Server, veřejná IP, dvě firmy - jak nastavit?

Server, veřejná IP, dvě firmy - jak nastavit?
« kdy: 11. 02. 2015, 19:59:06 »
Chci se zeptat (možná na banální věc). Stěhujeme firmu, kde byl server (hlavně fileserver, MySQL - výměna dat s externím pracovištěm, a serverové verze spec. programů) a za ním lokální síť, schovaná tedy za modemem/routerem a serverem s firewall.   
Stěhujeme se na místo, kde už jedna firma je (potřebují jen internet) a domluva je, že se jen napojíme na jejich switch.
Má otázka zní, jak to nejlépe celé nastavit/propojit, aby to bylo bezpečné a rychlé pro obě firmy - vzhledem k té veřejné IP a serveru?
Udělal bych to jednoduše - na modemu nastavit NAT/virtualserver na vnitřní IP serveru a ten zapojit do jednoho portu modemu. Do druhého switch a na něj všechny počítače obou firem. Na serveru nastavit rozsah IP jen pro naše PC. Jenže tady je problém s rychlostí - jejich modem asi není GB. Je tedy lepší naše PC dát opět až za server (kvůli rychlosti přístupu na něj) a ostatní (pc druhé firmy nechat na druhém portu modemu? Nebo úplně jinak? Možná je to všechno banální záležitost, ale já nejsem úplně od fochu, tak se raději ptám.


someone

Re:Server, veřejná IP, dvě firmy - jak nastavit?
« Odpověď #1 kdy: 11. 02. 2015, 20:25:07 »
Pokud máte být v jednom switchi(!), jediný bezpečný způsob je IMHO VLAN - tedy oddělení vašich portů od cizích a management jakoby v jiné fyzické síti - pokud to ovšem switch umí (je managovatelný).

Blbuvzdorné řešení je každý za svým routerem / firewallem a vlastní switch - je to pro menší počet počítačů investice za 5 tis. a můžete si na routeru spustit i vlastní wi-fi.

dOctorY

Re:Server, veřejná IP, dvě firmy - jak nastavit?
« Odpověď #2 kdy: 11. 02. 2015, 20:36:00 »
kazdou firmu pripojit na jiny VLAN switch (treba RB260GS) a pred to postavit mikrotik router a vhodne ho nastavit .
reseni za 3kczk (+- bus) 

Re:Server, veřejná IP, dvě firmy - jak nastavit?
« Odpověď #3 kdy: 11. 02. 2015, 21:46:31 »
Takže jestli tomu rozumím, na modemu/routeru, který to umožňuje přiřadit každému portu jednu VLAN. Do prvního portu dát switch pro původní firmu. Druhý port pro nás. A teď: dát do toho portu rovnou server a z něj dále vyvést lokální počítače (jak to bylo doteď), nebo taky switch a do něj zvlášť počítače i server? Některé počítače byly připojené do Win domény.

Re:Server, veřejná IP, dvě firmy - jak nastavit?
« Odpověď #4 kdy: 11. 02. 2015, 21:56:32 »
Ty porty na modemu jsou s největší pravděpodobností interně propojené do switche. Tam by to šlo oddělit jedině tehdy, pokud by ten mdoem podporoval VLANy a vy byste věřil, že jsou nakonfigurované správně. Pokud vy chcete mít jistotu, že vaše síť je bezpečná, připojte jí do svého routeru, kde si nakonfigurujete firewall, a teprve z toho routeru se připojte do modemu. Modem i síť druhé firmy pak pro vás budou "internet" a bezpečnost vaší sítě bude záviset jen na konfiguraci toho vašeho hraničního routeru.


someone

Re:Server, veřejná IP, dvě firmy - jak nastavit?
« Odpověď #5 kdy: 11. 02. 2015, 22:27:45 »
S VLAN osobní zkušenost nemám, ale představoval jsem si to tak, že (pokud máte managovatelný switch s podporou VLAN):
- rozdělíte porty switche na minimálně 2 VLAN
- do 1 dáte a fyzicky přes zásuvky zapojíte pracovní stanice stěhované firmy a LAN rozhraní jejího serveru / routeru / firewallu
- do 2 dáte (a fyzicky zapojíte) WAN rozhraní serveru / routeru / firewallu stěhované firmy
- do 3, případně dalších vyřešíte podobným způsobem druhou firmu - můžete je dát i do 2, což je bezpečné pro Vás, ale už ne pro ně.

Asi nejjednodušší bude namalovat si strukturu sítě tak, jako byste si mohl tahat vyhrazené dráty propojené samostatnýmými switchi a místo vyhrazených drátů a switche použít virtuální LAN (VLAN) - tedy stávající rozvaděč a managovatelný(?) switch.

Re:Server, veřejná IP, dvě firmy - jak nastavit?
« Odpověď #6 kdy: 11. 02. 2015, 22:43:10 »
Viz. VLAN: OK, chápu, tohle je přesně to řešení, které jsem tak nějak tušil, ale neznal. Díky. V tuto chvíli se mi ale zdá asi jednodušší to řešení se oddělit vlastním routerem. Bude to potom ale bezpečné pro druhou firmu? Ale myslím, že se pro ně nic nemění. Veřejnou IP přenesu díky NAT přes modem a router na IP serveru.
Jen ještě tu poslední otázku. Budu mít tedy nastaven NAT na modemu  a našem routeru, abych se přes to dostal z venku na ten server. Je lepší kvůli rychlosti přístupu k datům na serveru dát lokály do toho našeho routeru, nebo je cpát až za server, který je sám o sobě vytížen až až (což bude ale asi bezpečnější)?

Re:Server, veřejná IP, dvě firmy - jak nastavit?
« Odpověď #7 kdy: 12. 02. 2015, 07:35:01 »
Aby to bylo bezpečné pro tu firmu, měla by také mít před svou sítí firewall. Pokud sítě oddělíte VLANy, nebudou ty sítě mezi sebou propojené přímo (že by se zařízení z vaší sítě mohlo přímo stát členem jejich sítě), ale pořád ještě mezi těmi sítěmi může fungovat normální routování. Takže pak stále ještě záleží na tom, jak bude nakonfigurovaný firewall na tom modemu (respektive na tom zařízení, kde se ty VLANy setkávají), jaký provoz dovolí mezi těmi sítěmi routovat. Pokud bude ten styčný bod spravovat správce té druhé firmy, může si nastavit firewall mezi jeho a vaší sítí už tam a nepotřebuje pak další firewall před svou sítí (a samozřejmě opačně, pokud byste ten styčný bod spravoval vy).

Jinak se tu bavíme o bezpečnosti sítí v tom smyslu, aby se někdo nedostal dovnitř. Ten, kdo spravuje modem a případné další společné prvky, samozřejmě může odposlouchávat veškerý nešifrovaný provoz a může libovolný provoz přesměrovat k sobě.

Je lepší kvůli rychlosti přístupu k datům na serveru dát lokály do toho našeho routeru, nebo je cpát až za server, který je sám o sobě vytížen až až (což bude ale asi bezpečnější)?
Ptáte se na topologii vnitřní sítě, kam připojit místní počítače? Určitě bych nevytvářel ze serveru další router a nepřipojoval stanice až k němu - to by tam pak ten vlastní router na hranici sítě byl prakticky zbytečný. Máte dvě možnosti. Buď vše připojíte dohromady k routeru (přes jeden switch), takže stanice v síti uvidí na server přímo. Pokud máte v serveru 1 Gbits kartu a 1 Gbits switch, budou moci stanice se serverem komunikovat touto rychlostí. Ale je to méně bezpečné, pokud by se vám někdo dostal na server, má stanice jak na dlani, pokud se dostane na nějakou stanici, má otevřenou cestu na server. Druhou možností je umístit server do klasické demilitarizované zóny (DMZ), tj. server bude v samostatné síti a provoz mezi ním a stanicemi bude routovat (a "fiewallovat") ten hraniční router. Je to bezpečnější, na druhou stranu, levné routery neuroutují 1 Gbits.

Re:Server, veřejná IP, dvě firmy - jak nastavit?
« Odpověď #8 kdy: 12. 02. 2015, 09:05:53 »
Ale je to méně bezpečné, pokud by se vám někdo dostal na server, má stanice jak na dlani, pokud se dostane na nějakou stanici, má otevřenou cestu na server.
Jenom malá poznámka: není to sice učebnicově čistý návrh, ale běžně se používá, protože pro potřeby normálních firem (tj. ne banka), kde server primárně slouží stanicím a zároveň poskytuje nějaké drobné služby ven (např. dovnitř samba, ven malý statický web, smtp apod.), dává smysl.

Napadení stanic ze serveru bych neřešil, protože v praxi je kompromitace samotných stanic daleko pravděpodobnější. A napadení opačným směrem není tak horké, protože server tak jako tak asi bude mít endpoint firewall - takže ze stanic se dostanu přesně na ty samé porty, na které bych se dostal přes DMZ. Nějaké kejkle typu arp poisoning sice můžou vyvolat DOS, ale neměly by vést přímo ke kompromitaci serveru.

Re:Server, veřejná IP, dvě firmy - jak nastavit?
« Odpověď #9 kdy: 12. 02. 2015, 10:54:18 »
Napadení stanic ze serveru bych neřešil, protože v praxi je kompromitace samotných stanic daleko pravděpodobnější.
Psal jsem to proto, že je potřeba si uvědomit, že kvůli tomu serveru je udělaná „díra“ do NATu a firewallu, která propouští dovnitř sítě provoz navázaný zvenku. Je tedy potřeba si to víc pohlídat, aby ta díra neumožňovala přístup někam jinam (což je snazší) a aby se útočník nemohl dostat někam jinam přes ten server – např. že z venku pošle UDP paket se zfalšovanou zdrojovou IP adresou, server na ten paket odpoví a odpověď pošle do vnitřní sítě.

Re:Server, veřejná IP, dvě firmy - jak nastavit?
« Odpověď #10 kdy: 12. 02. 2015, 11:05:05 »
aby se útočník nemohl dostat někam jinam přes ten server – např. že z venku pošle UDP paket se zfalšovanou zdrojovou IP adresou, server na ten paket odpoví a odpověď pošle do vnitřní sítě.
Souhlas. Ale to obvykle odchytne hraniční router, protože uvnitř sítě jsou v těhle případech vždycky privátní rozsahy, které by router měl zahazovat.

tatarko

Re:Server, veřejná IP, dvě firmy - jak nastavit?
« Odpověď #11 kdy: 13. 02. 2015, 14:11:49 »
nejak

D.J.Boo

Re:Server, veřejná IP, dvě firmy - jak nastavit?
« Odpověď #12 kdy: 13. 02. 2015, 18:52:50 »
Co nastavit?
Poněkud strohý požadavek.

smrk

Re:Server, veřejná IP, dvě firmy - jak nastavit?
« Odpověď #13 kdy: 14. 02. 2015, 09:05:43 »
Idea by mela bit takova ze kazda firma bude mit svoji vlastni VPN, dal uz je to o konkretnich pozadavcich a te siti.