Zaščita lokalnega omrežja

Kako bi po vaše zaščitil svoje omrežje? Sedaj imam kar visok nivo zaščite samo zame ni nikoli dovolj, saj bi rad imel zelo dobro zaščiteno omrežje. Zato prosim, da mi date vaše najbolj odštekane nasvete, ki lahko tudi precej stanejo. Saj mi je zaščita zelo pomembna.

Kako mate vi svoja orežja zaščitena?

Če denar ni problem evo tale hardware kot entry point: http://www.amazon.com/Cisco-IPS-Securit...

Potem pa sophos heart beat pa si zmagal.

111111111111 je 4. maj 2016 ob 15:28 izjavil:

Če denar ni problem evo tale hardware kot entry point: http://www.amazon.com/Cisco-IPS-Securit...

Potem pa sophos heart beat pa si zmagal.

Če bi že predlagal 'with firepower' varianto, tale pa ima samo IPS. Poleg tega OP ni niti približno povedal, koliko računalnikov ima na svojem omrežju, kako je to konfigurirano/strukturirano, kakšno ima hitrost interneta, kakšne uporabnike ima na omrežju,...... Tako da kar na blef reči 'vzemi ASA5525' je malo kiksnjeno.

OP - varnost/zaščita omrežja je mešanica solidnih varnostnih rešitev, njihova 'orkestracija', upoštevanja dobrih praks in spremljanja dogajanja na omrežju.

Vsak od teh treh elementov je enako pomemben:
a) 'Orkestracija' - tudi najboljša varnostna rešitev te ne bo varovala, če je nepravilno skonfigurirana. Samo optimalno konfigurirane rešitve lahko dajo optimalne rezultate

b) dobre prakse, kot so izobraževanje uporabnikov, posodabljanje računalnikov in programov, backup, segmentiranje omrežja,...., pa tja do periodičnih penetracijskih testov/auditov (večja podjetja) BISTVENO dvignejo nivo zaščite omrežja.

c) spremljanje dogajanja - analiza logov in njihovo vrednotenje - vse varnostne rešitve generirajo neke loge, v katerih se lahko skrivajo izredno pomembne informacije o neobičajnem dogajanju na omrežju. Požarna pregrada bo recimo blokirala delovanje nekega trojanca. Zapise o tem se lahko najde v logih požarne pregrade. Toda če jih ne boš analiziral, ne boš vedel, da imaš na svojem omrežju okužen računalnik in ga ne boš odstranil. Tako lahko postane tiketajoča bomba, ki se lahko kadarkoli sproži.

111111111111 je 4. maj 2016 ob 20:41 izjavil:

Ajej, slo-tech ne vidi sarkazma pa če bi ga oblekel v gate in plesal z njim. Predvsem me je zmotil tisti, da lahko rešitve stanejo tudi precej denarja. Nikoli ne začneš nečesa s precej denarja. Zastaviš si budget in potem gradiš naprej, da vidiš kake so cene. Drugače ti lahko nekdo na forumu proda, da je IPS odlična rešitev s Sophos Heartbeatom, ki pride ven šele decembra.

Sophos že takointako ni rešitev, ki bi jo komu priporočal.

Tisti 'heartbeat' pa ne vem, če sploh bo delal s kakšnim drugim požarnim zidom, kot Sophos-om (verjetno XG-ji).

Sploh pa Sophos požarne pregrade nebi priporočal nekomu, ki od požarne pregrade pričakuje 'nekaj več'. Za moj okus so vzeli svoj slogan 'Security made simple' kar malo preveč dobesedno - na račun napredne funkcionalnosti. Privlačno za 'ne-znalce', muka za 'znalce'.

b3D_950 je 5. maj 2016 ob 08:19 izjavil:

kupi zaščito proti streli in sončnimi žarki.

Dežnik s strelovodom?

Seveda jih moraš prej odklopiti iz električnega in network omrežja....

Ja, zaenkrat imam modem in glavni požarni zid (star računalnik na katerem je inštaliran untangle) v nekem zaklenjenem prostoru. To je moja server soba. Samo router je zunaj, ker drugače ne bi mogel pokrivati celega prostora.

Problem pri meni je res to, da logov sploh ne gledam. To se mi zdi tako utrujajoče in se ne morem pripravit do tega. Zato sem razmišljal, da bi imel nek monitor v svoji sobi, ki bi prikazoval neke podatke o omrežnem prometu, portih, logih,...ne vem točno kako bi se lotil tega.

Zaenkrat imam en kup ljudi, ki uporabljajo to omrežje. Če štejem še samega sebe je to 6 ljudi. Imamo veliko stanovanje in je problem že pri pokrivanju vseh prostorov zato imam v bistvu dva ruterja in navidezno je težko nadzorovati tako omrežje. Zato sedaj planiram, da bi eno antenco od ruterja s pomočjo konektorjev in kabla postavil v nek drug del stanovanja.

Zaenkrat sem zadovoljen s untangle požarnim zidom, ker imam gor tudi ad-block. Rečem si, da je vsaj za to dober. Pa tudi všeč mi je kako lahko je neke računalnike omejiti na osnovi mac adrese. Sicer zaenkrat uporabljam samo dve povezavi in ena je od ruterja in še moj računalnik je gor. Samo rad pa bi, da bi bil kar untangle požarni zdi tudi glavni ruter, da bi potem omejil kake obiskovalce, ki pridejo tu in tam v naše stanovanje. Samo potem bi mogel biti še bolj iznajdliv s konektorji in kabli.

Ena zadeva s katero se veliko ubadam je tudi to, da bi preprečil, da bi teh 5 ljudi prenašalo torente s mojega spleta. Razmišljal sem o tem, da bi postavil NAS4free in potem zablokiral ogromno portov, da bi jih prisilil, da bi uporabljali NAS4free za torente. Samo sem ugotovil, da je to zelo zahteven podvig.

Untangle ima neko 'at home' varianto, pri kateri plačaš $50/leto in imaš potem za domačo rabo vključene vse opcije, ki jih njihova rešitev ponuja.

Glede na to, da si že vajen na Untangle, bi bila ta opcija zate morda celo najbolj priporočljiva.
V okviru omenjenega paketa imaš tudi nadzor aplikacij, preko katerega nebi smelo biti problem blokirati torrente tistim uporabnikom, ki jim ga ne želiš dovoliti.

Malo prebrskaj stran od Untangle...