Иногда некоторые из моих коллег чувствуют себя обязанными приводить своих детей работать с ними. (Я чувствую себя обязанным ударить их, но это, вероятно, тема для Parenting.SE.) Чтобы ребята ^ H ^ H ^ H ^ H ^ H дети не мешали никому, мой босс заставил меня создать несколько постарше. компьютеры в комнате отдыха, чтобы они могли играть. Чтобы гарантировать, что они не смогут все разрушить, я подключил 4-портовый концентратор Ethernet к одному из пустых портов на задней панели нашего кабельного модема и поместил «забавные» компьютеры в их собственную подсеть. Таким образом, у них есть доступ в Интернет, но они не являются частью нашей сети. (По крайней мере, я на это рассчитываю.)
Мы использовали эту установку около месяца, и могущественная сила Facebook удерживала детей (более или менее) от наших волос. Что ж, сегодня вечером, пока я проводил плановое обслуживание всех систем, я решил посмотреть, чем занимались дети. Судя по всему, они взяли на себя задачу уловить все отрывочные вредоносные программы, которые когда-либо были в Интернете. Я устанавливаю пароли в системах (так что они не могут работать, пока я не разберусь) и выключаю их, но внезапно я очень беспокоюсь - есть ли способ для этих систем получить доступ к нашей внутренней сети ? Кроме того, я немного обеспокоен тем, что они могли получить какие-то вещи, которые могли бы получить их личную информацию.
Очевидно, моим следующим шагом будет очистка компьютеров и предоставление им ограниченного доступа только для пользователей, но мне интересно - были ли системы когда-либо угрозой для нашей сети?
На случай, если раньше я не был достаточно ясен, вот краткая диаграмма:
|
|
|
Internet
V
|
|
|Cable Modem|
| L___________________
| |
| |4-port switch|
| |
|Router/DHCP Server| |
| / Firewall | [Kids' Computers]
|
|
|Network Switch|
|
|
[Rest of Network]
Спасибо за любой вклад.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Мне нравятся дети. Я действительно. Я просто ненавижу прерывания и крики, и я думаю, что это вполне разумно.
Вы действительно не упоминаете текущую настройку с точки зрения того, какой доступ имеет подсеть, в которой находятся дети, через шлюз по умолчанию к вашей подсети на рабочем месте: я предполагаю, что вы не определили никаких явных запретов.
1.) Я хотел бы проверить, не занесены ли какие-либо из ваших рабочих IP-адресов в черный список. Я не знаю, размещаете ли вы свой собственный почтовый сервер или нет, но если вы это сделаете, и вас добавят в RBL из-за рассылки спама (многие вредоносные программы, например, рассылают спам), это может быть проблемой. Мне нравится этот сайт для проверки статуса рубля - Проверка нескольких RBL
2.) Если у вас нет явных запретов на вашем маршрутизаторе, которые разрешают трафик из «забавной» подсети только в Интернет и не разрешают взаимодействие с вашей подсетью на рабочем месте - я сделаю это как можно скорее.
3.) Если все еще беспокоишься - не помешает бежать Байты вредоносного ПО на одной из ваших машин, которая до этого должна была быть относительно чистой.
Что касается детей, сбрасывающих личные данные, это беспокоит их родителей, а не вас. Основываясь на вашем рисунке, я бы сказал, что вы в безопасности, поскольку похоже, что детская сеть находится за пределами вашего брандмауэра. Брандмауэры запрещают входящий трафик извне, за исключением трафика, который вы специально разрешаете с помощью правил брандмауэра. Если вы разрешаете входящий трафик HTTP, SMTP и т. Д. Для внутренних серверов, сомнительно, что риск того, что дети будут его использовать, больше, чем у широкой публики.
Пока две сети не были маршрутизируемыми, проблем возникнуть не должно. Если вы подключены напрямую к кабельному модему в детской сети, а затем бизнес-сеть находится за брандмауэром, который также подключается к другому порту на кабельном модеме, похоже, у вас не должно быть никаких проблем, с которыми не мог бы работать ваш брандмауэр. я держался подальше.
Вы могли бы добавить одну вещь - убедиться, что данные извне брандмауэра не могут быть перехвачены из детской сети. Вы должны иметь возможность сделать это с помощью какой-то зоны DMZ, которую вы настроили бы для детской сети.
Заявление об отказе от ответственности не требуется. Детям не место на рабочем месте, разве что приводить детей на работу, и даже в этом случае я бы не ожидал, что мой офис будет их загружать, это моя работа.
Теоретически эти устройства представляют собой не большую угрозу, чем любые внешние устройства, однако предполагается, что ваш кабельный модем / провайдер не выполняет никакой фильтрации, на которую вы рассчитываете для обеспечения безопасности.
Подключите детей только к IPv6.
Таким образом, они все равно смогут получить доступ только к нескольким веб-сайтам. В основном хорошие, Facebook, Google, Youtube ..