Zabezpeceni komunikace v LAN

[motorolarulez]

Predem dekuji vsem za podnetne nazory, momentalne studuji vsechny navrhy, ktere tu padly.

Se socialnim inzenyrstvym souhlasim, ke vsi smule mi bylo receno, ze do tohodle nemam moc co kecat. Samotna serverovna ma byt hlidana, ovsem to, jak se budou chovat jednotlivi uzivatele uz jde mimo mou osobu. Alespon momentalne. Plne si uvedomuji, ze nejslabsi clanek retezu byva prave urednicek s flashkou, ktery pak do site natahne nejaky balast ci rozmrzela pani, ktera milemu panovi na druhem konci telefonu vykeca prvni, posledni.
To, ze "hlavouni" se o toto nezajimaji ("Hackeri prece utoci z Internetu, tak kde je problem?") nebo mozna toto slyset nechteji, uz je zase jina pohadka.

V soucasne situaci to vidim pravdepodobne na certifikaty u jednotlivych stroju v kombinaci s NAP roli na Win2008 a NAC technologie u Cisca. Co jsem tak zbezne koukal, NAP by primo melo spolupracovat s RADIUS serverem.

P.S. OpenVPN mi bylo zavrhnuto z duvodu, ze je to nejaky pitomy free software od bandy nadsencu, pofiderne spichnuty nekde v garazi. Windows to prece musi umet lepe a aby to bylo opravdu profesionalni, tak tam musi byt vsechno od Microsoftu. Radeji bez komentare.

[HollyG]

By me zajimalo od kdy je M$ odbornik na sitove prvky.
V kazdem pripade dalsi level je cisco, kdyz si ho zaplati, alespon se naucis vice technologii
Win2k8+NAP+Cisco taky rozjizdime, mozne komplikace muzou byt s jinymi zarizenimi, krasny priklad jsou IP telefony

Ad socialni inzenyrstvi (moc honosny nazev pro tento pripad rekl bych, to uz jde spise o cileny utok), v kazdem pripade vetsina uniku dat nevznika diky spatnemu technickemu zabezpeceni proti internetu (to byva skoro vzdy alespon dobre, protoze je to nejvic omilane ve vsech medialnich prostredcich apod, vsichni se na to zameruji), ale prave ukradenymi notebooky, vykecanymi hesly, "zapomenutymi" papiry, v dalsi rade prave unikem z vnitrni LAN, resp wifi.

[Jezevec]

...

P.S. OpenVPN mi bylo zavrhnuto z duvodu, ze je to nejaky pitomy free software od bandy nadsencu, pofiderne spichnuty nekde v garazi. Windows to prece musi umet lepe a aby to bylo opravdu profesionalni, tak tam musi byt vsechno od Microsoftu. Radeji bez komentare.

Hele to mate FW taky widlowsi ? Jestli jo, tak se tim zbytkem asi ani nezabejvej, usetris spoustu penez ... .

BTW: Tomu blbovi co o tom rozhoduje by to mel nekdo omlatit o hlavu, protoze jestli je M$ v necem opravdu zoufalstvi, tak je to prave bezpecnost cehokoli.

[motorolarulez]

No, cele to bude asi realizovano na Cisco platforme, tudiz firewall asi Cisco PIX.
Co mam posledni informace, pak by to melo vypadat zhruba tak, ze za paterni konektivitou bude PIX, nasledne W2008 server, za nim bude posazeny Cisco router + FW (Cisco 1841) a nakonec switch taktez od Cisca (Catalyst 2960).

Btw, rad bych rozdal trochu karmy, ale nejak mi to nefunguje, mohl jsem hodnotit pouze Paola a ostatni pry az potom, co rozhazim karmu zas nekde jinde Mam ale pocit, ze Jezevce, Foxe ani Hollyho karmou zrovna nebombarduji...uvidime, rozhazim par bodiku a zkusim znovu.

[admix]

Hlavne si to vsechno nech dat pisemne, zvlaste tu vetu o hackerech z Internetu a nekecani do socialniho inzenyrstvi. BTW jednou jsem presne z tohohle duvodu delal ipsec server + widli l2tp pripojeni a chran buh, jestli to budu muset nekdy delat znova

[sasha]

jeste k te zmince o certifikatech, stanice a uzivatel by meli mit svuj vlastni certifikat tzn. machine crt a user crt viz co psal Fox o 802.1x, ale to je asi komplexnejsi nakonfigurovat nez NAC

PIX tak snad ASA v dnesni dobe ne?

jinak by melo byt normalni ze vsechny sitovky respektive nevyuzite porty na switchi jsou down, a je vytvorena specialni co ja vim treba kontraktor vlana a pokud jim neches povolit pristup na interni sit ve vetsi pobocce tak pripadne je muzes prohnat greckem pres lanku do netu...

urcite napis jak se nakonec zadarilo

[Jezevec]

PIX ? To je ta krabka ktera se nam ve firme vali protoze je uplne nanic .

[sasha]

PIX ? To je ta krabka ktera se nam ve firme vali protoze je uplne nanic .

hahaha no po pravde zas tak spatna neni aspon od verze 6.3.5. se to da slusne konfigurovat, sam ho mam doma, ale dnes uz se neprodavaji a snad jsou i out of support nejsem si jisty....