Segurança com pouco investimento pode???

Poste aqui suas dúvidas e sugestões sobre todas as tecnologias de redes e telefonia.
Avatar do usuário
jefers0n
Membro Ativo
Membro Ativo
Mensagens: 23
Registrado em: 25 Nov 2006, 12:31
Localização: Porto Alegre - RS

Segurança com pouco investimento pode???

Mensagem por jefers0n » 26 Nov 2006, 09:51

Me ocorreu uma dúvida ontem falando com uma pessoa que me pediu uma ajuda...Ele quer fazer um pequeno escritório em casa com 3 máquinas com acesso a internet e ligadas em rede normalmente, mas ele pretende apenas ligar o moden ADSL num switch de 4 portas que será ligado às 3 estações. Expliquei que uma rede assim não é tão segura, e como hj li as respostas de vocês com relação a minha dúvida em um projeto que pretendo executar no início do ano e que é parecido com isso q ele quer, com a diferença q eu quero ter server linux na minha pequena rede WinXp. me foi dito aqui que posso utilizar, pra aumentar a segurança, um roteadro que exerce função de firewall além do server firewall, então pensei em indicar a ele um roteador que exerça esta função , mas não sei como funciona a função de firewall no roteador e se pode ser um moden roteador como o que ele tem (D Link DSL 500-T) este pode fazer isso???
Como ficaria a segurança desta rede apenas com um roteador exercendo a função de firewall??? se é viável e como ficaria melhor sem gastar muito, pois ele ñ quer adquirir mais máquinas pra server... Talvez eu o convença a adquirir uma maquininha pra server, mas como ja sei que não é aconselhável colocar servidor firewall e servidor de arquivos juntos, o que seria mais viável???, visto que o que eu queria proporcionar a ele era justamente a segurança maior nestes dois pontos, nos arquivos que ele não pode perder de jeito nenhum e tb na segurança na internet(ataques e vírus), sei que independente disso vai estar rodando antivírus nas máquinas, mas queria a opinião de vocês que com certeza tem mais experiência que eu, que estou começando agora.
Desculpem a extensão do post, mas é que são bastante dúvidas.

Att,
Jeferson Neves

vedolin
Membro Ativo
Membro Ativo
Mensagens: 54
Registrado em: 20 Jul 2006, 09:50

Mensagem por vedolin » 27 Nov 2006, 17:48

Olá,

Na minha opinião, eu acho que você não necessita mais doque um firewall de um router desses SoHo da D-Link pode oferecer. A segurança que você utiliza é a segurança que você necessita! Podemos aqui te falar mais mil coisas para melhorar a sua segurança, mas você precisa de tudo isso mesmo? Pra um rede de 3 micros? Bom eu tb não sei que tipo de informação você vai rodar nessa rede. Mas essa rede com um router, com um firewall ativo, com as máquinas td limpas, não há necessidade de mais nada, e ainda nesse router você pode ativar ainda mais umas 25 regras das que vem padrão. Eu tenho essa opinião.
Agora não confunda segurança de "internet", com a segurança dos seus dados, são duas coisas separadas e nunca devem ficar junto, alias o seu servidor de backup deve-se evitar ficar no mesmo prédio que fica o seu CPD.
Agora até quero saber a opinião dos outros membros, numa rede tão pequena, usar uma maquina pra montar um servidor, sendo que um router hj custa no máximo uns 200 contos...eu acho desvantagem.

Att:Vedolin;

PS:Como que o topico é grande, talvez eu não tenha respondido todas as perguntas, mais ai vai respondendo durante o processo. :D

Avatar do usuário
jefers0n
Membro Ativo
Membro Ativo
Mensagens: 23
Registrado em: 25 Nov 2006, 12:31
Localização: Porto Alegre - RS

Mensagem por jefers0n » 28 Nov 2006, 07:44

vedolin escreveu:
Bom eu estou achando que isto mesmo ja esta de bom tmanha, visto que de início o investimento tem que ser o mínimo possível (pouco $), o que precisamos realmente é manter a integridade dos dados que estarão sendo usados na rede, sem perdas, pois serão dados de outras empresas (será um pequeno escritório de assessoria contábil e mais alguns serviços) e também segurança na "internet" que acho que com um anti-vírus instalado e atualizado e com o bom senso das pessoas que usarão os micros de ñ navegarem em páginas suspeitas, ñ abrir links desconhecidos de pessoas desconhecidas....aquilo que a maioria esta ciente (mas muitas vezes, mesmo assim acabam fazendo...hehehe), ñ sei se em uma dessas máquinas eu poderia fazer algo pra minimizar isto(por ex. uma delas como Gateway, com 2 placas de rede, uma recebendo o acesso e outra passando pras outras e nela um iptables configurado, mas o linux em modo 'gráfico' para que possa ser usado pra acesso internet e tb o OpenOffice ao menos ), ou apenas no router da pra se ter configurar algo como regras de acesso tb????

Att,
Jeferson Neves.

Avatar do usuário
jefers0n
Membro Ativo
Membro Ativo
Mensagens: 23
Registrado em: 25 Nov 2006, 12:31
Localização: Porto Alegre - RS

Mensagem por jefers0n » 28 Nov 2006, 09:09

Pessoal, Agradeço pela atenção e gsotaria de perguntar mais umas coisas.
Dei uma pesquisada e encontrei um router da D-Link que acho que serve pra o que preciso, é o "D-Link DI-604", me digam se servemesmo e se ñ for pedir demais o que significa scheduling, olhei as especificações técnicas e entendi que é uma das funções firewall, que além deste "scheduling", ele filtra por endereço MAC, por ip, bloqueia URL, bloqueia dominio tb... Entedndi tudo menos o SCHEDULING.

Att,
Jeferson Neves

Marcio Marques
Membro Júnior
Membro Júnior
Mensagens: 10
Registrado em: 23 Nov 2006, 14:07

Mensagem por Marcio Marques » 28 Nov 2006, 21:46

Olá Jeferson, usei um INTERNET SERVER desse em um escritório e consigui bons resultados, com ele usei algumas regras no filter e firewall até mesmo para liberar apenas sites de trabalho para alguns usuarios e até agora esta funcionando muito bem, você tambem pode liberar apenas as maquinas na rede cadastrando o MAC de cada uma e colocando o endereço de Ip. resumindo é muito util esse DI-604 além do mais é barato.. e se não me engano o SCHEDULING podem me corrigir se estiver errado seria a opção do Firewall Programada ou programar .Como te disse acima ele nos da a opção de criar regras no firewall, uma obs se não me enganos tem limites de regras a serem criadas.. são 10 ou 15 regras no firewall.. não testei mais de 10 regras pra te afirmar mais foi informação da propria Dlink..

Espero ter ajudado Abç..

ronaldobf
Moderador
Moderador
Mensagens: 328
Registrado em: 28 Jan 2006, 03:34
Localização: Araras/Campinas - SP

Mensagem por ronaldobf » 29 Nov 2006, 09:27

Sobre a infra-estrutura da empresa, tudo vai depender do nível de segurança que será necessário. Isso, é definido pelas necessidades da empresa e pelo feelling do prestador de serviços.

Você disse que trabalhará com dados de outras empresas, portanto, já é um motivo relevante na segurança dos dados.

Acredito que o ideal seria utilizar um roteador SOHO, como citado, que seja ligado a um servidor de internet e dados (teoricamente, teriam que ser separados), mas num futuro, você poderá melhorar a rede.

Eu, para qualquer empresa, instalaria um servidor Linux, com samba para compartilhamento de arquivos (com autenticação de usuários) e um firewall através de IPtables. Neste IPtables, você poderá até ficar em Stealth mode, isto é invisível, direcionando requisições externas para um IP que não está sendo utilizado em sua rede (softwares p2p exigirão regras para funcionar).
No linux, defina usuários e senhas difíceis, defina permissões apenas para usuários, etc...
Habilite o backup todos os dias, ou conforme sua necessidade. (No linux, você pode utilizar o crontab). Sempre utilize no mínimo duas mídias e as intercale no backup. (backup1-mídia1, backup2-mídia2, backup3-mídia1, backup4-mídia2, etc...)

Agora, no roteador, altere a senha, faça as linhas do IPtables mais importantes, utilize filtro de MAC e por IP, não use DHCP, desabilite ping (echorequest do ICMP), etc...

Utilize IP fixo, dentro de um range que não ultrapase mais que 20% ou 30% do número de computadores (Sempre visando o número de computadores e projetando seu crescimento a médio/longo prazo).

Utilize, por exemplo, 192.168.1.8 / 255.255.255.248
isto é, você terá até 6 IPs para endereçamento. de 192.168.1.9 a 192.168.1.14 sendo o endereço de rede 192.168.1.8 e de broadcast 192.168.1.15

Sempre utilize as últimas atualizações dos sistemas operacionais, bem como dos anti-vírus nas estações. Salve os arquivos no servidor através de controle de usuários de forma simples. Faça a rotina de backups.

A vantagem do linux é que até hoje não foi criado um vírus para ele e com controles de acesso, fica bem mais seguro. Claro, nada é 100%, mas ajuda, e muito.

E por aí vai....

Claro, o que tentei aqui, foi apenas tentar alguma segurança para sua rede baseado em suas informações. Vai de seu feelling saber e compensa servidor dedicado ou utilizar apenas controles no router SOHO.

Lembrando que não é necessário uma configuração de hardware alta, desde que funcione e que garanta ficar ligado enquanto é necessário.

Abraços
Ronaldo A. Bueno Filho

Avatar do usuário
jefers0n
Membro Ativo
Membro Ativo
Mensagens: 23
Registrado em: 25 Nov 2006, 12:31
Localização: Porto Alegre - RS

Mensagem por jefers0n » 29 Nov 2006, 12:41

Abrigado, me esclareceu algumas coisas que tinha dúvidas, muito bem explicado.
Só uma coisinha, nunca fiz backup de dados de uma empresa mas achei que fose apenas fazer cópias de arquivos para sdegurança, mas porque aquela forma de mínimo de 2 mídias? segurança?

Ahh e também, não cheguei a olhar, mas este roteador da d link é modem banda larga tb? posso usá-lo pra receber o sinal adsl e rotear o mesmo pras máquinas, sem ter um moden antes dele?

Att,
Jeferson Neves

vedolin
Membro Ativo
Membro Ativo
Mensagens: 54
Registrado em: 20 Jul 2006, 09:50

Router D-Link DI-604

Mensagem por vedolin » 29 Nov 2006, 14:25

Oi, tudo já foi respondido acima, mas em relação a sua dúvida com o router, ele é somente router, não é modem. Já vi ele funcionando bem numa rede com quase 100 micros, sem problema, e tinha umas 10 regras de firewall. Ele aguenta bem, uma outra opção é o router da Planet XRT-401E, ele geralmente custa um pouco mais barato, mas a sua forma de criar regras no firewall eu pelo menos não gostei. Tem o DI-624, que é ap/router, pelo o preço compensa.

Att: Vedolin

ronaldobf
Moderador
Moderador
Mensagens: 328
Registrado em: 28 Jan 2006, 03:34
Localização: Araras/Campinas - SP

Mensagem por ronaldobf » 01 Dez 2006, 09:23

Olá... Sobre as mídias, em empresas pequenas, geralmente é utilizado cópia em CD dos arquivos (backup).
Em empresas de médio porte, ou empresas de pequeno, que prevê um crescimento, geralmente utilizam fita para realizar backup (tape scsi) e grandes empresas, utilizam algum datacenter por contratação de terceiros ou, como a IBM, tem seu próprio SAN (Storage Area Network)
Acredito que no seu caso, uma gravadora de CD´s seria melhor.

Por que duas mídias??? Primeiramente, vamos entender seu uso.
Você tem seus dados, softwares de controle administrativo e outros. Tudo é atualizado dentro de certo período, isto é, sempre que fizer alguma inclusão de dados, atualização ou exclusão, você deve atualizar seu backup quando existir algum acúmulo importante de dados novos.

Em empresas, geralmente é feita diariamente a rotina de backup. Imagine você, que trabalhará com informações de outras empresas, perder alguns dados, ou quem sabe, todos... problemas a vista, certo?
Isso pode ocorrer... imagine que você perdeu seus dados no servidor. Você recorre ao backup (CD) e quando vai utilizá-lo, BUM!!! está estragado, por ter riscos, ter quebrado ou erro de gravação. Perde tudo.

Se você se acostumar a intercalar os CD´s entre os backups, se você perder o mais atual, terá o anterior, perdendo apenas alguns dados.
Guarde esses CD´s em outro local fora da sala do servidor, de preferência, fora da empresa. Imagine se pegar fogo no local... perde-se o hardware, mas ainda tem-se os dados.

Essa é a mínima segurança de uma rotina de backup.

Abraços
Ronaldo A. Bueno Filho

ronaldobf
Moderador
Moderador
Mensagens: 328
Registrado em: 28 Jan 2006, 03:34
Localização: Araras/Campinas - SP

Mensagem por ronaldobf » 01 Dez 2006, 09:26

Ah!! esqueci!!! De tempos em tempos, aposente os CD´s, arquivando-os em locais seguros e utilize mais duas novas mídias. Assim, evita o desgaste natural deles e garante a integridade de seus dados.

No unix, você pode criar um script para realizar tal tarefa automaticamente.

Utilize CD´s regraváveis.

abraços
Ronaldo A. Bueno Filho

Avatar do usuário
jefers0n
Membro Ativo
Membro Ativo
Mensagens: 23
Registrado em: 25 Nov 2006, 12:31
Localização: Porto Alegre - RS

Mensagem por jefers0n » 01 Dez 2006, 10:26

Muito obrigado.

Responder