- Защита внутренней сети , Licha Morada, 06:29 , 28-Апр-21 (1)
> Проблема: сеть защищена только паролем от вайфай, все устройства подключены к одной > общедоступной сети. т.е к какой сети подключены вышеперчисленные устройства, к той > же сети подключаются паиенты и сотрудники. В любой момент могут подключиться > к принтеру и пустить печать бранных слов, или, чт еще хуже, > получить доступ к файлам клиентов (информация, заключения и тд).Где это? Я ничего не имею в виду, просто так спрашиваю. (: > Так же > проблема состоит в сотрудниках,точнеее в социальных сетях (фейсбук/инстаграм), в которых > они любят сидеть, очень часто в рабочее время с пациентами. Это, в основном, дисциплинарными мерами надо решать. Вот уже больше 20-ти лет как менеджеры озабочены внедрением технических средств для отрезания сотрудников от порнухи, чатиков, вареза, мессенджеров, вот теперь и социальных сетей. И всё натыкаются на одни и те-же грабли, что либо меры неоправданно дороги в поддержке, либо катастрофически неэфекктивны. Мой совет - не связывайтесь с этой хотелкой, или будте готовы привинтить что-то исколючительно для галочки. > Так же в ближайшем будущем хотели бы организовать свой небольшой сервер для > хранения медицинской документации (отказаться от облачных решений), необходимо еще думать > об этом. Если компьютер врача один, то не надо сервер. Пусть только срач в файлах не устраивает, и бакапится регулярно. Например, на флешку. > Собственно, вопрос - как защитить "корпоративные" устройства от взлома, заблокировать > доступ к фейсбуку/инстаграму, при этом что бы была возможность организовать сервер?
Не стремитесь ко всему и сразу. Для начала, отгородитесь от дикой природы, чтобы снаружи кто попало не лез. Добудьте себе какой-нибудь простенький роутер класса "SOHO" (small office - home office) с портом WAN и портами LAN. WAN воткните в ту общедоступную сеть, где пациенты и сотрудники, а в порты LAN втыкайте ваши диван, чемодан, саквояж и картонку. Принтеру обрубите wifi нафиг, пусть с ним все по кабелю общаются. Смарт-тв, если он только как телевизор используется, в сеть пускать вообще не надо, даже если он очень просится. Если критично надо, то тоже по кабелю. Что с камерами, я ХЗ, зависит от технологии и задач которые они призваны решать. Частый ватриант, это N аналоговых камер воткнутых в один цифровой рекордер, таким образом в сети оно выглядит как один единственный хост. За SOHO роутером ему должно быть вполне уютно. > Буду рад за любую помощь. Не прошу сделать за себя, прошу лишь > объяснить как это все можно сделать? Заранее извиняюсь, что мог поместить > вопрос не в тот раздел. Раздел норм. "как это все можно сделать" тема широкая, имеет смысл этим заниматься если вы собираетесь с этого кейса начать, и обучаться/развиваться как специалист по сетям, безопасности, системному администрированию и т.д. Если не собираетесь, то лучше сразу зовите специалиста за денежку. Если возникнет подозрение что специалист мудрит что-то не то, описывайте сюда решение которое он предложил/установил, мы с удовольствием его поругаем по существу.
- Защита внутренней сети , artorius, 16:58 , 28-Апр-21 (3)
> Где это? Я ничего не имею в виду, просто так спрашиваю. (: Украина, центр. Ниша - узкоспециализированная, лечение спины и травм позвоночника. > Если компьютер врача один, то не надо сервер. Пусть только срач в > файлах не устраивает, и бакапится регулярно. Например, на флешку. хаха, смешно. как раз с этим ведется активная борьба. пока, не очень успешно. > Не стремитесь ко всему и сразу. Для начала, отгородитесь от дикой природы, > чтобы снаружи кто попало не лез. то и пытаюсь сделать. но главное требование - что бы было беспроводное. и тут камень преткновения - либо безопасность и провода, либо не безопасно и потеря данных. а это репутация, и вполне возможна потеря лицензии на мед практику. но пока не случится - "кто нас может взломать?" по поводу сервера - согласен, можно даже локалку кинуть и будет общ доступ к файлам как от админа, так и от доктора. полноценный сервер - это я задумал титаник для двух человек сделать. то, чем раньше пользовались (ацес), не устроивало по дизайну и совместному использованию. то, что сейчас - хелпдеском (верее, полным отсутствием). сейчас переходим на банальный эксель в самом элементарном виде. но за месяц-два нужно что то сделать нормальное, "свое" (как требуют). думал за sql-сервер и какую-нить оболочку для него написать, что бы было юзабельно и понятно (благо руки растут из нужного места, но знаний мало). плюс, если придут проверки МОЗовские, что бы была возм все быстро напечатать и показать им.
- Защита внутренней сети , Licha Morada, 22:06 , 28-Апр-21 (4)
>> Если компьютер врача один, то не надо сервер. Пусть только срач в >> файлах не устраивает, и бакапится регулярно. Например, на флешку. > хаха, смешно. как раз с этим ведется активная борьба. пока, не очень > успешно.Если очень приспичело, начните не с сервера, а с аппаратного NAS-а. По цене будет примерно то-же самое (если с сервером на базе б/у PC не сравнивать, это вне конкуренции), а разница в простоте настройки и администрирования будет очень существенна. Берите из известных брендов которые подешевле. Qnap, Synology, Seagate, Western Digital. Если потом всё-таки заведёте сервер, то NAS всё рвно пригодится, бакапы на него будете сливать. >> Не стремитесь ко всему и сразу. Для начала, отгородитесь от дикой природы, >> чтобы снаружи кто попало не лез. > то и пытаюсь сделать. но главное требование - что бы было беспроводное. > и тут камень преткновения - либо безопасность и провода, либо не > безопасно и потеря данных. а это репутация, и вполне возможна потеря > лицензии на мед практику. но пока не случится - "кто нас > может взломать?" Безпроводное тоже можно сделать безопасным, но это ощутимо дороже. И требует большего скилла не только от исполнителя, но и от заказчика, чтобы распознать туфту. Кто вас может взломать? Кофеварка заражённая мальварью, мимокрокодил с затрояненным телефоном, менты или регуляторы в надежде срубить лишнюю палку, скучающий/обозлённый пациент, мамкин хакер из дома напротив... Напомните заказчику что безопасность, это не только про "чтоб не взломали", но ещё и про доступность услуги. Провода помогают не заисеть от степени засранности эфира или от режима работы микроволновой печи у соседей. > по поводу сервера - согласен, можно даже локалку кинуть и будет общ > доступ к файлам как от админа, так и от доктора. полноценный > сервер - это я задумал титаник для двух человек сделать. то, > чем раньше пользовались (ацес), не устроивало по дизайну и совместному использованию. > то, что сейчас - хелпдеском (верее, полным отсутствием). Это место непонятно совсем. > сейчас переходим на > банальный эксель в самом элементарном виде. но за месяц-два нужно что > то сделать нормальное, "свое" (как требуют). думал за sql-сервер и какую-нить > оболочку для него написать, что бы было юзабельно и понятно (благо > руки растут из нужного места, но знаний мало). плюс, если придут > проверки МОЗовские, что бы была возм все быстро напечатать и показать > им. Рекомендую поискать готовое решение. Посмотрите, чем пользуются коллеги и конкуренты. Заниматься написанием, и главное, поддержкой решения в одно рыло, тем более паралельно с сетью, сервером и техподдержкой пользователей, удовольствие ниже среднего. И для исполнителя, и для его непосредственных клиентов. Не факт, что специализированное решение будет лучше банального экселя.
- Защита внутренней сети , artorius, 01:19 , 29-Апр-21 (6)
> Если очень приспичело, начните не с сервера, а с аппаратного NAS-а. спасибо, изучу > Кто вас может взломать? Кофеварка заражённая мальварью, мимокрокодил с затрояненным телефоном, > менты или регуляторы в надежде срубить лишнюю палку, скучающий/обозлённый пациент, мамкин > хакер из дома напротив... согласен, в принципе, это никому не нужно. теоретически - все может произойти. и уж лучше предупредить, чем разгребать последствия. > Это место непонятно совсем. самое первое, чем пользовались - бд в ms access. но, 1. нельзя ыбло использовать одновременно, и 2. не устраивал функционал и дизайн сейчас пользуемся МИС (мед информ система), но польностью отсутсвует хелпдеск. номинально, он есть. но по факту - нет. просто пример - форма записи пациента выдает ошибку на финальном этапе. как итог - у пациента ошибка, у нас запись появляется, но пациент об этом не знает. и, либо ему звонить, либо нам перезванивать. это - доп усилия как клиента, так и администратора. раньше работал в банке, нас за это вполне реально штрафовали по 360 грн (около 1000 руб). и хд знают об этой ошибке еще с нового года. никаких телодвижений в сторону решения вопроса нет. > Не факт, что специализированное решение будет лучше банального экселя. украинские МИС имеют ряд проблем. самая главная - отсутствие развития. ни в одной мы не увидели то, что нам необходимо. а переплачивать за функционал, которым мы не пользуемся (ибо некоторые просто огромные) - смысла нет. и уж лучше раз свое написать, настроить, но что бы оно было стабильно и выполняло поставленные задачи. в любом случае, спасибо вам огромное за доходчивое разъяснение текущих и последующих проблем!
- Защита внутренней сети , Licha Morada, 03:03 , 29-Апр-21 (7) +1
> > Кто вас может взломать? Кофеварка заражённая мальварью ... > согласен, в принципе, это никому не нужно. теоретически - все может произойти.Как раз в том и дело, что принцип Неуловимого Джо здесь не работает. Направленно вас атаковать, скорее всего, никто не будет, но на любою тривиальную уязвимость как мухи налетают боты и вандалы. > украинские МИС имеют ряд проблем. ... уж лучше раз свое написать, настроить Амбициозно. Я бы рекомендовал поискать какой-нибудь открытый проект, который можно подрихтовать для ваших нужд и, если надо, украинизировать. Работы меньше, а обществу польза. Не обязательно специализированый МИС, возможно, удастся настроить какой-нибудь CRM общего назначения. Это общие соображение, по медицине, тем более украинской, я не в теме. Вот навскидку: https://en.wikipedia.org/wiki/List_of_open-source_health_sof... https://openmrs.org/ Можно запустить пилот в виртуалке на рабочей станции. Если зайдёт, то просить целевой бюджет под сервер.
- Защита внутренней сети , artorius, 19:34 , 02-Май-21 (10)
> Не обязательно специализированый МИС, возможно, удастся настроить какой-нибудь CRM общего > назначения. Это общие соображение, по медицине, тем более украинской, я не > в теме.спасибо, изучу варианты. так же спасибо за помощь)
- Защита внутренней сети , ыы, 09:28 , 28-Апр-21 (2) +1
>[оверквотинг удален] > проблема состоит в сотрудниках,точнеее в социальных сетях (фейсбук/инстаграм), в которых > они любят сидеть, очень часто в рабочее время с пациентами. > Так же в ближайшем будущем хотели бы организовать свой небольшой сервер для > хранения медицинской документации (отказаться от облачных решений), необходимо еще думать > об этом. > Собственно, вопрос - как защитить "корпоративные" устройства от взлома, заблокировать > доступ к фейсбуку/инстаграму, при этом что бы была возможность организовать сервер? > Буду рад за любую помощь. Не прошу сделать за себя, прошу лишь > объяснить как это все можно сделать? Заранее извиняюсь, что мог поместить > вопрос не в тот раздел.1. Совет нанять специалиста Вам уже дали. Это важный момент. Поскольку все что дальше будет говориться - предполагает довольно специфические знания. Основная схема к которой вы должны стремиться- сеть медицинского кабинета - только для нужд медицинского кабинета. И сеть эта - проводная. Что нужно? Протянуть провода. Свич или роутер +свич в одной коробке. Н арпинтере отключить wi-fi, принтер подключить к коробочке "LRP-сервер печати" (на аллиексперсс такие примерно по 1500 ). Wi-Fi в этой сети вообще не нужен. Развлекалово клиентов через предоставление бесплатного вайфая - отдельная сеть. Что нужно - роутер wi-fi, фильтрация трафика или средствами самого роутера, или отдельного устройства (не обязательно покупать полноценный сервер, можно обойтись решениями на базе роутера, если перепрошить его openwrt и поставить там чтото вроде сквида, на котором и организовать фильтрацию) Соответственно обе сети втыкаются либо в выходное устройство, либо- ВНИМАНИЕ: все эти сети настраиваются на одном и том же устройстве на базе openwrt. Они будут разделены логически и недоступны друг другу, но физически присутствовать в одном устройстве. Сами вы это - вероятно не настроите... поэтому тут мы возвращаемся к пункту 1. - Защита внутренней сети , Сейд, 22:31 , 28-Апр-21 (5)
Поддерживай ПО в актуальном состоянии. Своевременное обновление — важный элемент защиты корпоративной сети от несанкционированного доступа.
- Защита внутренней сети , fantom, 15:53 , 29-Апр-21 (8)
> Поддерживай ПО в актуальном состоянии. Своевременное обновление — важный элемент > защиты корпоративной сети от несанкционированного доступа.Как вариант Для безпроводного: 1. Нормальное WiFi оборудование, чтоб поддерживало несколько SSID. Гости/сотрудники/телефоны/врач -- отдельно. 2. WiFi врача и сотрудников -- только транспорт, внутри VPN с шифрованием и авторизацией, как вариант --OpenVPN. Принтер -- таки лучше проводом к роутеру с фильтром доступа на роутере хотя-бы простейшим - по адресам сетей.
- Защита внутренней сети , Сейд, 16:50 , 29-Апр-21 (9)
Все компьютеры подключить проводами. А для VPN выбрать WireGuard.
- Защита внутренней сети , artorius, 19:36 , 02-Май-21 (11)
>OpenVPN.Тоже думал за впн-сеть, но как настроить ее для нужд такого маленького офиса - понятия не имею. да и смысл разворачивать впн аж для двух пк и 5 телефонов
- Защита внутренней сети , ыы, 08:57 , 05-Май-21 (12)
>>OpenVPN. > Тоже думал за впн-сеть, но как настроить ее для нужд такого маленького > офиса - понятия не имею. да и смысл разворачивать впн аж > для двух пк и 5 телефонов vpn-сеть поверх wi-fi сети как выше правильно отметили - обойдется дороже проводов. По очень простой причине - роутер (или специальный сервер) который потянет vpn-сеть (за счет специального чипа или за счет мощности процессора) - будет стоить в несколько раз дороже простого роутера на который можно развернуть openwrt и разрулить несколько подсетей без шифрования. А специалист все равно понадобится.
|