Дан wi-fi роутер с проводом напрямую к провайдеру, десяток ноутбуков, корпоративный ресурс(лежит на серваке у левого поставщика), некоторые сотрудники работают из дома. Начальство пронюхало, что у нас отсутствует корпоративная безопасность(можно слушать трафик) и хочет обезопаситься от этого.
Как зашифровать трафик до корпоративного ресурса, чтобы не слушали логины и пароли, в том числе от работающих из дома? Какое оборудование потребуется, чтобы это организовать грамотно? Время терпит, а для меня, эникея, ценный опыт в плане обучения.
Ваша задача = Дан самолет летящий из Парижа в Амстердам, сколько лет пилоту?
Что за роутер, на чем ноутбуки, что за корпресурс (где и на чем), что за канал в конторе, объем трафика, какая страна (т.к. в некоторых Казахстанах правительство хочет официально слушать трафик)
Роутер ASUS RT-AC87U, ресурс - пусть будет гугло-почта. Канал 100 Мб/с, объём трафика незначительный. Страна - Россия. Ноутбуки совершенно разные, у каждого свой.
Поднимай VPN. Доступ к ресурсу только с адресов 192.168.*.* или 10.10.*.* то есть с локальной сети.
Весь внешний трафик только через VPN туннель.
Весь внутренний трафик по локальной сети, без туннелей.
Спасибо за конкретику, уже помогло, так и задумывал, но не мог сформулировать. Проблема в том, что ресурс частью локальной сети не является. Прикладываю кривой вариант того, что есть и как я это вижу.
На правом варианте можно ли будет прослушать трафик на промежутке от VPN до веб-сервака?
Иннокентий Волнин, а, понял. Я не учел что вы пользуетесь сторонним ресурсом. Да, у вас тогда должно получится, как на втором рисунке.
Прослушать можно (слушать только провайдер может) что угодно, но туннель шифрован.
пакет + ключ = шифровка.
Если перехватят, так только шифровку, а какой смысл от шифровки если вы не знаете ключа?
договориться с корпоративным ресурсом, чтобы он давал доступ к себе только по шифрованному VPN-подключению. настроить это подключение. оборудование зависит от того, на что договоритесь с корпоративным ресурсом, в целом в минимальном варианте достаточно только софта.
Иннокентий Волнин, предоставляет операционной системе виртуальный сетевой интерфейс. данные, которые ПО отправляет в этот интерфейс, попадают сначала в VPN-драйвер, который их инкапсулирует и шифрует, а только потом на физический сетевой адаптер.
Этого достаточно? Сталкивался с саппортом букинг-сервиса, который по сути этим и занимался - работал в "сайте", который заказывает/отменяет заказы на билеты. У них был организован доступ исключительно из локальной сети или через VPN. Просто дополнительный уровень авторизации и всё?
Иннокентий Волнин, что бы не перехватили "трафик к сайту" этого достаточно. ВПН нужен что бы защитить внутренний трафик между узлами вашей "корпоративной сети", если он гуляет через публичный интернет.
Пароли к админке роутера не дефолтные, доступ к ней через стандартный айпишник есть, как через кабель, так и при подключении через wi-fi, само подключение скрыто.
Уточните "чтобы панель управления этим роутером не торчала наружу", моя не понимать.
Панель управления (админка) должна быть доступна только из локальной подсети и ни в коем случае не из внешней (где интернет). Также надо проверить, чтобы не были остановлены или закрыты другие сервисы, которые могут быть доступны из вне: ssh, telnet.
На туннельные интерфейсы удаленный ресурс адрес из частного адресного пространства (ну это уже советовали)
К публичному интерфейсу закрыть все, кроме IPSec.
В офисе убрать вай-фай и сделать провода.
Сотрудникам доступ в интернет только через проксю.
Если нужен вай-фай, то его в отдельную подсеть (лучше vrf, если оборудование позволяет).
С вай-фай никаких доступов к защищаемым ресурсам.
Это базовые шаги. Но вообще обычно сотрудники ИБ предоставляют политику безопасности, а инфраструктура приводится к требованиям в соответствие с ней. отсутствует корпоративная безопасность - это не политика, так можно даже про сеть любого банка сказать.
Средний
Простой
