OSX Server, tiedostopalvelin ja pienyritys

[mirko]

Älä nyt ota tätä millään pahalla, kivahan sitä on kaikenlaista virittää ja tehdä mutta...

Useamman lakitoimiston IT hommia joskus hoitaneena kuulostaa uskomattomalta että teillä siellä on heidän (lakitoimiston henkilöstön) mielestä ihan ok että joku täysin noviisi pistää laki firman tiedostot nettiin mahdollisesti kaikkien saataville.
Yleensä noissa on ihan lakisääteisestikkin tosi tiukka linja erilaisten luottamuksellisten juttujen takia ja koko pulju on nopeesti rosiksessa ja konkassa kun tuolta valuu jotain materiaalia yleisesti saataville. Moni lakitoimisto ei edes halua että postin lisäksi tiedostoihin pääsee muualta käsiksi, ihan vaan riskien minimoimisen takia. Jo pelkästään se että teillä on kahdella eri yrityksellä (joista toinen on siis lakitoimisto ja toinen jotain ihan muuta jos oikein ymmärsin) yhteinen tiedostopalvelin ja näemmä lähiverkko kuulostaa todella, todella oudolta..
Tähän kun lisätään se että ruvetaan ihan mutu pohjalta laittamaan pannua pystyyn ja sitten ruvetaan miettimään että miten siihen pääsisi vielä "mobiilisti" käsiksi kuulostaa kyllä siltä että itse en välttämättä haluaisi olla ko. toimiston asiakas. Ota nyt ihmeessä edes tuohon etäyhteyden pystyttämiseen mukaan sellainen kaveri joka oikeasti tietää mitä tekee, siinä tulisi olla vähän vahvemmat todennukset kuin joku https:n perästä vastaava weppi servu / SSL vpn toteutettuna jollain verkkokaupan halvimmalla Zyxelillä.. Vaikka jotain hardis toukkaa tai sms pohjaista systeemiä jonkun siedettävän muurin kylkeen. Tostahan puuttuu kohta enää se että itse palvelin on sijoitettu rappukäytävän siivouskomeroon kun ei oikein muualle sopinu ja siivoojan mielestä se oli ihan ok.

Kehoitan miettimään tätä vielä pari kertaa ennenkuin painetaan "publish" nappia. Jollekkin tavalliselle yritykselle se on ihan oman harkinnan mukaan miten niitä haluaa laittaa saataville kun ollaan open and honest linjalla mutta kun puhutaan lakitoimistosta niin musta se muuttaa asetelmaa oleellisesti.

Erittäin totta ja täyttä järkipuhetta tähän varsin onnettomaan ketjuun. Täällä foorumilla on paljon asiantuntijoitakin. Käytännössä vaan asiantuntijoiden ääni usein hautautuu kaiken muun alle.

[jeppe]

Älä nyt ota tätä millään pahalla, kivahan sitä on kaikenlaista virittää ja tehdä mutta...

Useamman lakitoimiston IT hommia joskus hoitaneena kuulostaa uskomattomalta että teillä siellä on heidän (lakitoimiston henkilöstön) mielestä ihan ok että joku täysin noviisi pistää laki firman tiedostot nettiin mahdollisesti kaikkien saataville.
Yleensä noissa on ihan lakisääteisestikkin tosi tiukka linja erilaisten luottamuksellisten juttujen takia ja koko pulju on nopeesti rosiksessa ja konkassa kun tuolta valuu jotain materiaalia yleisesti saataville. Moni lakitoimisto ei edes halua että postin lisäksi tiedostoihin pääsee muualta käsiksi, ihan vaan riskien minimoimisen takia. Jo pelkästään se että teillä on kahdella eri yrityksellä (joista toinen on siis lakitoimisto ja toinen jotain ihan muuta jos oikein ymmärsin) yhteinen tiedostopalvelin ja näemmä lähiverkko kuulostaa todella, todella oudolta..
Tähän kun lisätään se että ruvetaan ihan mutu pohjalta laittamaan pannua pystyyn ja sitten ruvetaan miettimään että miten siihen pääsisi vielä "mobiilisti" käsiksi kuulostaa kyllä siltä että itse en välttämättä haluaisi olla ko. toimiston asiakas. Ota nyt ihmeessä edes tuohon etäyhteyden pystyttämiseen mukaan sellainen kaveri joka oikeasti tietää mitä tekee, siinä tulisi olla vähän vahvemmat todennukset kuin joku https:n perästä vastaava weppi servu / SSL vpn toteutettuna jollain verkkokaupan halvimmalla Zyxelillä.. Vaikka jotain hardis toukkaa tai sms pohjaista systeemiä jonkun siedettävän muurin kylkeen. Tostahan puuttuu kohta enää se että itse palvelin on sijoitettu rappukäytävän siivouskomeroon kun ei oikein muualle sopinu ja siivoojan mielestä se oli ihan ok.

Kehoitan miettimään tätä vielä pari kertaa ennenkuin painetaan "publish" nappia. Jollekkin tavalliselle yritykselle se on ihan oman harkinnan mukaan miten niitä haluaa laittaa saataville kun ollaan open and honest linjalla mutta kun puhutaan lakitoimistosta niin musta se muuttaa asetelmaa oleellisesti.

Erittäin totta ja täyttä järkipuhetta tähän varsin onnettomaan ketjuun. Täällä foorumilla on paljon asiantuntijoitakin. Käytännössä vaan asiantuntijoiden ääni usein hautautuu kaiken muun alle.

Täältä myös vahva puolto Mirkon kommenteille. Ihmettelen, miten Spacelord olet (ilmeisesti omassa) insinööritoimistossasi joutunut rooliin jossa virkkailet IT-ympäristöä teille ja vielä kaupan päälle naapurin lakitoimistolle. Luulisi että olisi oleellisempiakin asioita hoidettavana ja jättää tämmöiset ammattilaisille.

[mirko]

Aivan noin jyrkkäsanainen en kuitenkaan olisi, koska voihan olla niinkin, että Spacelord on ottanut ainakin yleisimpiä asiaan liittyviä riskejä huomioon.

Paljon on kiinni siitä, minkälaista tietoa tuonne palvelimelle aiotaan laittaa tai on jo laitettu. Toinen seikka on sitten, onko palvelimen tai etäyhteyksien kautta helpompi murtautua toimiston verkossa oleville muille laitteille ja minkälaista tietoa niille on tallennettu. Yleisesti siis palvelimet pyritäänkin sijoittamaan omaan verkkoonsa ja niin edespäin.

[Spacelord]

Joo, no hard feelings. Lähinnä tässä vain kartoittelen tätä tarvetta ja yleensäkin koko jutun vaativuutta. Tiedot ovat semisti arkaluonteista kamaa, että jos joku asiakkaistamme on ns. kovan luokan haxor, niin parempi, ettei pääsisi järjestelmään käsiksi, mutta jos joku NSA näitä valvoo niin antaa valvoa vaan

Täällä toimistolla on satsattu tähän tietojärjestelmän ylläpitoon, laitteistoihin yms. ihan helvetisti aikaa ja rahaa viime vuosina ja kun mikään ei ole koskaan aiemmin oikein toiminut (nimim. vuosi Vistaa...), niin nyt sitten Apple-ympäristössä, kun homma on 90% lapasessa, niin se pieni ärsyttävä 10% osuus, joka rakentuu jollekin muulle kuin Apple-kannalle, aiheuttaa nämä yhteensopivuus- ja rahanmeno-ongelmat, eikä kauheasti enää tekisi mieli pistää 1000-2000 euroa johonkin sellaiseen hommaan, jonka voi hyvin pitkälti itse pohjustaa etukäteen niin pitkälti kuin vain suinkin mahdollista.

Mitäs mieltä olette, kun modeemina on Telewell TW-EA501 ADSL ja palomuurina täällä on CISCO ASA 5505?
Ovatko päteviä laitteistoja vai pitäisikö meidän miettiä jotain vaihtista näille? Niin pitkälti kuin vain mahdollista, olisimme tietysti täysin Apple-kannassa.
Onko switchissa ole mitään sellaista, mitä tartteisi huomioida tämän tiedostopalvelimen suhteen?

[Raikka]

Joo, no hard feelings. Lähinnä tässä vain kartoittelen tätä tarvetta ja yleensäkin koko jutun vaativuutta. Tiedot ovat semisti arkaluonteista kamaa, että jos joku asiakkaistamme on ns. kovan luokan haxor, niin parempi, ettei pääsisi järjestelmään käsiksi, mutta jos joku NSA näitä valvoo niin antaa valvoa vaan

Täällä toimistolla on satsattu tähän tietojärjestelmän ylläpitoon, laitteistoihin yms. ihan helvetisti aikaa ja rahaa viime vuosina ja kun mikään ei ole koskaan aiemmin oikein toiminut (nimim. vuosi Vistaa...), niin nyt sitten Apple-ympäristössä, kun homma on 90% lapasessa, niin se pieni ärsyttävä 10% osuus, joka rakentuu jollekin muulle kuin Apple-kannalle, aiheuttaa nämä yhteensopivuus- ja rahanmeno-ongelmat, eikä kauheasti enää tekisi mieli pistää 1000-2000 euroa johonkin sellaiseen hommaan, jonka voi hyvin pitkälti itse pohjustaa etukäteen niin pitkälti kuin vain suinkin mahdollista.

Mitäs mieltä olette, kun modeemina on Telewell TW-EA501 ADSL ja palomuurina täällä on CISCO ASA 5505?
Ovatko päteviä laitteistoja vai pitäisikö meidän miettiä jotain vaihtista näille? Niin pitkälti kuin vain mahdollista, olisimme tietysti täysin Apple-kannassa.
Onko switchissa ole mitään sellaista, mitä tartteisi huomioida tämän tiedostopalvelimen suhteen?

Modeemi sinänsä ei välttämättä kaipaa hierontaa, ellei sitten yhteynopeusmuutosten yhteydessä.
Ciscon palomuuri taas… Vähintäänkin kaipaa tarkistuksen Ciscon sivustolta, onko laitteeseen uusia Firmware- eli laiteohjelmistoa päivitettäväksi ja/tai kuuluuko laite siihen Ciscon ongelmalaitekuntaan, joka on reikäisempi kuin Emmental-juusto.
Ciscon palomuurilaitteiden reikäisyydestä löytyy infoa, kun laittaa Googletellen soipavalla hakusanayhdistelmällä.