Question Kids + ordinateurs plus âgés + notre réseau au bureau: risque de sécurité?


À l'occasion, certains de mes collègues se sentent obligés d'amener leurs enfants à travailler avec eux. (Je me sens obligé de les frapper, mais c'est probablement un sujet pour Parenting.SE.) Pour m'assurer que les gosses ^ H ^ H ^ H ^ H ^ H ^ H ne restent pas à l'abri de tout le monde, mon patron m'a fait installer un peu plus vieux ordinateurs dans la salle de pause pour eux de jouer. Pour s'assurer qu'ils ne pourraient pas tout gâcher, j'ai câblé un concentrateur Ethernet à 4 ports dans l'un des ports vides à l'arrière de notre modem câble et ai placé les ordinateurs «amusants» sur leur propre sous-réseau. De cette façon, ils ont accès à Internet, mais ils ne font pas partie de notre réseau. (Du moins, c'est sur quoi je compte.)

Nous utilisons cette configuration depuis environ un mois environ, et le puissant pouvoir de Facebook empêche les enfants (plus ou moins) de se perdre dans les cheveux. Eh bien, ce soir, alors que je faisais un peu de maintenance de routine sur tous les systèmes, j'ai décidé de voir ce que les enfants avaient à faire. Apparemment, ils ont pris sur eux d’attraper tous les programmes malveillants fragmentaires sur lesquels l’Internet a toujours été chez eux. J'ai défini des mots de passe sur les systèmes (afin qu'ils ne puissent pas communiquer avant de régler certaines choses) et les ai fermés, mais tout à coup, je suis assez inquiet: existe-t-il un moyen pour ces systèmes d'accéder à notre réseau interne? ? De plus, je crains un peu qu'ils aient pu obtenir des informations susceptibles de recueillir leurs informations personnelles.

Évidemment, ma prochaine étape consistera à nettoyer les ordinateurs et à leur donner un accès limité aux utilisateurs uniquement, mais je me demande si les systèmes ont déjà menacé notre réseau?

Au cas où je n'étais pas assez clair plus tôt, voici un schéma rapide:

     |
     |
     |
 Internet
     V
     |
     |
 |Cable Modem|
     |  L___________________
     |                     |
     |                |4-port switch|
     |                     |
|Router/DHCP Server|       |
| / Firewall       | [Kids' Computers]
     |
     |
|Network Switch|
     |
     |
[Rest of Network]

Merci pour toute contribution.

DISCLAIMER: J'aime les enfants. Je fais vraiment. Je déteste juste les interruptions et les cris, et je pense que c'est parfaitement raisonnable.


7
2018-04-13 03:03


origine


bahaha, tu as aussi bien ajouté cette clause de non-responsabilité parce que j'étais sur le point de devenir héroïque et légitime. Parce que mon fils est tous si bien comporté;) - Mark Henderson♦
Vous configurez un réseau d'ordinateurs non protégés et laissez les enfants y jouer? Ce XKCD vient instantanément à l'esprit... - Josh


Réponses:


Vous ne parlez pas vraiment de la configuration actuelle en termes d'accès au sous-réseau des enfants via la passerelle par défaut du sous-réseau de votre lieu de travail: je supposerai que vous n'avez défini aucun refus explicite.

1.) Je vérifierais si certaines de vos adresses IP professionnelles sont sur la liste noire. Je ne sais pas si vous hébergez votre propre serveur de messagerie ou non, mais si vous le faites et que vous êtes ajouté à un RBL en raison de l'envoi de spam (un grand nombre de logiciels malveillants comme l'envoi de spam), cela pourrait poser problème. J'aime ce site pour vérifier l'état du statut - Vérification multi-RBL

2.) Si votre routeur ne contient pas de refus explicites autorisant le trafic du sous-réseau "amusant" uniquement vers Internet et ne permettant aucune interaction avec le sous-réseau de votre lieu de travail, je le ferais dès que possible.

3.) Si vous êtes toujours inquiet - courir ne vous ferait pas de mal Malware Octets sur une de vos machines qui aurait dû être relativement propre avant cet événement.


6
2018-04-13 03:40



Bon point sur l'adresse IP potentiellement sur la liste noire. - JS.
veillez à exécuter des octets de programmes malveillants en mode sans échec - Doug T.
Comment fonctionnerait le n ° 2? Le sous-réseau n'est pas du tout connecté au routeur ... il est branché directement à l'arrière du modem câble. - eckza
Si vous avez un commutateur 4 ports et que votre routeur / dhcp / pare-feu est connecté au même modem câble, je suppose que votre modem câble fonctionne également comme un routeur (sauf si vous avez 5 adresses IP de votre FAI). Si tel est le cas, il est très probable que tout programme malveillant recherchant la propagation d’ordinateurs supplémentaires s’arrête sur votre pare-feu / routeur. Si vous voulez être en sécurité, vous pouvez créer une ACL sur votre pare-feu / routeur qui bloque explicitement le trafic du "sous-réseau amusant". 'refuser à / à partir de 192.168.1.0/24 autoriser à / de tout' quelque chose dans ce sens en fonction de la syntaxe de votre pare-feu - AndrewPK


En ce qui concerne les enfants qui se débarrassent de leurs PII, c'est une inquiétude pour leurs parents, pas pour vous. Sur la base de votre dessin, je dirais votre joli coffre-fort car il semble que le réseau pour enfants se trouve en dehors de votre pare-feu. Les pare-feu refusent le trafic entrant de l'extérieur, à l'exception du trafic que vous autorisez spécifiquement via des règles de pare-feu. Si vous autorisez le trafic entrant HTTP, SMTP, etc. pour les serveurs internes, il est peu probable que les enfants l'exploitent plus que le grand public.


4
2018-04-13 10:45





Tant que les deux réseaux n'étaient pas routables, vous n'auriez pas dû avoir de problème. Si vous êtes connecté directement avec le modem câble sur le réseau pour enfants et que le réseau professionnel se trouve derrière un pare-feu qui se connecte également à un autre port du modem câble, il ne semble pas que votre pare-feu ne devrait pas avoir de problème. t ont gardé dehors.

Une chose que vous pourriez ajouter, est de vous assurer que les données provenant de l'extérieur du pare-feu ne peuvent pas être extraites du réseau enfants. Vous devriez pouvoir faire cela avec une sorte de zone DMZ que vous auriez configurée pour le réseau des enfants.


3
2018-04-13 03:19



Le commutateur devrait empêcher le PC de l'enfant de voir le trafic allant du réseau réel à Internet. À moins, bien sûr, qu’il s’agisse d’un commutateur géré et que l’utilisateur active la mise en miroir des ports sur le commutateur. - poke
S'ils étaient capables d'activer la mise en miroir des ports, j'aurais beaucoup plus à m'inquiéter que je ne le fais actuellement. : D C'est pourquoi j'ai laissé tomber l'interrupteur. - eckza


Aucun disclaimer nécessaire. Les enfants n'appartiennent pas au lieu de travail, à moins d'emmener vos enfants au travail, et même dans ce cas, je ne m'attendrais pas à ce que mon bureau les occupe, c'est mon travail.

En théorie, ces boîtes ne constituent pas plus une menace que toute autre boîte. Cela suppose toutefois que votre modem câble / fournisseur de services Internet ne fait aucun type de filtrage sur lequel vous comptez pour la sécurité.


3
2018-04-13 03:21





Placez les enfants sur une connexion IPv6 uniquement.

De cette façon, ils ne pourront de toute façon que se rendre sur une poignée de sites Web. Surtout les bons, Facebook, Google, Youtube ..


2
2018-04-13 11:18