Защита ЛВС от несанкционированного доступа через выделенный канал Интернет | Windows для системных администраторов

Защита ЛВС от несанкционированного доступа через выделенный канал Интернет

Необходимость защиты локальных вычислительных сетей от несанкционированного доступа через выделенный канал Интернет


За последние 2 года роль сети Интернет в сфере малого и среднего бизнеса особенно выросла. Это связано с понижениями тарифов на выделенные линии, построенные на технологиях ADSL, SDSL, ISDN, а также с необходимостью организаций в оперативном обмене информацией.

схема ЛВС

схема ЛВС

По нашей статистике, 2 года назад выделенный интернет-канал имелся только у 5% наших клиентов. На сегодняшний день их около 90%. При этом никто не использует под Интернет отдельно стоящую локальную рабочую станцию (проще говоря, компьютер). Конечно, Интернет нужен всем сотрудникам в организации, даже бухгалтеру.
Поэтому, получив доступ по выделенной линии, у многих (я сужу по опыту работы с клиентами) возникает желание скорее подключить провод в свою локальную сеть, произвести минимальные настройки на рабочих станциях и получать удовольствие от хорошей связи.

А теперь о главном.
Вопрос первый:
Насколько рискованно подключать свою локальную сеть к выделенному интернет-каналу?
Проведем эксперимент.
Подключаем провод, ведущий от xDSL-модема в концентратор. Получив доступ в Интернет с любой рабочей станции, заходим на сайт http://grc.com/ и выбираем ссылку ShieldsUP! и далее Test my shields. Вы видите внешний IP-адрес вашего компьютера и все папки компьютеров в локальной сети, у которых открыт доступ. Это значит, что любой пользователь сети Интернет может из этих папок скачать данные, а не сильно продвинутый хакер может добраться и до всей остальной информации. Порой кажется, что клиенты просто не понимают всю катастрофичность данной ситуации.
Мы эту процедуру проделываем всегда, когда хотим протестировать локальную сеть на предмет защиты от проникновения извне. Доходит до смешного: при проверке интернет-портов одной организации мы увидели свободный доступ к базам данных бухгалтерии, а во флоппи-дисководе совершенно открыто «виделась» дискета с цифровой подписью системы клиент-банк! Естественно, в течение дня эта проблема была нами решена.
Другой пример. Огромное здание, в котором арендуют офисы сотни фирм. По всему зданию проложена сеть, доступ в Интернет предоставляет некая фирма, протянувшая себе в это здание оптический канал. Маленькая фирма, у которой 8 компьютеров в локальной сети, подключается в эту общую сеть. И с ужасом обнаруживает в сетевом окружении сотни компьютеров с открытым доступом к информации.

Вопрос второй:
Как сделать надежную защиту локальной сети от несанкционированного доступа извне?

Представьте себе подводную лодку. Как выйти водолазу из лодки, находящейся на глубине? Для того, чтобы при открытии люков не была нарушена герметичность корабля, существует шлюз — специальная камера, запоняемая водой или воздухом, в зависимости от того, что нужно — выйти или войти.
Тот же принцип и в компьютерных сетях: ваша локальная сеть — это корабль, а сеть Интернет — это океан. Для того, чтобы разделить эти две сети, тоже нужен шлюз или маршрутизатор. Он не позволяет этим сетям «видеть» друг друга, но обеспечивает локальную сеть доступом в Интернет, а также почтовым и ftp-доступом.

Для аудита безопасности своей сети прочитайте статьи «Как протестировать firewall«, «как можно защитить Windows системы, изменив номер порта rdp», «Логи брандмауэра Windows«.

Еще записи по теме: Разное, Сети
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 4

Оставить комментарий
  1. czes | 27.11.2011

    В некой фирме я видел я видел подключение выделенной линии непосредственно в свитч.
    Прокомментируйте, пожалуйста, результат такой оригинальности.

    Ответить
  2. czes | 27.11.2011

    Извините за невнимательность — читал бегло.
    Вы уже описали сей случай…:((

    Ответить
  3. Андрей | 26.01.2015

    Заходим на сайт _http://grc.com/ и выбираем ссылку ShieldsUP! и далее Test my shields.

    Зашел как в вашей статье, все облазил Test my shields не нашел.

    Ответить
    • itpro | 26.01.2015

      Нужно нажать на первой странице кнопку Proceed, а на новой странице GRC’s Instant UPnP Exposure Test

      Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.00154 sec