Защита конфиденциальной информации в ЛВС
 

Товарищи, прошу помощи.

Собственно вопрос состоит в следующем:
Есть сетка:
- Сервер имеет 2 сетевые карты - одна смотрит в интернет; другая в ЛВС.
- На сервере установлен VipNet Client, Касперский и SecretNet 6
- На клиентских станциях Антивирус Касперского (без межсетевого экрана) и SecretNet 6.
- Клиентские станции не видят интернет, просто потому, что я не настроил мост между сетями (и не собираюсь).
- Все ПЭВМ в сети (включая сервер) видят по сетке друг друга и непросто видят, а тот же сервер имеет доступ ко всем ресурсам рабочих станций.
- На сервере БД. На клиентских местах интерфейсы доступа к БД.
- Все ПК в сети равноценны с точки зрения прав пользователей.

Т.е. сейчас единственной преградой между рабочими станциями и сетью интернет является сервер.
В принципе если "сломают" сервер, то злоумышленник добьется того, что нужно и дальше ему идти смысла (ну если только посмотреть фотки пользователей/ которые те приносят из дома или откуда там... :yahoo: ).

Приходили (точнее мимо проходили) одни там товарисчи и посоветовали установить МЭ между сервером и остальной сетью, что бы мол если сломают сервер доступа к рабочим станциям не было. Естественно предложили купить этот МЭ (железяку ALTELL NEO 100 FW). У них не у них, эту железяку или другую - это вопрос второй. Главный вопрос - это нужна ли этот МЭ тут вообще?

Допустим даже, что рабочие станции нужно защищать не меньше сервера, но ежели поставить между ними МЭ,то либо не будет доступа к серверу, а он нужен или не будет защиты.

В общем прошу консультацию, пожалуйста.

Т.е. одним концом торчит в интернете? Если да, то нужно установить между интернетом и сетевой платой роутер с функцией фаервола, и открыть только необходимые порты.
Т.е. интернета не будет вообще? Тогда отключи (вынь кабель) сетевуху выходящую в интернет она тебе не нужна.
Нет

Начать изучать безопасность...
Сейчас сетка как ни крути но дырка от бублика :)
А это вообще фигня не понятная.
Не один сайт по безопасности ее не знает :lol:

А у VipNet Client вообще сайт лежит мертвым грузом :laugh:

zai
На сервере, который имеет две сетевые карты, в том числе выход в Интернет установлен и фаервол (МЭ) и антивирус.
Фактически сервер является тем самым роутером с функцией (конечно есть еще один свитч, но он уже идет после сервера). т.е. что бы попасть на клиентские станции нужно сломать сервер.

Интернет нужен ТОЛЬКО на сервере, на клиентских местах могут обойтись и без него - безопасней будет (а то наловят всяких вирусов шастая по сомнительным сайтам).

Вопрос актуален.

Сервер не должен быть подключен напрямую к интернету. Любая самая дешевая железка намного надежнее, чем весть тот софт, который ты установил.
Интернет нужен всем, как правило для работы. Эл. почты тоже что ли нет?
Все зависит от того как настроишь групповую политику и запрет на всякие сомнительные ресурсы.

Rezor666
zai

Я забыл добавить одну вещь:
http://fstec.ru/normativnye-pravovye-akty-tzi
http://www.fsb.ru/fsb/npd.htm
----------
zai
Интернет НЕ нужен. Решение начальника. Вопрос не обсуждается.
И работа у людей такая, что по факту Интернетом бы они пользовались только для общения (одноклассники, вконтакте и т.п.)


Rezor666
SecretNet 6 - это СЗИ от НСД. К Сети отношения не имеет. Я просто так его указал.

Непонятно почему сеть - это дырка от бублика?
Я понимаю, что все можно сломать, но и VipNet Client - это как не крути МЭ и к тому же имеет сертификаты ФСТЭК и ФСБ, что для нас ОЧЕНЬ важно, так же как и Касперский, как антивирус. имеет сертификаты ФСТЭК.
Кстати VipNet Client вообще нужен для передачи ПДн по шифрованному каналу.

Вопрос в том, реально нужен МЭ между сервером и КС или нет?

Student00, Вы как в сказке живете, в любой конторе есть ФСТЭК если у конторы есть деньги. Но это не разу не значит что сеть защищена. Почему дырка? Потому что я не увидел не одного метода защиты информации кроме Каспера.

Rezor666

Все же.
Я понимаю, что какой-нибудь Cisco ASA5505-50-AIP5-K8 куда лучше, нежели VipNet Client, но все же.
Почему Вы считаете, что VipNet Client как файервол не годится?
Разве это такое плохое средство?

Если ты хочешь защитить инфу, тогда используй шифрование данных, для этого существуют програмные средства (сертификаты) и аппаратные (смарт-карта, eToken и т.п.)

Который тоже в качестве меры защиты информации не годится..

Если Вы хотите по дискуссировать по этому поводу то прошу в ЛС.
И подкрепите хоть какие то факты почему антивирус не может считаться одним из методов защиты информации.

При чем тут это?

Антивирус + шифрование в одном флаконе - это более весомый аргумент ИБ нежели чем антивирус и шифрование по отдельности.

А где оно шифрует? In transit, как IPSec? или on storage, как EFS/TrueCrypt?
Защитит ли это от трояна, который выкачивает информацию? От пользователя, который копирует данные на флешку?

То есть, к вопросу придётся подойти на порядок более обстоятельно. Ломают-то рабочие станции, а люди по-прежнему считают, что firewall защищает от взломов, как раньше считали, будто антивирусная программа защищает от вирусов..

Читайте
Нет, чуда не будет.
Что по вашему защита от вирусов?

Хорошо сошлись во мнении что для реальной защиты информации лучше установить супер дорогую железяку и не одну.

ОК

Но есть только два варианта, какой по вашему мнению лучше:


1) Есть две машины:
ПК 1 на котором установлен vipnet client, который с одной стороны служит средством передачи ПД по защищенному каналу через сеть Интернет, с другой стороны МЭ.
ПК 2 - сервер с БД ПД. Именно здесь формируются, пакеты для передачи по сети Интернет через ПК 1.
Т.е. доступ между сервером и "прокси" есть и его не может не быть.

2) Все находиться на одной машине: и сервер с БД ПД и vipnet client.


Я считаю, что с точки зрения безопасности - эти варианты равноценны, ибо если будет взломан ПК 1 с МЭ, то добраться до ПК 2 при такой конфигурации труда не составит. Следовательно, 2 вариант (из двух представленных) - рациональнее.

Потому-что в природе не существует ни одного клиентского фаервола имеющего 3 класс.
Могу ошибаться, но по моему даже четвертого класса не было.

Т. е. сами производители не считают такую защиту достаточной для сетей общего пользования.

Я конечно не совсем понял про какой класс говорите именно Вы, но если верить:
http://www.infotecs.ru/products/cert/detail.php?ID=9209
то:
Настоящий сертификат удостоверяет, что программный комплекс "ViPNet CUSTOM 3.2", разработанный и производимый ОАО «ИнфоТеКС» в соответствии с техническими условиями ФРКЕ.00044-05 97 01, функционирующий на аппаратных платформах в среде операционных систем, указанных в формуляре ФРКЕ. 00044-05 30 01, является программным средством защиты от несанкционированного доступа к информации в сетях с IP-протоколом, соответствует требованиям руководящих документов "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) - по 3 уровню контроля, "Средства вычислительной техники. Межсетевые экраны. Защита от неснкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (Гостехкомиссия России, 1997) - по 3 классу защищенности и заданию по безопасности "Программный комплекс "ViPNet CUSTOM 3.2", имеет оценочный уровень доверия ОУД 4+ в соответствии с требованиями руководящего документа "Безопасность информационных технологий" (Гостехкомисия Россси, 2002), а также может использоваться при создании автоматизированных систем до класса защищенности 1В включительно и для защиты информации в информационных системах персональных данных до 1 класса.

О защите стоит задумываться в агрессивной среде. ТС уже уводили сервер? "Ломали" его как вы говорите?
Установить прокси сервер, можно даже ФСТЭК'овый Linux.
Главное понимать самому, как, каким блин образом у вас уведут\сломают\взломают ваш сервер. Для этого должен быть вирус, либо запущенный внутри сети, либо какой то Эксплоит, который постучится к вам изВне. Если вы поймёте, как работают эти 2 метода, то сообразите, что сделать, чтобы ваш сервер не увели.