2 sítě potřebujou propojit kvůli datům
Zdar,
dotaz z práce:
Máme 2 lokální sítě, každá má jinou bránu a teda jiné IP adresy, jedna je 10.1.x.x, druhá je 10.2.x.x.
Jedničková síť je na internetu, dvojková je zabezpečná a na internetu není, ale ta dvojková není vysloveně fyzicky odstřižená, jen prostě má na routeru nastaveno oddělení od internetu a od druhé sítě. Přitom teda je tam udělaný prostup na emailový podnikový server a na aktualizační windows server, ty jsou pro obě sítě společné. Každá síť má vlastní doménu. Všechno tam jsou Windowsovské stanice.
Máme takový problém, že si potřebujeme z obou sítí navzájem vyměňovat nějaká data a je jich poměrně hodně, objemově v řádu jednotek až desítek GB.
V současnosti prostě chytnu flashku nebo externí disk, připojim to na počítač v jedničkové síti, stáhnu data, odpojím to. Jdu k počítači ve dvojkové síti, připojim flashku, stáhnu z ní data, můžu pracovat.
Je to otravné.
Měli tu nápad nějakého FortiSandboxu, ale zjistili, že si to s objemem našich dat neumí poradit.
Jak byste podobný problém řešili vy?
Děkuji všem za odpovědi.
Možnost 1, která mi přijde schůdná a zkusil bych ji prosadit, aby se to ozkoušelo, jak píše touchwood:
Linuxový PC s NextCloud a viditelností z obou sítí, na který by se přistupovalo přes http a přes to by se daly na ten počítač s běžícím NextCloudem kopírovat soubory z jedné sítě nebo druhé sítě.
Možnost 2, která mi přijde lepší z organizačního hlediska, jak píše JaFi:
Linuxový PC, který by měl dvě síťovky a běžela by na něm synchronizace složky v síti 10.1.x a složky v síti 10.2.x. Tohle by bylo jednodušší a navíc by to umožňovalo před synchronizací provést kontrolu formátu toho souboru, čímž by se zabránilo tomu, aby se synchronizovaly jiné soubory, než které se přenášet mají a nepřešel by přes to třeba nějaký EXE soubor. Akorát by tam asi měla běžet Samba nebo respektive nevím, jestli je něco, co rozumně rychle umí synchronizaci souborů i přes nějaký jiný protokol?
Nevim jak mi zajistí NAS možnost 2 s ohledem na nutnost prověřit formát souborů před jejich nakopírováním do počítače na sítit 10.2.x. To by mi tam asi musel běžet ještě nějaký počítač, který by to před uložením na NAS kontroloval.
------
Naopak jak tak to studuju, tak mi přijde, že by mohlo jít udělat, že by počítač se dvěma síťovkama měl povolený smb směrem do lokální nezabezpečené sítě 10.1.x. V nějaké složce někde na úložišti, které tam máme, by byly data. A na tom počítači se dvěma síťovkama by běžel rsync, který by si na ty data sáhnul a synchronizoval je oproti složce někde v síti 10.2.x. Směrem do té zabezpečené 10.2.x by mohlo být povolené jen NFS a ten rsync by ty data teda kopíroval z 10.1.x složky přes smb na 10.2.x složku přes nfs a obráceně. Vždycky před synchronizací by se každý soubor prověřil přes skript, který by mu řekl, jestli má soubor povolený formát a jen ten by se synchronizoval, nepovolené formáty souborů by se tím pádem ze synchronizace vyloučily.
To mi přijde dobrý, co na to říkáte?
Opakujem toto zvladne aj NAS. Nas je linux, pouziva na CIFS Sambu a Samba vie restrikcie pre typy suborov.
Přes příponu nebo jak?
My bychom četli hlavičky souborů a dál pustili jen ty, které chceme.
Zbytocne komplikujes veci.
Zapisovanie sa da kontrolovat povolenymi pc cez ip adresy potom povolenymi usermi (pred zapisom sa musis autentifikovat), potom povolenymi typmi suborov a nakoniec samotnym antivirom na klientskej stanici, ci NASku.
Toto plne postacuje.
Kontrolovat hlavicky suborov mozes cez nieco co si spravis v cecku, ale do toho musis spravit skript, ktory ti bude spustat tebou skompilovany program na kontrolu hlavicky, ktory nasledne povoli zapis na disk...ale preco by som to robil takto komplikovane preboha?
Jestli se bude kontrolovat zápis skrz povolená PC nevim, je to možné, autentifikace povolených uživatelů bude určitě, povolené přípony souborů myslim v plánu nebyly, ale asi by nebyl problém, antivir na klientské stanici bohužel je a pak je požadavek na kontrolu hlaviček souborů, já si ho nevymyslel. Jen se snažím najít cestu jak požadavky realizovat pokud možno jednoduše tak, aby se daly realizovat za minimum peněz a tim pádem co nejdříve, protože na řešení externě nechci čekat rok.
ty kontroly hlaviček mi přijdou zábavné: setkal jsem se kdysi s virem ("virut", po modifikaci asi ransomware), který se bavil tím, že všem spouštěným souborům přidával za konec souboru svůj skrytý kód. viděl a spouštěl ho jedině nakažený proces v paměti, windows nebo správce souborů ne.
rozšířil se tak hodně rychle do celé sítě, naštěstí bez přístupu ven, chyběla mu stáhnout právě ta výkonná část a tak nedělal nic.
Jenže princip té zabezpečené sítě 10.2.x musí být přeci ten, že žádný nakažený proces v paměti nebude a pokud by nám na dejme tomu nakazil síť 10.1.x a bude umísťovat za konce našich souborů svoje data, tak po jejich přesunu do zabezpečené sítě je to jedno, když je tam nebude mít co spouštět.
Co bys na to řekl?
reagoval jsem na bezpodminecne nutnou kontrolu hlavicek souboru, ze muze byt k nicemu.
zabezpeceni "interni" site 10.2 nijak nezpochybnuju, i kdyz vim, ze prave v takove siti se vyskytuji ruzna zarizeni i od externich dodavatelu a jejich kultura je nizsi nez u klasickych firemnich pc.
Nie nesnazis...momentalne si klasicky prototyp uzivatela, co si na poradnu pride po radu, ale on uz vie aku radu chce dostat...akonahle mu niekto ponuka inu cestu odmieta ju.
Pritom samozrejme uzivatel nie v danom probleme zbehly a naopak rady, ktore dostava dostava od fachamanov v obore...napriek tomu vsetky neguje a odmieta.
Ved som to tu videl 1000x, nielen pc, aj na kutilskej, ci inych poradnach.
Rady si dostal, neviem este co by si chcel.
Já nic neneguju.
Za rady naopak velmi děkuji.
Přijde mi, že z debaty vzešly dvě funkční řešení, jedno přes NAS a druhé přes linuxový počítač. Při řešení přes linuxový počítač vidím výhodu v možnosti navíc provádět kontroly formátu souborů na tom počítači.
Tak jenom takový info, že to neprošlo, požadujou antivir. Je to nesmysl, antivir celou situaci zpomaluje tak, že to není funkční, kašlu na ně.