Zabezpeceni komunikace v LAN

[motorolarulez]

Stojim nyni pred problemem, jak nejlepe zabezpecit komunikaci v lokalni pocitacove siti. Schema je vicemene klasicke - "pobocka", tunel, server.

V tomto pripade je vsak kladen duraz na to, aby neuniklo nikde nic (predevsim se tam zaklinaji osobou, ktera pribehne, pichne se do site a zacne odposlouchavat data), tudiz kalkujuji s tim, ze bych nejakym zpusobem zabezpecil veskera data, ktera v siti potecou. At uz mezi serverem a pobockou, tak i mezi jednotlivymi PC v siti.
Puvodne jsem uvazoval nad velkou VPN siti (OpenVPN), ale toto mi bylo zamitnuto z toho duvodu, ze je to malo profesionalni (). Tudiz jsem zameril svou pozornost smerem k IPSec.

V soucasne dobe bych si to tedy predstavoval tak, ze cela sit by komunikovala pomoci IPSec a tunely mezi pobockami a serverem bych tak ci tak realizoval pro jistotu pomoci VPN.

Je nejaka lepsi / schudnejsi varianta, jak toto resit? Budu rad za kazdy postreh. Predem diky

EDIT : Zapomnel jsem dodat, ze cela sit bude Windows only, ale doufam, ze by to nemelo navrh zabezpeceni nikterak ovlivnit.

[Jezevec]

To jako myslis Ipsec na win vs nejaky srv v LAN ? To ti preju aby ses dozil aspon 100let, pochybuju ze to driv uvedes do provozuschopnyho stavu.

Pokud se budem bavit o rozumnych resenich:
Pocitam ze v ty widlowsi siti je AD.
Faze jedna = asi bych dal vsem klientum certifikat (da se zaridit pri registraci do domeny automaticky) a tim autorizoval opravneny stanice (aby si tam franta nepripojil svuj stroj) + predpokladam ze by melo jit ten certifikat vyuzit pro sifrovani widlowsi komunikace (napr samba prenosy ...).
Faze dve = aplikace musej sifrovani podporovat nativne (nevim co tam mas/nemas) a pokud maj slusnej navrh, da se vyuzit tentyz klic pripadne klic uzivatele.
Faze tri = zvenku tunel, openvpn vs ipsec je co se bezpecnosti tejce temer totez, az na to ze ipsec budes konfigurovat o dost dyl. Ma sice vetsi moznosti, ale na druhou stranu spoustu necnosti (na ktery driv nebo pozdejs narazis, na 99% v okamzik, kdy to budes nejmin cekat).

----
Tim sem vycerpal to co povazuju za rozumny, ted k tem zbesilejsim variantam.

Vyuzijes switche - predpokladam neco rozumneho = nejspis cisco. Naconfis si tam vlany a zamknes jednotlivy porty na mac pripojeny sitovky. Optimalne mechanicky zmemoznis prepojovani stanic. Vsechny ostatni porty hodis uplne mimo (= kam se pripojujou notesy a spol) a budes se k nim chovat stejne jako k netu venku.

Odroutujes jednotlivy casti site (= nejspis ti prestane fungovat easy sdileni ...).

....

Vse samo predpoklada (kdyz si hrajes na bezpecnost) ze useri v zadnem pripade nesmi mit na stanicich zadna power opravneni. Jinak ti to spolehlive rozbijou nekolikrat dene.

BTW: Osoba ktera pribehne a pichne se do site pri rozumnem HW a nastaveni muze poslouchat leda kulovy a sifrovat nic nemusim. Na druhou stranu pokud mi vase data budou pripadat zajimava, muzes sifrovat co chces. Jesli si cet Mitnika, tak vis jak se to dela, prijdes, reknes "franta voprsalek z IT rikal ze me mate pustit do serverovny, klidne mu zavolam ... ".

[HollyG]

Sifrovat data na lokalni siti je trochu zbesilost, volit aplikace co umi komunikovat jen sifrovane atd.
Doporucoval bych se spise zamerit na NAP/NAC technologii, tedy kdo nesplnuje pozadavky (certifikat, aktualizace apod), switch k nemu nepusti ani packet.
Mezi pobockami samozrejme nejaky tunel, at uz cisco a IPsec (SSL), nebo treba neco na BSD, podle financi. I kdyz pokud do toho chces jit, tak stejne budes mit vsude to cisco

[Paolo]

K tomu, co napsal Jezevec není co namítat. Zhodnotil to naprosto trefně včetně (a to bývá ten nejčastější průser) sociálního inženýrství.

Zabezpečení musíš primárně rozdělit na
* fyzickou bezpečnost: kdo se kam dostane a kde je schopen se připíchnout, odpojit, zkopírovat, změnit...
* serverovou bezpečnost: zranitelnosti, dostupné porty a další místa, kudy se tam může protlouct kdokoliv neznámý a neověřený
* uživatelskou bezpečnost: zamykání konzole, silná hesla (která nejsou napsaná tužkou na poslední stránce kalendáře nebo nalepená na monitoru), nepřipojování USB storage a spouštění kde čeho, schopnost nevykecat komukoliv své heslo

a až jako poslední bude zabezpečení komunikaci mezi stanicemi a serverem. Mimochodem tady by ses měl ještě i podívat na Radius server.

[Fox!MURDER]

ad. blokovani mekadres ... jeste lepsi je imo vyuzit 802.1x ... vetsina lepsich switchu to umi a podle toho, ze OpenVPN neni dost profesionalni (i kdyz mi to zrovna na tohle prijde skoro idealni reseni - v kombinaci s vhodnym firewallem), je penez asi dost ...

[motorolarulez]

Predem dekuji vsem za podnetne nazory, momentalne studuji vsechny navrhy, ktere tu padly.

Se socialnim inzenyrstvym souhlasim, ke vsi smule mi bylo receno, ze do tohodle nemam moc co kecat. Samotna serverovna ma byt hlidana, ovsem to, jak se budou chovat jednotlivi uzivatele uz jde mimo mou osobu. Alespon momentalne. Plne si uvedomuji, ze nejslabsi clanek retezu byva prave urednicek s flashkou, ktery pak do site natahne nejaky balast ci rozmrzela pani, ktera milemu panovi na druhem konci telefonu vykeca prvni, posledni.
To, ze "hlavouni" se o toto nezajimaji ("Hackeri prece utoci z Internetu, tak kde je problem?") nebo mozna toto slyset nechteji, uz je zase jina pohadka.

V soucasne situaci to vidim pravdepodobne na certifikaty u jednotlivych stroju v kombinaci s NAP roli na Win2008 a NAC technologie u Cisca. Co jsem tak zbezne koukal, NAP by primo melo spolupracovat s RADIUS serverem.

P.S. OpenVPN mi bylo zavrhnuto z duvodu, ze je to nejaky pitomy free software od bandy nadsencu, pofiderne spichnuty nekde v garazi. Windows to prece musi umet lepe a aby to bylo opravdu profesionalni, tak tam musi byt vsechno od Microsoftu. Radeji bez komentare.