ไม่อนุญาตให้คอมพิวเตอร์โดเมนสื่อสารกัน

โดเมนของเราประกอบด้วยคอมพิวเตอร์ประมาณ 60 เครื่อง ฉันได้รับมอบหมายให้ตรวจสอบให้แน่ใจว่าเวิร์กสเตชัน Windows 10 ไม่สามารถสื่อสารกันได้ ผู้จัดการของฉันถามว่าฉันสร้างเส้นทางแบบคงที่เพื่อให้คอมพิวเตอร์สามารถสื่อสารกับเครื่องพิมพ์เครือข่ายไฟล์เซิร์ฟเวอร์ DC และเข้าถึงอินเทอร์เน็ตเท่านั้น

เนื่องจากคอมพิวเตอร์เหล่านี้ทั้งหมดอยู่ในเครือข่ายเดียวกันฉันไม่เชื่อว่าเส้นทางแบบคงที่จะป้องกันไม่ให้คอมพิวเตอร์เหล่านี้เห็นกันและกัน วิธีที่ดีที่สุดในการอนุญาตให้คอมพิวเตอร์ในโดเมนใช้ทรัพยากรเครือข่าย แต่ไม่สามารถสื่อสารกันได้โดยตรงคืออะไร

— taiwie
แหล่งที่มา

เส้นทางไม่ใช่วิธีการทำเช่นนี้ กฎของไฟร์วอลล์คือ

— EEAA

คุณมีสวิตช์และไฟร์วอลล์ที่จัดการได้หรือไม่

— sdkks

หากเวิร์กสเตชันเชื่อมต่อแบบไร้สายการแยกไคลเอ็นต์ในจุดเข้าใช้งานขั้นสูงจะป้องกันไม่ให้ไคลเอนต์ 2 wifi ตัวใดสื่อสารกับกันและกัน

— sdkks

@EEAA ฉันคิดว่ามีวัตถุประสงค์เพื่อป้องกันการโจมตีของเลเยอร์ 2 จากเครื่องที่ถูกบุกรุกไปยังสิ่งอื่น

— sdkks

@sdkks การโจมตีเหล่านั้นง่ายขึ้นด้วยกฎไฟร์วอลล์ขาเข้าที่เข้มงวด

— EEAA

คำตอบ:

หากคุณมีสวิตช์ที่รองรับ 'พอร์ตที่ได้รับการป้องกัน' สำหรับการเชื่อมต่อ cabled หรือ 'การแยกไคลเอ็นต์' สำหรับจุดเข้าใช้งานบน Wi-Fi สามารถช่วยคุณกำจัดทราฟฟิกระหว่างโฮสต์ในเครือข่าย Layer-2 เดียวกัน

ตัวอย่างเช่นนี้มาจากคู่มือสวิตช์ของ Cisco :

พอร์ตที่ได้รับการป้องกันมีคุณสมบัติเหล่านี้: พอร์ตที่มีการป้องกันจะไม่ส่งต่อทราฟฟิกใด ๆ (unicast, multicast หรือ Broadcast) ไปยังพอร์ตอื่นที่เป็นพอร์ตที่ได้รับการป้องกันด้วย การรับส่งข้อมูลไม่สามารถส่งต่อระหว่างพอร์ตที่ป้องกันที่เลเยอร์ 2; ควบคุมการรับส่งข้อมูลเช่นแพ็คเก็ต PIM เท่านั้นที่จะถูกส่งต่อเนื่องจากแพ็กเก็ตเหล่านี้ประมวลผลโดย CPU และส่งต่อในซอฟต์แวร์ การรับส่งข้อมูลทั้งหมดที่ผ่านระหว่างพอร์ตที่ได้รับการป้องกันจะต้องส่งต่อผ่านอุปกรณ์เลเยอร์ 3

ดังนั้นหากคุณไม่ต้องการถ่ายโอนข้อมูลระหว่างกันคุณไม่จำเป็นต้องดำเนินการใด ๆ เมื่อพวกเขาได้รับการปกป้อง

พฤติกรรมการส่งต่อระหว่างพอร์ตที่ได้รับการป้องกันและพอร์ตที่ไม่มีการป้องกันจะดำเนินการตามปกติ

ลูกค้าของคุณสามารถได้รับการป้องกันเซิร์ฟเวอร์ DHCP เกตเวย์และอื่น ๆ สามารถอยู่ในพอร์ตที่ไม่มีการป้องกัน

อัปเดต 27-07-2017
ตามที่ @sirex ชี้ให้เห็นถ้าคุณมีสวิตช์มากกว่าหนึ่งสวิตช์ซึ่งไม่ซ้อนกันนั่นหมายความว่าสวิตช์เหล่านั้นไม่ใช่สวิตช์เดียวพอร์ตที่ได้รับการป้องกันจะไม่หยุดการจราจรระหว่างกัน

หมายเหตุ: ปัจจุบันสวิตช์บางตัว (ตามที่ระบุในเมทริกซ์สนับสนุนตัวเร่งปฏิกิริยาสวิตช์ VLAN ส่วนตัว) ปัจจุบันสนับสนุนเฉพาะคุณลักษณะ PVLAN Edge คำว่า "พอร์ตที่ได้รับการป้องกัน" ยังอ้างถึงคุณสมบัตินี้ด้วย PVLAN Edge ports มีข้อ จำกัด ที่ป้องกันการสื่อสารกับพอร์ตที่มีการป้องกันอื่น ๆ ในสวิตช์เดียวกัน พอร์ตที่ได้รับการป้องกันบนสวิตช์แยกต่างหากสามารถสื่อสารกันได้

หากเป็นกรณีนี้คุณจะต้องใช้พอร์ตIsolated Private VLAN :

ในบางสถานการณ์คุณต้องป้องกันการเชื่อมต่อเลเยอร์ 2 (L2) ระหว่างอุปกรณ์ปลายทางบนสวิตช์โดยไม่มีการจัดวางอุปกรณ์ในเครือข่ายย่อย IP ที่แตกต่างกัน การตั้งค่านี้ช่วยป้องกันการสูญเสียที่อยู่ IP Private VLANs (PVLANs) อนุญาตให้แยกได้ที่อุปกรณ์เลเยอร์ 2 ใน IP ซับเน็ตเดียวกัน คุณสามารถ จำกัด บางพอร์ตที่สวิตช์เพื่อเข้าถึงเฉพาะพอร์ตที่มีเกตเวย์เริ่มต้นเซิร์ฟเวอร์สำรองหรือ Cisco LocalDirector ที่แนบมา

ถ้า PVLAN ครอบคลุมมากกว่าหลายสวิตช์ VLAN trunks ระหว่างสวิตช์ควรเป็นพอร์ตVLAN มาตรฐาน

คุณสามารถขยาย PVLAN ข้ามสวิตช์ได้ด้วยการใช้ลำต้น พอร์ต Trunk ดำเนินการรับส่งข้อมูลจาก VLAN ปกติและจาก VLAN หลักแยกและชุมชน ซิสโก้แนะนำให้ใช้พอร์ต trunk มาตรฐานหากสวิตช์ทั้งสองที่รับเส้นทางเดินสายรองรับ PVLAN

หากคุณเป็นผู้ใช้ Cisco คุณสามารถใช้เมทริกซ์นี้เพื่อดูว่าสวิตช์ของคุณรองรับตัวเลือกที่คุณต้องการหรือไม่

— sdkks
แหล่งที่มา

vlans ที่แยกได้จะทำงานได้ดีและเป็นมิตรกับผู้ใช้งานหลายคน

— Sirex

@Sirex เนื่องจากการ vlan trunking และ forwarding?

— sdkks

ใช่. อย่างที่ฉันเข้าใจนั่นคือความแตกต่างของสองวิธี

— Sirex

@Sirex ฉันได้เพิ่มข้อเสนอแนะในการปรับปรุงของคุณ

— sdkks

ตามที่ทราบยังมีคุณสมบัติที่เรียกว่า MTU VLAN (Multi-Tenant Unit VLAN) บนสมาร์ทซีรีส์ TP-Link ซึ่งทำให้ทุกพอร์ตแยก VLAN ด้วยอัปลิงค์

— fsacer

คุณสามารถทำสิ่งนี้ได้ถ้าคุณทำสิ่งที่น่ากลัวเหมือนทำ 1 ซับเน็ตต่อลูกค้า นี่จะเป็นฝันร้ายของผู้บริหาร

ไฟร์วอลล์ Windows ที่มีนโยบายที่เหมาะสมจะช่วยในเรื่องนี้ คุณสามารถทำอะไรบางอย่างเช่นการแยกโดเมน แต่ จำกัด มากขึ้น คุณสามารถบังคับใช้กฎต่อ OU กับเซิร์ฟเวอร์ในหนึ่ง OU และเวิร์กสเตชันในอีก คุณต้องการให้แน่ใจว่าเครื่องพิมพ์ (และเซิร์ฟเวอร์) ไม่ได้อยู่ในซับเน็ตเดียวกันกับเวิร์กสเตชันเพื่อทำให้สิ่งนี้ง่ายขึ้น

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

เกี่ยวกับเครื่องพิมพ์เครือข่าย - คุณสามารถทำให้ง่ายยิ่งขึ้นถ้าคุณไม่อนุญาตการพิมพ์โดยตรง แต่โฮสต์เครื่องพิมพ์เป็นคิวที่ใช้ร่วมกันจากเซิร์ฟเวอร์การพิมพ์ นี่เป็นความคิดที่ดีมาเป็นเวลานานด้วยเหตุผลหลายประการ

ฉันขอถามว่าเป้าหมายทางธุรกิจที่แท้จริงของสิ่งนี้คืออะไร? มันจะช่วยป้องกันการระบาดของมัลแวร์หรือไม่ การคำนึงถึงภาพใหญ่ / เส้นชัยเป็นสิ่งที่ช่วยกำหนดข้อกำหนดดังนั้นควรเป็นส่วนหนึ่งของคำถามของคุณเสมอ

— mfinni
แหล่งที่มา

ฉันเดาว่านี่คือการปกป้องจากการโจมตีเช่นการใช้ประโยชน์จาก wannacry

— sdkks

แน่นอนว่านั่นคือการเดาของฉันเช่นกัน แต่ฉันชอบผู้ถามคำถามผู้เตือนเกี่ยวกับแง่มุมของการถามคำถามนี้

— mfinni

ใช่เป้าหมายที่นี่คือการ จำกัด การแพร่กระจายของการแพร่กระจายมัลแวร์ใด ๆ

— taiwie

ตราบใดที่ไม่มีอุปกรณ์ BYOD ที่ไม่ใช่สมาชิกของโดเมนโซลูชันนี้จะไม่มีค่าใช้จ่ายสำหรับ OP (สมมติว่าเครื่องทั้งหมดเป็น Windows)

— sdkks

-3

หากคุณสามารถผูกแต่ละเวิร์กสเตชันกับผู้ใช้เฉพาะคุณจะสามารถอนุญาตให้ผู้ใช้นั้นเข้าถึงเวิร์กสเตชันนั้นเท่านั้น

เป็นการตั้งค่านโยบายโดเมน: เข้าสู่ระบบในเครื่องด้านขวา

สิ่งนี้ไม่ได้ป้องกันผู้ใช้ไปยังเวิร์กสเตชันที่ใกล้ที่สุดและป้อนรหัสผ่านเพื่อเข้าถึงเครื่องที่กำหนด แต่สามารถตรวจจับได้ง่าย

นอกจากนี้ยังมีผลกับบริการที่เกี่ยวข้องกับ Windows เท่านั้นดังนั้นเว็บเซิร์ฟเวอร์ในเครื่องจะยังสามารถเข้าถึงได้

— เปาโล
แหล่งที่มา

นอกจากนี้ยังไม่ป้องกันมัลแวร์ที่ใช้ช่องโหว่ที่ไม่ได้เปรียบจากการย้ายระหว่างเวิร์กสเตชัน

— mfinni

@mfinni แน่นอน ขออภัย op ไม่ได้ระบุว่าความต้องการนั้นเป็นจริงหรือไม่ (savy manager) หรือผู้จัดการขอ buzzwords เป้าหมายก็สำคัญเช่นกัน: สำหรับการป้องกันภัยคุกคามที่แท้จริงคุณต้องพูดถึงวิธีการแก้ปัญหาระดับ osi ต่ำเช่นที่ระบุไว้ในคำตอบอื่น ๆ และถ้าเจ้าภาพสื่อสารกับเซิร์ฟเวอร์ยังคงมีการป้องกันการแพร่กระจายมัลแวร์จากไม่ ...

— เปาโล