные резервируются, но, к сожалению, бывало, (в лругих школах), когда эти компьютеры выходили из строя и все приходилось набирать заново.

Учитель не боится своих учеников, и пароли стоят нормальные, и права ограниченные у всех "юзеров", да и ученики пока не покушаются - и без них в интернете полно охотников навредить ближнему: за последние три года мою почту на рамблере 3 раза взламывали, периодически выскакивают порнографические картинки с предложением отправить куда-то деньги, чтобы от них избавиться и т.п.
Зачем, кому это нужно? Уж точно - не ученикам.
За все предложения спасибо,

~user~ 23-01-2012 11:23 1842528

Цитата:

Цитата uchiha
Но бывают например, такие штуки - вдруг на все 4 компьютера администрации приходит сообщение по аське с аськи директора с приглашением зайти по указанной ссылке, все дисциплинированно жмут на ссылку, а там порно, при этом директор никаких сообщений, естественно, не отправляла, значит, очевидно, взломали ее аську. »

Не обращайте внимания это не аську взломали, а прото спам разослали, поставьте фильтр и все.

Severny 23-01-2012 12:50 1842574

Цитата:

Цитата Rezor666
Если у меня права админа на внутренем компе я те такое на ворочу ) »

Начинается. Сначала речь шла о защите от взлома извне.

Цитата:

Цитата uchiha
когда эти компьютеры выходили из строя и все приходилось набирать заново. »

Настройте обязательно ежедневное копирование базы на другой компьютер в сети.
Или хотя бы на другой физически HDD.
Программа Cobian backup поможет с резервным копированием по сети. Запакует, зашифрует, запаролит, будет делать последние n копий по желанию. В общем must have.

zai 23-01-2012 14:00 1842631

Цитата:

Цитата uchiha
Схема такова:
4 компьютера соединены через свич, свич соединен с роутером, в роутер вставлен провод от 5-го компьютера - все. »

Эту схему взломать из вне нереально - с точки зрения безопасности, роутера вполне достаточно. Если к данной сетке будут подключены еще компы, то нужно установить сервер и выдать всем права доступа.

Champ10n 23-01-2012 15:36 1842678

uchiha, во-первых ставить какие-то варианты шлюзов (аппаратных или программных) имеет смысл, в вашем случае, только если вы хотите ограничить трафик(квоты выставить, закрыть ненужные порты), ну или мониторить кто куда лазил, кто где порно баннеры наловил. Не думаю что ваша сеть кому-то интересна снаружи. Да компы все-равно за NATом D-Link'a. Конечно впоследствии при росте сети дешманская железка от D-linka перестанет тянуть, понадобится разделить студентов от преподавателей, VLANы, все дела. Вот тогда можно уже и думать что да как.
во-вторых, сильно боитесь за базу? Тогда делайте резервные копии. Как уже писали выше Cobian backup прекрасное бесплатное решение для дома. А ваша сеть она как раз "домашняя"
в-третьих, если это еще не сделано, ограничьте у пользователей права на компьютерах, переведите их учетные записи из админских в ограниченные(желательно и флешки запретить). Это значительно повысит безопасность. И от вирусов вреда меньше. Создать себе на всех компах админскую учетку, и если надо будет что-то установить то делать это самостоятельно. А то люди натаскают всего чего только можно.
в-четвертых, ссылки с аськи директора говорят только о том, что его аську взломали, в результате его же безалаберности, например простой пароль, или тыкание по таким же ссылкам от людей из его контакт листа. Советую провести ликбез по элементарным основам безопасной работы в сети. Порно-баннеры та же нечисть и причины их появления точно такие же.
в-пятых, заниматься всем этим делом должен не учитель информатики, а если уж и заниматься, то за отдельные деньги, а то сядут на шею, потом еще и домашние компы потащат.
Короче говоря, из всего обсуждения понятно что более менее внятный шлюз в данный момент не первоочередная задача и угрозы в данный момент надо ждать прежде всего изнутри, а именно от неграмотных юзеров.

Rezor666 23-01-2012 20:01 1842876

Цитата:

Цитата Severny
Начинается. Сначала речь шла о защите от взлома извне »

Ну знаешь если я подрублю один комп к vpn серверу и из дома разнесу пол сети эт буит норм? А создать vpn можно и под гостем и не палится не одним антивирем...
Так же можно просто устроить ddos на d-link...
Да и не сказано есть ли управление роутером по wan или нет...
Я уж молчу про эксплойты на некоторых сайтах...
Цитата:

Цитата zai
с точки зрения безопасности, роутера вполне достаточно. »

Я прям вижу банк с одним роутерам и не взламываемый...

А вообще Вам все верно говорят, ваша сеть не кому не нужна...

Severny 23-01-2012 22:41 1842977

Цитата:

Цитата Rezor666
Ну знаешь если я подрублю один комп к vpn серверу и из дома разнесу пол сети эт буит норм? »

Это внутренняя диверсия. Нигде не сказано, что учителя и друг другу не доверяют.
Цитата:

Цитата Rezor666
Так же можно просто устроить ddos на d-link.. »

Это дороговато будет во первых, а во вторых чего ты добъешься? Что они лишатся интернета на время? Да все и так испытывают такой "ddos" со стороны провайдера время от времени. :)
Цитата:

Цитата Rezor666
Да и не сказано есть ли управление роутером по wan или нет.. »

По умолчанию оно всегда неактивно, как и включен NAT по умолчанию.
Цитата:

Цитата Rezor666
Я уж молчу про эксплойты на некоторых сайтах... »

Тут надо обновлять систему раз, во вторых самое страшное обычно от эксплоитов, компы учительские вольются в чей то ботнет.
Врядли сетевые хулиганы кинутся рушить ученическую black-base.

Rezor666 23-01-2012 22:50 1842983

Severny,
Я абсолютно с Вами согласен.
Это я просто к тому что если захотеть что то взломать то как взломать всегда найдешь :)
Цитата:

Цитата Severny
Нигде не сказано, что учителя и друг другу не доверяют. »

Ну я про школоту.
Сам раньше многие компы на vpn сажал т.к дома сервак стоял :)
Цитата:

Цитата Severny
такой "ddos" со стороны провайдера время от времени »

Особенно мозговой :laugh:
Цитата:

Цитата Severny
а во вторых чего ты добъешься? »

ну в старых cisco например root. Хоть и не ломал их но читал об этом достаточно :)

Denis Dyagilev 25-01-2012 11:04 1844061

Атомный бред.

В вашем случае достаточно будет soho-роутера с возможностью подключения соотвествующего числа рабочих станций. Все остальное к сетевым технологиям имеет посредственное отношение.


Время: 01:00.

Время: 01:00.
© OSzone.net 2001-