Modernizacja sieci firmowej

[jeandearme 0]

Pierwszy post więc witam wszystkich bardzo serdecznie

 

Jestem w trakcie modernizacji sieci firmowej i chciałbym to zrobić bez popełniania głupich błędów.

 

Aktualny stan:

• HPE ProLiant M110 G7 (16GB, dostępne 8) + Windows Server 2008 R2 Foundation + PostgreSQL
  
• NAS QNAP
  
• switch 40 portów
  
• router Comtrend VI 3223u (z sieci Orange)
  
• kilkanaście stacji roboczych (desktopy)
  

Wykorzystanie:

• Wyłącznie wewnętrzne - serwer nie jest wykorzystywany do hostowania strony www ani poczty firmowej.
  
• Na serwerze zainstalowana jest aplikacja razem z bazą danych PostgreSQL do której podłączają się inne komputery poprzez sieć („stacje robocze”). Na stacjach roboczych zainstalowana jest sieciowa wersja tej samej aplikacji, która bez połączenia z serwerem/bazą danych nie zadziała.
  
• Oprócz tego kopie zapasowe przy użyciu NetBak Replicator.
  
• Chciałbym mieć również możliwość pracy zdalnej w rzeczonej aplikacji.
  

Co chciałbym zrobić:

• upgrade in-place do Windows 2012 w celu wykorzystania całego RAM’u
  
• zmienić domyślne hasła w routerze
  
• wyłączyć Wi-Fi (budynek jest w pełni okablowany, ew. biała lista)
  
• wyłączyć Wi-Fi w drukarkach sieciowych
  

Pytania:

1. czy potrzebny jest nowy serwer czy ten wystarczy? Zastosowanie typowo biurowe + baza danych
   
2. czy warto zrobić upgrade do nowszej wersji Windows Server niż 2012?
   
3. i na ile bezpieczny jest upgrade in-place?
   
4. czy aktualny router jest wystarczający pod kątem bezpieczeństwa?
   
5. w jaki sposób bezpiecznie skonfigurować zdalny RDP? TeamViewer wychodzi trochę drogo, ale nieopatrzne otwarcie portu może wyjść jeszcze drożej
   

Dodatkowe pytanie. Zrobiłem skan portów na adresie routera i wyszło mi coś takiego. Czy tak powinno być czy któreś porty nie powinny być otwarte?

 

Skan portów został uruchomiony…

Port Scanning host: 10.0.0.1

 Open TCP Port: 	80     		http
 Open TCP Port: 	443    		https
 Open TCP Port: 	1780   		dpkeyserv
 Open TCP Port: 	44401
Skan portów zakończony…

[Qwinto 413]

Jestem w trakcie modernizacji sieci firmowej i chciałbym to zrobić bez popełniania głupich błędów.

 

Aktualny stan:

• router Comtrend VI 3223u (z sieci Orange)
  

Wykorzystanie:

• Chciałbym mieć również możliwość pracy zdalnej w rzeczonej aplikacji.
  

Pytania:

1. czy aktualny router jest wystarczający pod kątem bezpieczeństwa?
   
2. w jaki sposób bezpiecznie skonfigurować zdalny RDP? TeamViewer wychodzi trochę drogo, ale nieopatrzne otwarcie portu może wyjść jeszcze drożej
   

Dodatkowe pytanie. Zrobiłem skan portów na adresie routera i wyszło mi coś takiego. Czy tak powinno być czy któreś porty nie powinny być otwarte?

 

Jeśli chodzi o sieci, to w zasadzie tylko to co powyższe. Ale po kolei. Router jest do sieci ADSL(linia telefoniczna)? Jakie parametry ma to łącze(Download/Upload)? Może być aktualny wynik Speedtest. Masz publiczny (stały bądź zmienny) adres IP?

Zdalna praca z NetBak Replicator: QNAP nie ma przypadkiem jakiejś swojej apki do zarządzania tym programem do backupów? Jeśli nie to dostęp VPN, ale o tym niżej.

Dostęp RDP tylko po VPN. Ale musisz mieć publiczne IP.

Skan portów zrobiłeś od strony LAN, więc nie ma się co dziwić że jakiś http/https się pojawił. Wszak potrzebne jest to do konfiguracji routera. Jeśli masz publiczne IP, to zeskanuj WAN z zewnątrz firmy, np. w domu czy z internetu mobilnego.

[jeandearme 0]

Router jest do sieci ADSL(linia telefoniczna)?

Nie jestem pewien. Orange podłączało, więc podejrzewam, że tak. Na pewno nie jest to światłowód. Chyba, że chodzi o to, czy między światem zewnętrznym, a routerem coś jeszcze jest (odp: nie ma).

 

Jakie parametry ma to łącze(Download/Upload)? Może być aktualny wynik Speedtest.

Up: 10mb, down: 0,5mb, ping: 21ms (już wiem, że muszę odnowić umowę - to są jakieś strasznie niskie prędkości).

 

Masz publiczny (stały bądź zmienny) adres IP?

Jak to można sprawdzić? Pamiętam tyle, że jest to standardowa umowa na internet w Orange - bez żadnych dodatków. Obstawiam, że jest publiczny zmienny.

 

Zdalna praca z NetBak Replicator: QNAP nie ma przypadkiem jakiejś swojej apki do zarządzania tym programem do backupów? Jeśli nie to dostęp VPN, ale o tym niżej.

Tak, faktycznie jest coś takiego. Sprawdzę wieczorem jak to działa. Dzięki za wskazanie!

 

Dostęp RDP tylko po VPN. Ale musisz mieć publiczne IP.

Jeżeli IP faktycznie jest zmienny to to nie będzie przeszkodą? edit: Sprawdziłem i w ofercie Orange jest oferta VPN

 

Skan portów zrobiłeś od strony LAN, więc nie ma się co dziwić że jakiś http/https się pojawił. Wszak potrzebne jest to do konfiguracji routera. Jeśli masz publiczne IP, to zeskanuj WAN z zewnątrz firmy, np. w domu czy z internetu mobilnego.

W sumie tak - w końcu jakoś strona routera w przeglądarce musi się otworzyć (o ile dobrze zrozumiałem).

Edytowane 28 Stycznia 2020 przez jeandearme

[Qwinto 413]

Up: 10mb, down: 0,5mb, ping: 21ms (już wiem, że muszę odnowić umowę - to są jakieś strasznie niskie prędkości).

Czyli ADSL do 10Mbps, szału nie ma. Ale RDP przez VPN na 0,5Mbps to chodzić będzie dosyć kiepsko. Gdyby to był symetryk 10/10Mbps to byłoby OK.

[jeandearme 0]

Patrzę jeszcze na routery i wg tego artykułu to powinienem kupić taki, który:

• spełnia wymagania dotyczące danych osobowych
  
• wbudowany VPN
  

Czy ten wbudowany VPN jest w stanie zaspokoić potrzeby związane z bezpieczeństwem jeżeli chodzi o RDP?

 

I czy te artykuły od nich są coś warte? Przeczytałem całą serię i wydają się sensowne.

[Qwinto 413]

Dopóki nie zmienisz łącza nic nie kupuj, bo to nie ma sensu. Teoretycznie serwer VPN możesz uruchomić na Windows srv (jako wbudowana usługa(ale tu jakieś wtopy z certyfikatami były ostatnio) czy chociażby serwer OpenVPN czy WireGuard. Potem otworzysz port do usługi na swoim routerze i o ile masz publiczne IP to będziesz mógł się połączyć z zewnątrz. Ewentualnie jeśli nie chcesz nic robić na Win srv, to kup Mikrotika hAP ac² i skonfiguruj sobie na nim VPN. Tylko traktuj go tylko jako urządzenie z VPN, a nie jako router.

[jeandearme 0]

Jeśli masz publiczne IP, to zeskanuj WAN z zewnątrz firmy, np. w domu czy z internetu mobilnego.

 

Ok, udało się zeskanować i to wyszło.

Open TCP Port: 	44401

Coś istotnego?

[Qwinto 413]

Od wewnątrz też masz ten port otwarty

Port Scanning host: 10.0.0.1
        Open TCP Port:         44401

Ale co na tym chodzi to nie mam pojęcia. W konfiguracji routera nie masz przypadkiem wpisu otwierającego ten port?

[jeandearme 0]

Od wewnątrz też masz ten port otwarty

Port Scanning host: 10.0.0.1
        Open TCP Port:         44401

Ale co na tym chodzi to nie mam pojęcia. W konfiguracji routera nie masz przypadkiem wpisu otwierającego ten port?

 

Właśnie nie mam, a przynajmniej nie znalazłem. Przeszukałem konfigurację, ale nie rzuciło mi się nic w oczy.

[jeandearme 0]

Nasunęło mi się jeszcze jedno pytanie: czy koniecznie potrzebuję serwer jeżeli jedyne co na nim trzymam to bazę danych PostgreSQL? Czy np. taki NAS by wystarczył?

 

Pytam, bo zastanawiam się czy aktualizować do Windows Server 2012 czy jednak kupić od razu 2019, a może to nie potrzebne skoro i tak korzystam z niego wyłącznie lokalnie i to z powodu bazy danych.

[Qwinto 413]

Właśnie nie mam, a przynajmniej nie znalazłem. Przeszukałem konfigurację, ale nie rzuciło mi się nic w oczy.

To już trzeba by było np. Wiresharkiem popatrzeć co w sieci słychać. Albo ręcznie na każdej z kilkunastu stacji sprawdzić netstatem co i na jakich portach gada.

 

Nasunęło mi się jeszcze jedno pytanie: czy koniecznie potrzebuję serwer jeżeli jedyne co na nim trzymam to bazę danych PostgreSQL? Czy np. taki NAS by wystarczył?

 

Pytam, bo zastanawiam się czy aktualizować do Windows Server 2012 czy jednak kupić od razu 2019, a może to nie potrzebne skoro i tak korzystam z niego wyłącznie lokalnie i to z powodu bazy danych.

Jeśli na tym Windowsie stoi tylko baza, to nie wiem po co Windows. PostgreSQL można postawić na Linuxie. Tylko pytanie która dystrybucja jest wspierane na HPE ProLiant M110 G7.

[jeandearme 0]

To już trzeba by było np. Wiresharkiem popatrzeć co w sieci słychać. Albo ręcznie na każdej z kilkunastu stacji sprawdzić netstatem co i na jakich portach gada.

 

 

Jeśli na tym Windowsie stoi tylko baza, to nie wiem po co Windows. PostgreSQL można postawić na Linuxie. Tylko pytanie która dystrybucja jest wspierane na HPE ProLiant M110 G7.

 

W sumie to tylko dla bazy danych i ewentualnie RDP.

 

Zauważyłem, że aplikacja w wersji serwerowej działa również na Linuxie. Linux wspiera RDP jeżeli klient łączy się z Windowsa?

Edytowane 30 Stycznia 2020 przez jeandearme

[Qwinto 413]

Zauważyłem, że aplikacja w wersji serwerowej działa również na Linuxie. Linux wspiera RDP jeżeli klient łączy się z Windowsa?

O jakiej aplikacji piszesz? Tak, Linux wspiera RDP (xrdp), ale można go również obsługiwać w terminalu tekstowym czyli z linii komend.