» »

Zaščita lokalnega omrežja

Zaščita lokalnega omrežja

mehk1mojster ::

Kako bi po vaše zaščitil svoje omrežje? Sedaj imam kar visok nivo zaščite samo zame ni nikoli dovolj, saj bi rad imel zelo dobro zaščiteno omrežje. Zato prosim, da mi date vaše najbolj odštekane nasvete, ki lahko tudi precej stanejo. Saj mi je zaščita zelo pomembna.

Kako mate vi svoja orežja zaščitena?

c-lox ::

Bi delil, kako imaš trenutno urejeno?
!not my imagination.

111111111111 ::

Če denar ni problem evo tale hardware kot entry point: http://www.amazon.com/Cisco-IPS-Securit...

Potem pa sophos heart beat pa si zmagal.

prowb ::

Dokler ne pojasnis trenutne situacije, bos tezko dobil kak uporaben nasvet za nadgradnjo...

Ce pa denar ni problem enostavno najames pentesterja, in ti bo on povedal kaj moras uredit.

SeMiNeSanja ::

111111111111 je izjavil:

Če denar ni problem evo tale hardware kot entry point: http://www.amazon.com/Cisco-IPS-Securit...

Potem pa sophos heart beat pa si zmagal.

Če bi že predlagal 'with firepower' varianto, tale pa ima samo IPS. Poleg tega OP ni niti približno povedal, koliko računalnikov ima na svojem omrežju, kako je to konfigurirano/strukturirano, kakšno ima hitrost interneta, kakšne uporabnike ima na omrežju,...... Tako da kar na blef reči 'vzemi ASA5525' je malo kiksnjeno.

OP - varnost/zaščita omrežja je mešanica solidnih varnostnih rešitev, njihova 'orkestracija', upoštevanja dobrih praks in spremljanja dogajanja na omrežju.

Vsak od teh treh elementov je enako pomemben:
a) 'Orkestracija' - tudi najboljša varnostna rešitev te ne bo varovala, če je nepravilno skonfigurirana. Samo optimalno konfigurirane rešitve lahko dajo optimalne rezultate

b) dobre prakse, kot so izobraževanje uporabnikov, posodabljanje računalnikov in programov, backup, segmentiranje omrežja,...., pa tja do periodičnih penetracijskih testov/auditov (večja podjetja) BISTVENO dvignejo nivo zaščite omrežja.

c) spremljanje dogajanja - analiza logov in njihovo vrednotenje - vse varnostne rešitve generirajo neke loge, v katerih se lahko skrivajo izredno pomembne informacije o neobičajnem dogajanju na omrežju. Požarna pregrada bo recimo blokirala delovanje nekega trojanca. Zapise o tem se lahko najde v logih požarne pregrade. Toda če jih ne boš analiziral, ne boš vedel, da imaš na svojem omrežju okužen računalnik in ga ne boš odstranil. Tako lahko postane tiketajoča bomba, ki se lahko kadarkoli sproži.

111111111111 ::

Ajej, slo-tech ne vidi sarkazma pa če bi ga oblekel v gate in plesal z njim. Predvsem me je zmotil tisti, da lahko rešitve stanejo tudi precej denarja. Nikoli ne začneš nečesa s precej denarja. Zastaviš si budget in potem gradiš naprej, da vidiš kake so cene. Drugače ti lahko nekdo na forumu proda, da je IPS odlična rešitev s Sophos Heartbeatom, ki pride ven šele decembra.

SeMiNeSanja ::

111111111111 je izjavil:

Ajej, slo-tech ne vidi sarkazma pa če bi ga oblekel v gate in plesal z njim. Predvsem me je zmotil tisti, da lahko rešitve stanejo tudi precej denarja. Nikoli ne začneš nečesa s precej denarja. Zastaviš si budget in potem gradiš naprej, da vidiš kake so cene. Drugače ti lahko nekdo na forumu proda, da je IPS odlična rešitev s Sophos Heartbeatom, ki pride ven šele decembra.

Sophos že takointako ni rešitev, ki bi jo komu priporočal.

Tisti 'heartbeat' pa ne vem, če sploh bo delal s kakšnim drugim požarnim zidom, kot Sophos-om (verjetno XG-ji).

Sploh pa Sophos požarne pregrade nebi priporočal nekomu, ki od požarne pregrade pričakuje 'nekaj več'. Za moj okus so vzeli svoj slogan 'Security made simple' kar malo preveč dobesedno - na račun napredne funkcionalnosti. Privlačno za 'ne-znalce', muka za 'znalce'.

b3D_950 ::

kupi zaščito proti streli in sončnimi žarki.
Zdaj ko je mir, jemo samo krompir.

SeMiNeSanja ::

b3D_950 je izjavil:

kupi zaščito proti streli in sončnimi žarki.

Dežnik s strelovodom?

Ribič ::

Pa ne pozabiti: There is no security without physical security! Torej vse svoje računalnike, switche, routerje, tulifone in podobno elektroniko moraš obvezno zakleniti v trezor, ko te ni doma. Ker ti bo sicer nekdo vdrl v stanovanje v tvoji odsotnosti in ti hardware zmodificiral z dodatkom backdoor-ov in trojancev!

ToniT ::

Seveda jih moraš prej odklopiti iz električnega in network omrežja....

d4vid ::

Narediš faradayevo kletko v stanovanju, iz 20cm debelega zeleza in noter spravis ves omrezje. Vrata kletke opremiš s trezorsko ključavnico. Pa odklopiš se iz interneta, ker ga ne rabiš. Tako ali tako si rekel da rabiš zaščitit lokalno omrežje, nisi rekel da rabiš tudi povezavo v zunanji svet.
Main PC: Asus PN50 | AMD Ryzen 5 4500U | 16 GB RAM | 256 GB SSD
PC2: HP Z400 | Intel Xeon L5630 | 6 GB RAM | 120 GB SSD
Laptop: HP Elitebook 840G1 | Intel i5 | 8 GB RAM | 256 GB SSD

mehk1mojster ::

Ja, zaenkrat imam modem in glavni požarni zid (star računalnik na katerem je inštaliran untangle) v nekem zaklenjenem prostoru. To je moja server soba. Samo router je zunaj, ker drugače ne bi mogel pokrivati celega prostora.

Problem pri meni je res to, da logov sploh ne gledam. To se mi zdi tako utrujajoče in se ne morem pripravit do tega. Zato sem razmišljal, da bi imel nek monitor v svoji sobi, ki bi prikazoval neke podatke o omrežnem prometu, portih, logih,...ne vem točno kako bi se lotil tega.

Zaenkrat imam en kup ljudi, ki uporabljajo to omrežje. Če štejem še samega sebe je to 6 ljudi. Imamo veliko stanovanje in je problem že pri pokrivanju vseh prostorov zato imam v bistvu dva ruterja in navidezno je težko nadzorovati tako omrežje. Zato sedaj planiram, da bi eno antenco od ruterja s pomočjo konektorjev in kabla postavil v nek drug del stanovanja.

Zaenkrat sem zadovoljen s untangle požarnim zidom, ker imam gor tudi ad-block. Rečem si, da je vsaj za to dober. Pa tudi všeč mi je kako lahko je neke računalnike omejiti na osnovi mac adrese. Sicer zaenkrat uporabljam samo dve povezavi in ena je od ruterja in še moj računalnik je gor. Samo rad pa bi, da bi bil kar untangle požarni zdi tudi glavni ruter, da bi potem omejil kake obiskovalce, ki pridejo tu in tam v naše stanovanje. Samo potem bi mogel biti še bolj iznajdliv s konektorji in kabli.

Ena zadeva s katero se veliko ubadam je tudi to, da bi preprečil, da bi teh 5 ljudi prenašalo torente s mojega spleta. Razmišljal sem o tem, da bi postavil NAS4free in potem zablokiral ogromno portov, da bi jih prisilil, da bi uporabljali NAS4free za torente. Samo sem ugotovil, da je to zelo zahteven podvig.

111111111111 ::

Za torrente, lahko kupiš klasičen NAS in postaviš web verzijo torrent klienta uporabnikom pa zapreš porte in jim daš link do web servica. Potem pa vsi dostopate do NAS-a in se ti filmi ne podvajajo, potem vržeš čez pa še kakšen flex in si zmagal. Tako smo imeli pri nas urejeno ko sem bil študent. :)

SeMiNeSanja ::

Untangle ima neko 'at home' varianto, pri kateri plačaš $50/leto in imaš potem za domačo rabo vključene vse opcije, ki jih njihova rešitev ponuja.

Glede na to, da si že vajen na Untangle, bi bila ta opcija zate morda celo najbolj priporočljiva.
V okviru omenjenega paketa imaš tudi nadzor aplikacij, preko katerega nebi smelo biti problem blokirati torrente tistim uporabnikom, ki jim ga ne želiš dovoliti.

Malo prebrskaj stran od Untangle...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Firewalla

Oddelek: Omrežja in internet
427293 (2484) somebody16
»

PFsense vs Sonic Wall (strani: 1 2 )

Oddelek: Informacijska varnost
8318338 (14989) Blisk
»

pfsense (strani: 1 2 )

Oddelek: Kaj kupiti
7310473 (6179) SeMiNeSanja
»

Ruter z 4x1Gbps LAN porti in VPN podporo (strani: 1 2 )

Oddelek: Kaj kupiti
868185 (6941) levaky
»

Kateri router za podjetje 20 ljudi (od tega 10 IT - intenzivni uporabniki)? (strani: 1 2 3 )

Oddelek: Omrežja in internet
10722770 (19747) NeMeTko

Več podobnih tem