>> 1)Настроить firewall на клиентских ПК - запретить все кроме шлюза\требуемых ресурсов.
> На клиентских ПК фаер это виндовый? Звучит фантастично... А вот вы зря, виндовый фаерволл (по крайней мере в win7\2008R2) норм. Да, у него не самый удобный интерфейс. Да, надо знать PowerShell для удобного управления. Но сам по себе фаерволл как фаерволл. У меня сервер в интернете с ним, никаких проблем не замечено - режет все что нужно (от ICMP, до белых\черных списков).
Правда, как автоматически развернуть правила на 50 клиентах без домена (тут мы пересекаемся с п.3) я х.з. Только руками.
>> 2.1)Закупить хотя бы web\smart-свичи. Cisco SF200\AlledTelesys FS750, настроить VLAN\802.11.
> Свичи должны из требований только поддерживать VLAN?
В первую очередь ВЫ должны определить вектора атаки\проблем.
а)Вектор:Человек пришел воткнулся кабелем - увидел всю сетку и гуляющий траффик.
Решение:VLAN\802.1q Окей, бъем сеть на VLAN. Бухгалтерия видит только бухгалтерию и сервер, менеджеры только менеджеров и сервер, гости подключаются только в гостевые розетки.
b)Вектор:Кто-то запустил(осознанно или не очень) на своем ПК DHCP-сервер (или словил вирус который весь трафик гонит через себя), принесли маршрутизатор воткнули в сеть. Клиентские ПК получат кривые настройки и понеслось...
Решение:Включаем DHCP Snooping. На коммутаторе определяем порты которые МОГУТ посылать ответы на DHCP-запросы, все остальные запрещаем.
c)Вектор: Возникновение кольца. Сотрудник подключился кабелем к ноутбуку, wi-fi подключился сам автоматически, у сотрудника настроен мост между двумя этими интерфейсами - сеть легла
Решение:Включаем на коммутаторах *STP. Если нужна надежность то строим кольцо из коммутаторов, STP можно юзать как протокол резервирования.
d)Вектор:Забили канал в интернет\к серверу так что SIP\VoIP не ходит.
Решение:Настраиваем QoS
e)Вектор: wi-fi.
Решение:Разделяем на 2 сети. Гостевая и рабочая. Гостям один VLAN\своя IP-подсеть, работникам другая. Пароли разные, а то и вообще гостевой портал с одноразовыми паролями для доступа. Можно посмотреть в сторону ubiquiti.
f...z)....
вот как бы сначала такой перечень нужен, а потом уже оборудование подбирать. А то может у вас там все под 153 ФЗ надо делать. Или инфосеки требуют прям безопасность-безопасность, тогда только 802.1х (удачи, особенно, если есть wi-fi)
> ..и разных других довольно велик, и я не могу быть уверен
> что кто-то не воткнётся в сеть.
На управляемых коммутаторах можно отключить ненужные порты. Включать только по запросу\служебке. Но как бы никто не мешает воткнуться вместо существующего ПК или принести свой коммутатор. Нужна фильтрация по МАК, как один из элементов комплексной защиты (добавить как п.f). От профессионалов это не защитит, а вот от людей уровня пользователь вполне.
> Домен не охота поднимать.
Просто, насколько я помню домен устанавливает доверительные отношения между клиентом и сервером, в том числе можно прикрутить и сертификаты и шифрование. Но в целом дело ваше.