@Norker

Попробуем в Информационную безопасность?

Добрый день, неожиданно грянул гром и начальство озаботилось информационной безопасность.
Итак, мы имеем:
Сеть на Ubiquiti состоящую из роутера, нескольких коммутаторов и точек доступа. Пользователей активных в сети 80-90 человек.
Контроллер сети на Ubuntu 20.04.
Сервер FTP и зарождается сервер 1С в локальной сети.
И собственно вопрос, как сделать так, чтобы обезумевший сотрудник со злости, под покровом ночи, подойдя к офису и подключившись по Wi-Fi к сети не уничтожил большое количество данных, взяв учетку например у бывшего коллеги?
Так же было бы интересно узнать каким железом пользуетесь для фильтрации входящего извне трафика? Антиспам? Межсетевые экраны?
  • Вопрос задан
  • 298 просмотров
Решения вопроса 1
@iddqda
network engineer, netdevops
выделить отдельный гостевой SSID приземляющий пользователей в отдельный изолированный влан с доступом только в интернет
вайфай с доступом в локалку реализовать через EAP/TLS для чего на убунте настроить freeradius
в локалке выделить сервера в отдельный влан
про unifi router ничего не знаю, беглый гуглеж обнаружил некий USG - unifi security gateway
если это оно то судя по его названию все политики безпасности дальше пилить на нем
отдельные политики реализовывать на сервисах т.е. 1с фтп и тп

кстати зачем фтп? оно было неудобно еще в 90-е
на ту же убунту водрузи nextcloud

з.ы. фтп, 1с и 90 юзеров ... в таком месте отдельный инфбезопасник застрелится от скуки
Ответ написан
Пригласить эксперта
Ответы на вопрос 5
DMGarikk
@DMGarikk
Software Developer
из базового и простого

1) Вход внутрь сети (из интернета) только через VPN, без исключений для начальников и проч.
2) доступ внутрь сети через wifi только для определенных машин
3) доступ в интернет 'для всех' - в отдельной гостевой сети из который в боевую попасть нельзя
и если немного упарываться
4) для каждой машины делать отдельный список доступа с авторизацией через (помоему 802.1X )
Ответ написан
Комментировать
Griboks
@Griboks
Подключение только по маку + ключу, для каждого мака персональная таблица маршрутизации, каждый сервис жёстко разделяет права, на каждом устройстве пользователь не может открыть меню пуск без сисадмина, wifi изолирует все подключения, все пароли и ключи меняются каждую неделю.

Больше об информационной безопасности ваш начальник даже слушать не захочет.
Ответ написан
@AlexVWill
Нанять грамотного сисадмина и поставить ему задачу.
Из первочередного:
- аудит ресурсов
- аудит систем
- аудит прав доступа
- организация ролевых прав доступа
- организация процедур ОНиВД (погугли) и всего что с ним связано (резервное питание, резервные каналы, бэкапы и пр.)
Ответ написан
Комментировать
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Жил-был у бабушки серенький троллик...
Вау, в лесу явно сдохло что-то большое...

Ну, поехали.

Доступ в wifi - по макам, по служебке на СSO (или по-русски директора по безопасности)
Бэкапы критичных данных - каждый вечер, складываются на отдельный сервер, куда вход - только у первосвященников (равно как и доступ в морду бэкапера)
На вход в есть - микротик(и), фронтальный пропускает в DMZ, где почта-веб-dns-внешние ресурсы, тыльный - отрубает юзеров, которые пытаются выйти мимо прокси, а также разруливает всех, кому надо его обойти. Тут же обычно стоит VPN.
Антиспам - на первом почтовике, который принимает почту из мира
Про FTP уже сказано. Если для файлообмена - проще сколхозить виртуалку с synology или nextcloud. FTP неудобен тем, что ему нужен не один порт а множество.
Ответ написан
Комментировать
@Drno
Если кто то что то похерит - восстановление из теневых копий или бэкапов, сотрудник который передал лог \ пасс - увольняется + вычит ущерба для копании. это надо закрепить приказом, под роспись

На вход инета - ставь допустим pfSense или zentyal там и прокси и антивирус итд итп...

доступ к вифи должны иметь только определенные машины, по MAC, либо делай им отдельную авторизацию, как советуют

отдельно сделать гостевую сеть вифи, для телефонов и прочего

FTP убрать, ввести сетевую шару либо webdav
ну и не забывайте, что вся нужна инфа должна бэкапиться... ежедневно + еженедельно

По железу. лично у меня обычно на входе стоит микротик(ферволла на нём вполне достаточно), а выходы в инет уже разруливает прокси-сервер
Антиспам - на почтовом серваке обычно настраивается, вместе с почтой
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы