Записки инженера


блог о локальных сетях, серверах, ВОЛС, ЛВС и многом другом...

Информационная безопасность локальной сети

После строительства крупного объекта, заказчику все понравилось и он решил у нас так же заказать услугу, информационная безопасность локальной сети.

Строительство данного объекта заключался в следующем:

  • Монтаж волоконной локальной сети, прокладка линий, сварка, рефлект линий, и пуско-наладка.
  • Монтаж медных линий для сетевых устройств. В данном случае это было видеонабюдение, видео сервера и сервера для различных задач.
  • Установка сетевого оборудования и его тонкая настройка. Почему тонкая, а потому что данная сеть передачи данных делилась на кучу виртуальных сетей, для большого количества задач.

По мимо настройки для правильной работы сети, так же была поставлена задача обезопасить сеть от внешнего проникновения и внутренней безопасности, защиты от злоумышленников.

Из оборудования за основу были взяты коммутаторы с технологией L2, сервера, шлюз-маршрутизатор mikrotik. Мы подняли виртуальные подсети с помощью технологии vlan. В качестве управляемого влана назначили не стандартный 101 влан, для большей безопасности.

В качестве шлюза был выбран маршрутизатор mikrotik. В него стекались все подсети для выхода в сеть интернет и поднятия мониторинга с помощью софта для mikrotik под названием thedude. Для того, что бы сети не пересекались между собой и не было доступа из одно влана в другой, было принято решение с помощью службы Routes на микротике, заблокировать хождения трафика между сетями.

В некоторых вланах была необходимость совсем закрыть доступ в сеть интернет, для этого использовали правила в фаерволе на микротик. Информационная безопасность локальной сети, относится так же и к привязке оборудования по mac и ip адресу. Для этого на коммутаторах поднимаем службы для блокировки портов неизвестных устройств которые ранее не были внесены в таблицу и создано правило на коммутаторе для доступа их в сеть с определенного порта, по принципу ип+мак.

В случае если злоумышленник каким то образом узнавал mac адрес, то его подмена не помогала ему выйти в сеть и получить доступ к устройствам в сети. Вообще надо четко понимать какие устройства будут находиться в определенном влане и минимизировать на них выход в интернет, например разрешить только те порты которые используют непосредственно программы.

Конечно на шлюзе настраивается фаервол, но и дополнительные меры не помешают.

Если у вас есть локальная сеть различной модификации, будь то сетка для видеонаблюдения и вы не думали о ее безопасности, то советую обратиться к нам в компанию Мастер Монтаж, мы знаем о безопасности все.


Возврат к списку