Реализация проекта по настройке сети под управлением RouterOS

30 ноября 2022
Компания:
Крупная производственная компания
Сфера деятельности:
Производство и продажа химической продукции
Аутсорсинг
Аутсорсинг

Клиент находится у нас на абонентском обслуживании. Ранее мы описывали проект экспресс-аудита ИТ-инфраструктуры для данного клиента, в котором рассказали про выявленные уязвимости системы. В данном кейсе мы опишем как разрешили вопрос отсутствия централизованного брендмауэра и повысили уровень безопасности ИТ-систем.

Исходная ситуация

Фундамент ИТ-инфраструктуры клиента — два сервера, один из которых расположен в офисе компании, а другой взят в аренду в Дата-центре и используется для виртуализации Microsoft Hyper-V на 6 виртуальных машин.

У Дата-центров имеется услуга аренды целого сервера в отдельной стойке. Заказчику выделяется физическое оборудование необходимой мощности, к нему подключается кабель интернета. Все остальные настройки возлагаются на ИТ-подразделение компании или же на подрядчика.

Именно данной услугой и пользовался наш клиент. Проблема заключалась в неправильной настройке сетевой архитектуры.

Внедрение RouterOS

В ходе ИТ-аудита было выявлено, что несколько серверов, имеют прямое подключение к сети Интернет. Это является серьезной архитектурной ошибкой, которая в случае спланированной кибератаки может повлечь за собой серьезные последствия.

Задача

Повысить уровень безопасности ИТ-инфраструктуры клиента путем реорганизации сети в Дата-центре.

Реализация

Для начала подробнее опишем суть проблемы. В офисе клиента был установлен роутер Mikrotik, а в Дата-центре использовался OVPN. Три сервера в Дата-центре (гипервизор, терминальный сервер и сервер OVPN) имели прямое подключение к сети Интернет. Для ограничения входящих подключений использовался встроенный брандмауэр Windows.

Подобное архитектурное решение имеет ряд недостатков, самым ярким из которых является отсутствие централизованного управления ограничением доступа извне. Другими словами, серверы абсолютно не защищены от брутфорса — метод взлома системы путем перебора паролей.

Кроме этого, в системе присутствовала еще одна проблема: при перезагрузке ОС, имеющийся виртуальный маршрутизатор не подключался самостоятельно, поэтому системному администратору компании постоянно приходилось производить ряд действий для возобновления работы роутера и функционирования сервисов.

Решение обеих проблем заключалось в реорганизации сети в Дата-центре. С клиентом были согласованы работы, после чего наш старший ИТ-инженер заменил имеющуюся виртуальную машину OVPN на программный маршрутизатор MikroTik RouterOS с лицензией CHR P1.

Внедрение RouterOS

Благодаря внедрению данного решения была выстроена корректная сетевая структура в Дата-центре — перед виртуальными машинами установлен роутер, обеспечивающий защиту от несанкционированного доступа.

Роутер был связан с Дата-центром VPN-каналами, по всем эталонам систем безопасности. MikroTik RouterOS, в отличии от вcтроенного брендмауэра работает как часы, без сбоев при вынужденных перезагрузках системы.

Кроме того, благодаря корректной связи RouterOS в офисе с RouterOS в Дата-центре, наши инженеры смогли настроить круглосуточный мониторинг работоспособности сети, что позволяет оперативно выявлять и исправлять возможные инциденты в сети.

Результаты:

  • 1Благодаря реорганизации сетевой архитектуры, серверы клиента защищены от несанкционированного доступа;
  • 1Повышен уровень управления системой, настроен круглосуточный мониторинг состояния сети.
Иконка для обратной связи
У Вас похожая задача?Мы всегда готовы подсказать решение!
Задайте вопросы напрямую руководителю данного проекта (9.00–23.00):
+7 965 022 73 40