Uredska mreža - Sigurnost i povjerenje

[Colop]

Morao sam staviti neki catchy naslov.

Imamo uredsku lan mrežu, spojenu preko T com optike na internet.
Mreža se sastoji od :


-T com router - ovo bi promjenili, budget nije problem, dajte sugestije.

-6 Fiksnih računala + povremeno kada dođe netko od zaposlenika sa laptopom

-6 IP telefona
-Mrežni printer - crnobijeli

-Mrežni skener
-Mrežni printer u boji
-Synology NAS
-DELL server na kojem se vrti win server 2012 i mysql baza podataka za program koji nam je bitan za funkcioniranje ureda.
-Cisco switch
-cisco L3 switch - backup

-2 x Unifi AP
-HIKvision NVR
-HIKVISION Switch
-4 x Hikvision kamere
-Hikvision parlafon
-Kontrola pristupa

-Alarm
-4 Daikin klime

-Konferencijska kamera



Dugo smo se mislili što uzeti za FW, na kraju smo uzeli Unifi Dream Machine pro max jer se može upravljati sa njim bez da si mrežni inženjer,uplatit ćemo još updejtanje godišnje i pomoz bog junaci


Ovo je sve neuredno konfigurirano, i stavljeno u jedan Lan, i kada se netko zakači u Lan žičano/bežično, vidi sve uređaje.


Ideja bi bila sljedeća:


- Sva uredska računala koja se spajaju žičano staviti u jednu VLAN mrežu.


-Kamere/Alarm/ Kontrola pristupa/ idu u posebnu mrežu kojoj nema pristup niti jedna druga mreža.


-Za zaposlenike posebna bežična mreža kojoj imaju pristup samo laptopi i mobiteli, sa filtriranjem za ostale.


-Guest VLAN za wireless network koji ima izlaz na net preko FW-a


Što biste vi dodali/ promjenili?

[Ivan357]

Citiraj:

Autor Colop

...
-Za zaposlenike posebna bežična mreža kojoj imaju pristup samo laptopi i mobiteli, sa filtriranjem za ostale.

-Guest VLAN za wireless network koji ima izlaz na net preko FW-a


Što biste vi dodali/ promjenili?

mobitele na guest vlan, osim ako stvarno nije potrebno da imaju pristup lokalnoj mreži

[Colop]

Citiraj:

Autor Ivan357

mobitele na guest vlan, osim ako stvarno nije potrebno da imaju pristup lokalnoj mreži

Problem je što povremeno printamo direktno sa mobitela pdfove i slike.
Ideja mi je bila da stavim filtriranje da dopusti spajanje samo mobitela zaposlenika koji su approved, i sve ostale uređaje deny.

[KrpaZG]

Segmentacija mreze je obavezna sto i imate u planu. To je uredu. Upalite IDS/IPS i novu opciju Unify Cybersecure od Proofpoint. Za relativno malu lovu je to dobra stvar.

Citiraj:

Autor Colop

Problem je što povremeno printamo direktno sa mobitela pdfove i slike.
Ideja mi je bila da stavim filtriranje da dopusti spajanje samo mobitela zaposlenika koji su approved, i sve ostale uređaje deny.

Svakako mobitele u odvojen VLAN i posloziti da klijenti i dalje mogu printati. Googlaj malo, nije tesko za konfigurirati.

Generalno pratis Zero Trust principle, najmanja dopustenja i pristup moguc. Ako nije potrebno, ne dajes pristup, ukoliko je onda najmanji moguci pristup.


Generalno si na dobrom putu no to nije sve. Treba nekakav MDM (Intune?) za management uredaja, IAM solucija (npr EntraID), XDR, email security, patch lifecycle definirati (Win Server 2012 ), dakle upgrade radit na 2022+ i redoviti patching, MFA po mogucnosti phishing resistant (yubikey ili device bound passkey sa MS Auth), backup itd itd..

[Colop]

Citiraj:

Autor KrpaZG

Segmentacija mreze je obavezna sto i imate u planu. To je uredu. Upalite IDS/IPS i novu opciju Unify Cybersecure od Proofpoint. Za relativno malu lovu je to dobra stvar.

Je, zato smo i uzeli ovaj Unifi.

Citiraj:

Autor KrpaZG

Svakako mobitele u odvojen VLAN i posloziti da klijenti i dalje mogu printati. Googlaj malo, nije tesko za konfigurirati.

Generalno pratis Zero Trust principle, najmanja dopustenja i pristup moguc. Ako nije potrebno, ne dajes pristup, ukoliko je onda najmanji moguci pristup.

Got it.

Citiraj:

Autor KrpaZG

dakle upgrade radit na 2022+ i redoviti patching,

Backup imamo riješeno na način da se sa servera sve kopira na NAS, sa NAS-a na externi USB disk koji se mijenja svako dva tjedna, i nakon toga ide sve na enkriptirani cloud.
Baš sam gledao, moramo prvo napraviti skok na 2016 i nakon toga na 2022.