Клиент находится у нас на абонентском обслуживании. Ранее мы описывали проект экспресс-аудита ИТ-инфраструктуры для данного клиента, в котором рассказали про выявленные уязвимости системы. В данном кейсе мы опишем как разрешили вопрос отсутствия централизованного брендмауэра и повысили уровень безопасности ИТ-систем.
Исходная ситуация
Фундамент ИТ-инфраструктуры клиента — два сервера, один из которых расположен в офисе компании, а другой взят в аренду в Дата-центре и используется для виртуализации Microsoft Hyper-V на 6 виртуальных машин.
У Дата-центров имеется услуга аренды целого сервера в отдельной стойке. Заказчику выделяется физическое оборудование необходимой мощности, к нему подключается кабель интернета. Все остальные настройки возлагаются на ИТ-подразделение компании или же на подрядчика.
Именно данной услугой и пользовался наш клиент. Проблема заключалась в неправильной настройке сетевой архитектуры.
В ходе ИТ-аудита было выявлено, что несколько серверов, имеют прямое подключение к сети Интернет. Это является серьезной архитектурной ошибкой, которая в случае спланированной кибератаки может повлечь за собой серьезные последствия.
Задача
Повысить уровень безопасности ИТ-инфраструктуры клиента путем реорганизации сети в Дата-центре.
Реализация
Для начала подробнее опишем суть проблемы. В офисе клиента был установлен роутер Mikrotik, а в Дата-центре использовался OVPN. Три сервера в Дата-центре (гипервизор, терминальный сервер и сервер OVPN) имели прямое подключение к сети Интернет. Для ограничения входящих подключений использовался встроенный брандмауэр Windows.
Подобное архитектурное решение имеет ряд недостатков, самым ярким из которых является отсутствие централизованного управления ограничением доступа извне. Другими словами, серверы абсолютно не защищены от брутфорса — метод взлома системы путем перебора паролей.
Кроме этого, в системе присутствовала еще одна проблема: при перезагрузке ОС, имеющийся виртуальный маршрутизатор не подключался самостоятельно, поэтому системному администратору компании постоянно приходилось производить ряд действий для возобновления работы роутера и функционирования сервисов.
Решение обеих проблем заключалось в реорганизации сети в Дата-центре. С клиентом были согласовано построение сетевой архитектуры, после чего наш старший ИТ-инженер заменил имеющуюся виртуальную машину OVPN на программный маршрутизатор MikroTik RouterOS с лицензией CHR P1.
Благодаря внедрению данного решения была выстроена корректная сетевая структура в Дата-центре — перед виртуальными машинами установлен роутер, обеспечивающий защиту от несанкционированного доступа.
Роутер был связан с Дата-центром VPN-каналами, по всем эталонам систем безопасности. MikroTik RouterOS, в отличии от вcтроенного брендмауэра работает как часы, без сбоев при вынужденных перезагрузках системы.
Кроме того, благодаря корректной связи RouterOS в офисе с RouterOS в Дата-центре, наши инженеры смогли настроить круглосуточный мониторинг работоспособности сети, что позволяет оперативно выявлять и исправлять возможные инциденты в сети.
Результаты построения сетевой архитектуры и настройки сети RouterOS:
- 1Благодаря реорганизации сетевой архитектуры, серверы клиента защищены от несанкционированного доступа;
- 1Повышен уровень управления системой, настроен круглосуточный мониторинг состояния сети.
Если на вашем объекте требуется настройка сети RouterOS и реализация подобного проекта — обращайтесь к нам по номеру телефона, указанному в шапке сайта.
