Роутер на Windows, нужно ли сетевое экранирование внутренней сети?

Question

[ANDySTORM]

Доброго времени суток!

В настоящее время наша команда осваивает азы построения частных облачных офисов (на основе технологии VDI vmware) и все шло ровно, до того момента пока мы не столкнулись с инфраструктурой нашего первого заказчика. А суть заключается в следующем: в стандартном офисе развернута некоторая инфраструктура (о ней речь пойдет далее), которой уже несколько десятилетий заведует один и тот же админ, позиция которого заключается в кредо «не трогай ничего пока это работает». Так вот, при интеграции облачного офиса с физическим было обнаружено ряд изъянов: постоянные RDP-атаки, отключенный брандмауэр, полуработающий (отключено все кроме файлового антивируса) каспер и т.д. Мы как порядочная команда начали править все косяки: накрутили аналог fail2ban для RPD, включили брандмауэр и настроили каспер, сменили пароли на 128-битные и так далее-далее-далее. И тут в офисе отрубается интернет! Проблема находится довольно быстро: есть сервер на ОС Windows 2012R2, который выступает в роли роутера (причем не через RRAS, а через «Общий доступ к подключению к Интернет»), вот на нем-то и не настроенный брандмауэр внутренней сети и обрубает интернет. Все это, конечно, быстро привели в порядок, но возник ряд вопросов:
1. Целесообразно ли поднимать целый сервер Windows Server 2012 R2 для «Общего доступа к подключению к Интернет» (мы такие вещи делаем на линухе с 512Мб ОЗУ);
2. Необходимо ли настраивать сетевое экранирование на внутренней сети? (как я вижу вектор атаки «вирус, отсутствующий в базе вирусных сигнатур, попадает во внутреннюю сеть --> бесконтрольное сетевое воздействие зловреда на внутренние ресурсы компании --> нарушение безопасности информации»).

Answer 1

[Валентин]

Как надо:
отдельный маршрутизатор на границе, серверы и все компоненты, работающие с внешним миром напрямую - в отдельную зону DMZ, между DMZ и внутренней сетью - statefull fw. На windows-сервере ISA-прокси для внутренних пользователей, прямая маршрутизация между офисными ПК, DMZ и внешним миром запрещена. Все это хозяйство желательно резервировать.

Как можно ака бюджетный колхоз-вариант:
Один линукс сервер, он же stateless fw, желательно на нем прокси, nat менее желателен. Windows-сервер выкинуть вообще. Серверы отделите вланом от пользователей. Прямая маршрутизация между всеми компонентами разрешена, доступы режутся iptables.

Как будет.
Местный админ пойдёт к руководству и скажет, что я не умею управлять всем этим, чтобы управлять этим хозяйством надо ещё двух человек. он же поможет руководству составить ТЗ и методику приемосдаточных испытаний (если он вообще знает, что это такое). Руководство проникнется и выставит вам требования под его дудку.

Answer 2

[Виктор Бельский]

1. Никогда не понимал людей раздающих интернет и осуществляющих маршрутизацию на Windows Server. Даже Kerio на винде вызывал жуткую изжогу.
2. В идеале, внутренняя сеть должна быть разделена на vlan, сервера должны жить отдельно, офисные компьютеры отдельно (иногда и офис разносится по отделам в разные подсети), wifi гости тоже отдельно и все это сдобрить хорошей порцией acl. А на серверах жесткое разделение и контроль доступа.

Answer 3

[krosh]

1. Нецелесообразно. Проще по всем параметрам (железо, лицензии, поддержка) сделать роутер linux-box. Мануалов полно в сети по этому вопросу, дел там не много, любой админ справится. Есть и специальные дистрибутивы с веб-консолью, управлять будет не сложней виндовса. а уязвимостей много меньше чем с виндовс сервером.

2. Необходимо. Периметр сети сейчас сильно размыт и даже не только вирус может быть угрозой во внутренней сети, но и сам пользователь или тот, кто им прикидывается. Все, что пользователям не нужно, нужно закрывать файерволлом или отключать.

Answer 4

[nike_krsk]

1. Все зависит от конкретной задачи и навыков в администрировании, если есть возможность реализации на unix-like, то маршрутизатор лучше делать именно там, хотя бы потому что opensource, нет никакой доп нагрузки на машину кроме fw, в рамках локального офиса на unix-router вполне подойдет компьютер с 1cpu/512RAM. в случае с windows-gate, нужна лицензия на windows Server и необходимо соблюдать требования к железу.
2. Необходимо. В идеальном варианте должна быть политика сетевой безопасности в которой декларируются ACL по портам для конкретных машин, бухгалтерия может ходить например по портам 8080,8090 на домены банк-клиентов и тд, а менеджер нет, это политика во внешний мир, во внутренней сети также нужно соблюдать политику безопасности, технически можно конечно везде воткнуть умные свитчи и захардкодить mac-ip, и выдать ACL на свитчах - это до защита от атак при скомпроментированной ОС, также настроить безопасность на уровне свитчей - spanning tree,защиту от arp-spoof,unicast/multicast storm, но админ может настроить и доменные правила фаервола, что вообщем то будет позитивным решением для разграничения трафика, также можно сниффить подозрительную активность IPS/IDS в локальной сети.