¿Puedo conectar nuestra red a Internet pero solo permitir conexiones a ciertos servidores?

Navega tus respuestas
1

En el trabajo tenemos una red que no está conectada a Internet, sin embargo, está expuesta al trabajo externo a través de unidades USB y teléfonos celulares de los empleados. Me gustaría conectar nuestro sistema a Internet para obtener Symantec & actualizaciones de windows Actualmente tengo que actualizarlos manualmente, lo cual no tengo tiempo de hacer con la frecuencia que quisiera. También ejecutamos algún software de administración de registros que se ve disminuido por no tener acceso a Internet.

¿Hay alguna forma para que pueda utilizar un firewall para especificar que nuestra red solo puede conectarse al servidor de actualizaciones en vivo de Symantec, al servidor de actualizaciones de Windows y al servidor de las compañías de administración de registros y negar todo el tráfico entrante y saliente? Si eso es posible, ¿qué tan difícil (o común) es que alguien diga que son el servidor de actualizaciones de Windows?

Me doy cuenta de que no existe un sistema que sea completamente seguro, pero mi objetivo es encontrar una forma segura de simplificar la actualización de nuestro software (y posiblemente ampliar la capacidad de nuestras computadoras) sin tener que monitorear constantemente el sistema.

Estamos ejecutando Windows Server 2003 con estaciones de trabajo que ejecutan XP. Tenemos Symantec Endpoint 12.1 y actualmente no tenemos firewall basado en hardware.

    
pregunta mattz 01.05.2012 - 00:24
fuente

2 respuestas

3

Limitar el acceso a ciertas direcciones

Un firewall que conecta su red a Internet puede hacer exactamente esto. Usted coloca en la lista blanca las direcciones IP que desea, y por defecto niega cualquier otra comunicación (dentro o fuera). Normalmente no sugiero ir a un firewall personalizado (sistema operativo Linux en una computadora que solo tiene firewall y no se usa para nada más) de inmediato, pero creo que puede darle la simplicidad y la potencia que necesita. La ventaja es que puede utilizar equipos que ya tiene para este propósito, considerando el rendimiento que sugiere (siempre que no sea demasiado antiguo).

pfsense es altamente considerado.

Dicho esto, tendrás que escribir las reglas del firewall. Por lo tanto, no es 'apuntar y hacer clic', y requiere un nivel moderado de habilidad, pero es totalmente factible.

Suplantación de actualizaciones de Windows

Es posible falsificar un sitio de actualización de software, pero programas como Windows Update y Symantec update verifican la dirección a la que se está conectando, por lo que el riesgo es muy bajo.

EDIT

Ah, y estoy seguro de que alguien lo señalará, así que les daré una paliza: es probable que esté exponiendo su red a más problemas de seguridad al permitir llaves USB y dispositivos electrónicos personales en su red que con una configuración deficiente. Cortafuegos (dadas las condiciones adecuadas). Entonces, al limitar (eliminar) esas cosas y tener un buen cortafuegos, estarás mucho más adelante que donde estás ahora.

    
respondido por el schroeder 01.05.2012 - 00:47
fuente
0

Una alternativa a considerar es que puede ejecutar sus propios servidores privados de Symantec Update y Windows Update de forma interna. Deben poder acceder a Internet para obtener las actualizaciones de Symantec y Microsoft, pero las máquinas de sus clientes no.

(La gente suele implementar estos servicios para almacenar en la memoria caché el tráfico de Internet y así pueden controlar qué actualizaciones se distribuyen cuando, pero también funcionará en este escenario).

    
respondido por el Graham Hill 01.11.2012 - 14:59
fuente

Lea otras preguntas en las etiquetas

bloqueando el acceso directo a los archivos a través de la entrada de url mientras aún permite que una secuencia de comandos en el servidor acceda a los archivos ¿Existe una forma segura de ejecutar un archivo bat desde un programa Java sin la vulnerabilidad de inyección de comandos?