Есть офис, в нём WiFi сеть, 4 компьютера разработчиков, на одном из них VirtualBox с SVN-сервером.
Есть сервер в датацентре, на нем nginx, MySQL и прочие прилегающие сервисы.
Была поставлена задача — по максимуму (чуть ли не в параноидальном режиме) ограничить доступ разработчиков к базе данных проекта и вообще к каким-либо конфиденциальным данным, и максимально защититься от проникновения в сеть\на сервер.
Мои соображения по этому поводу:
Офис:
1) Выключить WiFi broadcast — сложнее будет найти сеть. (Предполагается, что злоумышленник сидит под офисом с ноутбуком и брутит пароль).
2) Сменить ключ сети, ключ будет знать только я и шеф (Сотрудникам вводить ключи самостоятельно).
3) ???
Сервер:
1) Через iptables делать защиту от скана портов + меняем SSH порт — усложняем обнаружение порта SSH
2) Ограничить по IP доступ к SSH, сделать авторизацию по ключам (опять же, ключи у двух человек — у меня и у шефа)
3) Скрипт заливки проекта с локального SVN на тестовый или production вирт.хосты — была идея замены конфига «на лету» (т.е вставки в него корректных значений логина\пароля от БД)…
4) Выключить root login, получать права рута через sudo или su
5) MySQL — ограничить доступ по IP на локалхост и сервер мониторинга.
6) ???
Очевидные минусы (для меня):
1) Проект заливать с SVN на сервер смогу только я — мне лишняя головная боль, если меня нет то никто не зальёт…
2) Усложняется работа с базой, придётся иметь две копии (т.е dev-базу в офисе и product, и потом применять все изменения на product-е)
3) ????
Вопрос: Кто что думает по этому поводу? Предложения, пожелания? Критика приветствуется. =)
Насчет фаервола, и мониторинга подключений — блокировки айпишек (при обнаруженном скане портов) — ставь CSF ( LFD идет с ним) www.configserver.com/cp/csf.html. Очень хорошо себя зарекомендовал, и настройка легкая.
Непонимаю в чем проблема Wi-Fi сети, я на Wifi вообще пароль не ставлю, зачем? Зачем парится с ключами и еще чем то там.
Есть OpenVpn его и юзаем. Пусть снифят OpenVpn трафик мне не жалко.
Тут два решения. Первое, — полный отказ от wi-fi. Второй намного сложнее, это чудная настройка wi-fi c модификацией самого wep(вброс левых пакетов), PEAP авторизацией и полностью шифрованный трафик(openVPN). Естественно подсоединится с телефона будет невозможно.
ps и запомните абсолютно любой wi-fi ломается умелыми руками с хорошей картой, желательно на prism2 =)
отказаться от wpa-eap wpa2-psk и перейти на wpa2-eap с авторизацией через radius в AD или(и) на основе сертификатов
сервер вынести в DMZ защитив его чем нить вроде cisco ASA или PIX, опять же с авторизацией и правилами
нужно понять что именно мы хотим от АД… если не нужно централизованное управление, единый вход и тд… то достаточно вести базу пользователей в самом радиусе в таком случае, если все же нужны единые логины и пароли на все… то можно и самба использовать.
В любом случае виртуализацию никто не отменял пока что, ставьте vmware esx (ну или что кому религия позволяет) и внутри можно расположить все что захочется
рано нажал отправить… между cisco и офисом vpn что бы получать доступ серверу из офиса и клиентов «на выезде» если таковые есть… ну и портмап для доступа к нему из интернета обычных пользователей.
понятно что сам сервер не может инициировать никаких соединений в такой схеме
Орг меры:
доступ на «поляну» (продакшен) — только админ (дубликаты паролей в сейфе у Руководителя)
Ответственный за деплоймент один чел (или два) — админ (и руководитель группы).
Я работал в одной параноидальной конторе — там девелопмент и интернет были разделены физически — разные сети. (на рабочем месте два компа — девелопмент и интернет). Скачиные файлы из интернет через самбу заливалось на шаред папку, от туда на девелопмент комп. Из девелоперской сети — доступ RO, так что система нипель: «сюда дуй — обратно х*й»
Минус такого подхода: лишний комп на разработчика, плюс — хрен сопроеш исходники, базу данных… Можно только распечатать (принтер в кабинете у нач отдела) или снять на видео.
Тех меры:
если нельзя отказаться от WiFi
то строгая маршрутизация по IP и привязка mac
ни каких DHCP! только статические разрешенные IP.
настройка доступа по SSH продакшена — на определенный IP. Возмите у провайдера еще один IP (обычно на компанию дают три штуки не меньше). Один будет строго админский, один на роутер для всего офиса. Если злоумышленик пролезет в сеть — он не сможет пролезть на продакшен.
Менять порт SSH не стоит, его все равно не сломают. А если люди могут сломать SSH? то найти порт SSH им труда не составит. Так что я думаю это только навредит.
Средний
