Ragazzi rubo 5 minuti a chiunque mi voglia dare una mano.
Devo riorganizzare la lan di una piccola azienda, lan a cui hanno messo mano mille persone nel tempo.
Mi sono studiato un pochino la loro rete attuale, e questo è quello che sono riuscito a capire:


Il punto di accesso principale è un router wifi connesso ad una adsl Impresa Semplice. Le sue caratteristiche principali sono:

IP LAN: 192.168.1.1
IP WAN: 2.116....
DNS: 0.0.0.0
DHCP: SERVER, IP POOL START AT 192.168.1.50, POOL SIZE = 10
DNS ASSIGNED BY DHCP, 151.99.125.2, 151.99.250.2

Il secondo pezzo fodamentale è un firewall:

IP LAN: 192.168.0.1
IP WAN: 192.168.1.250
DHCP DOWN
GATEWAY: 192.168.1.1
DNS: 192.168.0.5

Il terzo pezzo fodamentale è un server Windows Server 2008:

IP LAN: 192.168.0.5
DHCP: from 192.168.0.100 to 192.168.0.254

Un pc a caso:

IP LAN: 192.168.0.18
GATEWAY: 192.168.0.1



Tutti i dispositivi wifi si connettono direttamente al router wifi quindi sono sulla subnet 192.168.1.*, mentre i pc e le stampanti che non vi ho elencato hanno ip statici e sono sulla subnet 192.168.0.*. Siccome il firewall (192.168.0.1) è il gateway dei pc, se il firewall è giù i pc non accedono ad internet. Inoltre, siccome il firewall ha come dns l'indirizzo lan del server windows 2008, anche quando il server è giù di nuovo i pc non accedono ad internet. Infine, i dispositivi sulla wifi non possono accedere ad un eventuale webserver ospitato sulla lan cablata, a meno di aggiungere regole di routing almeno.

Quello che vorrei fare:


Lasciare la configurazione del router così com'è ora (quindi niente cambiamenti per i dispositivi connessi tramite wifi)
Levare in toto il dispositivo firewall (overkill secondo me, venduto al tempo da qualcuno che ci voleva mangiare sopra)
Trasformare la rete intranet cablata dalla attuale 192.168.0.* alla 192.168.1.* gestita direttamente dal router. In questa nuova configurazione il server con Windows 2008 diventa un normale pc interno alla lan (quindi se è spento tutti gli altri pc continuano a poter scaricare la posta etc)


Che ne pensate?
Grazie mille a tutti as always!!

La configurazione attuale non mi sembra cosi' campata in aria. Tiene conto di alcune strategie:

il firewall extra rende indipendente la rete aziendale dal controllo del provider internet. Non solo, il livello di tale firewall (anche se non lo specifichi) potrebbe essere ben piu' avanzato rispetto a quello del router del provider.
ci sono regole e politiche di sicurezza diverse tra le 2 reti
gli access point, cosi' posizionati, sembrano proprio destinati a connessioni per gli ospiti esterni o per tutti quelli che lavorano prevalentemente fuori sede. Coloro che sono connessi in wi-fi non dovrebbero poter raggiungere la rete aziendale 0.x mentre e' possibile il contrario
il Windows 2008 potrebbe essere un domain controller e anche se non lo fosse gestisce la rete interna: DHCP, DNS (anche se non lo dici), politiche di condivisione e protezione delle risorse.

Conclusioni:

coloro che sono connessi alla rete 1.x sono decisamente meno protetti rispetto a coloro che sono sulla rete 0.x.
un sistema server non e' fatto per essere spento e tanto meno ad essere ridotto come semplice pc ma ha uno scopo ben preciso tra controllo di rete e applicazioni server (es: SQL server, intranet, etc).

QUindi la tua analisi e' incompleta e limitata al solo hardware senza tener conto di politiche di sicurezza, servizi e applicazioni.
Occhio a fare modifiche.

Innanzi tutto grazie per i tuoi consigli.
Ti dico le mie osservazioni:


il firewall extra rende indipendente la rete aziendale dal controllo del provider internet.


Non ho capito...:muro:


gli access point, cosi' posizionati, sembrano proprio destinati a connessioni per gli ospiti esterni o per tutti quelli che lavorano prevalentemente fuori sede. Coloro che sono connessi in wi-fi non dovrebbero poter raggiungere la rete aziendale 0.x mentre e' possibile il contrario


Vero, e magari era partita così. Poi però è nata l'esigenza di avere un sito web (ospitato su un pc 0.x) e dover mostrare contenuti presi da questo sito tramite un tablet ai clienti (che sta su 1.x), quindi immagino che le rotte statiche che sono state aggiunte riducano la separazione delle due subnet e quindi il livello di sicurezza che ne deriva.


un sistema server non e' fatto per essere spento e tanto meno ad essere ridotto come semplice pc ma ha uno scopo ben preciso tra controllo di rete e applicazioni server (es: SQL server, intranet, etc).


Che vantaggio ho a disabilitare il dhcp sul firewall per attivarlo sul server, o a usare il server come gateway del firewall per andare sul router a cui il firewall è direttamente connesso? Il server ha uno scopo ben preciso (samba shares, sql server), hardware "speciale" (xeon, dischi enterprise, raid), ma non vedo che vantaggio ci sia a finire offline con tutti i pc dell'ufficio solo perchè il server sta rebuildando un raid...

Per sito web intendi qualcosa di intranet?
Al limite potresti aggiungere un access point nella rete zero con restrizioni di accesso adeguate (server radius sul 2008).

Non ho capito...:muro:

Un esempio su tutti: Vodafone fornisce un router assolutamente inadeguato per una rete aziendale; le loro station non permettono di modificare: la rete LAN (192.168.1.0 obbligatoria), il dhcp con parametri opzionali, i dns pubblici/privati da utilizzare. Sono limitazioni piuttosto pesanti per chi ha impostato la sua LAN su sistemi Microsoft Windows. Ci sono un'infinita' di motivi per cui spesso conviene inserire un firewall/gateway tra la rete aziendale e il router del provider. Te ne cito alcuni: doppia connessione internet, servizi pubblici (web, mail, ftp, etc) collocati in azienda, VPN aziendali, poltiche sui protocolli e porte TCP/IP, filtri sui contenuti, security perimetrale, etc.
Piu' o meno tutti i router dei provider hanno limitazioni nelle funzioni base soprattutto in presenza della telefonia VoIP e l'inserimento di un gateway offre mediamente una maggior flessibita' svincolandosi dai voleri dei provider.

Vero, e magari era partita così. Poi però è nata l'esigenza di avere un sito web (ospitato su un pc 0.x) e dover mostrare contenuti presi da questo sito tramite un tablet ai clienti (che sta su 1.x), quindi immagino che le rotte statiche che sono state aggiunte riducano la separazione delle due subnet e quindi il livello di sicurezza che ne deriva.

Non servono rotte statiche ma una banale regola sul firewall/gateway che permette la connessione al sito intranet. Sono quasi quasi propenso a scommettere che per consultare il sito si digita http://[ip gateway]:[porta]. Se il sito intranet, poi, utilizza un database per esporre dati, sulla rete 0.x e' maggiormente protetto e al sicuro.

Che vantaggio ho a disabilitare il dhcp sul firewall per attivarlo sul server, o a usare il server come gateway del firewall per andare sul router a cui il firewall è direttamente connesso? Il server ha uno scopo ben preciso (samba shares, sql server), hardware "speciale" (xeon, dischi enterprise, raid), ma non vedo che vantaggio ci sia a finire offline con tutti i pc dell'ufficio solo perchè il server sta rebuildando un raid...
Tutte le reti Microsoft Windows ruotano intorno al servizio DNS interno e privato residente su un sistema server. Tale servizio deve essere aggiornato costantemente con tutte le variazioni che avvengono sulla rete. Il DHCP rientra tra i servizi fondamentali perche' quando rilascia un nuovo IP per accesione o spegnimento di una risorsa, il DNS deve esserne informato. Non solo, il DHCP oltre a fornire i dati minimali di configurazione dovrebbe rilasciare anche nome del dominio interno, Time zone, DNS interni e pubblici, opzioni che potrebbero non essere disponibili sui DHCP dei router/gateway.

Ummm ok grazie 1000 a tutti e due, mi avete convinto :D
Vi auguro una buona giornata!