Informazioni piccola rete ufficio
-
ciao a tutti, vorrei condividere con voi una piccola problematica riguardo la rete del l'ufficio.
abbiamo una rete interna (non connessa ad internet) dove ci sono:
un pc per la contabilità non connesso ad internet per ovvi motivi di privacy/sicurezza
impianto di videosorveglianza ip(con relativo nvr)
1 stampantel'altra rete che naviga su internet è formata da:
4 pc collegati tramite cavo (per ricerche sul web, compilazione documenti/pratiche, invio email)
3-4 dispositivi mobili collegati in wifi
1 plotter
1 fotocopiatoreVorrei mettere 1 NAS per bakuppare il pc della contabilità e per bakuppare i pc di tutte e due le reti, per essere coperti in caso di infezione da virus e/o ramsoware/cryptoloker
inoltre vorrei implementare un firewall per avere un livello di sicurezza avanzato della mia rete
Avremmo l'esigenza che i computer della rete connessa ad internet accedessero al nas, perchè attualmente se si deve inviare una mail, occorre mettere il file su una penna usb e collegarla ad 1 dei pc della rete che si connette ad internet, ed è un gran casino
vorrei peroò tenere il nas nella rete non connessa ad internet
ho uno schema per chiarire la mia ideahttps://postimg.org/image/gsjcdqmsr/
-
Ciò che dici ha poco senso. Posto che le due reti possono o meno navigare su internet, se l'ipotetico nas si trova in una delle due reti e deve essere raggiunto anche dall'altra rete la sicurezza del "non va su internet" se ne va a donne di facili costumi.
Comunque forse non ho trovato o capito la domanda… :)
-
Per motivi di sicurezza e privacy abbiamo un pc non connesso ad internet. Diverse volte capita di dover mandare un allegato per email o trasferire sul pc non connesso ad internet un allegato ricevuto per email. Esiste un modo per fare questo evitando chiavette USB e senza connettere il pc alla rete con internet?
-
Con un NAS che ha due schede di rete puoi farlo… una scheda la colleghi a una rete, una scheda la colleghi all'altra. Cartella condivisa, posi da un lato, prendi dall'altro.
Però, a mio parere, "sbagli candeggio". Il backup non è sicurezza, una NAS men che meno.
Sarebbe più sicuro "creare" un pfSense con 3 schede di rete e settare opportunamente permessi e autorizzazioni al passaggio di dati da e per ogni rete (1 WAN, 2 LAN). Per "più sicuro" intendo che questo è un primo passo verso la sicurezza, ma la strada è lunga... ^_^
-
La rete interna va segmentata con una vlan (oppurtunamente gestita) se hai uno switch che le sopporta. Oppure fai fare a pfSense anche da router dando alle 2 reti 2 sotto reti diverse e le colleghi a switch separati. Poi devi creare delle regole che permettano solo il traffico via LAN tra le 2 e su una rete blocchi il traffico internet.
-
perfetto grazie..
come hardware cosa mi consigliate? -
Le 2 soluzioni contemplano switch diversi. La soluzione 1 richiede switch che supportano le vlan, mentre con l'altra puoi reimpiegare/utilizzare switch basic.
-
Con un NAS che ha due schede di rete puoi farlo… una scheda la colleghi a una rete, una scheda la colleghi all'altra. Cartella condivisa, posi da un lato, prendi dall'altro.
Però, a mio parere, "sbagli candeggio". Il backup non è sicurezza, una NAS men che meno.
Sarebbe più sicuro "creare" un pfSense con 3 schede di rete e settare opportunamente permessi e autorizzazioni al passaggio di dati da e per ogni rete (1 WAN, 2 LAN). Per "più sicuro" intendo che questo è un primo passo verso la sicurezza, ma la strada è lunga... ^_^
puoi spiegarti meglio approfondendo ciò che mi ha suggerito?
perchè sbaglio "candeggio"? che soluzione mi consigli? il backup mi mette al riparo da attacchi virus
cosa occorre implementare per rendere ancora più avanzata la sicurezza? -
puoi spiegarti meglio approfondendo ciò che mi ha suggerito?
…Diciamo che per ipotesi il tuo PC per la contabilità, il tuo impianto nvr e la stampante siano su uno switch a se stante NON collegato a nessun router; tutti IP fissi, nessuna possibilità di uscita, le macchine si vedono e basta. Prendi un NAS Qnap con due schede di rete (tipo TS-431P), una la attacchi alla "rete contabilità", l'altra alle rete che va su internet; puoi creare una cartella condivisa in modo che nessun apparato lato contabilità possa andare su internet ma sia comunque possibile scambiare file tra le due reti.
Ma che succede se un "pc con internet" mette nella cartella condivisa un file "dimmerda" e per errore questo file viene aperto sul pc nella "rete sicura"? ::)La sicurezza è un assieme di regole e criteri messi in pratica opportunamente in base alle necessità operative… il backup è utile, ma se non fatto per bene ci si accorge dell'inutilità dello stesso quando sorge la necessità che esso funzioni... e di solito è sempre troppo tardi... ;D
Ma poi... backup di cosa? posta? file? immagini?
Nel caso di backup di posta meglio avere (ove possibile ed economicamente conveniente) un mailserver ben settato e ben "backuppato", testato e stabile. Tutto IMAP e anche se ti si brucia il PC la posta è sempre lì accessibile magari tramite webmail...
Backup di file? Che file? Presso un mio cliente ho una serie di cartelle con vari dwg, poco meno di 2 TByte di roba... backupparli con la possibilità di "tornare indietro" fino a 14 giorni ha richiesto un raid5 di 4 dishi da 2TB... e stiamo arrivando all'80% di spazio impiegato..
Virus? Qui, a mio parere, si rasenta quasi l'impossibilità di essere "sicuri"...
Per quanti antivirus, firewall e UTM possano essere installati c'è sempre l'utonto che clicca sulla mail errata, sul banner sbagliato, o che si fà prestare la pennetta dasuocuginopratico e la mette in un pc aziendale "solo per copiare un pdf" e nel frattempo imputtana il mondo...Una rete sicura è una rete spenta!!! :P
Queste sono solo tracce... la sicurezza non esiste... si può solo implementare una serie di procedure atte a mitigare il pericolo di perdita di dati in caso di errore (umano o informatico). Un backup ben fatto può essere utile, ma intanto se il mailserver si brucia i tempi (e i costi) di ripristino possono incidere non poco sulla produttività e redditività di un'azienda...
-
sicuramente una rete spenta è la più sicura. ma almeno un firewall serio credo sia il minimo sindacale
-
Un firewall serio e ben settato senza politiche di sicurezza è quantomeno poco utile.
Le soluzioni a cui accennava delfi5 sono praticabili, ma ripeto che le "policy" di sicurezza interna sono quelle che fanno la differenza… il tutto IMHO. ;)