Попробуем в Информационную безопасность?

Question

[Norker]

Добрый день, неожиданно грянул гром и начальство озаботилось информационной безопасность.
Итак, мы имеем:
Сеть на Ubiquiti состоящую из роутера, нескольких коммутаторов и точек доступа. Пользователей активных в сети 80-90 человек.
Контроллер сети на Ubuntu 20.04.
Сервер FTP и зарождается сервер 1С в локальной сети.
И собственно вопрос, как сделать так, чтобы обезумевший сотрудник со злости, под покровом ночи, подойдя к офису и подключившись по Wi-Fi к сети не уничтожил большое количество данных, взяв учетку например у бывшего коллеги?
Так же было бы интересно узнать каким железом пользуетесь для фильтрации входящего извне трафика? Антиспам? Межсетевые экраны?

Answer 1

[iddqda]

выделить отдельный гостевой SSID приземляющий пользователей в отдельный изолированный влан с доступом только в интернет
вайфай с доступом в локалку реализовать через EAP/TLS для чего на убунте настроить freeradius
в локалке выделить сервера в отдельный влан
про unifi router ничего не знаю, беглый гуглеж обнаружил некий USG - unifi security gateway
если это оно то судя по его названию все политики безпасности дальше пилить на нем
отдельные политики реализовывать на сервисах т.е. 1с фтп и тп

кстати зачем фтп? оно было неудобно еще в 90-е
на ту же убунту водрузи nextcloud

з.ы. фтп, 1с и 90 юзеров ... в таком месте отдельный инфбезопасник застрелится от скуки

Comments

[CityCat4]

Ага, щаззз. ИБ - это еще и мониторинг действий пользователей, в особенности если там край непуганых едиотов - там мноооого чего интересного руководство узнает сразу - о себе, о конторе, о ее бизнес-процессах... Правда, нервы хорошие понадобятся, а то можно в людях сразу нафиг разачароваться...

Answer 2

[Игорь]

из базового и простого

1) Вход внутрь сети (из интернета) только через VPN, без исключений для начальников и проч.
2) доступ внутрь сети через wifi только для определенных машин
3) доступ в интернет 'для всех' - в отдельной гостевой сети из который в боевую попасть нельзя
и если немного упарываться
4) для каждой машины делать отдельный список доступа с авторизацией через (помоему 802.1X )

Answer 3

[Griboks]

Подключение только по маку + ключу, для каждого мака персональная таблица маршрутизации, каждый сервис жёстко разделяет права, на каждом устройстве пользователь не может открыть меню пуск без сисадмина, wifi изолирует все подключения, все пароли и ключи меняются каждую неделю.

Больше об информационной безопасности ваш начальник даже слушать не захочет.

Comments

[Игорь]

у меня был такой опыт, я в т..ч такую штуку строил

доступ внутрь особо защищенного контура ТОЛЬКО через citrix
доступ в интернет ТОЛЬКО через citrix
с обычных компов доступ только не сильно критичным документам. из интернета напрямую приходит лишь почта
даже если затянуть троянца на комп, он ничего сделать не сможет потому что интернета нет локально

[Norker]

В принципе руководитель готов выделить средства на ИБ, но я в этом не очень хорош, поэтому интересуют ещё и решения в виде железа, которое может автоматически фильтровать трафик, антиспамить и возможно даже с волшебным встроенным антивирусом.

[Drno]

Norker, зачем? когда можно это сваять из опенсорса...
достаточно поставить в виде роутера pfSense

[Игорь]

Norker, железные решения которые 'автоматически' все делают - надо настраивать и для этого надо иметь нефиговую квалификацию, это не просто эелезка которую воткнул в сеть и забыл, там надо будет переделывать маршруты в сети, перенарезать сами подсети, долго и упорно составлять списки портов для софта (бррр..та еще веселуха, особенно с виндой и её 'для работы этой службы используются порты 1025-1056 и 1232-4523 UDP и 3432-5465 TCP', а еще мы десяток портов забыли упомянуть потому что все и так знают что для работы какогонить DNS нужен еще и netbios и порты для него)
Так то на рынке, было полно всякого железа в эту сторону, например от циски...но где теперь эта циска

Answer 4

[CityCat4]

Вау, в лесу явно сдохло что-то большое...

Ну, поехали.

Доступ в wifi - по макам, по служебке на СSO (или по-русски директора по безопасности)
Бэкапы критичных данных - каждый вечер, складываются на отдельный сервер, куда вход - только у первосвященников (равно как и доступ в морду бэкапера)
На вход в есть - микротик(и), фронтальный пропускает в DMZ, где почта-веб-dns-внешние ресурсы, тыльный - отрубает юзеров, которые пытаются выйти мимо прокси, а также разруливает всех, кому надо его обойти. Тут же обычно стоит VPN.
Антиспам - на первом почтовике, который принимает почту из мира
Про FTP уже сказано. Если для файлообмена - проще сколхозить виртуалку с synology или nextcloud. FTP неудобен тем, что ему нужен не один порт а множество.

Answer 5

[Drno]

Если кто то что то похерит - восстановление из теневых копий или бэкапов, сотрудник который передал лог \ пасс - увольняется + вычит ущерба для копании. это надо закрепить приказом, под роспись

На вход инета - ставь допустим pfSense или zentyal там и прокси и антивирус итд итп...

доступ к вифи должны иметь только определенные машины, по MAC, либо делай им отдельную авторизацию, как советуют

отдельно сделать гостевую сеть вифи, для телефонов и прочего

FTP убрать, ввести сетевую шару либо webdav
ну и не забывайте, что вся нужна инфа должна бэкапиться... ежедневно + еженедельно

По железу. лично у меня обычно на входе стоит микротик(ферволла на нём вполне достаточно), а выходы в инет уже разруливает прокси-сервер
Антиспам - на почтовом серваке обычно настраивается, вместе с почтой