Две разные сети
Столкнулся с проблемой на предприятии.
Есть два канала: первый защищенный контур, в который лезть нельзя и нельзя, чтобы компы двух сетей видели друг друга и нельзя никакие делать vlan. И вторая сеть с обычным интернетом. Микротик и умный коммутатор. Ранее организация сидела вся на защищенном канале, есть сетевая папка на основном компьютере на котором работают и как позже выяснилось, там же лежит база бухгалтерии. Компьютер 1 остается в защищенном контуре первого канала, а второй(который с папкой) в обычном инете. Как вы понимаете, бухгалтерская программа осталась без БД, так как она не видит компьютер 2. По началу думал ставить ноутбук пользователю с защищенным контуром, через wifi присоединить его к компьютеру 2, все прекрасно видится и работается, а оказывается, есть два нюанса - первый это то, что на компьютере, который в защищенном сегменте работают в программе, из которой будут брать данные, которая сейчас не работает, соответственно копипаст уже не будет работать и плюсом у человека один принтер, а один принтер на две машины я не подключу, т.к. подсети разные. В итоге получаем, что вариант с ноутбуком не получается. Думаю уже пойти на крайние меры - заказывать белый ип, папку с БД выпускать в сеть через какой нибудь ftp сервис и чтобы компьютер 1 через сеть обращался с БД. Да, будут заморочки, как папку расшарить в сеть и как настроить микротик я не знаю и помимо этого организовывается уязвимость в сети. Что подскажете? |
для начала нарисовать топологию.
|
Вложений: 1
Прикрепляю карту
|
хорошая схема. теперь чо надо сделать? в виде "допустим ГБ -> Кассир:порт". ну и какое железо под вашим управлением?
|
Под управление L3 коммутатор который на канале 1. Что за ним неизвестно какое оборудование. Но там стоит на уровне провайдера и циско и шифрование.
Второй канал пока не под моими настройками, но могу забрать себе. Зa VLAN даже не знаю, совмещать его с защищенным контуром может быть опасно. |
чо сделать то надо? пустить комп 1 в сетку за микротом?
для начала я советую обратится к документации: политика информационной безопасности компании\учреждения, проконсультироваться со старшими одминами. простейший вариант - воткнуть в комп1 еще сетевуху и сунуть ее в микротик. на микротике настроить жесткий фаерволл. можно и по сложнее - допустим если на комп1 есть выход в интернет - поднять впн туннельчик на микрот, получать там адресок, настроить маршрутизацию. физически развязаны. но все упрется в скорость интернетов. |
Цитата:
Цитата:
Цитата:
|
У вас есть некий защищенный контур, его ктото защищает и настраивает. Соответственно эти люди и ответственны за ИБ политику. Уточните у них. Навключать и понастроить дело не долгое.
|
Что у них спрашивать? БД в сеть кидать нельзя это будет только наша ответственность.
Узнают, что хоть один компьютер из другой сети будет видеть другой - будут возникать. Возможно ли развернуть vlan на микротике путем расшития витой пары в коммутационном шкафе, настройке шлюза и задав определенный порт, а на компьютер один будет подключатся полноценная витая пара через которую будет идти защищенный контур и открытый порт компьютера 2 через который будет БД загружаться? |
Такие решения принимать не вам. их надо согласовать с руководством.
Не пойму что вы привязались к vlan? Вы знаете, что это такое и как этим пользоваться? Цитата:
если нельзя физически связывать 2 компьютера - используйте l2tp ipsec vpn. простейшее средство. на компе, что в контуре, если есть выход в инет настраиваете подключение, поднимаете сервер на микротике(должен быть белый статичный ip). на самом микротике пилите точные правила пакетного фильтра. если возьмете на себя ответственность за физическое соединение - ставите вторую сетевуху в комп и тащите витуху к микроту ну или ставите драйвера на сетевуху и разрешаете на ней о боже vlan! на свитче который якобы l3(а вы знаете что это значит?) прописываете taged интерфейс к компу и untaged еще какойнить порт. этот порт соединяете с микротом. |
Часовой пояс GMT +4, время: 02:19. |
Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.