Рассуждая на тему интернета вещей я все подвел к тому что, интернет большинству устройств не нужен, и даже опасен. В сегодняшней статье я выйду за рамки вещей, и речь пойдет о компьютерах, серверах и сетевом оборудовании. Нужен ли им интернет, и если нужен, то как его лучше всего предоставлять.
Компьютеры
Начну я, пожалуй, с малого и одновременно самого массового - компьютеров. Их всегда больше всего, и многие ошибочно полагают, что интернет на них просто необходим, особенно когда речь идет о построении сети организации. Тут я посмею заметить, что интернет на самом то деле необходим не всегда и не на всех компах. Я даже больше того скажу, предоставляя доступ в интернет, следовало бы предоставлять его либо через прокси-сервер, либо на уровне межсетевого экрана, установленного на периметре сети организации отфильтровывать ряд трафика. Дело в том, что пользователям интернет нужен чаще всего для посещения различных сайтов, а это означает, что в реальности можно ограничиться всего лишь парой разрешенных протоколов - HTTPS и HTTP, а то и одним лишь HTTPS, поскольку он используется большинством надежных веб-сайтов вытесняя уже устаревший и никак не защищенный НТТР. То есть, разрешая доступ в интернет, нужно не вслепую разрешать любой трафик к любому узлу, а лишь действительно важный и необходимый трафик. Таким нехитрым правилом можно избежать, в частности, утечки информации.
Для персональных компьютеров следует ограничиться разрешением лишь веб-трафика, использующего порт ТСР/443. При этом компьютеры, с которых нужно разрешить доступ в интернет следует держать в отдельном сегменте сети. Компьютеры, которым доступ в интернет не требуется, стоит размещать также в отдельном сегменте сети, но ни в коем случае не с теми компьютерами, которым интернет нужен. Использование прокси-серверов с авторизацией позволит повысить уровень безопасности и упростить настройку межсетевого экрана, а также более гибко управлять доступом к определенным сайтом. Например, можно заблокировать доступ к определенным URL адресам, не прибегая к грубой и не всегда точной блокировке по IP-адресам.
Разрешение доменных имен (DNS)
Но работа в интернете, как известно, невозможна без DNS. Это тоже очень важный нюанс, поскольку существуют атаки, когда злоумышленник подделывает ответ DNS направляя жертву на поддельный сервер с целью похищения информации. Например, злоумышленник может подделывать ответы DNS для корпоративных ресурсов на подготовительном этапе (перед более масштабным проникновением в сеть), с целью завладения учетными данными корпоративного пользователя. По этой причине не стоит использовать общедоступные DNS-сервера, вместо них лучше применять внутренние DNS, интернет трафик которых ограничен исключительно протоколом DNS и исключительно в направлении тех внешних DNS, которые используются в качестве серверов пересылки.
Синхронизация времени (NTP)
Правильное время на локальных часах компьютеров и серверов, а также сетевого оборудования, также играет немаловажную роль, как в обеспечении информационной безопасности, так и удобства пользователей и администраторов. Аналогично DNS серверам, сервера времени (NTP-сервера) также следует размещать во внутренней сети, разрешая им доступ в интернет только по протоколу NTP (порт UDP/123) и только к вышестоящим NTP, от которых внутренние сервера времени получают точное время. Это позволит отказаться от предоставления доступа в интернет таким сетевым устройствам, как коммутаторы и точки доступа.
Сетевые принтеры, IP-телефоны и IP-видеокамеры
Вот уж чему чему, так принтерам и IP-телефонам IP-видеокамерам доступ в интернет точно не нужен. Совсем. И ничего хорошего это не принесет. Кто-то может поспорить относительно IP телефонов, ведь они могут подключаться к облачной АТС, так вот тут я посмею заметить, что лучше всего вместо облачной АТС использовать свою локальную, благо решений сейчас полно на любой вкус что называется. Хоть платных, хоть бесплатных. Поверьте, так будет лучше, особенно в случае если пропадет доступ в интернет. Я думаю мало кому из сотрудников понравится, если они не смогут переговариваться между собой. При этом, как можно догадаться, своей внутренней АТС доступ в интернет тоже нужно ограничить, разрешив только трафик к вышестоящей АТС - оператору связи по протоколам SIP и RTP (а иногда и одному лишь SIP, если используется SIP-прокси).
Вслепую разрешать весь динамический диапазон портов RTP трафика тоже не совсем правильно, поэтому можно воспользоваться функцией SIP ALG (на устройствах фирмы Cisco, например Cisco ASA эта функция именуется как инспекция SIP). Это позволит разрешать только SIP трафик, а RTP порты будут открываться и пробрасываться через NAT по необходимости, динамическим образом. Лично мне пришлось настраивать эту функцию на устройстве Cisco ASA чтоб связать АТС реализованную на маршрутизаторе Cisco с АТС оператора связи. Никаких проблем не возникло, несмотря на то, что делал я это впервые.
Что же касается видеонаблюдения, так я сразу оговорюсь, что лично я категорически против хранения видеоархивов в облачных хранилищах, равно как и передачи видеопотока с камер в облако. Просто из соображений конфиденциальности этого делать не следует. К тому же трафик видеонаблюдения всегда довольно большой. Представьте себе, какой объем трафика будет передаваться по сети за сутки только от одной камеры, если средний битрейт для Full-HD составляет 10-15 Мбит/с... Я даже не поленюсь и посчитаю: (15 * 3600 * 24)/(8 * 1024) = 158,2 Гб!
Сетевое оборудование
Сетевому оборудованию, если это, конечно, не маршрутизатор или межсетевой экран, размещенный на границе сети, доступ в интернет не требуется. Самое главное, что на таком оборудовании хорошо бы настроить, это NTP (чтоб не тратить бюджет еще и на змену батареек во всех коммутаторах, которых может быть довольно много) и DNS. А для этого выход в интернет не требуется, если эти сервера есть во внутренней сети.
Сервера
А вот серверами дело обстоит сложнее. Однако, можно сказать однозначно, что контроллерам домена и серверам баз данных выход в интернет явно давать нельзя. Это же касается и файловых серверов. Все остальное, например веб-сервера - в зависимости от конкретных обстоятельств.
Для корректной работы контроллерам домена необходимо разрешить доступ к некоторым DNS серверам и серверам времени (NTP), лучше всего это реализовать через некий промежуточный сервер. Можно обойтись одной виртуальной машиной, которой, к слову, не потребуется много ресурсов. Такую виртуальную машину следовало бы разместить в демилитаризованной зоне. И именно ей дать доступ в интернет, по необходимым адресам и протоколам.
Контроллерам домена, серверам баз данных и файловым серверам доступ в интернет давать нельзя! Заражение такого сервера вирусом-шифровальщиком или трояном (троян это по своей сути вирус-шпион) может нанести колоссальный ущерб всей инфраструктуре.
А еще точное время можно получать со спутника, через систему глобального позиционирования, например "ГЛОНАСС".
Обновление антивирусов, а также операционных систем и прикладного ПО следует решать при помощи специализированных серверов, а не предоставлением всем серверам бесконтрольного доступа в интернет.
Заключение
Предоставляя тому или иному устройству в интернет, нужно в первую очередь исходить из того так уж ли он ему необходим. Если доступ в интернет необходим, то его нужно ограничить конкретными протоколами, а по возможности и конкретными адресами.
Предоставлять доступ в интернет "впрок", "на будущее" или "авось пригодится" нельзя! Нужно четко понимать, где он нужен и зачем. От чего можно отказаться, а от чего нельзя. Если не знаете, нужен доступ в интернет, или нет - лучше не лезть или спросить профессионалов, изучить документацию на используемое оборудование и программное обеспечение. В конце-концов, можно попробовать его вообще не предоставлять, и посмотреть как оно все будет работать. Метод научного "тыка" еще никто не отменял :)
А еще нужно делать резервные копии (и регулярно проверять возможность восстановления из них) всего чего только возможно - баз данных, файлов конфигурации, состояния системы. А еще надо сразу запомнить, что сбрасывать резервные копии критичных данных (например контроллеры домена, различные базы данных, конфигурация межсетевых экранов) в облако или на сервера, имеющие доступ в интернет нельзя!! Лучшее решение для хранения резервных копий - магнитная лента (просьба не смеяться и не кидаться помидорами)
