LINUX.ORG.RU

Безопасность сети предприятия

 


1

4

Здравствуйте! Посоветуйте, что почитать чтобы освежить свои знания в области современных средств обеспечения безопасности локальной сети предприятия подключенной к интернету (объединение удаленных офисов, удаленный доступ в локальную сеть через интернет и т.д.).

★★

Последнее исправление: Klymedy (всего исправлений: 1)

Начни отсюда:

most popular security vulnerabilities

swwwfactory ★★
()
Ответ на: комментарий от snaf

Спасибо за ответ, но это основы... теорию я знаю, а мне нужны готовые варианты решения организации безопасности сети предприятия, соответствующие современным реалиям.

Pirr ★★
() автор топика
Ответ на: комментарий от anonymous

Короче говоря, нужна толковая статья где будет описано идеальное решение в области организации безопасности сети. Гугл пока дает либо рекламу какого нибудь оборудования или статьи про отдельные нюансы безопасности.

Pirr ★★
() автор топика
Ответ на: комментарий от Pirr

Нет идеального решения. Есть нагромождения проблем и компромиссных решений. Поэтому в расейской практике принято формулировать модель угроз информационной системы, а после решать задачу.

anonymous
()
Ответ на: комментарий от Pirr

а мне нужны готовые варианты решения организации безопасности сети предприятия,

что то мне подсказывает что нифига ты не знаешь. Не думаю что кто либо сможет тебе чем то подсказать. Т.к. никто не знает твой топологии и т.д.

snaf ★★★★★
()
Ответ на: комментарий от Pirr

упрощенно так: подсесть на винду и заниматься потом обновлениями антивирусного ПО

swwwfactory ★★
()
Ответ на: комментарий от anton_jugatsu

Спасибо за ответ. В принципе я нашел то, что искал... несколько статей и видео лекций. Но этот вопрос оказался столь сложным, что я даже и не ожидал... 15 лет назад все было проще.

Pirr ★★
() автор топика
Ответ на: комментарий от Black_Roland

Вот видео по Cisco ISE http://www.youtube.com/watch?v=tETm4ZetAuw

Вот лекции «Основы эксплуатации сетей и сетевой безопасности» http://rutracker.org/forum/viewtopic.php?t=4187707

Использование стандарта IEEE 802.1x в сети передачи данных http://habrahabr.ru/post/138889/

Pirr ★★
() автор топика
Ответ на: комментарий от eabi

Решения от Cisco как всегда хороши, но стоят как Боинг! Интересно, а есть ли свободные аналоги подобных решений?

Pirr ★★
() автор топика
Ответ на: комментарий от Pirr

Ты чего такой тупой? Или в гугле забанили?

anonymous
()
Ответ на: комментарий от Pirr

Врядли. Для того чтобы свободные аналоги внедряли как решения они должны быть сравнимого качества и покрытия по технологиям. Достичь этого реально только если решение начнут ставить в реальные сети и постепенно оно вырастет в более менее приемлемый продукт.

Да и какие свободные аналоги файрволлам с интерфейсами в несколько 10к и коммутаторам с 100ками?

Я эту ссылку привел скорее как референс

современных средств обеспечения безопасности локальной сети предприятия

имени одного конкретного вендора. Там сейчас довольно интересные стеки технологий - ACI, SGT/SXP/Trustsec и т.п.

Проще всего, наверное, пойти на http://www.ciscolive.com выбрать заинтересовавшие треки с последнего event и отсмотреть N материалов.

eabi
()
Ответ на: комментарий от Pirr

Глупости. Безопасность - это комплекс решений, который зависит от того что и от чего защищать. Пишешь список рисков, активов и как и от чего защищать и начинаешь защищать.

Deleted
()
Ответ на: комментарий от Deleted

Безопасность это процесс. Можно начать с оценки активов, построения модели угроз и потом перейти к техническим мерам и далее снова по циклу.

Но в живом бизнесе, нередко начинают именно с рассмотрения технических мер. Построить модель угроз для чего-нить сложнее птицефабрики - задача весьма нетривиальная. Пока будуте ее решать регуляторы и аудиторы с дерьмом смешают. Так что, частенько, сначала внедряют технические меры (достаточные чтоб пройти аудит) потом крутят цикл дальше.

eabi
()
Ответ на: комментарий от eabi

Средне статическое предприятие на 100-200 рабочих мест в России это как правило - AD (жесткие групповые политики) + антивирус (обычный и почтовый) + регулярные обновления ОС и софта + резервное копирование + vpn/rdp/vnc и пожалуй надежда, что все защищено.

Pirr ★★
() автор топика
Ответ на: комментарий от Pirr

Ну тут и вопрос не встает о безопасности тогда. Какие еще там модели угроз и прочие заумные штуки. Оно кстати не только в России так... оно так везде.

eabi
()
Ответ на: комментарий от Pirr

Нет безопасности. Фигня это все, за последние полгода не видел ни одного шифровальшика, который бы определялся хоть каким-то антивирем (несколько десятков я залил на вирустотал вторым, первым видимо был их автор), операционки с любыми обновлениями дырявы по определению (а сколько кривых обновлений МС начало фигачить, хоть не ставь вообще), винды любых версий лечить уже бесполезно, там векторов столько, что их уже ничем не закрыть, с линем лишь немного лучше, блокировать USB тоже не решает - на разрешенной флешке/фотоаппарате/телефоне заразу принесут в виде pdf, doc и пр. - политики AD дружно идут лесом. Терминалка с тонкими позволяет грохнуть всё всем и сразу.
Вырой бункер, отбирай все и раздевай на входе, обруби внешнюю связь, а потом все равно купишь какой-нить леново с суперфишем или флешку, инфицированную на заводе, а пользователи в полостях тела проносить начнут и оправданий найдут.

handbrake ★★★
()
Ответ на: комментарий от handbrake

Правильно, вот к этому я разговор и веду. Системный администратор настроил все вышеперечисленное и хлопает в ладоши, думая что все защищено. Пользователи продолжают есть кактус в условиях жестких групповых политик, мощность компьютеров идет на работу антивируса, но безопасности то нет! Другое дело например решения от Cisco, когда вся сеть это сенсор, система анализирует весь трафик и знает обо всем что происходит в сети, предупреждает оператора безопасности обо всех угрозах и аномалиях.

Pirr ★★
() автор топика
Ответ на: комментарий от handbrake

Совсем нет, но хочется чего то подобного и свободного.

Pirr ★★
() автор топика
Ответ на: комментарий от Pirr

Это только часть, ещё тут забыто про сетевую безопасность - это тоже огромный кусок.

Deleted
()
Ответ на: комментарий от handbrake

Это крайности. Если у тебя работа с гос.тайнами, либо ворочаешь миллиардами, то это может быть оправдано.

Поэтому надо к безопасности комплексно подходить, надо не технические решения брать, а сначала узнать, чего компания реально хочет. Надо сесть и написать огромный документ, где перечислишь все угрозы, риски, как их снизить. Без такого тщательного анализа нужд бизнеса - это всё диванная аналитика.

Deleted
()
Ответ на: комментарий от Pirr

что ты такой капризный? Сначала ты за отзываешься хорошо о Цыске а потом ворочишь носом когда слышишь о снорте.

snaf ★★★★★
()
Ответ на: комментарий от handbrake

Как будто эти «шифровальщики» вообще кто-то видел? Да и остальную вирусню - где она есть то? Ну хомячков может и бывает изредка.

Если сотрудников заставить работать на работе, а не фапать в интернете - хрен вы увидите всю эту чернуху.

Бекапы конечно должны быть, мыло должно быть своё и проверяться на всё. Деплоймент приложений централизованный, трафик между пользовательскими компами запрещен, в инет через прокси.

eabi
()
Ответ на: комментарий от eabi

мыло должно быть своё и проверяться на всё.

Читать умеешь ?

за последние полгода не видел ни одного шифровальшика, который бы определялся хоть каким-то антивирем (несколько десятков я залил на вирустотал вторым, первым видимо был их автор)

handbrake ★★★
()
Ответ на: комментарий от Deleted

Без такого тщательного анализа нужд бизнеса - это всё диванная аналитика.

Ты мне будешь учить делать мою работу ? :) Мы продаем эти услуги. Ни одного потерянного байта, ни одной взломанной сети. При этом нет ни одного эффективного Ынтырпрайз решения (да и снорт идет на помойку - логи пухнут моментом, херли с них толку, когда и ежу понятно, что атаки постоянно идут ?) и не может быть, потому что описанное мною выше - проблемы людей, а не техники. Из серии, запретишь флешки - в жопе проносить начнут.

handbrake ★★★
()
Ответ на: комментарий от Pirr

Емнип, циска его взяла поматросить, чтобы свое с нуля не писать, к тому времени им уже не шибко пользовались.

handbrake ★★★
()
Ответ на: комментарий от handbrake

Конечно «не видел» - их никто не видит. Тока если по помойкам шариться, но такие проблемы никому не интересны.

eabi
()
Ответ на: комментарий от eabi

Рад за тебя и твой диван. На котором ты не являешься целью и не наблюдаешь, как атакующие по разным векторам пытаются к тебе подобраться.

handbrake ★★★
()
Последнее исправление: handbrake (всего исправлений: 1)
Ответ на: комментарий от handbrake

Не обязательно быть крутым специалистом, чтобы продавать услуги низкого или среднего качества.

Часто эффект Неуловимого Джо даёт о себе знать.

«Видишь суслика? А он есть!» (с)

Deleted
()
Ответ на: комментарий от Deleted

Не обязательно быть крутым специалистом, чтобы продавать услуги низкого или среднего качества.

Еще раз - ни одного потерянного байта, ни одной взломанной сети.

Часто эффект Неуловимого Джо даёт о себе знать.

С начала года два инцидента с признаками целенаправленных атак (векторы требовали довольно тщательной подготовки) по паре объектов: оптовый бизнес с филиалами в крупных городах РФ и производитель технологичного оборудования для отраслей, смежных с военными.
Технических подробностей не дам, не настолько дурак, далее умолкаю, измышляйте все чего вам угодно.

handbrake ★★★
()
Ответ на: комментарий от handbrake

Еще раз - ни одного потерянного байта, ни одной взломанной сети.

И всё потому что ты у нас такой крутой спец. Не так ли?

snaf ★★★★★
()

1. Моё видение безопасного десктопа.

Сервер https://grsecurity.net/ Очень кратко здесь: https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configur... Если плотят и требуют то можно RBAC на базе gradm.

2. Сетевая безопасность.

Отдельный административный VLAN управления и мониторинга для всего активного оборудования и серверов. Дробить сеть VLAN (по отделам и уровню доступа как минимум) и сетевым экраном фильтровать весь проходящий в обе стороны трафик. Лучше PF c OpenBSD. VPN через все неконтролируемые сети + шифрованные все сервисы. Выход в инет запретить. Где необходим то через проксю с HAVP+ClamAV и по белому списку - Squid+SquidGuard, как наружный крайниим в цепочке можно ставить privoxy.

Вместо snort и решений от Cisco или по верху них - NOC FM

3. Перед тем как что-то покупать с оборудования необходимо чётко решить необходимость гос сертификации в будущем. Если необходима сертификация, то брать только сертифицированное надлежащим образом оборудование.

anonymous
()
Ответ на: комментарий от handbrake

с линем лишь немного лучше, блокировать USB тоже не решает - на разрешенной флешке/фотоаппарате/телефоне заразу принесут в виде pdf, doc и пр. - политики AD дружно идут лесом. Терминалка с тонкими позволяет грохнуть всё всем и сразу.

потому что описанное мною выше - проблемы людей, а не техники. Из серии, запретишь флешки - в жопе проносить начнут.

Проблема с руководителем, при его желании порядок с флешками можно навести техническими методами:

1. Настройками в BIOS и установкой административного пароля на его изменения.

2. Настройки ядра ОС CONFIG_GRKERNSEC_DENYUSB + /etc/sysctl.conf «kernel.grsecurity.deny_new_usb = 1»

или даже CONFIG_GRKERNSEC_DENYUSB_FORCE

3. Пассатижи + вандализм матплаты.

Тонкие клиенты не использовал. Что делать с парком старых ПК? Использую толстые клиенты!!! Выкидываю диски и компы грузятся по сети.

anonymous
()
Ответ на: комментарий от eabi

Сновден прямо сказал: «Циски АНБ бекдорит» :) Juniper не отстаёт от Cisco.

Но стоит помнить что Китай тоже бекдорит Huawei и шпионит. ZTE не отстаёт от Huawei.

Вывод: используйте в своих сетях оборудование произведённое в РФ, благо можно купить.

anonymous
()
Ответ на: комментарий от handbrake

запретишь флешки - в жопе проносить начнут

Так жопа - это уже другого ведомства забота. Не ИБ.

thesis ★★★★★
()
Ответ на: комментарий от handbrake

Если можно пронести мобилу, это все не поможет. Да и без мобилы инфу можно вынести.

К USB не подключишь, WiFi & Bluetoth отсутствуют.

Как вынести инфу? Ну кроме фоток экрана и бумажных документов.. Против фотографирования можно поставить камеры и обязать следить внутреннюю службу безопасности, обыскивать на выходе чтобы бумажки не вынесли, окна заколотить. ;)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.