Как безопасно развести локальные сети?

Question

[Павел]

Есть три компьютера, которые уже находятся в локальной сети, в которой в общей сложности 50 машин. Нужно теперь эти три компьютера объединить в свою самостоятельную локальную сеть, чтобы только у них был доступ к http серверу поднятому на одном из них и к расшаренной папке на нем же.

Вопрос: как сделать эту маленькую локальную сеть так, чтобы железобетонно быть уверенным, что к ней (к http серверу и к расшаренной папке) не будет доступ у пользователей большой сети? Притом эти три машины должны продолжать иметь доступ к большой сети.

На всех машинах стоит Win XP.

Уверен, вопрос для многих будет простым. Я с сетями не много работал. Хотелось бы услышать проверенные решения.

Answer 1

[drunk]

Выделить трем машинам отдельный vlan, и запустить на них тегированый траффик с виланом большой сети и маленькой. Для того что бы не было доступа к расшаренной папке, деактивировать на vlan`е большой сети соотвествующую службу. Веб сервер заставить слушать только интерфейс из маленькой сети.

Comments

[egorinsk]

> деактивировать на vlan`е большой сети соотвествующую службу.

Это в смысле NetBIOS? А не получится ли, что из-за этого маленькие компьютеры не смогут читать расшаренные в большой сети файлы?

[Павел]

Спасибо за ответ. А какие гарантии, что кто-то из большой сети не сможет использовать тег, который назначен для маленькой сети? Если кто-то на четвёртой машине из большой сети поднимет у себя vlan и будет использовать такое же тегирование.

[JDima]

Гарантия — отсутствие данного VLANа на его порту (со стороны свитча). Это нельзя обойти без доступа к конфигурации свитча или без перетыкания патч-кордов. Пакет с неправильным тегом будет дропаться.

Альтернатива. Некрасивая, но для неопытного человека, не имеющего управляемых свитчей, вполне годная. В каждый компьютер воткнуть по отдельной сетевой карте, и воткнуть их в отдельный маленький свитч. Задача решена, изоляция полная на физическом уровне, менять имеющееся оборудование не надо.

[drunk]

Отвечу по порядку:

Это в смысле NetBIOS?

Да, нетбиос. Только нужно не службу останавливать, а отключать его на интерфейсе. Когда вы настроите прием тегированного трафика, у вас на каждый тег будет отдельный интерфейс фактически. Там можно и отключить.

А какие гарантии, что кто-то из большой сети не сможет использовать тег

Теги вы настраиваете на коммутаторе. (Кстати, соответственно для этой конструкции нужен управляемый коммутатор и сетевые карты поддерживающие vlan) Поэтому, не имея доступа к коммутатору, никто не получит доступа к этому vlan. Потому как коммутатор будет с ним работать только на определенных портах. Резюмируя: Доступ можно будет получить только если знать логин — пароль от коммутатора, или подключившись физически к порту на котором этот vlan уже настроен.

[Павел]

JDima и drunk, в принципе концептуально я просек как будет работать VLAN. Нужно будет только проверить чтобы сетевые карты его поддерживали и поставить соответствующий маршрутизатор под замок или в аквариум с пираньями, чтобы никто не дергал патч-корды.

Кстати, идея с отдельными сетевыми картами выглядит ещё более заманчиво, потому что физическое разделение всегда смотрится более надежно, чем виртуальное. Мне пока только не совсем понятно, как чисто технически это будет выглядеть на компе, у которого две сети — как машина будет понимать для какой сети расшаривать папку и открывать доступ для http, а для какой нет?

[drunk]

Я же вам выше картинку даже уже повесил. На интерфейсе той сети где шара не должна быть винда, вы просто убираете галку с соответствующей службы.
С vlan будет работать так же как и с отдельным картами. Просто там виртуально — а там физически. В остальном логика одинакова.

[Павел]

Да, я в целом понял всё. Спасибо. Как только доберусь до технического исполнения, там уже нужно будет разбираться в деталях. Но главное что концепт есть.

Answer 2

[Sicness]

А просто фаерволлом на сервере http не обойтись?

Comments

[Павел]

Пока это самый простой вариант, который есть, если ничего железобетонней не предложат.

[drunk]

с фаерволом железобетонно уверенным быть не получится. Что IP что mac можно поменять на другом компе и получить доступ. А больше фильтровать то особо и нечего фаерволом.

[Павел]

Следовательно вариант такой не подходит.

[Sicness]

Ок, а vpn и слушать только на интерфейсе vpn?

[Павел]

Что-то я пока не представляю, как я могу расшарить папку и быть уверенным, что к ней имеют доступ только по VPN…

[drunk]

Ну как, как. Так же как и в случае с vlan. В настройках интерфейса есть вот такая вот картина:

Убираем файл шаринг с интерфейса большой сети и все. Клиент оставляем. В результате сами видим обе сети, нас видит только нужная нам сеть.

[Павел]

Гениально! :) Спасибо. Я всегда подозревал, что эти галочки имеют какой-то смысл! :)

Answer 3

[Станислав Осколков]

Сетевое подключение одно? Настройки статикой, без привязки к mac?
Можно дополнительно, алиасом, выдать настройки, в дополнение к основным, из другой подсети, ограничить соединения фаерволом. Есть смысл, конечно, ещё в другой VLAN перевести.
Другое дело, что непонятно через какое оборудование эти компьютеры к сети подлючены.
Или использовать специализированный софт с доступом к папке, как минимум, по паролю и, возможно, с привязкой к тем же ip и mac.

[upd] Я к тому что не до конца понятна организация и топология сети, от этого решения могут разниться.

Comments

[Павел]

Сейчас сеть организована «обычным» способом — через несколько маршрутизаторов D-Link. Если это упростит настройку и упрочит безопасность, то эти три компьютера есть возможность объединить физически — т.е. воткнуть по дополнительной сетевой карте в каждый и поставить свой маршрутизатор, так как они находятся не далеко друг от друга.

[JDima]

Маршрутизаторы? Или все-таки коммутаторы?

[Станислав Осколков]

В случае если будет физическое разделение — не важно, свитчи или роутеры стоят. Главное — обеспечить тогда уже именно неизменную топологию «маленькой» сети. То есть, очень ограничить возможность физического вмешательства третьих лиц.
Однако, на многих не самых дешёвых роутерах, да и на некоторых свитчах можно «дропать» соединения с определённых адресов/интерфейсов. Особенно надёжно, если к общей сети подключать через роутер только эти три компьютера.
Однако, в целях безопасности, я бы включил параноидальный режим и ограничил доступ по логину/паролю, как для этого локального сайта, так и для шары.
Кстати, а расшаренная папка будет в реалтайме использоваться и будет примонтирована на компах. FTP не устраивает?

[Павел]

JDima, Сейчас в большой сети стоят коммутаторы, не маршрутизаторы. Это я ошибся.

klikalka, да я вижу что нужно будет сделать физическое разделение путем добавления дополнительных сетевых карт + доступ по логину/паролю. Шара должна быть без FTP, в реалтайме.

[drunk]

Если уж вспоминать о параноидальности, тогда уж лучше sftp. Под виндой freesshd можно юзать к примеру.

[Павел]

Ага, плюс HTTPS для веб-сервера.