Интернет через VMWare, 2 сетевые, вопрос безопасности
 

Извините, если задаю глупые вопросы или неправильно мыслю, но админю только вторую неделю.

Имеем:
физически разделенные сети: локальная сеть - 192.168.0.* и интернет сеть - 192.168.2.* (все IP - статические)
В локалке запрещено пользоваться инетом, собсно поэтому Инет-сеть и отделена физически от Локалки.
Мне на своем компе(192.168.0.198) нужно организовать доступ и к Интету и к локальной сети, так чтобы информация из Интернета не проникла в локальную сеть. :)
Добавляю на свой комп вторую сетевую карту (192.168.2.14), ставлю vmware(WinXP). Тот сетевой интерфейс, что привязывается на хосте к 192.168.0.198 отключаю. Остается один с привзякой на на хосте к 192.168.2.14. Прописываю ему IP - 192.168.2.15. В Virtual Network Editor(VNE) отключаю VMnet1 и VMnet8, выбираю в VMnet0 второй сетевой адаптер с 192.168.0.14 на Хосте - Realtek RTL8139 Family PCI Fast, тип соединения Бридж.(см. вложение VNE)

Итог: на Гостевой доступ к Инету(раздается с помощью Traffic Inspectora с Inet-Server'а), а на Хосте получаю доступ в локалку(клиент Traffic Inspector не грузится и не подключается к Inet-Server'у).
Пинги с Гостевой не проходят в локальную сеть(ping 192.168.0.*), но с Хоста пингуется Инет сеть(ping 192.168.2.*)

Вопрос: в виду моего скромного, это еще слабо сказано, опыта в администрировании и в сетях есть сомнения в безопасности локальной сети.

Может нужна еще какая инфа?

ЗЫ: Есть подозрения :), что все это как-то можно проверить и решить через маршрутизацию, но как уже говорил, не совсем это понимаю как это работает. Принты с Хоста и Гостя "ipconfig /all" и "route print" приложил. Может хватило бы только с Хоста?

Попутно: изначально Инет-сеть и Локалка, так как разделены физически, имели одну подсеть(192.168.0.*). У каждой было по серваку с одинаковым IP - 192.168.0.1. Это уже после прихода изменил Инет-сеть на 192.168.2.*, т.к. задумал Инет и Локалку на одном компе.
Вопрос: Можно ли было организовать все, что я сделал не изменяя подсеть Инет-сети на 192.168.2.*?

PaShock,
Как то все мудрено, есть

1.ПК + kerio winrouter = 1сет.интернет другая лок.сеть
настройки на доступ к интернету клиентов так же возможны через VPN. Документация на есть на русском.

2. роутер с wan портом и настройка фильтра для доступа в интернет.

Valeant,я сам с такими административными заморочками мучаюсь :(

В принципе, можно объединить сети воедино, а на шлюзе создать запреты для выхода "наружу" всем компьютерам, кроме нескольких. Достаточно только убедить начальника в том, что такую схему используют практически все.
Но если эта организация - часть большой структуры, обрабатывающей Очень Важную Информацию, то там требование физического разделения сетей может быть сформулировано весьма жёстко :(
Я работаю так - две розетки,*в каждой сети свой DHCP-сервер (в одной - сервак, в другой - ADSL-модем). Выдернул провод, подождал пару секунд,*чтобы система обнаружила отсутствие связи, воткнул, и сетевая карта другой адрес получает.

А*убеждать проверяющих в "безопасности" использования виртуальных машин... Не стоит

выход "наружу" столь же опасен как проникновение "внутрь" сети, а я еще не настолько опытен в это сфере, чтобы заниматься так плотно
я тоже имел такую возможность, перетыкать пачкорды, но во-1х - само по себе не хорошо перетыкивание проводов, во-2х ситуация: ты в инете подцепил заразу(допустим такую, которую не смог отловить антивирус), перетыкиваешь провод в локалку, вирус: "ООО, локалка!!!! :))" и с тихими радостными воплями понесся по сети :)

по крайней мере два человека ответили по моей схеме, что она относительно безопасна (относительно в данном случае ближе к безопасному использованию)

хотелось бы услышать еще мнения и аспекты безопасного/опасного использования такого подключения

Во-первых, точно также вирус могут принести на флэшке. Более того, строить политику безопасности, исходя из принципа "никакой посторонней информации не будет", глупо - кто-нибудь когда-нибудь что-нибудь воткнёт "на минутку", а на этом "что-нибудь" по закону подлости будет обитать целый зоопарк. Собственно говоря, физическая изоляция сети ничего, кроме лишнего головняка админам не приносит.
Во-вторых, антивирус обновлять надо, однако.
Ну а в третьих, лично я использую классово правильный Linux :)

Тут вообще как получается. Благодаря NAT шлюз полностью блокирует доступ извне - перенаправление определённых входящих соединений на конкретные компьютеры настраивается отдельно для каждого подключения. То есть, злоумышленнику потребуется сначала взломать сам шлюз, который обычно является специальным устройством,*взлом которого практически невозможен.
То есть всё сводится к троянским программам, открывающим исходящие соединения, которые распространяются через сменные носители, почту, аську, или же загружаются с заражённых сайтов.
Универсального решения здесь нет - остаётся только раздавать интернет только лицам, понимающим суть выполняемых ими действий. Или драконовскими мерами чётко прописать на шлюзе явно оговоренный список нужных им сайтов и протоколов.

Помимо опасности проникновения вируса есть ещё опасность хищения информации.
Теоретически можно написать программу, которая выследит "переключаемую" машину в сети, установит на неё свою копию, подготовит пакет информации и скопирует на неё, дабы потом переслать в интернеты. Но точно также можно написать и программу, которая будет украдкой передавать информацию через флэшки.
Впрочем, лично я о сущестовании таких вирусов я не слышал.

Во-первых, точно также вирус могут принести на флэшке. Более того, строить политику безопасности, исходя из принципа "никакой посторонней информации не будет", глупо - кто-нибудь когда-нибудь что-нибудь воткнёт "на минутку", а на этом "что-нибудь" по закону подлости будет обитать целый зоопарк. Собственно говоря, физическая изоляция сети ничего, кроме лишнего головняка админам не приносит.
Во-вторых, антивирус обновлять надо, однако.
Ну а в третьих, лично я использую классово правильный Linux :)

Тут вообще как получается. Благодаря NAT шлюз полностью блокирует доступ извне - перенаправление определённых входящих соединений на конкретные компьютеры настраивается отдельно для каждого подключения. То есть, злоумышленнику потребуется сначала взломать сам шлюз, который обычно является специальным устройством,*взлом которого практически невозможен.
То есть всё сводится к троянским программам, открывающим исходящие соединения, которые распространяются через сменные носители, почту, аську, или же загружаются с заражённых сайтов.
Универсального решения здесь нет - остаётся только раздавать интернет только лицам, понимающим суть выполняемых ими действий. Или драконовскими мерами чётко прописать на шлюзе явно оговоренный список нужных им сайтов и протоколов.

Помимо опасности проникновения вируса есть ещё опасность хищения информации.
Теоретически можно написать программу, которая выследит "переключаемую" машину в сети, установит на неё свою копию, подготовит пакет информации и скопирует на неё, дабы потом переслать в интернеты. Но точно также можно написать и программу, которая будет украдкой передавать информацию через флэшки.
Впрочем, лично я о сущестовании таких вирусов я не слышал.

все USB закрыты, никаких приводов на РС нет, полная изоляция!!! :))) Антивирус обновляется, не так часто как хотелось бы, но раз в неделю точно!
Линукс - это хорошо, но я в нем еще меньше бум-бум! :))
"переключаемую" - т.е. это мой Хост??
....и это в том случае, если я на флешке за несу такую прогу на только Хост, ведь из ВМ Хост не пингуется???
а у меня Internet-Server не NAT??(определение знаю, но пока не понимаю до конца, что за сие чудо:))) Что он является шлюзом, это я понимаю.

ЗЫ: а что значат звездочки перед некторыми словами/фразами?? :[

Если речь идет о серьезной организации и требованиях, то все равно, я бы сеть "объединил" в голове стоит нормальный switch - умный и управляемый, а от него уже можно до мелких которые в комнатах, или на конкретные пк. Далее бы создал VLAN для пользователей.

Ну и естественно контроль своих сетевых портов, все зависит от ПО которое на нем стоит.

И естественно данный switch к каналу интернет через маршрутизатор.

А перетыкание кабелей - это не решение вопроса.

это пока для меня непонятно... не смогу реализовать
вот и я о том же, поэтому пошел по пути наиболее простому для меня на данный момент(как оно на ваш взгляд в плане безопасности?)

по делу только эти комменты
остальное только о том, что я должен бы сделать, а не о том, что я сделал
Пожалуйста, оцените то, что я наваял.

так уже оценили :) чересчур безопасно получилось, оттуда много проблем и головной боли.
Работал в двух организациях где люди работают с секретными документами, не ядерная безопасность мира конечно, но документы с реальным грифом секретно, (как бумажными так и электронными) и везде была одна нормальная сеть. Всё решалось распределением прав. Где на свичах, где на линуксе, где на AD.

это хорошо :)
да вроде нет проблем... :)

конечно, может я и перестраховался, но по другому знаний не хватает... пока не хватает :)

Вообще-то для работы с секретными документами нужен компьютер, аттестованный по соответствующему классу защиты. Если их нужно объединить - создаётся отдельная сеть, опять таки аттестованная. Если требуется подключить эту сеть к основной - используется аттестованный маршрутизатор.

PaShock, если нужен интернет (а он нужен), можно подать заявку в организацию, занимающуюся аттестацией автоматизированных рабочих мест, чтобы они оценили систему защиты или предложили свою.
Главное - придумать обоснование для руководителя.

Но, повторюсь, вся эта "виртуализация" ничего не даёт. Правильный способ - раздавать интернет тем, кому он нужен по служебной необходимости.

"пока жареный петух в жопу не клюнет - русский мужик не перекрестится!" - именно так и строится работа, постепенно может что-то и изменится, но уже измучились пороги обивать. Стяжек не допросишься, а ты говоришь аттестация. Это очень хорошо напугать надо ))

Интернет нужен и он есть, и он в отдельной сети. И только у меня одного сразу доступ с одного компа и в локальную сеть и в интернет-сеть, для этого и заморачивался. Иначе либо я в локальной сети либо в интернет-сети. Либо мне второй комп под инет - но даже так это не выход.

Но "Правильный способ" тож должен быть защищен. С аттестацией очень близко не сталкивался, но мне кажется это очередной способ отмыть денег, как со одной так и с другой стороны.

- "Аттестовать компьютер? Пожалуйста. Приносите мы его вам аттестуем!"
что они там с ним сделают, что его никто взломать не сможет? да бросьте! откроют, максимум наклеют какие-нить стикеры и распечатают пару важных бумажек, что комп аттестован и на нем "можно" работать с секретными документами. С сетью тоже самое.

Радиозащита - да. Установка спецПО(типа файервол) по ограничению доступа - да. Это возможно даст защиту.

Если не так, выслушаю Вашу версию.

Увы, да - больше напоминает банальную "пилораму". Однако по действующему закононодательству за хранение и обработку машины без аттестации могут очень сильно ударить по карману.

да, именно так
осуществление санкций отодвигают каждый год.... работал в продажах, знаю об этом
сейчас отошел от этого, потерял нить... конечно, зря, знаю... меня же и натянут... ну или начальника моего, а мне всем этим заниматься придется и, в более напряжном режиме...

что-то мы от темы оттошли... ))