The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Защита внутренней сети "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Проблемы с безопасностью)
Изначальное сообщение [ Отслеживать ]

"Защита внутренней сети "  +/
Сообщение от artorius (ok), 28-Апр-21, 02:54 
Добрый день. Пожалуйста, не кидайтесь тапками в нуба, ибо опыта работы в данной сфере 0. Нужна Ваша профессиональная помощь!

Дано: небольшой медицинский кабинет, несколько устройств, подключенных к сети:
1. Компьютер врача
2. Компьютер администратора
3. Телефон врача
4. Телефон администратора
5. Принтер wi/fi
6. Телевизор смарт-тв
7. Несколько камер наблюдения
Проблема: сеть защищена только паролем от вайфай, все устройства подключены к одной общедоступной сети. т.е к какой сети подключены вышеперчисленные устройства, к той же сети подключаются паиенты и сотрудники. В любой момент могут подключиться к принтеру и пустить печать бранных слов, или, чт еще хуже, получить доступ к файлам клиентов (информация, заключения и тд). Так же проблема состоит в сотрудниках,точнеее в социальных сетях (фейсбук/инстаграм), в которых они любят сидеть, очень часто в рабочее время с пациентами.
Так же в ближайшем будущем хотели бы организовать свой небольшой сервер для хранения медицинской документации (отказаться от облачных решений), необходимо еще думать об этом.

Собственно, вопрос - как защитить "корпоративные" устройства от взлома, заблокировать доступ к фейсбуку/инстаграму, при этом что бы была возможность организовать сервер?

Буду рад за любую помощь. Не прошу сделать за себя, прошу лишь объяснить как это все можно сделать? Заранее извиняюсь, что мог поместить вопрос не в тот раздел.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Licha Morada (ok), 28-Апр-21, 06:29   +/

> Проблема: сеть защищена только паролем от вайфай, все устройства подключены к одной
> общедоступной сети. т.е к какой сети подключены вышеперчисленные устройства, к той
> же сети подключаются паиенты и сотрудники. В любой момент могут подключиться
> к принтеру и пустить печать бранных слов, или, чт еще хуже,
> получить доступ к файлам клиентов (информация, заключения и тд).

Где это? Я ничего не имею в виду, просто так спрашиваю. (:

> Так же
> проблема состоит в сотрудниках,точнеее в социальных сетях (фейсбук/инстаграм), в которых
> они любят сидеть, очень часто в рабочее время с пациентами.

Это, в основном, дисциплинарными мерами надо решать. Вот уже больше 20-ти лет как менеджеры озабочены внедрением технических средств для отрезания сотрудников от порнухи, чатиков, вареза, мессенджеров, вот теперь и социальных сетей. И всё натыкаются на одни и те-же грабли, что либо меры неоправданно дороги в поддержке, либо катастрофически неэфекктивны. Мой совет - не связывайтесь с этой хотелкой, или будте готовы привинтить что-то исколючительно для галочки.

> Так же в ближайшем будущем хотели бы организовать свой небольшой сервер для
> хранения медицинской документации (отказаться от облачных решений), необходимо еще думать
> об этом.

Если компьютер врача один, то не надо сервер. Пусть только срач в файлах не устраивает, и бакапится регулярно. Например, на флешку.


> Собственно, вопрос - как защитить "корпоративные" устройства от взлома, заблокировать
> доступ к фейсбуку/инстаграму, при этом что бы была возможность организовать сервер?

Не стремитесь ко всему и сразу. Для начала, отгородитесь от дикой природы, чтобы снаружи кто попало не лез.

Добудьте себе какой-нибудь простенький роутер класса "SOHO" (small office - home office) с портом WAN и портами LAN.
WAN воткните в ту общедоступную сеть, где пациенты и сотрудники, а в порты LAN втыкайте ваши диван, чемодан, саквояж и картонку.
Принтеру обрубите wifi нафиг, пусть с ним все по кабелю общаются.
Смарт-тв, если он только как телевизор используется, в сеть пускать вообще не надо, даже если он очень просится. Если критично надо, то тоже по кабелю.
Что с камерами, я ХЗ, зависит от технологии и задач которые они призваны решать. Частый ватриант, это N аналоговых камер воткнутых в один цифровой рекордер, таким образом в сети оно выглядит как один единственный хост. За SOHO роутером ему должно быть вполне уютно.

> Буду рад за любую помощь. Не прошу сделать за себя, прошу лишь
> объяснить как это все можно сделать? Заранее извиняюсь, что мог поместить
> вопрос не в тот раздел.

Раздел норм.
"как это все можно сделать" тема широкая, имеет смысл этим заниматься если вы собираетесь с этого кейса начать, и обучаться/развиваться как специалист по сетям, безопасности, системному администрированию и т.д. Если не собираетесь, то лучше сразу зовите специалиста за денежку. Если возникнет подозрение что специалист мудрит что-то не то, описывайте сюда решение которое он предложил/установил, мы с удовольствием его поругаем по существу.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

2. Сообщение от ыы (?), 28-Апр-21, 09:28   +1 +/
>[оверквотинг удален]
> проблема состоит в сотрудниках,точнеее в социальных сетях (фейсбук/инстаграм), в которых
> они любят сидеть, очень часто в рабочее время с пациентами.
> Так же в ближайшем будущем хотели бы организовать свой небольшой сервер для
> хранения медицинской документации (отказаться от облачных решений), необходимо еще думать
> об этом.
> Собственно, вопрос - как защитить "корпоративные" устройства от взлома, заблокировать
> доступ к фейсбуку/инстаграму, при этом что бы была возможность организовать сервер?
> Буду рад за любую помощь. Не прошу сделать за себя, прошу лишь
> объяснить как это все можно сделать? Заранее извиняюсь, что мог поместить
> вопрос не в тот раздел.

1. Совет нанять специалиста Вам уже дали. Это важный момент. Поскольку все что дальше будет говориться - предполагает довольно специфические знания.

Основная схема к которой вы должны стремиться- сеть медицинского кабинета - только для нужд медицинского кабинета. И сеть эта - проводная.
Что нужно? Протянуть провода. Свич или роутер +свич в одной коробке. Н арпинтере отключить wi-fi, принтер подключить к коробочке "LRP-сервер печати" (на аллиексперсс такие примерно по 1500 ). Wi-Fi в этой сети вообще не нужен.

Развлекалово клиентов через предоставление бесплатного вайфая - отдельная сеть.
Что нужно - роутер wi-fi, фильтрация трафика или средствами самого роутера, или отдельного устройства (не обязательно покупать полноценный сервер, можно обойтись решениями на базе роутера, если перепрошить его openwrt и поставить там чтото вроде сквида, на котором и организовать фильтрацию)

Соответственно обе сети втыкаются либо в выходное устройство, либо- ВНИМАНИЕ: все эти сети настраиваются на одном и том же устройстве на базе openwrt. Они будут разделены логически и недоступны друг другу, но физически присутствовать в одном устройстве.

Сами вы это - вероятно не настроите... поэтому тут мы возвращаемся к пункту 1.

Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от artorius (ok), 28-Апр-21, 16:58   +/
> Где это? Я ничего не имею в виду, просто так спрашиваю. (:

Украина, центр. Ниша - узкоспециализированная, лечение спины и травм позвоночника.  

> Если компьютер врача один, то не надо сервер. Пусть только срач в
> файлах не устраивает, и бакапится регулярно. Например, на флешку.

хаха, смешно. как раз с этим ведется активная борьба. пока, не очень успешно.

> Не стремитесь ко всему и сразу. Для начала, отгородитесь от дикой природы,
> чтобы снаружи кто попало не лез.

то и пытаюсь сделать. но главное требование - что бы было беспроводное. и тут камень преткновения - либо безопасность и провода, либо не безопасно и потеря данных. а это репутация, и вполне возможна потеря лицензии на мед практику. но пока не случится - "кто нас может взломать?"

по поводу сервера - согласен, можно даже локалку кинуть и будет общ доступ к файлам как от админа, так и от доктора. полноценный сервер - это я задумал титаник для двух человек сделать. то, чем раньше пользовались (ацес), не устроивало по дизайну и совместному использованию. то, что сейчас - хелпдеском (верее, полным отсутствием). сейчас переходим на банальный эксель в самом элементарном виде. но за месяц-два нужно что то сделать нормальное, "свое" (как требуют). думал за sql-сервер и какую-нить оболочку для него написать, что бы было юзабельно и понятно (благо руки растут из нужного места, но знаний мало). плюс, если придут проверки МОЗовские, что бы была возм все быстро напечатать и показать им.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4

4. Сообщение от Licha Morada (ok), 28-Апр-21, 22:06   +/
>> Если компьютер врача один, то не надо сервер. Пусть только срач в
>> файлах не устраивает, и бакапится регулярно. Например, на флешку.
> хаха, смешно. как раз с этим ведется активная борьба. пока, не очень
> успешно.

Если очень приспичело, начните не с сервера, а с аппаратного NAS-а. По цене будет примерно то-же самое (если с сервером на базе б/у PC не сравнивать, это вне конкуренции), а разница в простоте настройки и администрирования будет очень существенна.
Берите из известных брендов которые подешевле. Qnap, Synology, Seagate, Western Digital.
Если потом всё-таки заведёте сервер, то NAS всё рвно пригодится, бакапы на него будете сливать.

>> Не стремитесь ко всему и сразу. Для начала, отгородитесь от дикой природы,
>> чтобы снаружи кто попало не лез.
> то и пытаюсь сделать. но главное требование - что бы было беспроводное.
> и тут камень преткновения - либо безопасность и провода, либо не
> безопасно и потеря данных. а это репутация, и вполне возможна потеря
> лицензии на мед практику. но пока не случится - "кто нас
> может взломать?"

Безпроводное тоже можно сделать безопасным, но это ощутимо дороже. И требует большего скилла не только от исполнителя, но и от заказчика, чтобы распознать туфту.

Кто вас может взломать? Кофеварка заражённая мальварью, мимокрокодил с затрояненным телефоном, менты или регуляторы в надежде срубить лишнюю палку, скучающий/обозлённый пациент, мамкин хакер из дома напротив...
Напомните заказчику что безопасность, это не только про "чтоб не взломали", но ещё и про доступность услуги. Провода помогают не заисеть от степени засранности эфира или от режима работы микроволновой печи у соседей.

> по поводу сервера - согласен, можно даже локалку кинуть и будет общ
> доступ к файлам как от админа, так и от доктора. полноценный
> сервер - это я задумал титаник для двух человек сделать. то,
> чем раньше пользовались (ацес), не устроивало по дизайну и совместному использованию.
> то, что сейчас - хелпдеском (верее, полным отсутствием).

Это место непонятно совсем.

> сейчас переходим на
> банальный эксель в самом элементарном виде. но за месяц-два нужно что
> то сделать нормальное, "свое" (как требуют). думал за sql-сервер и какую-нить
> оболочку для него написать, что бы было юзабельно и понятно (благо
> руки растут из нужного места, но знаний мало). плюс, если придут
> проверки МОЗовские, что бы была возм все быстро напечатать и показать
> им.

Рекомендую поискать готовое решение. Посмотрите, чем пользуются коллеги и конкуренты.
Заниматься написанием, и главное, поддержкой решения в одно рыло, тем более паралельно с сетью, сервером и техподдержкой пользователей, удовольствие ниже среднего. И для исполнителя, и для его непосредственных клиентов.
Не факт, что специализированное решение будет лучше банального экселя.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #6

5. Сообщение от Сейд (ok), 28-Апр-21, 22:31   +/
Поддерживай ПО в актуальном состоянии. Своевременное обновление — важный элемент защиты корпоративной сети от несанкционированного доступа.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

6. Сообщение от artorius (ok), 29-Апр-21, 01:19   +/
> Если очень приспичело, начните не с сервера, а с аппаратного NAS-а.

спасибо, изучу

> Кто вас может взломать? Кофеварка заражённая мальварью, мимокрокодил с затрояненным телефоном,
> менты или регуляторы в надежде срубить лишнюю палку, скучающий/обозлённый пациент, мамкин
> хакер из дома напротив...

согласен, в принципе, это никому не нужно. теоретически - все может произойти. и уж лучше предупредить, чем разгребать последствия.

> Это место непонятно совсем.

самое первое, чем пользовались - бд в ms access. но, 1. нельзя ыбло использовать одновременно, и 2. не устраивал функционал и дизайн
сейчас пользуемся МИС (мед информ система), но польностью отсутсвует хелпдеск. номинально, он есть. но по факту - нет. просто пример - форма записи пациента выдает ошибку на финальном этапе. как итог - у пациента ошибка, у нас запись появляется, но пациент об этом не знает. и, либо ему звонить, либо нам перезванивать. это - доп усилия как клиента, так и администратора. раньше работал в банке, нас за это вполне реально штрафовали по 360 грн (около 1000 руб). и хд знают об этой ошибке еще с нового года. никаких телодвижений в сторону решения вопроса нет.

> Не факт, что специализированное решение будет лучше банального экселя.

украинские МИС имеют ряд проблем. самая главная - отсутствие развития. ни в одной мы не увидели то, что нам необходимо. а переплачивать за функционал, которым мы не пользуемся (ибо некоторые просто огромные) - смысла нет. и уж лучше раз свое написать, настроить, но что бы оно было стабильно и выполняло поставленные задачи.

в любом случае, спасибо вам огромное за доходчивое разъяснение текущих и последующих проблем!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #7

7. Сообщение от Licha Morada (ok), 29-Апр-21, 03:03   +1 +/
> > Кто вас может взломать? Кофеварка заражённая мальварью ...
> согласен, в принципе, это никому не нужно. теоретически - все может произойти.

Как раз в том и дело, что принцип Неуловимого Джо здесь не работает.
Направленно вас атаковать, скорее всего, никто не будет, но на любою тривиальную уязвимость как мухи налетают боты и вандалы.

> украинские МИС имеют ряд проблем. ... уж лучше раз свое написать, настроить

Амбициозно.
Я бы рекомендовал поискать какой-нибудь открытый проект, который можно подрихтовать для ваших нужд и, если надо, украинизировать. Работы меньше, а обществу польза.
Не обязательно специализированый МИС, возможно, удастся настроить какой-нибудь CRM общего назначения. Это общие соображение, по медицине, тем более украинской, я не в теме.

Вот навскидку:
https://en.wikipedia.org/wiki/List_of_open-source_health_sof...
https://openmrs.org/

Можно запустить пилот в виртуалке на рабочей станции. Если зайдёт, то просить целевой бюджет под сервер.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #10

8. Сообщение от fantom (??), 29-Апр-21, 15:53   +/
> Поддерживай ПО в актуальном состоянии. Своевременное обновление — важный элемент
> защиты корпоративной сети от несанкционированного доступа.

Как вариант
Для безпроводного:
1. Нормальное WiFi оборудование, чтоб поддерживало несколько SSID. Гости/сотрудники/телефоны/врач -- отдельно.
2. WiFi врача и сотрудников -- только транспорт, внутри VPN с шифрованием и авторизацией, как вариант --OpenVPN.

Принтер -- таки лучше проводом к роутеру с фильтром доступа на роутере хотя-бы простейшим - по адресам сетей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #9, #11

9. Сообщение от Сейд (ok), 29-Апр-21, 16:50   +/
Все компьютеры подключить проводами. А для VPN выбрать WireGuard.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

10. Сообщение от artorius (ok), 02-Май-21, 19:34   +/
> Не обязательно специализированый МИС, возможно, удастся настроить какой-нибудь CRM общего
> назначения. Это общие соображение, по медицине, тем более украинской, я не
> в теме.

спасибо, изучу варианты. так же спасибо за помощь)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

11. Сообщение от artorius (ok), 02-Май-21, 19:36   +/
>OpenVPN.

Тоже думал за впн-сеть, но как настроить ее для нужд такого маленького офиса - понятия не имею. да и смысл разворачивать впн аж для двух пк и 5 телефонов

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #12

12. Сообщение от ыы (?), 05-Май-21, 08:57   +/
>>OpenVPN.
> Тоже думал за впн-сеть, но как настроить ее для нужд такого маленького
> офиса - понятия не имею. да и смысл разворачивать впн аж
> для двух пк и 5 телефонов

vpn-сеть поверх wi-fi сети как выше правильно отметили - обойдется дороже проводов. По очень простой причине - роутер (или специальный сервер) который потянет vpn-сеть (за счет специального чипа или за счет мощности процессора) - будет стоить в несколько раз дороже простого роутера на который можно развернуть openwrt и разрулить несколько подсетей без шифрования. А специалист все равно понадобится.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру