Есть такая проблема. Кто-то проник в сеть офиса, взломал телефонный шлюз и сделал несколько звонков на пару сотен минут по международной связи. Исходящую связь я заблокировал, пароль на шлюзе сменил, заодно на всех экстеншенах в астериске. Сижу, и думаю, как это могло произойти. И что сделать, чтобы не повторилось.
В сети десятка полтора компьютеров, пара десятков разных девайсов типа принтеров и ip-камер, несколько серверов для 1С, почты, телефонии и прочего. Коммутаторы умные 3COM 4500, но руки не доходят их настроить, поэтому работают как неуправляемые. В сети два маршрутизатора плюс один линк подключен напрямую в коммутатор — используется для астериска. У меня подозрения на этот линк, только я не понимаю, как откуда-то снаружи можно попасть в сеть с нашим внутренним адресом через него. Еще вариант, что кто-то подключился физически — витая пара протянута по общим коридорам, никакой физической защиты нет.
Сел читать про RADIUS, 802.1x и понял, что без внятной стратегии можно читать бесконечно. Поэтому прошу помощи знающих людей. Вводить идентификацию на коммутаторах по MAC? Но MAC легко клонировать. Непонятно, что с RADIUS — как будут идентифицироваться сервера или принтеры? Может, мне сделать группы адресов и настроить iptables на серверах, например, чтобы только группа адресов ПК могла подключаться к серверу 1С, а принтерам и прочим девайсам закрыть доступ, куда не нужно? Может, пробросить этот линк, воткнутый в коммутатор, на тот физический порт, куда воткнут астериск. Как это сделать, если это разные коммутаторы? Коммутаторы стекируемые, это поможет? В общем, как я понимаю, тут нужны наводящие вопросы со стороны знающего человека. Может, даже лучше в офлайне обсуждать с рисованием схем и т.д. — я в Питере нахожусь и готов материально отблагодарить за один-два вечера краткого практического курса по сетевой безопасности применительно к конкретной сети)
