二三十台电脑的小型企业内网,如何低成本保证内网通信安全(避免主机被黑后 ARP 窃取其它主机通信数据等)(除 VPN 外没有直接暴露公网的服务)一定要上硬件防火墙吗?

166 天前
 drymonfidelia
领导主要想防止内网 NAS 里面的公司机密数据泄露,因为用的是 SMB 协议没有 TLS 等避免中间人攻击的手段。
5237 次点击
所在节点    信息安全
64 条回复
drymonfidelia
166 天前
@serafin NAS 有权限控制
kome
166 天前
交换机一个端口一个 VLAN, VLAN 之间禁止通信, VLAN 只能跟 NAS 通信(可以交换机 ACL, 也可以用防火墙);
主机接入采取静态接入, 交换机禁止学习 MAC, 一个物理端口只绑定一台设备;
交换机 Console 口在配置完登录账号和密码后, 拆机剪断 Console 口跟主板的连线;
交换机配置采用专用 IP 和主机, 配置用主机锁你家领导的保险箱里面;
配置专用主机全盘加密, BIOS 加密, 开机需要使用密钥 U 盘, U 盘给你所在公司的老板;
不用的交换机物理端口全用钳子剪断然后内部接高压电, 谁接谁电脑网卡报废.
(VLAN 间访问和配置交换机也可以使用下面的防火墙/nas 的操作)

至于 NAS 使用, 需要什么文件或者上传什么文件先申请, 需要什么文件, 需要多长时间, 小组组长签字, 部门领导签字, 由专人专机开访问权限, 其余时间和其他 IP 防火墙一律 deny, 申请单当天有效;
防火墙必须去机房使用堡垒机插显示器键盘使用, 后面跟俩摄像头, 进入机房禁止携带纸币以及任何电子产品(防火墙/NAS 申请单可以带, 不能带笔), 再过一个安检门;
现场负责人必须全程在场监视操作;
操作防火墙的指令提交之后, 需要使用机房内的录音电话联系防火墙审计人员进行报告, 需要在电话内朗读相关内容, 防火墙审计人员进行复读, 确认无误后确认执行.
摄像头拍摄内容每周复查, 电话录音每周复勘. 出现违规情况, 第一次公司通报, 第二次开除.

(干活 2 分钟, 流程 7 小时)
yinmin
165 天前
大都是员工是用 wifi 上网的吧,带网管的 ap 可以开启客户端隔离,wifi 设备之间不能通信,只能和接入点通信,可以防止 wifi 设备的 arp 欺骗
cdlnls
165 天前
这个需求上防火墙没啥用的吧,内网的几十台电脑大概率就是在同一个二层交换机下面,电脑和电脑之间的通讯不经过路由器,只会到交换机,更别说防火墙了。

这样的话,就在交换机上配 mac 和 ip 绑定,配 ACL 限制主机 IP 账户访问。

如果说有对外开放端口,你这里是 vpn ,如果你能确保你的 vpn 配置安全,那我觉得防火墙作用有限。从外部的攻击需要经过 vpn 隧道,防火墙没法识别 vpn 隧道内的访问流量,防火墙识别不到流量基本就废了。这里防火墙唯一的作用就是,客户端在向外部发起请求时,可以识别到,比如挖矿,连接了恶意 IP 后门,就可以根据这个能识别出来哪台客户端有问题。
billgong
165 天前
@yinmin 不一定要 WiFi ,用网管交换机有线一样可以隔离。
wy315700
165 天前
我没记错的话 SMB 是有加密选项的
群晖里就有设置选项
sunnysab
165 天前
SMB 如果用域管理的话,域内证书由域控制器颁发,保证不被劫持,因为认证是由域控制器完成的。(虽然有用密码缓存攻击这种操作,好多年前看到的了,不知道现在是否有效)
配合上杀毒软件和一些全线策略,也差不多了吧。

ZeroTrust 有点跑题,而且比较慢 =-=
0o0O0o0O0o
165 天前
@sunnysab #27 没觉得跑题,你仔细说说。至于慢,有那种自己部署的产品,但我不了解。但这里讨论的是这个需求到底可不可以用零信任这个筐来装,所以性能其实不是这里的问题。其实楼上提到的很多思路不正是零信任的雏形么
BadFox
165 天前
想要绝对的安全是不可能的,安全是一整个体系,永远有替代方案,也永远不要指望一个硬件/软件/防护措施就能解决一切问题。
说回你这个需求,你们的核心资产是 NAS 里面的机密数据,相比起来你担心的这个具体风险只是众多风险的其中之一,甚至脆弱性我感觉都不是很高...建议是从对外出口侧部署一个比较便宜的防火墙(你这个流量对应的防火墙价格真的非常低),终端层面找一个免费的杀毒软件下发下去。最好所有电脑入域统一管控,同时对 NAS 以等保标准做定期的基线扫描,做好备份。
另外不知道你们要保护的核心资产是什么格式的,如果是文档图纸等文件类的话,比较建议买个终端层面的加解密软件,这样即使文件泄露或外发也无法解开,其他的管控措施就可以相对轻松一点了。
daxin945
165 天前
弄个蜜罐吧 最起码真有这种 ARP 或者其他的扫描行为的时候能及时发现
xiaogan18
165 天前
买腾讯 iOA
Songxwn
165 天前
交换机支持二层隔离,可以防止 arp 攻击。
sunnysab
165 天前
@0o0O0o0O0o 好吧,零信任产品也可以。

我的理解是:OP 可能有一个 NAS 和若干 PC ,通过网络上(软硬件)的一些设置可以使 PC 间不互通,现在要保证 PC 到 NAS 间的安全性,那么通过 SMB 本身的加密解决更方便。引入零信任产品,是不是需要多一台服务器对流量做中转?感觉上类似于内网挂了个 VPN ,没有必要。要说可以也确实可以...
proxytoworld
165 天前
1. arp 攻击检测由很成熟的方案了,硬件软件都有
2. 被黑之后光想着那点数据已经没用了,厉害的红队直接找域或者通过工作组横向直接把你几十台机器控了,什么加密通信都没用
proxytoworld
165 天前
人家都进了内网了还想着搞 arp 攻击吗,有点本末倒置,直接通过漏洞攻击你们的服务器或者 pc ,下发木马
luoyide2010
165 天前
有条件可以上 IPSG (需要网管交换机+电脑都是 DHCP 分配的地址)防止 IP 欺骗,安全性要求高的,可以把端口隔离也打开,没条件就在 NAS 部署个 VPN 服务,内网电脑通过 VPN 通道跟 SMB 访问,SMB3 也支持加密特性(不过新技术,支持的设备不会很多)
shellus
165 天前
@BadFox 赞同零信任的方案,使用零信任架构后,就没有内网的概念了,所有设备在一个虚拟网络中,并且所有的流量都是加密的。
我用的零信任架构有本地发现和点对点连接,内网外网访问,和直接用局域网 IP 访问没有什么能感觉到的速度差异。
yurang
165 天前
上 360 企业安全云,saas 化的团队版无广告卫士,支持管理员纳管。基础防护免费,增值服务丰俭由人。你的场景很合适
null2error
165 天前
标准的终端安全场景,花钱买对应的软件或者服务产品就完事了,我在上家公司推过这个事情,成本其实也不是特别高,常规产品差不多几百块一个终端,如果是买断制的产品还要再花点钱买个后台控制端和对应的硬件。

功能上不用考虑太多,大家的功能都差不多,你有 ABC ,我有 BCD ,实际上真正有用的 BC 大家都一样,剩下的 A 或者 D 是厂家挣钱的部分,看需求吧~

其实真正的风险还是在于人,当时上终端安全项目主要的目的还是在于规范人的行为,后来没搞成~
人的风险我这里提一下,当时和终端安全一起提的项目还有打印监控,我上家单位因为业务性质问题,每个月打印量少的几千,多的大几万。这里面风险非常高,经常在打印机边上看到一些不该看到的东西,所以当时也提了打印监控。后来也没搞成~
dode
165 天前
开启交换机端口隔离,开启 MAC 绑定

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1056081

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX