Перейти до

Помогите выявить проблему с VPN


Рекомендованные сообщения

если я правильно понял то отключение бриджевания поведет за собой несколько проблем, а именно мы не сможем удаленно заходить на объекты (используем Radmin), у нас каждую ночь по расписанию копируется информация с дальних точек (100-300мб), не будет работать почта внутренняя.

Я новичек и по этому нуждаюсь в советах по решению данной проблемы.

25,135-139,445 - за что отвечают эти порты? 25 - это SMTP (почта), а остальные?

 

И еще одна тема - с инета на шару лезут вирусы, но закрыть шару я не могу ибо программа БД не сможет работать, да и люди постоянно с шарой работают. Пробовал Шаре прописывать доступ по группам, пользователям, но Винда как то криво это делает, нормальные пользователи каторых указал зайти не могут, другие могут зайти и создать файл (хотя доступа не имеют), вирусы тоже создаются... короче нужен совет как правильно организовать шару - может поставить софт который запаролит папки или же организовать FTP-сервак, но на сколько он удобен пользователям?

 

135-139,445 это порты используемые виндой для общего доступа, организации всяких брадкастовых опросов, для построения виндовс окружения.

Из истории, даный тип сети был придуман изначально, но из за большого количества служебного шума, от него отказались, потому как построить сеть в миллиард машин с таким подходом просто не реально.

То есть - выбросили, микрософт поднял, обтер и заложил себе в основу сети, в результате полцчили микрософт сеть со всеми этими граблями, по разным оценкам, микрософт сеть может нормально рабготать с 250-300 машин, дальше служебка в сети начинает преобладать над полезной информацией.

Но ето если сетка в 100 мегабит, если у вас есть участки с 1-10 мегабит, да еще апаратное ограничение по обработке количеству пакетов в секунду, вам нужно как можно оптимальней настраивать сеть. Дабы исключит служебные потоки.

 

По шаре.

Если у вас подымаются тунели, как вам на шару могут лезть вирусы с инета?

Ответ, криво настроена сетка.

Когда вы ставите роутер на базе, то все что внутри сети закрыто натом, и туда нечего не может пролезть в принцыпе.

Когда вы подымаете впн тунель на удаленном офисе, то имеете два интерфейса, первый это основной сетевой, второй это впн.

В настройках, в сетевом вообще нужно отключить все поддержки виндового хлама, оставить только стек ТСП/ИП, после этого вашу машину не согут сканить с инета, и следовательно напаковывать шару вирусняком, но тем не менее вы сможете без проблем орзанизовать впн тунель на удаленный офис.

В впн тунеле, может оставить все виндовые сервисы, они всеравно будут доступны только с сети головной площадки.

Разнести сети на разные сегменты, дабы исключить брадкасты и свяжите статическими роутами все сетки.

После этого у вас уменьшится количество служебного шума, потому как вы получите практически разные сети.

Но останется работать шара, можно будет заходить на радмин, терминалы и так далее.

 

Поддержка статических роутов, поддерживается многими мыльницами-роутерами.

Ссылка на сообщение
Поделиться на других сайтах

По шаре.

Если у вас подымаются тунели, как вам на шару могут лезть вирусы с инета?

Ответ, криво настроена сетка.

С этим я полностью согласен, вот и хочу ее стабилизировать.

 

Когда вы ставите роутер на базе, то все что внутри сети закрыто натом, и туда нечего не может пролезть в принцыпе.

НАТ на роутере включен, но гадость лезит.

 

Когда вы подымаете впн тунель на удаленном офисе, то имеете два интерфейса, первый это основной сетевой, второй это впн.

тут по подробнее, пожалуйста, опишите.

 

В настройках, в сетевом вообще нужно отключить все поддержки виндового хлама, оставить только стек ТСП/ИП, после этого вашу машину не согут сканить с инета, и следовательно напаковывать шару вирусняком, но тем не менее вы сможете без проблем орзанизовать впн тунель на удаленный офис.

подскажите где именно отключать все эти поддержки виндового хлама? я все отключил и ничего кроме инета не работало. Ни на принтеры выйти не мог, ни на шару. Включил "Клиент для сетей Microsoft" и смог выйти на общедоступные ресурсы, но на мою расшареную папку выйти не могли.

 

В впн тунеле, может оставить все виндовые сервисы, они всеравно будут доступны только с сети головной площадки.

Разнести сети на разные сегменты, дабы исключить брадкасты и свяжите статическими роутами все сетки.

После этого у вас уменьшится количество служебного шума, потому как вы получите практически разные сети.

Но останется работать шара, можно будет заходить на радмин, терминалы и так далее.

Все сетевые настройки на компах Центрального Офиса (ЦО) прописаны вручную. Интернета они не имеют, за исключением некоторых компов которые выходят в инет через Проксю (юзеры постоянно логинятся при открытии браузера). Если же адресс не прописан то роутер, который смотрит в инет, выдает адресс по DHCP. Подскажите пожалуйста как правильно сигментировать, я этого пока себе не представляю(((((

На ЦО у нас адреса раздаются по 10.10.1.*, на дальних объектах, например, 10.10.18.*, 10.10.56.* и т.д.

Я понимаю что такое статический IP-адресс, а статический роутер мне незнаком.

Ссылка на сообщение
Поделиться на других сайтах

На ЦО у нас адреса раздаются по 10.10.1.*, на дальних объектах, например, 10.10.18.*, 10.10.56.* и т.д.

 

Это и есть правильное сегментирование.

За натом машину нельзя просканировать, для этого нужно делать специально проброс портов.

Следовательно сканер внутри сети.

На аппаратных роутерах проводить анализ нереально.

Ставте софтовый роутер,

слушайте езернет,

если мало, подымайте на нем сканеры безопасности, например snort.

В даной среде по началу раму собрать сложно, но можно увидеть какая машина самая шумная,

потом можно анализировать почему она шумит, дальше станет ясно что делать.

Подсказать в таком случае, без данных, очень сложно.

 

Протоколы отключаются включаются в сетевом интерфейсе, сетевые подключения > конкретное подключения > свойства > компоненты используемые этим подключением

Ссылка на сообщение
Поделиться на других сайтах

За натом машину нельзя просканировать, для этого нужно делать специально проброс портов.

Следовательно сканер внутри сети.

На аппаратных роутерах проводить анализ нереально.

Ставте софтовый роутер,

слушайте езернет,

если мало, подымайте на нем сканеры безопасности, например snort.

В даной среде по началу раму собрать сложно, но можно увидеть какая машина самая шумная,

потом можно анализировать почему она шумит, дальше станет ясно что делать.

Подсказать в таком случае, без данных, очень сложно.

я в качестве сканера использую "Сканер Сети 0.98". Он мне например показывает вот это:

15:12;Попытка NetBIOS соединения;Доступ запрошен с IP: 10.10.1.ХХХ;

15:12;Доступ к общей папкке;IP: 10.10.1.ХХХ открыл папку 10.10.1.УУУ\Share;

где 10.10.1.ХХХ - роутер, а 10.10.1.УУУ - машина жертва куда кидается вирус и мусор.

Как я понимал раньше вирус лез через инет, а теперь предположения два: либо какой то из тунелей мне кидает мусор на ЦО, либо какой то комп из ЦО под прикрытием роутера раздает вирус. Некоторые машины в "Сканер Сети 0.98" просто отмечаются как "Попытка NetBIOS соединения", но вирусы не появляются в Шарах. Те машины сканировал двумя антивирусами с последними сигнатурами (НОД32 и КурИТ) и ничего не выявил. В диспетчере никаких лишних служб.

Можно поподробнее о snort, что он может и где его можно скачать. Ищет ли он Снифферов?

 

Протоколы отключаются включаются в сетевом интерфейсе, сетевые подключения > конкретное подключения > свойства > компоненты используемые этим подключением

я именно так и делал.

Ссылка на сообщение
Поделиться на других сайтах

"Сканер Сети 0.98" похоже примерно то же что и snort, только под винду.

В целом, все правильно делаеш, дальше курить до посинения.

И обрати внимание на то что вирусы пишутся не для того чтобы их антивирусы находили.

Посмотри в сторону AVZ, там много ссылок на логические сканеры.

Ссылка на сообщение
Поделиться на других сайтах

пробовал поставить snort, делал все по мануалу, но постоянно вылетает ошибка к dynamic engine. Пробовал разные дистры и rules и никакого толку((((( Брал все с оффсайта, последняя версия 2.8.5.3. Делал по этому мануалу.

Ссылка на сообщение
Поделиться на других сайтах

Продолжаю развивать тему, спасибо всем кто помогал, узнал много чего интересного.

Хочу пересоздать схему подключений и перенастроить некоторые части своей сети, сделав при этом акцент на безопасность, ну и желательно оптимизировав ее.

Если глянуть на предыдущую схему...

VPN.jpg

...то по ней видно что инет идет с двух роутеров и на двух роутерах настроены VPN тунели. Использовав спрограммы-сниферы я выявил что с одного роутера лезит вирусня.

Пока я придумал вот такую схему:

1234.jpg

- Из нее следует что все VPN тунели я перебрасываю на одно мощное железо (роутер) расчитаный на 20-30 активных соединений, при этом фаервол включен так что открыты порты только на VPN. Требуется мощная железка которая выдержала бы такое количество тунелей так как ночью по ним ганяются бекапы баз, ну и некоторые удаленные точки работают с сервером SQL через VPN. В D-Link мне пока посоветовали DFL-210, жду ответа от Cisco, ну и желательно Ваши варианты. Роутер дальше смотрит в сеть Центрального Офиса.

- Второе подключение будет идти через модем на сервачек с ФаерВолом и Проксей. На данный час используется UserGate 2.7 - довольно простая программа и рабочая. Посоветуйте ФаерВол (Комодо? Оутпост? или другой?). Знаю что лучше использовать Фряху, Микротик или какой то Линукс, но у меня практически нету опыта их администрировать, только в домашних условиях использую Убунту 9.10, но это не то. Этот сервачек будет подовать инет пользователям. Посоветуйте какие порты обрезать. Всякие контакты, однокласники, фишки, ютюбы и прокси через которые на них воходят заблокированы.

- Еще раз посоветуйте какие настройки сделать на VPN тунелях чтоб небыло шумов и излишних нагрузок.

- Почтовый сервер - на чем лучше всего организовать? Какая почтовая программа лучше всего обучается антиспаму? Сейчас стоит MDaemon.

- Сервера SQL - сейчас используется 2 программы учета ERP, так как одна используется для учета ЗП, рабочего персонала, а вторая для розничных продаж. Знаю что это немного не по теме, но может кто то что то знает какая есть программа объединяющая эти 2 функции и при этом постоянно поддерживалась, желательно украинского производства. Знаю что в основном используется 1С, но там есть кое какие трудности с продажами.

- И последний вопрос - антивирусная защита и прочие фишки безопасности. На данный момент организован WebServer NOD32 2.7 который раздает сигнатуры на все компы. Работа его неудовлетворительная. Если ли еще какие то антивирусы с возможностью раздавать сигнатуры и желательно не коммерческие. Еще хочу попробывать отключить програмно автозапуск с флешек, ибо они самые большие разносчики вирусов.

 

Спасибо за внимание.

Ссылка на сообщение
Поделиться на других сайтах

Если бы я был админом то на все тачки поставил бы фрю http://www.pcbsd.org/

доступный софт http://www.pbidir.com/

от того букета проблем осталось бы от силы 5-10% проблем.

На винде строять такие сети только очень крутые перцы, лично мне такое не под силу...! :rolleyes:

 

Например приват банк постепенно перешол на линокс, гос органы туда смотрят,

это жжж-жы, не спроста, не думаю что у привата недостаточно денег на админов.

 

По флешке, да и по остальным проблемам, в AVZ, есть анализатор уязьвимости компа,

рекомендую выполнить все его рекомендации.

По флешке это автостарт, и он чреват не только с флешками, а и с компактами.

Для флешек есть вакцинатор, "панда", рекомендую вакцинировать кроме флешек и телефоны, фотоапараты...

 

По мощному аппаратному роутеру, ну какой он мощный?

Через год, дадут вам оптикой сотку, и выбросите вы тот роутер.

А год, это завтра.

Ссылка на сообщение
Поделиться на других сайтах
  • 5 months later...

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...