GoldenLine
Zaloguj się
Krzysztof K.

Krzysztof K. Administrator
systemów IT i sieci
- otwarty na
propozycje...

Temat: Jak stworzyć i zabezpieczyć dane w firmie - Zagadnienia...

Witam

Zastanawiam się jak podwyższyć bezpieczeństwo komputera przed kradzieżą danych z internetu. Najlepiej komputer odciąć od internetu, wyłączyć USB i wiele innych rzeczy. Skupmy się na internecie i ochronie serwera przed atakiem z internetu (z wykorzystaniem stacji roboczej w sieci firmowej) i zainfekowanym komputerem.
Niestety, nie które osoby muszą mieć jednocześnie dostęp do internetu i bazy danych, serwera plików (która muszą być chronione).

Chcę zezwolić dwóm programom dostępu do internetu - Firefox i programie pocztowym.
Uchronić przed przypadkiem, gdyby zostanie uruchomiona aplikacja, która potrafi sama łączyć się z internetem i przekazywać dane (np. przez port 80 lub 443)

Można by ustawić w Windows firewall (ustawić dostęp na wybraną aplikacje) ale jakoś nie ciągnie mnie to i szukam dalej.

Można by zastosować osobne VLAN - LAN (bez Internetu) i Internet. Logować się do odpowiedniej sieci w zależności co się potrzebuje ale uniemożliwiając jednocześnie pracy w sieci i internecie (wybór jedno albo drugie).

Proxy?

Zastanawiałem się nad takim wariantem (Sandbox dla internetu). Stworzyć RemoteApp usług terminalowych w systemie Windows Server w której by użytkownik poprzez tę usługę uruchamiał Firefox i Outlook. Komputer użytkownika był by całkowicie odcięty od internetu.

Jak wy rozwiązujecie albo może znacie jakieś ciekawe materiały z przykładami jak zostało to rozwiązane w sieciach, gdzie istotne jest ochrona danych ale jest też możliwość skorzystania z internetu.
Link do wypowiedziLink

konto usunięte

Temat: Jak stworzyć i zabezpieczyć dane w firmie - Zagadnienia...

Krzysztof R.:

Jak wy rozwiązujecie albo może znacie jakieś ciekawe materiały z przykładami jak zostało to rozwiązane w sieciach, gdzie istotne jest ochrona danych ale jest też możliwość skorzystania z internetu.

U mnie to załatwia dobrze skonfigurowany FortiGate (firewall/AV/UTM/IPS/Endpoint protection) ;-)
Link do wypowiedziLink
Dariusz J.

Dariusz J. Administrator sieci
komputerowej

Temat: Jak stworzyć i zabezpieczyć dane w firmie - Zagadnienia...

Chyba musiałby to być cały schemat zabezpieczeń pod konkretna sieć i pożądane usługi w takiej sieci.

1. Logowanie do domeny AD użytkowników
2. Ograniczone konta użytkowników plus zabezpieczenia w postaci dobrego programu antywirusowego
3. Wycięty niepożądany ruch (czyli wycięte wszystko oprócz zakładanych usług np. dns http netbios itp. i co potrzebne do pracy użytkownikom i zezwolone)
4.Przekierowanie http na lokalne proxy squid+dansguardian+clamv ( przydało by się aby wycinać wszelakie bramki proxy itp. + odpowiednie ACL-ki z prawami dostępu do wybranych serwisów )
5.Skuteczne zabezpieczenie firmowego Wifi "mocne" szyfrowanie + ewentualna autoryzacja z certyfikatami z AD
6. Szyfrowane połączenia VPN z odpowiednią autoryzacją
7. Fizyczne zabezpieczenie sieci i komputerów uniemożliwiające podłączenie np. keyloger-a itp.do stacji i innych urządzeń w sieć wykorzystujących np. atak Man-in-the-middle
8. Monitoring tego co znajduję się w sieci
9. Świadomość użytkowników

Można było by się pokusić aby ruch z głównego routera przekierowywać i ograniczać nie tylko po portach ale np. po Layer7 ( puszczany byłby taki który miałby odpowiednie nagłówki transmisji nie każdy jakby było to robione tylko po porcie)

Można by było dodać szyfrowanie wszelakich dysków w firmie (truecrypt bitlocker), ale tutaj zapewne byłby kłopot w przypadku zagubienia bądź zapomnienia hasła...Ten post został edytowany przez Autora dnia 10.11.13 o godzinie 22:58
Link do wypowiedziLink
Krzysztof K.

Krzysztof K. Administrator
systemów IT i sieci
- otwarty na
propozycje...

Temat: Jak stworzyć i zabezpieczyć dane w firmie - Zagadnienia...

Dziękuje za odpowiedzi.

"1. Logowanie do domeny AD użytkowników
2. Ograniczone konta użytkowników plus zabezpieczenia w postaci dobrego programu antywirusowego
3. Wycięty niepożądany ruch (czyli wycięte wszystko oprócz zakładanych usług np. dns http netbios itp. i co potrzebne do pracy użytkownikom i zezwolone).........................."

To co piszesz jest prawdą ale nie o te elementy mi chodziło.

Interesują mnie konkretne rozwiązania i technologie do zabezpieczenia stacji i serwerów przed internetem, które by pozwoliły odciąć całkowicie od internetu - bo internet do pracy tych usług nie jest potrzebny.

Najchętniej całkowicie odciął internet bo jeśli nawet były by trojany i wirusy to nie uda im połączyć się z internetem.

W przypadku zastosowania filtrowania czy wykorzystania firewall to jest problem bo trzeba monitorować i wiedzieć, który ruch sieci jest dozwolony a który nie. I tutaj zaczyna się wyścig zbrojeń. Trzeba mieć najlepszy program antywirusowy, najlepszy firewall, IDS, IPS itd.

Dla mnie zdecydowanie łatwiej zabezpieczyć komputer, który jest całkowicie odcięty od świata.

W sumie musiał bym mieć dwie sieci. Jedna wew. bez internetu a druga z internetem. Ale gdy stacja będzie miała dostęp do obu sieci to trojan czy wirus też uzyska pośrednio dostęp do serwera. Stąd myśl jak wyłączyć stacji roboczej internet. Chcę uniknąć sytuacji, w której mimo, że bezpośredni dostęp nie będzie możliwy do usługi to mogą znaleźć się miejsca, w których może dojść do dostępu usług poprzez pośrednie punkty styku (stacja robocza, program).Ten post został edytowany przez Autora dnia 11.11.13 o godzinie 21:08
Link do wypowiedziLink

konto usunięte

Temat: Jak stworzyć i zabezpieczyć dane w firmie - Zagadnienia...

Krzysztof R.:
bezpieczeństwo komputera przed kradzieżą danych z internetu.
Krzysztof R.:
ochronie serwera przed atakiem z internetu

Kradzież danych i atak to nie to samo.
Krzysztof R.:
Najchętniej całkowicie odciął internet bo jeśli nawet były by trojany i wirusy to nie uda im połączyć się z internetem.

Czasem wystarczy serwer www lokalnie bez dostępu do internetu żeby mieć root'a na serwerze i pobliskich filesystemach. Wtedy nie trzeba się wysilać z trojanami z internetu, wystarczy wpisać rm -rf * albo coś bardziej fantazyjnego z ręki w vi ;)
Krzysztof R.:
Interesują mnie konkretne rozwiązania i technologie do zabezpieczenia stacji i serwerów przed internetem

Zastanawiam się dlaczego myślisz że zagrożenie może przyjść z internetu (z zewnątrz)?
Lepiej skupić się na odpowiednich ludziach co będą to obsługiwać.
Link do wypowiedziLink
Krzysztof K.

Krzysztof K. Administrator
systemów IT i sieci
- otwarty na
propozycje...

Temat: Jak stworzyć i zabezpieczyć dane w firmie - Zagadnienia...

Witam

Panie Dariuszu ma Pan rację. Ale obecnie chcę jedną sprawę rozwiązać i zamknąć.
Stąd obecnie skupiam się wyłącznie na rozwiązaniu spraw technicznych od strony bezpieczeństwa internetu.

Na razie kiepsko idzie bo jakoś nie udało mi się jeszcze znaleźć rozwiązania, który by spełniło moją wizję dostępu do internetu - internet.

Zgodzicie się, że gdy na stacji nie będzie internetu - całkowicie zablokowany oraz na serwerach to znacznie podwyższy się bezpieczeństwo. Wtedy można zająć się sprawami związanymi z ludźmi i rzeczami, które Pan pisze.

Bliżej mojej wizji jest zastosowanie Remote APPs.Ten post został edytowany przez Autora dnia 14.11.13 o godzinie 09:35
Link do wypowiedziLink
Michał Dziewański

Michał Dziewański Starszy
Administrator
Systemów Bankowych |
PKO BP

Temat: Jak stworzyć i zabezpieczyć dane w firmie - Zagadnienia...

a może serwer pośredniczący(2 sieciówki)? wyciąć cały ruch pomiędzy kompami pracowników a pośredniczącym i serwerem pośredniczącym a właściwym serwerem w obie strony za pomocą firewall'a i otworzyć niezbędne tylko porty po konkretnych IP. Pracownicy mogliby pracować łącząc się do serwera pośredniczącego np przez rdp.
Link do wypowiedziLink
Krzysztof K.

Krzysztof K. Administrator
systemów IT i sieci
- otwarty na
propozycje...

Temat: Jak stworzyć i zabezpieczyć dane w firmie - Zagadnienia...

Michał D.:
a może serwer pośredniczący(2 sieciówki)? wyciąć cały ruch pomiędzy kompami pracowników a pośredniczącym i serwerem pośredniczącym a właściwym serwerem w obie strony za pomocą firewall'a i otworzyć niezbędne tylko porty po konkretnych IP. Pracownicy mogliby pracować łącząc się do serwera pośredniczącego np przez rdp.
Właśnie myślę nad tą opcją - stworzyć serwer RDS w osobnej sieci. Stacje robocze korzystały by z remote apps (Firefox) czyli wystarczyło chyba jeden port otworzyć 3389.
Między siecią LAN a siecią w której był by serwer RDS stworzył firewall oraz routing aby stacje miały dostęp do serwera RDS.

Tylko zastanawiam się czy nie ma lepszej opcji.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj