Základní znaky správně zabezpečené sítě
Zdravím všechny. Tak jsem včera řešil zde na poradně něco s routerem a tak mě napadá, jak je to se zabezpečením. Co by mělo být nastaveno, co nemusí. Rád bych tímto otevřel vlákno, kde byste mi poslali Vaše připomínky, co považujete vy za základní a nezbytné věci, pro správně zabezpečenou síť.
Třeba určitě jeden z nich je změnit si heslo k administraci routeru a další věc je zvolit správný typ šifrování pro WN.
Ale jako k síťovému provozu mě zas tak moc věcí nenapadá. Maximálně mě napadá omezit práva a sdílení ostatních uživatelů. Předem díky všem, co obohatí mé znalosti
První otázka, a to poměrně zásadní, v jakém prostředí a na jakých aktivních prvcích hodláš to zabezpečení realizovat.
Když vemu příklad mé "domácí" sítě, tak pak je tu internetu předřazena dvojice routrů (jeden CORE, druhý se stará pouze o NAT a připojení Site-to-Site VPN), klienti mají zakázaný provoz přes port 25 přímo ven. Je vytvořeno několik bezdrátových sítí podle účelu, včetně free wifi. Ta je ovšem silně omezená a to i na rychlosti. Dalším sítím jsou povoleny jen komunikace, kam aktuálně potřebují, silně omezena je komunikace do/z DMZ a serverové VLAN. Žádný systém nemá výchozí přístupové údaje a všechny podstatené systémy mají managemen ve vlastních VLAN, kde je firewallem omezován přístup. Uživatelé, pokud mám zařízení pod správou já (terminálový server, můj počítač atd.) nemají vůbec administrátorská práva pro ten systém.
Ale tuhle situaci si asi nemyslel, že?
ne měl jsem na mysli klasický rodinný domek- 3 pécéčka přes jeden router maximálně a spuštěnou wifi (stačí spravovat jednu).
Já to taky mám pod jednou správou. Ještě tak to konfigurovat každé zvlášť.
unifi
wifi: zabezpečení wpa s tkip. kvůli mobilům nechcu dávat aes. vypnout wps/qss.
naopak filtrování mac adres odradí snad jen náhodného kolemjdoucího, není k ničemu.
router: změna admošského hesla samozřejmě. samotný router je díky natu první ochranou.
síť: sdílení není zlo. normální je ale přiměřené zabezpečení. v home verzích nebo v domácí skupině se nepoužívá řízení přístupu pomocí hesel - tam je potřeba nejdřív sdílení omezit, a vybrat jen bezpečné adresáře.
pc: samozřejmě účty správce jsou zaheslované. pro běžnou činnost správce není potřeba.
firewall nepovažuju za nutný - pokud není někdo v domácí síti notorickým stahovačem a spouštěčem virů.
Mohl bys mi prosím udělat jasno v tom, jak je to s tím sdílením?
Jaký je rozdíl mezi zjednodušeným sdílením a tím "normálním" a kde to nastavit? A jak do toho všeho zapadá domácí skupina?
Jak souvisí se sdílením karta zabezpečení, kde nastavuješ oprávnění pro ostatní uživatele. Dík mám v tom trochu šrumec, že ani sám nevím které to sdílení tam teď mám. Jen vím, že nemám domácí skupinu
ovl.panely - vlastnosti zlozky - tam je na jednej karte tak dlhy zoznam a tam mas nastavenie zednodusene sdielni.
Ked je zaskrtnute tak neexxistuju opravnenia ptz v MS mal asi nejaky uplny dement rozhodovacie pravo, dufam ze uz je v liecebni.
Az to vypnes tak pri zdielani existuju opravnenia (nutne zadat meno heslo uctu na danom PC) a zapne sa aj moznost nastavovat opravnenia na zlozkach a suboroch cez pravy klik.
Domacu skupinu nenastavuj proste nikde kde su slova ze domaca skupina vobec neklikaj. To len zas mal nejaky pacient v MS pravo rozhodovat o niecom skvelom :)
mimo domácí skupinu totiž existují normální zásady pro sdílení = řízený přístup podle uživatele.
centrum sítí a volba sítě.
veřejná síť naopak neumožní sdílet nic.