Как вы защищаете сеть предприятия?

Question

[ashv24]

Здравствуйте.
Расскажите как вы защищаете локальную сеть, которую администрируете, какое оборудование используете, ПО платное или бесплатное, какие технологии используете, проверяете ли защиту?

Comments

[АртемЪ]

Смотря какая сеть и какие требования к защите.
Всегда все по разному.
Согласитесь защита офиса где хранятся старые пыльные документы о закупке зерна, и защита офиса где хранится куча денег и секретные разработки это разные вещи.

Answer 1

[Сергей]

Когда у меня возникли вопросы о практической организации защиты сети, я сделал просто - попробовал.
В в домашней сети был поднят на старом ПК виртуальный сервер на Proxmox PVE.
На нем крутился OpenMediaVault и пара тестовых машинок. Сеть на 5+ ПК и доступ извне для родственников, вполне себе площадка для тестов.
Для теста добавился сервер PFSense и виртуальный коммутатор от Proxmox, ядром сети является обычный Mikrotik.
Но как уже сказал каждый, сперва нужно понять требования сети:
1) Какие сервисы необходимо предоставить пользователям (просто прокси-сервер или требуется еще VPN-сервер для подключения из интернета).
2) Что именно требуется защищать? Есть 3 показателя Доступность, Безопасность, Достоверность. Необходимо найти баланс между ними. Например при ВПН подключении если клиент не поддерживает сильное шифрование, то его лучше пустить, чтобы ген.директор мог получить доступ или отклонить, чтобы злоумышленник не мог воспользоваться уязвимостью слабого шифрования?
3) Бюджет. Описанная выше схема собрана исключительно из OpenSource проектов Just-for-fun. Соответственно никто не гарантирует и не несет ответственности за своевременные патчи-безопасности и закрытие уязвимостей. В организации, по этой причине, мне не дали добро даже на внедрение инструментов управления типа Ansible, не говоря уже о средствах защиты. Да и грамотно настроенный Juniper SRX100 перекроет все возможности данной системы и даст фору в стабильности.
Поэтому в очередной раз говорю: "Нет волшебной программы, которая будет работать везде хорошо. Даже если у соседа она закрывает 150% потребностей, не факт что она поможет вам. Именно поэтому заданный вопрос не имеет ответа."

Answer 2

[АртемЪ]

Расскажите как вы защищаете локальную сеть, которую администрируете

Для начала выясняю важность информации и риски при ее утечке или утрате.
Имея эту информацию уже ясно что нужно защищать, и насколько сильно.
Так же анализируются основные возможности утечки или уничтожения - исходя из этого строиться защита.

То что нужно знать при защите -
Чем сильнее защита, тем менее удобна работа.
Поэтому излишняя защита в большинстве случаев приносит больше вреда, чем пользы..

Comments

[ashv24]

а конкретней? Есть примеры? Контора на n-человек, пограничный шлюз такой, на базе того-то, ядро сети на этом, доступ на том... Или например... А у нас давно все в облаке и защита там такая-то...

Answer 3

[CityCat4]

Это Вы сейчас поржали так, да? Щас вот сбежались толпой админы-ИБ-шники расписывать, как они свои сети защищают :)
Конечно security through obscuirty тоже неверный подход, но это вовсе не значит, что нужно направо и налево об этом трындеть.
Вы всем рассказываете - какой конторы у Вас домофон в подьезде, какой фирмы замки в дверях, как дверной косяк устроен, есть ли сигнализация?

Comments

[ashv24]

В общих чертах ведь можно поделиться. Я не требую полный доклад ведь.

[CityCat4]

ashv24, Вам поставили задачу защитить контору? Тогда начинать надо с этого, а не задавать общих вопросов. Или опять в стопицотый раз "папа-у-васи-силен-в математике"?