Zabezpeceni komunikace v LAN

[motorolarulez]

Stojim nyni pred problemem, jak nejlepe zabezpecit komunikaci v lokalni pocitacove siti. Schema je vicemene klasicke - "pobocka", tunel, server.

V tomto pripade je vsak kladen duraz na to, aby neuniklo nikde nic (predevsim se tam zaklinaji osobou, ktera pribehne, pichne se do site a zacne odposlouchavat data), tudiz kalkujuji s tim, ze bych nejakym zpusobem zabezpecil veskera data, ktera v siti potecou. At uz mezi serverem a pobockou, tak i mezi jednotlivymi PC v siti.
Puvodne jsem uvazoval nad velkou VPN siti (OpenVPN), ale toto mi bylo zamitnuto z toho duvodu, ze je to malo profesionalni (). Tudiz jsem zameril svou pozornost smerem k IPSec.

V soucasne dobe bych si to tedy predstavoval tak, ze cela sit by komunikovala pomoci IPSec a tunely mezi pobockami a serverem bych tak ci tak realizoval pro jistotu pomoci VPN.

Je nejaka lepsi / schudnejsi varianta, jak toto resit? Budu rad za kazdy postreh. Predem diky

EDIT : Zapomnel jsem dodat, ze cela sit bude Windows only, ale doufam, ze by to nemelo navrh zabezpeceni nikterak ovlivnit.

[Jezevec]

To jako myslis Ipsec na win vs nejaky srv v LAN ? To ti preju aby ses dozil aspon 100let, pochybuju ze to driv uvedes do provozuschopnyho stavu.

Pokud se budem bavit o rozumnych resenich:
Pocitam ze v ty widlowsi siti je AD.
Faze jedna = asi bych dal vsem klientum certifikat (da se zaridit pri registraci do domeny automaticky) a tim autorizoval opravneny stanice (aby si tam franta nepripojil svuj stroj) + predpokladam ze by melo jit ten certifikat vyuzit pro sifrovani widlowsi komunikace (napr samba prenosy ...).
Faze dve = aplikace musej sifrovani podporovat nativne (nevim co tam mas/nemas) a pokud maj slusnej navrh, da se vyuzit tentyz klic pripadne klic uzivatele.
Faze tri = zvenku tunel, openvpn vs ipsec je co se bezpecnosti tejce temer totez, az na to ze ipsec budes konfigurovat o dost dyl. Ma sice vetsi moznosti, ale na druhou stranu spoustu necnosti (na ktery driv nebo pozdejs narazis, na 99% v okamzik, kdy to budes nejmin cekat).

----
Tim sem vycerpal to co povazuju za rozumny, ted k tem zbesilejsim variantam.

Vyuzijes switche - predpokladam neco rozumneho = nejspis cisco. Naconfis si tam vlany a zamknes jednotlivy porty na mac pripojeny sitovky. Optimalne mechanicky zmemoznis prepojovani stanic. Vsechny ostatni porty hodis uplne mimo (= kam se pripojujou notesy a spol) a budes se k nim chovat stejne jako k netu venku.

Odroutujes jednotlivy casti site (= nejspis ti prestane fungovat easy sdileni ...).

....

Vse samo predpoklada (kdyz si hrajes na bezpecnost) ze useri v zadnem pripade nesmi mit na stanicich zadna power opravneni. Jinak ti to spolehlive rozbijou nekolikrat dene.

BTW: Osoba ktera pribehne a pichne se do site pri rozumnem HW a nastaveni muze poslouchat leda kulovy a sifrovat nic nemusim. Na druhou stranu pokud mi vase data budou pripadat zajimava, muzes sifrovat co chces. Jesli si cet Mitnika, tak vis jak se to dela, prijdes, reknes "franta voprsalek z IT rikal ze me mate pustit do serverovny, klidne mu zavolam ... ".

[HollyG]

Sifrovat data na lokalni siti je trochu zbesilost, volit aplikace co umi komunikovat jen sifrovane atd.
Doporucoval bych se spise zamerit na NAP/NAC technologii, tedy kdo nesplnuje pozadavky (certifikat, aktualizace apod), switch k nemu nepusti ani packet.
Mezi pobockami samozrejme nejaky tunel, at uz cisco a IPsec (SSL), nebo treba neco na BSD, podle financi. I kdyz pokud do toho chces jit, tak stejne budes mit vsude to cisco

[Paolo]

K tomu, co napsal Jezevec není co namítat. Zhodnotil to naprosto trefně včetně (a to bývá ten nejčastější průser) sociálního inženýrství.

Zabezpečení musíš primárně rozdělit na
* fyzickou bezpečnost: kdo se kam dostane a kde je schopen se připíchnout, odpojit, zkopírovat, změnit...
* serverovou bezpečnost: zranitelnosti, dostupné porty a další místa, kudy se tam může protlouct kdokoliv neznámý a neověřený
* uživatelskou bezpečnost: zamykání konzole, silná hesla (která nejsou napsaná tužkou na poslední stránce kalendáře nebo nalepená na monitoru), nepřipojování USB storage a spouštění kde čeho, schopnost nevykecat komukoliv své heslo

a až jako poslední bude zabezpečení komunikaci mezi stanicemi a serverem. Mimochodem tady by ses měl ještě i podívat na Radius server.

[Fox!MURDER]

ad. blokovani mekadres ... jeste lepsi je imo vyuzit 802.1x ... vetsina lepsich switchu to umi a podle toho, ze OpenVPN neni dost profesionalni (i kdyz mi to zrovna na tohle prijde skoro idealni reseni - v kombinaci s vhodnym firewallem), je penez asi dost ...

[motorolarulez]

Predem dekuji vsem za podnetne nazory, momentalne studuji vsechny navrhy, ktere tu padly.

Se socialnim inzenyrstvym souhlasim, ke vsi smule mi bylo receno, ze do tohodle nemam moc co kecat. Samotna serverovna ma byt hlidana, ovsem to, jak se budou chovat jednotlivi uzivatele uz jde mimo mou osobu. Alespon momentalne. Plne si uvedomuji, ze nejslabsi clanek retezu byva prave urednicek s flashkou, ktery pak do site natahne nejaky balast ci rozmrzela pani, ktera milemu panovi na druhem konci telefonu vykeca prvni, posledni.
To, ze "hlavouni" se o toto nezajimaji ("Hackeri prece utoci z Internetu, tak kde je problem?") nebo mozna toto slyset nechteji, uz je zase jina pohadka.

V soucasne situaci to vidim pravdepodobne na certifikaty u jednotlivych stroju v kombinaci s NAP roli na Win2008 a NAC technologie u Cisca. Co jsem tak zbezne koukal, NAP by primo melo spolupracovat s RADIUS serverem.

P.S. OpenVPN mi bylo zavrhnuto z duvodu, ze je to nejaky pitomy free software od bandy nadsencu, pofiderne spichnuty nekde v garazi. Windows to prece musi umet lepe a aby to bylo opravdu profesionalni, tak tam musi byt vsechno od Microsoftu. Radeji bez komentare.

[HollyG]

By me zajimalo od kdy je M$ odbornik na sitove prvky.
V kazdem pripade dalsi level je cisco, kdyz si ho zaplati, alespon se naucis vice technologii
Win2k8+NAP+Cisco taky rozjizdime, mozne komplikace muzou byt s jinymi zarizenimi, krasny priklad jsou IP telefony

Ad socialni inzenyrstvi (moc honosny nazev pro tento pripad rekl bych, to uz jde spise o cileny utok), v kazdem pripade vetsina uniku dat nevznika diky spatnemu technickemu zabezpeceni proti internetu (to byva skoro vzdy alespon dobre, protoze je to nejvic omilane ve vsech medialnich prostredcich apod, vsichni se na to zameruji), ale prave ukradenymi notebooky, vykecanymi hesly, "zapomenutymi" papiry, v dalsi rade prave unikem z vnitrni LAN, resp wifi.

[Jezevec]

...

P.S. OpenVPN mi bylo zavrhnuto z duvodu, ze je to nejaky pitomy free software od bandy nadsencu, pofiderne spichnuty nekde v garazi. Windows to prece musi umet lepe a aby to bylo opravdu profesionalni, tak tam musi byt vsechno od Microsoftu. Radeji bez komentare.

Hele to mate FW taky widlowsi ? Jestli jo, tak se tim zbytkem asi ani nezabejvej, usetris spoustu penez ... .

BTW: Tomu blbovi co o tom rozhoduje by to mel nekdo omlatit o hlavu, protoze jestli je M$ v necem opravdu zoufalstvi, tak je to prave bezpecnost cehokoli.

[motorolarulez]

No, cele to bude asi realizovano na Cisco platforme, tudiz firewall asi Cisco PIX.
Co mam posledni informace, pak by to melo vypadat zhruba tak, ze za paterni konektivitou bude PIX, nasledne W2008 server, za nim bude posazeny Cisco router + FW (Cisco 1841) a nakonec switch taktez od Cisca (Catalyst 2960).

Btw, rad bych rozdal trochu karmy, ale nejak mi to nefunguje, mohl jsem hodnotit pouze Paola a ostatni pry az potom, co rozhazim karmu zas nekde jinde Mam ale pocit, ze Jezevce, Foxe ani Hollyho karmou zrovna nebombarduji...uvidime, rozhazim par bodiku a zkusim znovu.

[admix]

Hlavne si to vsechno nech dat pisemne, zvlaste tu vetu o hackerech z Internetu a nekecani do socialniho inzenyrstvi. BTW jednou jsem presne z tohohle duvodu delal ipsec server + widli l2tp pripojeni a chran buh, jestli to budu muset nekdy delat znova

[sasha]

jeste k te zmince o certifikatech, stanice a uzivatel by meli mit svuj vlastni certifikat tzn. machine crt a user crt viz co psal Fox o 802.1x, ale to je asi komplexnejsi nakonfigurovat nez NAC

PIX tak snad ASA v dnesni dobe ne?

jinak by melo byt normalni ze vsechny sitovky respektive nevyuzite porty na switchi jsou down, a je vytvorena specialni co ja vim treba kontraktor vlana a pokud jim neches povolit pristup na interni sit ve vetsi pobocce tak pripadne je muzes prohnat greckem pres lanku do netu...

urcite napis jak se nakonec zadarilo

[Jezevec]

PIX ? To je ta krabka ktera se nam ve firme vali protoze je uplne nanic .

[sasha]

PIX ? To je ta krabka ktera se nam ve firme vali protoze je uplne nanic .

hahaha no po pravde zas tak spatna neni aspon od verze 6.3.5. se to da slusne konfigurovat, sam ho mam doma, ale dnes uz se neprodavaji a snad jsou i out of support nejsem si jisty....

[Petano]

Jen takova poznamka. Microsoft doporucuje spojovat stanice se serverem IPSecem jako best security practice. (jsme meli asi pred pul rokem jejich security audit)

A co takhle predelat uzivatele na Citrix a na stanicich jenom nejaky jednoduchy tenky klienty