2 sítě potřebujou propojit kvůli datům
Zdar,
dotaz z práce:
Máme 2 lokální sítě, každá má jinou bránu a teda jiné IP adresy, jedna je 10.1.x.x, druhá je 10.2.x.x.
Jedničková síť je na internetu, dvojková je zabezpečná a na internetu není, ale ta dvojková není vysloveně fyzicky odstřižená, jen prostě má na routeru nastaveno oddělení od internetu a od druhé sítě. Přitom teda je tam udělaný prostup na emailový podnikový server a na aktualizační windows server, ty jsou pro obě sítě společné. Každá síť má vlastní doménu. Všechno tam jsou Windowsovské stanice.
Máme takový problém, že si potřebujeme z obou sítí navzájem vyměňovat nějaká data a je jich poměrně hodně, objemově v řádu jednotek až desítek GB.
V současnosti prostě chytnu flashku nebo externí disk, připojim to na počítač v jedničkové síti, stáhnu data, odpojím to. Jdu k počítači ve dvojkové síti, připojim flashku, stáhnu z ní data, můžu pracovat.
Je to otravné.
Měli tu nápad nějakého FortiSandboxu, ale zjistili, že si to s objemem našich dat neumí poradit.
Jak byste podobný problém řešili vy?
Já bych připojil do sítě NASku (s dvěma LAN konektory).
Když bude NAS se dvěma LAN konektory, jeden 10.1.x a druhý na 10.2.x. Nemůže být NAS z té sítě 10.1.x připojené k internetu kompromitován a následně kompromitovat i tu síť 10.2.x?
Jenom možná, abych dovysvětlil. Dřív jsme měli jednu síť celou připojenou k internetu, ale napadli nás přes nějakou bezpečnostní chybu hackeři a počítače zašifrovali. Byla poměrně velká škoda, ikdyž v mém provozu byla nejmenší, protože jsem si dělal image disků, takže jsem toho hodně rozběhl z těch image systému do několika dní. Také jsem to tehdy podcenil a některé image jsem neměl offline a ty mi taky zašifrovali, dneska už je dávám offline hned po vytvoření.
Potom to IT udělalo tak, že rozdělilo síť na dvě a ten kdo nepotřebuje být na internetu, je v síti 10.2.x, která na netu není. Jenže i tak potřebujeme přijímat nějaká data vně a naopak některá zase exportovat ven a teď se to teda dočasně dělá přes ty flashky, to ale není ideální.
Když to bude správně nakonfigurované, neměl by být problém.
Jen mě udivuje, že to řeší zaměstnanec a ne vaše IT oddělení, příp. nějaká externí firma. Bezpečnost bych nepodceňoval.
IT si neví rady a navrhlo právě hledat externí firmu, ale já tam potřebuju pracovat s těmi daty dovnitř a ven, tudíž jsem začal hledat sám řešení, které bych IT navrhnul, protože externí firma je mi jasné, že to je minimálně na 6 měsíců ne-li celý rok než se to nějak rozhýbe a já už to další rok s flashkou v ruce nedám.
Počkej si na síťaře flega nebo touchwooda, něco určitě vymyslí. Ale od myšlenky k realizaci je někdy dlouhá cesta a hlavně je potřeba to udělat správně, jinak si koledujete o prů...švih.
Jestli si vaše IT neví rady, to pro ně není dobrá reklama.
Host to napsal v podstatě správně. Běžná kryptohavěť počítá s blbostí užovek a "defaultním" prostředím Windows. Tudíž jakýkoli "úkrok stranou" (NAS s Linuxem, použití jiného než SMB sdílení dat - NFS, nebo dokonce aplikačně, např. pomocí Nextcloud) je parciální vítězství, které zastaví nejen malware, ale i většinu kinderhackerů.
Podle mě zcela neprůstřelné řešení tohoto konkrétního problému je linuxový server viditelný z obou sítí (nemusí mít ani dvě síťovky), na kterém běží nextcloud - pro výměnu běžných souborů to stačí. Pokud bys chtěl zálohovat disky, tak použít NFS, ale tam platí, že je musíš připojovat a odpojovat dynamicky, resp. počítat už s tím, že data na nich mohou být v případě kompromitace stroje, který na ně má přístup, být rovněž zašifrována. Pro Windows existuje i Nexcloud client (něco jako OneDrive), ale to z mého pohledu už trochu snižuje vlastní bezpečnost celého řešení - nasaditelné by to bylo asi jen ze strany té "bezpečné" sítě.
Těch řešení je samozřejmě vícero (např. Sharepoint), ale jsou daleko složitější a neskonale dražší. Tady budou náklady prakticky nula, pokud máte v práci volný nějaký starý PC.
Ok, dík.
Budu teda mít linuxový server s Nextcloud připojený do 10.1.x (síť na netu) a bude na nej prostup i do sítě 10.2.x (zabezpečená síť). Klienti ale budou muset být na obou stranách, aby mohli přijímat a odesílat data a klientské počítače jsou Windows, takže to bezpečné nakonec nebude, podle toho, co sám píšeš.
Určitě se nejedná o zálohování celých disků, ale jednotlivých souborů. Ty však mohou být dost velké (od 1MB klidně až do 1GB).
Linuxovy server je vlastne akekolvek NASko. Myslim, ze aj pre Synology, ci QNAP su k dispozicii cloudove aplikacie, ale to sa mi zda v tomto pripade zbytocne....je to dalsi system, ktory musis spravovat.
Pre jednoduchost by som nasadil normalne zdielanie cez CIFS a toto zdielanie by som pravidelne synchronizoval na ine miesto na disku. NAS ti pri vhodnom disku (thin, thick) umozni robit zaroven snapshoty, co ulahci pripadne poskodenie jednotliveho suboru uzivatelom/virusom.
Ak chces mat 100% istotu moze NAS v noci robit synchronizaciu smerom do cloudu na nete.
Takto to robim ja u zakaznikov a zatial ziaden problem, pouzivam akurat vacsinou QNAP namiesto Synology, aj ked niektori mali uz nakupene Synology.
Co sa tyka bezpecnosti hacker by musel napadnut pc na sieti (co mozne je), to pc by muselo napadnut NASko (co je uz nerealne) a ak by si mal zalohu v cloude na nete cez to NASko by muselo napadnut cloud na nete....to sa moze dat do filmu, ale v praxi je to nerealne.
jedna věc je bezpečnost vlastních dat, druhá pak možnost přes SMB dio druhé sítě propašovat malware.
Data maju byt zalohovana...ked citam taketo pripady ako im nieco zasifroval virus a oni nemali zalohu...tak len mavnem rukou, ze to asi neboli dolezite data.
Zálohovaná data jsou k ničemu, pokud nejsou offline, jinak se šifrovací virus dostane i k záloze.
Offline zálohy jsou problém, máme je také, ale už je to náročné na lidskou práci, protože někdo musí někde vyměnit fyzicky nějaké pásky (disky) ....
Ty vole jasne, ze mozu byt online, ale nemaju byt nikomu pristupne.
Ja, ked zalohujem zakaznikovi mam uvedene v zmluve, ze k datam mam pristup len JA a nikto iny. Ak sa obnovuje zo zalohy zakaznik vola mne a ja obnovim, co potrebuje.
Akonahle trva zakaznik na pristupe k zaloham nemam ziadnu zodpovednost za zalohovane data.
Zaloha sa nedaju zasifrovat, pretoze ma k nim mat pristup len zodpovedna osoba priamo na stroji, ktory zalohuje.
Aby tento system ransomware obisiel museli by mi hacknut priamo NASko, na ktorom mam zalohy.
A kedze zalohy mavam na 2 miestach sucasne a druhe byva mimo firmu tak by musel hacknut aj to.
Co je uz nerealne.
ZOPAKUJI: Klienta nepotřebuješ. Drag-n-drop funguje i v rámci browseru a browser je defaultním klientem.
Zcela bezpečné není nikdy nic, jakmile to je na síti. Ale protože si ty soubory budeš předávat pomocí http(s), zcela obejdeš běžné souborové protokoly, na které se útočníci zaměřují jako první a s jejichž pomocí pak šíří nákazu dál. A v tom tkví celý vtip takového řešení, běžný malware na takové postupy bude krátký.
Aha, jenže to bude pomalé, přes http se to bude přenášet dlouho, to v tomto případě není řešení.
Proč by to mělo být pomalé? Běžně to funguje velmi svižně. S normálním HW a RAM v běžném rozsahu (4-8GB) se běžně dá zahltit gigabitové rozhraní. Pokud admin dodrží všechny doporučení na konfiguraci, není s tím žádný problém.
Jen tak, nějaké čtení:
https://www.synology.com/cs-cz/dsm/solution/ransomware
https://blog.synology.com/cs-cz/ochrana-ransomware/
https://kb.synology.com/cs-cz/DSM/tutorial/How_can_I_prevent_ransomeware_attacks_on_my_Synology_device
https://www.youtube.com/watch?v=9gkSppGRT9w
Není problém počítač server se 2 síťovkami a přes něj provádět synchronizaci.
V registru povolit Router
Pak je třeba nastavit u sítě s bránou v nastavení síťové karty ručně metriku na nižší (třeba 5) a u sítě 10.2. zase metriku vyšší (třeba 10)
Pak ještě můžeš nastavit routu, aby pro 10.2.x chodil na správnou síťovku, ale není to úplně nutné, on si s tím poradí.
Routu bys potřeboval, pokud bys na 10.2.x chodil s jinými adresami mimo 10.1.x a 10.2.x - musíš mu říct, že třeba 10.12.x bude přes druhou síťovku.
Já tomu nerozumim, co se mi snažíš vysvětlit.
Budu teda mít PC se dvěma síťovkami, jednu zapojim do 10.1.x, druhou do 10.2.x. Nastavim u síťovky 10.1.x metriku na nižší (může být třeba i číslo 1?) a u síťovky 10.2.x metriku na vyšší (třeba 2?). V registru systému povolím routování.
A co potom?
Píšeš o synchronizaci. Jako že by mi na tom PC se dvěma síťovkami běžel rsync a koukal se do síťových složek nějakých dvou vnějších počítačů, jednoho v síti 10.1.x a druhého v síti 10.2.x a synchronizoval data na těch dvou vnějších počítačích?
Děkuju za odpověď.
Ano, myslel jsem počítač, který by prováděl nějakou synchronizaci dat ze dvou sítí místo přenášení disků.
Pokud je možné použít úložiště, do kterého budou přistupovat obě sítě, pak je lepší Hostovo řešení
Proč je lepší? Z hlediska bezpečnosti, aby tam nepornikl kryptovirus?
Protoze obe site mohou pouzivat spilecna data a nemusis pouzivat synchronizaci. Navic soucasny NAS umoznuje zalohovani pomoci snapshotu s historii, takze pokud by ti to napadnul cryptovirus, jsi schopny to obnovit.
Mas 2 reseni - spolecne uloziste nebo pocitac, ktery bude mit pristup k obema sitim a bude synchronizovat data primo bez nutnosti to resit externim nosicem.
To myslím, že by nebylo potřeba. Na tý síti 10.2.x respektive na počítačích v ní jsou důležitá data, tam nesmí kryptovirus proniknout. A probíhá tam nějaký proces s těmi dat, na jehož konci je záloha. Ale ty dočasný data, která potřebujeme posílat mezi těma sítěma, nejsou z tohoto pohledu důležitá, respektive ty důležitá budou mít svůj originál stále někde na PC v 10.2.x, dokud neproběhne zpracování těch dat.
Pokud jsou oddělené, tak to prostě nepůjde. Ten router, který je propojuje, holt blokuje pravidlo FORWARD mezi 10.1 do 10.2 a 10.2 do 10.1
Ked blokuje urcite vie nastavit aj vynimky na jednu koncovu adresu, ktoru blokovat nebude nemyslis?
Otazka je, ci ma pristup k tomu routru.
Ano. Jak píše Fleg, dá se udělat exception rule, ale to pak taky znamená, že kompromitace hostitele, na kterého je povolen síťový provoz, bude znamenat i kompromitaci té pseudoairgapped sítě.
Děkuji všem za odpovědi.
Možnost 1, která mi přijde schůdná a zkusil bych ji prosadit, aby se to ozkoušelo, jak píše touchwood:
Linuxový PC s NextCloud a viditelností z obou sítí, na který by se přistupovalo přes http a přes to by se daly na ten počítač s běžícím NextCloudem kopírovat soubory z jedné sítě nebo druhé sítě.
Možnost 2, která mi přijde lepší z organizačního hlediska, jak píše JaFi:
Linuxový PC, který by měl dvě síťovky a běžela by na něm synchronizace složky v síti 10.1.x a složky v síti 10.2.x. Tohle by bylo jednodušší a navíc by to umožňovalo před synchronizací provést kontrolu formátu toho souboru, čímž by se zabránilo tomu, aby se synchronizovaly jiné soubory, než které se přenášet mají a nepřešel by přes to třeba nějaký EXE soubor. Akorát by tam asi měla běžet Samba nebo respektive nevím, jestli je něco, co rozumně rychle umí synchronizaci souborů i přes nějaký jiný protokol?
Btw NASko ti splna moznost cislo 1 aj 2.
Nevim jak mi zajistí NAS možnost 2 s ohledem na nutnost prověřit formát souborů před jejich nakopírováním do počítače na sítit 10.2.x. To by mi tam asi musel běžet ještě nějaký počítač, který by to před uložením na NAS kontroloval.
------
Naopak jak tak to studuju, tak mi přijde, že by mohlo jít udělat, že by počítač se dvěma síťovkama měl povolený smb směrem do lokální nezabezpečené sítě 10.1.x. V nějaké složce někde na úložišti, které tam máme, by byly data. A na tom počítači se dvěma síťovkama by běžel rsync, který by si na ty data sáhnul a synchronizoval je oproti složce někde v síti 10.2.x. Směrem do té zabezpečené 10.2.x by mohlo být povolené jen NFS a ten rsync by ty data teda kopíroval z 10.1.x složky přes smb na 10.2.x složku přes nfs a obráceně. Vždycky před synchronizací by se každý soubor prověřil přes skript, který by mu řekl, jestli má soubor povolený formát a jen ten by se synchronizoval, nepovolené formáty souborů by se tím pádem ze synchronizace vyloučily.
To mi přijde dobrý, co na to říkáte?
Opakujem toto zvladne aj NAS. Nas je linux, pouziva na CIFS Sambu a Samba vie restrikcie pre typy suborov.
Přes příponu nebo jak?
My bychom četli hlavičky souborů a dál pustili jen ty, které chceme.
Zbytocne komplikujes veci.
Zapisovanie sa da kontrolovat povolenymi pc cez ip adresy potom povolenymi usermi (pred zapisom sa musis autentifikovat), potom povolenymi typmi suborov a nakoniec samotnym antivirom na klientskej stanici, ci NASku.
Toto plne postacuje.
Kontrolovat hlavicky suborov mozes cez nieco co si spravis v cecku, ale do toho musis spravit skript, ktory ti bude spustat tebou skompilovany program na kontrolu hlavicky, ktory nasledne povoli zapis na disk...ale preco by som to robil takto komplikovane preboha?
Jestli se bude kontrolovat zápis skrz povolená PC nevim, je to možné, autentifikace povolených uživatelů bude určitě, povolené přípony souborů myslim v plánu nebyly, ale asi by nebyl problém, antivir na klientské stanici bohužel je a pak je požadavek na kontrolu hlaviček souborů, já si ho nevymyslel. Jen se snažím najít cestu jak požadavky realizovat pokud možno jednoduše tak, aby se daly realizovat za minimum peněz a tim pádem co nejdříve, protože na řešení externě nechci čekat rok.
ty kontroly hlaviček mi přijdou zábavné: setkal jsem se kdysi s virem ("virut", po modifikaci asi ransomware), který se bavil tím, že všem spouštěným souborům přidával za konec souboru svůj skrytý kód. viděl a spouštěl ho jedině nakažený proces v paměti, windows nebo správce souborů ne.
rozšířil se tak hodně rychle do celé sítě, naštěstí bez přístupu ven, chyběla mu stáhnout právě ta výkonná část a tak nedělal nic.
Jenže princip té zabezpečené sítě 10.2.x musí být přeci ten, že žádný nakažený proces v paměti nebude a pokud by nám na dejme tomu nakazil síť 10.1.x a bude umísťovat za konce našich souborů svoje data, tak po jejich přesunu do zabezpečené sítě je to jedno, když je tam nebude mít co spouštět.
Co bys na to řekl?
reagoval jsem na bezpodminecne nutnou kontrolu hlavicek souboru, ze muze byt k nicemu.
zabezpeceni "interni" site 10.2 nijak nezpochybnuju, i kdyz vim, ze prave v takove siti se vyskytuji ruzna zarizeni i od externich dodavatelu a jejich kultura je nizsi nez u klasickych firemnich pc.
Nie nesnazis...momentalne si klasicky prototyp uzivatela, co si na poradnu pride po radu, ale on uz vie aku radu chce dostat...akonahle mu niekto ponuka inu cestu odmieta ju.
Pritom samozrejme uzivatel nie v danom probleme zbehly a naopak rady, ktore dostava dostava od fachamanov v obore...napriek tomu vsetky neguje a odmieta.
Ved som to tu videl 1000x, nielen pc, aj na kutilskej, ci inych poradnach.
Rady si dostal, neviem este co by si chcel.
Já nic neneguju.
Za rady naopak velmi děkuji.
Přijde mi, že z debaty vzešly dvě funkční řešení, jedno přes NAS a druhé přes linuxový počítač. Při řešení přes linuxový počítač vidím výhodu v možnosti navíc provádět kontroly formátu souborů na tom počítači.
Tak jenom takový info, že to neprošlo, požadujou antivir. Je to nesmysl, antivir celou situaci zpomaluje tak, že to není funkční, kašlu na ně.