Posted on by pmritconsulting

Võrguturvalisus ehk mida meie pakume!

Esimene seade arvutivõrgus peaks/võiks olla pädev tulemüür.

Pädeva tulemüüri all me peame silmas UTM või NGFW seadmega. Oleme sellel teemal sõna võtnud ühes oma eelmises artiklis “Milline võiks olla turvaline kodu- või ettevõtte arvutivõrk?

Järgmine valik, mis seadmete osas teha tuleb on võrgujagurid (Switchid).

Siin on vaja silmas pidada, et mis seadmed on vaja sinnakokku saada. Ettevõtetes on mingi arv VoIP telefone, Juhtmeta võrguseadmeid, printerid, muud seadmed, mis kasutavad kaabliga internetiühendust ja töökohaarvutid. Ehk võrgujaguri määrab reaalsete juhtmetega kasutajate arv ja kas lõppseadmed tarbivad voolu üle võrgukaabli (VoIP telefonid, juhtmeta võrguseadmed …). Kui seade tarbib voolu siis on vaja teada, kui palju tal seda vaja on. Kuna PoE (Vool üle Võrgukaabli) võimalusi on täna kokku kolm.
1. PoE – 15,4W (802.3af)
2. PoE+ – 30,8W (802.3at)
3. PoH/PoE++/Cisco uPoE – 90W (802.3bt)

Veel, millele tasub võrgu ehitamisel silmas pidada just võrgujagurite kohapealt on nende võimekus. Nimelt pakutakse täna turul mittehallatavaid (unmanaged), hallatavad (managed) võrgujagureid (hallatavad võrgujagurid jagunevad veel smart- ja web managed). Täna tasub juba eos vaadata siiski hallatavate võrgujagurite poole, kuna nii on teil võimalik eraldada võrgus näiteks CCTV, külastaja võrk ja töövõrk. Oleme mingi aeg tagasi kirjutanud artikli sel teema … “Kuidas ehitada hallatav koduvõrk“.

Juhtmevaba kohtvõrk

Siin me peame silmas WiFi seadmeid, mis kas siiskodus või ettevõttes internetiühendust jagavad. Me oleme jällegi sellel teemal kirja pannud oma mõtted … “Kas hakata ehitama juhtmega või juhtmeta kontorit?“.

Korralikult läbimõeldud lahendus aitab siiski kokku hoida hulganusti raha ja seda just võrgujagurite soetamise kulu kohapealt. Kõige lihtsam näide on see, et kui võtta võrgujagur millel on 24 võrguliidest siis see tähendab, et selle seadme külge saab ühendada ainult 24 seadet. Kui aga võtta WiFi seade (me räägime siin siiski kvaliteetsest wifi seadmest) siis selle külge tootelehtede järgi võib ühenduda kuni 500+ kasutajat (reaalne elu aga on näidanud, et 200+ kasutajat on siiski see maagiline piir).

Lisaks juhtmevaba võrgu puhul puudub mure kaablite vedamisega, kui juhtumisi in vaja mingit vaheseina muuta või avatud kontor ümber ehitada.
Juhtmevaba võrgu puhul (Ruckus) on võimalik terve maja võrgu nimeks anda ühe nime (SSID) ja igale kasutajale oma sisselogimis salasõna ning vastavalt sisselogijale on võimalik see kasutaja suunata õigesse võrku (VLAN’i) et ta ei puutuks kokku teste inimestega, ettevõtetega. Ja kui terves majas on selline võrk tehtud siis see sama kasutaja saab kogu WiFi levialas olla oma ettevõtte võrgus.

Näiteks võtame 9 korruselise ärimaja. Selles majas on välja ehitatud korrektne WiFi võrk. Klient on 7 korrusel oma kabinetis ja hoolimata sellest on samal korrusel veel hulganisti teisi ettevõtteid. Siis juhtmevaba kontori mõte on see, et sellel majal oleks maksimaalselt 2 WiFi võrku, millest üks oleks avalik ehk külastajatele piiratud kiirusega. Teine võrk aga selle ärimaja klientidele. Nüüd, kui 7 korruse klient logib võrku oma salasõnaga siis oletame, et talle on tehtud reegel, et tema võrk on VLAN117. See tähendab seda, et terve selle maja wifi levialas on ta VLAN117 kasutaja ja talle kehtivad kõik selles VLAN’is kehtivad reeglid, mis pannakse paika tulemüüris.
Teine eelis sellise lahenduse puhul on see, et kui töötajal on tähtajaline leping siis selle salasõna saab panna kehtima tähtajaliselt. Näiteks leping on 2,5 aastat siis aja täitumisel ei ole tal enam sellesse võrku ennast sisse logida, kuna salasõna on kehtetu jne …

Nüüd kui on seadmed selged siis mis edasi?

Tulemüüride puhul (WatchGuard) on kolm litsenseerimise lahendust.

  • Standard Security Suite
  • Basic Security Suite
  • Total Security Suite

Ehk need kõik on oma erinevate tasemetega ning WG puhul on valida litsentsi kehtivus 1 või 3 aastat, peale mida oleks vaja litsents uuesti uuendada.

Mida miski sisaldab?

Kodukontoritesse piisab, kui soetatakse Standard. Alates väikekontorist võiks omale juba soetada vähemalt Basic Security Suite.

Kuidas oma juhtmevaba võrk veelgi turvalisemaks teha?

Kui olete omale soetanud õige tulemüüri ja vajaliku arvu hallatavaid võrgujagureid ning paigaldanud õigetesse kohtadesse vajalik arv WiFi seadmeid ning võrgu korralikult seadistanud ja häälestanud – siis on teil tegelikult juba olemas väga hea tulemus ja võite öelda, et teie maja võrk on hea ja turvaline. Kuid on veel üks võimalus, kuidas WiFi sadmetele anda lisaturvalisus.

Nimelt pakub WatchGuard välja lahenduse, kus tuleks paigaldada nende üks AP iga 4’ja teise tootja AP kohta

See AP tuleb rakendada tööle kui WIPS sensor ning WG pilves lubada need AP’d mis on ettevõtte võrgus. Kõik teised AP’d, mis sellesse võrku tekivad ei lubata sesiooni WIPS sensori poolt alustada.
Näide elust enesest … Panime tööle WG WiFi seadme oma ettevõtte sisevõrgus ning pilves ütlesime, et kõik AP’d mida ta kuuleb on võõrad. Sisuliselt tähendas see seda, et me näägime oma võrgu SSID aga me ei suutnud luua selle võrguga ühendust. Kui aga lubasime WG pilves need AP’d mida ta kuulis hakkas kõik automaagiliselt kenasti tööle.
Sisuliselt selle lahenduse puhul kui keegi soovibki üles seada mingi oma võrgu või siis sama nimega võrgu, mis ettevõttel ja see uus AP ei ole WG pilves lubatud siis ühelgi pahalasel ei ole selles võrgus võimalik omale ohvreid leida. Kogu selle tehnoloogia haldamine on WG enda pilves ja on alati uuendatud.

Ettevõtte võrk on turvatud aga mis saab sülearvutite või telefoniga?

Hoolimata sellest, kui turvalineon teie maja või ettevõtte sisevõrk võib selle rikkuda täiesti teadmata teie enda töötaja. Töötaja on heatahtlikult ksutanud kas siis tööarvutit või oma arvutit ebaturvalises võrgus ehk avalikus WiFi võrgus. Ning sealses võrgus on arvuti saanud viiruse. Viiruse, mida tavaline viirusetõrje ei suuda avastada või on see tulnud e-kirjaga, mis avatakse alles ettevõtte võrgus või selle vahepeal. Neid võimalusi on vga palju.

Meie aga saame siin pakkuda lahenust kaitsmaks ettevõtte töötaja arvutid tänus Panda Security lahendusele. Täpsemalt saate selle kohta lugeda jällegi meie ühest artiklist … “Panda Adaptive Defence 360“.

Panda puhul on abi IT spetsialistile veelgi rohkem, kui ainult lõppkasutaja arvuti kaitse. Nimelt Panda System Management abil on võimlaik luua VNC ühendus ning klienti aidata sõltumata asukohast, kus klient asub.

Erinevaid lahendusi, mida Panda pakub:
  1. Panda Endpoint Protection

    Tsentraliseeritud ja täiustatud kaitse kõikidele Windowsi, Maci ja Linuxi tööjaamadele, sealhulgas sülearvutitele ja serveritele, lisaks juhtivatele virtualiseerimissüsteemidele ja Android-seadmetele.
    See täielik kaitse hõlmab kõiki vektoreid: võrk (tulemüür), e-post, veeb ja välisseadmed.
    Panda Endpoint Protection Plus sisaldab ka Exchange’i serverite kaitset.

  2. Panda Systems Management

    Lihtsaim viis hallata, jälgida ja hooldada kõiki oma ettevõtte seadmeid, olgu need siis kontoris või kaugemas asukohas.
    See lahendus annab teie IT-meeskonnale võimaluse keskenduda lisandväärtusega projektidele. See lahendab probleemid ennetavalt.
    See suurendab uute tehnoloogiate toetamist ja soodustab BYOD-i kasutuselevõttu.

  3. Panda Fusion

    Kaitseb, haldab ja toetab eemalt kõiki teie IT-infrastruktuuri seadmeid, sealhulgas tahvelarvuteid ja nutitelefone.
    Maksimaalne kaitse pahavara ja muude tundmatute ohtude eest.
    Taristu haldamise ja tsentraliseeritud juhtimise automatiseerimine.
    Parim tugikogemus ennetava tõrkeotsingu ja kaugjuurdepääsu kaudu seadmetele, olenemata nende asukohast.
    Kombineerige oma seadmete juhtimine, haldamine ja kaugtugi kõige arenenuma Panda Adaptive Defense 360 kaitsega: Panda Fusion 360.

  4. Panda Email Protection

    Teie ettevõtte e-posti mitmekihiline kaitse igat tüüpi pahavara ja rämpsposti eest.
    E-posti kaitse pakub Panda Security serverites tehtud veebipõhiste kontrollide kaudu viivitamatu ja tõhusa kaitse viiruste ja rämpsposti eest.
    Tänu täiustatud pilvepõhisele skaneerimistehnoloogiale ei vaja see töö alustamiseks täiendavat taristut.

  5. Panda Patch Management

    Vähendage süsteemide ja kolmandate osapoolte rakenduste haavatavuste riski ja keerukust.
    Panda Patch Management on lahendus nii haavatavuste kui ka neile vastavate värskenduste ja plaastrite haldamiseks nii operatsioonisüsteemide kui ka sadade rakenduste jaoks.
    Tugevdab ohtude ennetamise, ohjeldamise ja kõrvaldamise võimalusi, vähendades rünnakupinda Windowsi serverites ja tööjaamades.
    Tagab tulemusnäitaja tervise reaalajas nähtavuse haavatavuste, paranduste või ootel värskenduste ning toetamata tarkvara (EoL) osas. Avastage, planeerige, installige ja jälgige.
    Panda Patch Managementi kuuluvad ettevõtted ja kolmandate osapoolte rakendused.

  6. Panda Full Encryption

    Esimene kaitseliin andmete lihtsaks ja tõhusaks kaitsmiseks.
    Panda täielik krüptimine on Panda Security lõpp-punktikaitse ja täiustatud adaptiivsete turbelahenduste lisamoodul, mis on loodud ketta täieliku krüptimise keskseks haldamiseks.
    Panda täielik krüptimine kasutab tõestatud ja stabiilset Microsofti tehnoloogiat BitLocker kettaste krüptimiseks ja dekrüpteerimiseks, mõjutamata lõppkasutajaid ning pakkudes organisatsioonidele lisaväärtust Panda Security pilvepõhisele haldusplatvormile salvestatud taastevõtmete kesksel juhtimisel ja haldamisel: Aether.

  7. Aether Platform

    Panda Aether Platform on tõhus, skaleeritav ja laiendatav platvorm kõigi Panda Security lõpp-lahenduste keskseks haldamiseks.

    See juhtimisplatvorm põhineb kaheksal sambal:
    Reaalajas teave, mitme toote, platvormidevaheline, mitme kliendi, teraline, paindlik ja üksikasjalik.

Täpsemat infot nende kohta saate lugeda nende kodulehelt