Parodie na firemní síť

Skoro každý začínáme na jednom, dvou počítačích. Řešíme jednoduché věci. Sdílet soubor z PC A do PC B, poslat objednávku mailem, vytisknout dokument. Postupem času, jak počítače rostou, rostou i nároky sítě a s němi přirozeně počet PC ve firmě. Z pohledu kvantity to není nic sexy. Pojďme se podívat na obecnou strukturu co je pod pokličkou.

Typické rysy firemní sítě, která vyrostla z jednoho PC do několika počítačů:

  • Všichni uživatelé jsou administrátoři. Každý si instaluje, co se mu zlíbí. Každý si brouzdá kam chce.
  • Ve firmě se vyskytuje několik verzí operačního systému. Většinou neaktualizované.
  • Na síti jsou výjmečně statické IP adresy, mnohem častěji DHCP přiděluje bez jakékoliv logiky IP adresy
  • VPN je pro zaměstnance stejný pojem jako fotonové torpédo. Málokdo ví, že práci může dělat odkudkoliv a nemusí jen kvůli jednomu papíru jezdit na firmu
  •   Pobočky jsou oddělené. Výměna dat a komunikace probíhá přes e-maily a nikomu to nepřipadá divné.
  • Něco jako dokumentace sítě je zbožné přání. Pokud odjíždí “správce sítě” (čti rodinný známý co umí zapnout PC) na dovolenou, pro zbytek firmy nastává čas modlení, ať se nic nepokazí
  • Když přijde někdo na návštěvu do firmy, připojením na WiFi se dostává do celého subnetu, kde tečou všechna data. Sláva hackerství.
  • Typicky – WiFi heslo je napsáno na nástěnce.
  • Ve firmě se vyskytuje několik tiskáren, každá je napárována na určitý PC a něco jako síťová tiskárna je nejnovější a nedostupný high-tech.
  • Politika heslování je typu heslo heslo, 12345 nebo hesla jsou napsána na papírku a schována bezpečně pod klávesnicí.
  • Zálohování poddle filozofie 3-2-1 je něco jako firemní tabu. Na dotaz, jak zálohujete se většinou vyskytuje v tom lepším případě odpověď: “Na Flašku”

Takhle bychom mohli pokračovat dále, ale to není tématem článku. Nyní si ukážeme, jak by měla vypadat správně síť, kde je více strojů za užití doménového řadiče

  • Uživatelé se přihlašují k doméně, tím se ověří identita a osoba.
  • Pro hosty je vyhrazená bezdrátová síť, kde je na firewall zakázaný vstup do vnitřní podnikové sítě. Firemní počítače se připojují přes WiFi napojenou na Radius server
  •  Je jedna centální síťová tiskárna pro každé patro nebo vyhrazenou skupinu lidí.
  • Přístup do sítě internet je přes proxy s filtrací zakázaných stránek a loguje všechne provoz s venkovním světem.
  • Všechny soubory ukládané na disku jsou automaticky kontrolované před infekcí a viry.
  • Po přihlášení uživatele jsou uživateli dostupné sdílené soubory potřebné pro jeho práci či pracovní skupinu.
  • Heslování má jasnou strukturu s užitím správných metod heslování i složitosti.
  • Počítače, které se nepřipojí k doméně je možno užívat, ale nedostanou se do vnitřní sítě
  • Zálohování podléhá správným zásadám za užití všech dostupných technologií.

Rozdíly jsou vidět na první pohled. Nejen v otázkách bezpečnosti, ale i managementu a transparentnosti.

K vytvoření cetralizované sítě jsou potřeba následující prvky:

  1. VPN server
  2. Proxy server
  3. Souborový server
  4. Adresářový server
  5. Doménový řadič
  6. DHCP server
  7. DNS server
  8. Antivir

Mezi další potřebné komponenty patří:

  1. Radius server
  2. VPN server pro uživatele
  3. Print server
  4. NTP server

Obecně ke správné struktuře sítě není potřeba nic extra finančně neuskutečnitelného. Většinou problém bývá v přístupu. Dokud nám to funguje, nikdo nic neřešíme a když se objeví nějaký problém, řeší se to metodou “lepení chleba s máslem na chleba”. Takové struktury bývají nejen nesystematické,  nestabilní, ale především kompletně nezabezpečné vůčí vnitřnímu světu, ale i zaměstnancům samotným.

Copyright © 2018— Radek Vymazal