piccola rete aziendale & sicurezza con Edgerouter LITE

[albertoz3]

Salve a tutti,
vorrei sottoporvi la rete che vorrei stabilire e qualche consiglio da parte vostra se può andar bene e cosa posso fare per migliorare la sicurezza. Scusate se il discorso potrà essere leggermente contorto, nel caso vi darò tutte le informazioni necessarie.

In pratica ho una piccola azienda dove la rete è così composta:

1. Amministrazione (diciamo WAN) : router modem netgear DGN 2200 che fa anche da switch dove si connettono 2 PC per internet un fisso ed un portatile. Qui tutti i pc vanno in internet e comunicano fra loro.

2. Produzione (LAN1): sottorete switch 24 porte non managed per connettere assieme diversi PC in rete. In questo ufficio c'è un solo PC che necessita di andare in internet, gli altri no.

3. CAM (LAN2): questa è una piccola sottorete con switch 4 porte non managed dove c'è un PC fisso ed un portatile che vanno a comunicare solo internamente per macchine CNC e rimangono impegnati per questo quasi tutto il turno di giorno; qui la sicurezza dall'esterno deve essere garantita.

Ora ho acquistato un router EdgeRouter lite per suddividere le subnet e avere un minimo di sicurezza e delle regole per questo.

All' EdgeRouter lite pensavo di collegare a eth0 la WAN (192.168.100.x), eth1 LAN1 (192.168.1.x), eth2 LAN2 (192.168.2.x).

I miei dubbi sorgono quando:

1. Da LAN1 si vuole che un solo PC possa andare in internet mentre gli altri no, però questo PC che va in internet possa inviare solamente mail e messaggi chat agli altri pc di LAN1. In pratica possa inviare solo determinati servizi o usando dei programmini per questo, ma al momento non saprei quali.

2. la rete LAN2 non possa vedere né LAN1 né uscire in WAN ma LAN 1 (tranne il PC che va in internet) possa inviare dati a LAN2 e messaggi chat.

3. WAN non può comunicare con LAN2 per nessun motivo e nemmeno con LAN1, eventualmente tranne il PC di LAN1 che va in internet.

Visto che i lavori sono in corso, e quindi posso ancora posare cavi o inserire qualcos'altro, pensavo di prendere il PC di LAN1 che deve andare in internet e metterlo nella rete WAN, così da "tenerlo" fuori da LAN1 ed impostare delle regole poi sulla porta eth0 dell'edge router per il traffico permesso.

Avete qualche consiglio su una eventuale configurazione del router? in LAN1 e LAN2 posso optare per antivirus free ad esempio o è meglio andare su software più sicuri?

Grazie mille per il vostro tempo!

[thema3x]

Ciao,

1. Da LAN1 si vuole che un solo PC possa andare in internet mentre gli altri no, però questo PC che va in internet possa inviare solamente mail e messaggi chat agli altri pc di LAN1. In pratica possa inviare solo determinati servizi o usando dei programmini per questo, ma al momento non saprei quali.

ma al momento non saprei quali.... Individua i servizi poi si può pensare come, si può fare in mille modi.

2. la rete LAN2 non possa vedere né LAN1 né uscire in WAN ma LAN 1 (tranne il PC che va in internet) possa inviare dati a LAN2 e messaggi chat.

Regole L to L

3. WAN non può comunicare con LAN2 per nessun motivo e nemmeno con LAN1, eventualmente tranne il PC di LAN1 che va in internet.

Regole W to L

Visto che i lavori sono in corso, e quindi posso ancora posare cavi o inserire qualcos'altro, pensavo di prendere il PC di LAN1 che deve andare in internet e metterlo nella rete WAN, così da "tenerlo" fuori da LAN1 ed impostare delle regole poi sulla porta eth0 dell'edge router per il traffico permesso.

Dipende dalle regole che ti permette l edge di fare ... il prodotto non mi è conosciutissimo.

Avete qualche consiglio su una eventuale configurazione del router? in LAN1 e LAN2 posso optare per antivirus free ad esempio o è meglio andare su software più sicuri?

Scusa ma gli antivirus che c' entrano ? ....

Non hai una ditta IT di riferimento che ti possa aiutare ?

Ciao

TheMa3x

[albertoz3]

Ciao,
grazie per le risposte, è un pò più chiaro.
Più che altro erano i servizi (porte, tipo di traffico) da impostare sull'edge router che non sapevo come fare nella sezione "security".
Comunque ho visto che si usano più che altro skype e client mail, per cui pensavo di abilitare solo le porte per skype (superiore alla 1024) ed i servizi mail senza però permettere l'accesso dal browser su alcune macchine.
Per l'antivirus era anche qui un problema di permettere gli aggiornamenti senza però permettere la connessione al web da browser.

Ho visto degli esempi SOHO sulla knowledge base, ma i settaggi delle regole erano veramente basici (Wan_in e Wan_local), per questo ho chiesto consigli su settaggi di regole tipicamente usati per firewall base.

Grazie.

[thema3x]

Ciao,

ok, per il discorso av a questo punto sono tutti =, nel senso che puoi mettere come allowed il solo url di destinazione dell aggiornamento delle definizioni ( update.windows.com, ecc ). Idem per gli U2D di sistema ..

Poi cmq farlo anche direttamente dai pc con delle regole di fw interno ( win ), sei cmq a livello di applicazione ... quindi puoi fare un po quello che vuoi già da li.

Ciao

TheMa3x

[albertoz3]

Ok,
allora farò un misto fra regole di base fra porte del router e del firewall da sistema operativo in macchina.

Grazie!

[thema3x]

Le regole macchina ( win 7 ) puoi farle anche con il family safety, che è un aggiornamento gratuito del bundle essential. Funziona con un account admin @live. Per quelle serie di restrizioni che indichi tu è perfetto e funziona molto molto bene. Puoi anche impostare le regole, e poi semplicemente inserendo l' account @live nella macchina client, importarle dal cluod replicando di fatto la conf di restrizioni macchina dopo macchina in pochi secondi.

Ciao

TheMa3x