Posso connettere la nostra rete a Internet ma consentire solo connessioni ad alcuni server?

Naviga le tue risposte
1

Al lavoro abbiamo una rete che non è connessa a Internet, tuttavia è esposta al lavoro esterno tramite unità USB e telefoni cellulari dei dipendenti. Mi piacerebbe connettere il nostro sistema a Internet per ottenere automaticamente Symantec & aggiornamenti di Windows. Attualmente devo aggiornarli manualmente che non ho tempo di fare con la frequenza che mi piacerebbe. Gestiamo anche alcuni software di gestione dei record che sono diminuiti non avendo accesso a Internet.

C'è un modo per me di utilizzare un firewall per specificare che la nostra rete è autorizzata a connettersi solo al server di aggiornamento live di Symantec, al server di aggiornamento di Windows e al server delle società di gestione dei record e nega tutto il traffico in entrata e in uscita? Se è possibile quanto sia difficile (o quanto comune) per qualcuno falsificare che sono il server di aggiornamento di Windows?

Mi rendo conto che non esiste un sistema completamente sicuro, ma il mio obiettivo è trovare un modo sicuro per semplificare l'aggiornamento del software (ed eventualmente espandere la capacità dei nostri computer) senza dover monitorare costantemente il sistema.

Stiamo eseguendo Windows Server 2003 con workstation che eseguono XP. Abbiamo Symantec Endpoint 12.1 e attualmente non dispone di firewall basato su hardware.

    
posta mattz 01.05.2012 - 00:24
fonte

2 risposte

3

Limitazione dell'accesso a determinati indirizzi

Un firewall che connette la tua rete a Internet può fare esattamente questo. È possibile autorizzare gli IP desiderati e l'impostazione predefinita rifiuta qualsiasi altra comunicazione (entrata o uscita). Normalmente non suggerisco di andare su un firewall personalizzato (Linux OS su un computer che fa solo il firewall e non viene utilizzato per nient'altro) subito, ma penso che possa darti la semplicità e la potenza di cui hai bisogno. Il vantaggio è che potresti essere in grado di utilizzare le apparecchiature che già possiedi per questo scopo, considerando il throughput suggerito (purché non sia troppo vecchio).

pfsense è molto apprezzato.

Detto questo, dovrai scrivere le regole del firewall. Quindi, non è "point-and-click", e richiede un livello moderato di abilità, ma totalmente fattibile.

Spoofing di Windows Update

È possibile spoofare un sito di aggiornamento software, ma programmi come Windows Update e Symantec update verificano l'indirizzo a cui si sta connettendo, quindi il rischio è molto basso.

Modifica

Oh, e sono sicuro che qualcuno lo indicherà, quindi li batterò al punch: probabilmente esponerai la tua rete a più problemi di sicurezza consentendo le chiavi USB e l'elettronica personale nella tua rete piuttosto che con una configurazione mal configurata firewall (date le giuste condizioni). Quindi, limitando (eliminando) quelle cose e avendo un buon firewall, sarai più avanti rispetto a dove sei ora.

    
risposta data 01.05.2012 - 00:47
fonte
0

Un'alternativa da considerare è che puoi gestire internamente i tuoi server di aggiornamento e di aggiornamento Windows privati. Devono essere in grado di accedere a Internet, al fine di ottenere gli aggiornamenti da Symantec e Microsoft, ma i computer client non lo fanno.

(Le persone di solito implementano questi servizi per memorizzare nella cache il traffico Internet e così possono controllare quali aggiornamenti sono distribuiti quando, ma funzionerà anche in questo scenario.)

    
risposta data 01.11.2012 - 14:59
fonte

Leggi altre domande sui tag

La nostra azienda deve condurre una verifica di una grande soluzione ASP.NET che è stata sviluppata per noi da una società di sviluppo. [chiuso] Esiste un modo sicuro per eseguire un file bat da un programma Java senza la vulnerabilità di command injection?