Skoro každý začínáme na jednom, dvou počítačích. Řešíme jednoduché věci. Sdílet soubor z PC A do PC B, poslat objednávku mailem, vytisknout dokument. Postupem času, jak počítače rostou, rostou i nároky sítě a s němi přirozeně počet PC ve firmě. Z pohledu kvantity to není nic sexy. Pojďme se podívat na obecnou strukturu co je pod pokličkou.
Typické rysy firemní sítě, která vyrostla z jednoho PC do několika počítačů:
- Všichni uživatelé jsou administrátoři. Každý si instaluje, co se mu zlíbí. Každý si brouzdá kam chce.
- Ve firmě se vyskytuje několik verzí operačního systému. Většinou neaktualizované.
- Na síti jsou výjmečně statické IP adresy, mnohem častěji DHCP přiděluje bez jakékoliv logiky IP adresy
- VPN je pro zaměstnance stejný pojem jako fotonové torpédo. Málokdo ví, že práci může dělat odkudkoliv a nemusí jen kvůli jednomu papíru jezdit na firmu
- Pobočky jsou oddělené. Výměna dat a komunikace probíhá přes e-maily a nikomu to nepřipadá divné.
- Něco jako dokumentace sítě je zbožné přání. Pokud odjíždí “správce sítě” (čti rodinný známý co umí zapnout PC) na dovolenou, pro zbytek firmy nastává čas modlení, ať se nic nepokazí
- Když přijde někdo na návštěvu do firmy, připojením na WiFi se dostává do celého subnetu, kde tečou všechna data. Sláva hackerství.
- Typicky – WiFi heslo je napsáno na nástěnce.
- Ve firmě se vyskytuje několik tiskáren, každá je napárována na určitý PC a něco jako síťová tiskárna je nejnovější a nedostupný high-tech.
- Politika heslování je typu heslo heslo, 12345 nebo hesla jsou napsána na papírku a schována bezpečně pod klávesnicí.
- Zálohování poddle filozofie 3-2-1 je něco jako firemní tabu. Na dotaz, jak zálohujete se většinou vyskytuje v tom lepším případě odpověď: “Na Flašku”
Takhle bychom mohli pokračovat dále, ale to není tématem článku. Nyní si ukážeme, jak by měla vypadat správně síť, kde je více strojů za užití doménového řadiče
- Uživatelé se přihlašují k doméně, tím se ověří identita a osoba.
- Pro hosty je vyhrazená bezdrátová síť, kde je na firewall zakázaný vstup do vnitřní podnikové sítě. Firemní počítače se připojují přes WiFi napojenou na Radius server
- Je jedna centální síťová tiskárna pro každé patro nebo vyhrazenou skupinu lidí.
- Přístup do sítě internet je přes proxy s filtrací zakázaných stránek a loguje všechne provoz s venkovním světem.
- Všechny soubory ukládané na disku jsou automaticky kontrolované před infekcí a viry.
- Po přihlášení uživatele jsou uživateli dostupné sdílené soubory potřebné pro jeho práci či pracovní skupinu.
- Heslování má jasnou strukturu s užitím správných metod heslování i složitosti.
- Počítače, které se nepřipojí k doméně je možno užívat, ale nedostanou se do vnitřní sítě
- Zálohování podléhá správným zásadám za užití všech dostupných technologií.
Rozdíly jsou vidět na první pohled. Nejen v otázkách bezpečnosti, ale i managementu a transparentnosti.
K vytvoření cetralizované sítě jsou potřeba následující prvky:
- VPN server
- Proxy server
- Souborový server
- Adresářový server
- Doménový řadič
- DHCP server
- DNS server
- Antivir
Mezi další potřebné komponenty patří:
- Radius server
- VPN server pro uživatele
- Print server
- NTP server
Obecně ke správné struktuře sítě není potřeba nic extra finančně neuskutečnitelného. Většinou problém bývá v přístupu. Dokud nám to funguje, nikdo nic neřešíme a když se objeví nějaký problém, řeší se to metodou “lepení chleba s máslem na chleba”. Takové struktury bývají nejen nesystematické, nestabilní, ale především kompletně nezabezpečné vůčí vnitřnímu světu, ale i zaměstnancům samotným.