Không cho phép các máy tính miền liên lạc với nhau


9

Tên miền của chúng tôi bao gồm khoảng 60 máy tính. Tôi đã được giao nhiệm vụ đảm bảo rằng các máy trạm Windows 10 không thể giao tiếp với nhau. Người quản lý của tôi yêu cầu tôi tạo các tuyến tĩnh để máy tính chỉ có thể giao tiếp với máy in mạng, máy chủ tệp, DC và truy cập Internet.

Vì tất cả các máy tính này đều nằm trên cùng một mạng nên tôi không tin các tuyến tĩnh sẽ ngăn các máy tính này nhìn thấy nhau. Cách tốt nhất để cho phép các máy tính trên miền sử dụng tài nguyên mạng, nhưng không giao tiếp trực tiếp với nhau là gì?


12
Các tuyến đường không phải là cách để làm điều này. Quy tắc tường lửa là.
EEAA

Bạn có các công tắc và tường lửa có thể quản lý?
sdkks

2
Nếu các máy trạm được kết nối không dây, việc cách ly máy khách ở các điểm truy cập nâng cao sẽ ngăn không cho bất kỳ máy khách 2 wifi nào liên lạc với nhau.
sdkks

@EEAA Tôi nghĩ mục tiêu có thể là ngăn chặn hoàn toàn các cuộc tấn công layer2 từ các máy bị xâm nhập sang các máy khác.
sdkks

1
@sdkks Những cuộc tấn công đó dễ dàng được giảm thiểu thông qua các quy tắc tường lửa nghiêm ngặt.
EEAA

Câu trả lời:


16

Nếu bạn có một công tắc hỗ trợ nó, 'cổng được bảo vệ' cho các kết nối đã bật hoặc 'cách ly máy khách' cho các điểm truy cập trên Wi-Fi có thể giúp bạn loại bỏ lưu lượng giữa các máy chủ trong cùng mạng Lớp 2.

Ví dụ: đây là từ hướng dẫn chuyển đổi của Cisco :

Các cổng được bảo vệ có các tính năng này: Một cổng được bảo vệ không chuyển tiếp bất kỳ lưu lượng truy cập nào (unicast, multicast hoặc quảng bá) đến bất kỳ cổng nào khác cũng là một cổng được bảo vệ. Lưu lượng dữ liệu không thể được chuyển tiếp giữa các cổng được bảo vệ ở Lớp 2; chỉ kiểm soát lưu lượng, chẳng hạn như các gói PIM, được chuyển tiếp vì các gói này được CPU xử lý và chuyển tiếp trong phần mềm. Tất cả lưu lượng dữ liệu đi qua giữa các cổng được bảo vệ phải được chuyển tiếp qua thiết bị Lớp 3.

Vì vậy, nếu bạn không có ý định chuyển dữ liệu giữa chúng, bạn không cần phải hành động một khi chúng được 'bảo vệ'.

Hành vi chuyển tiếp giữa một cổng được bảo vệ và một cổng không được bảo vệ tiến hành như bình thường.

Khách hàng của bạn có thể được bảo vệ, máy chủ DHCP, cổng, vv có thể trên các cổng không được bảo vệ.

Cập nhật 27-07-2017
Như @sirex đã chỉ ra, nếu bạn có nhiều hơn một công tắc không được xếp chồng lên nhau, nghĩa là chúng hầu như KHÔNG phải là một công tắc duy nhất, các cổng được bảo vệ sẽ không dừng lưu lượng giữa các công tắc đó .

Lưu ý: Một số công tắc (như được chỉ định trong Ma trận hỗ trợ chuyển mạch Vlan riêng tư) hiện chỉ hỗ trợ tính năng PVlan Edge. Thuật ngữ "cổng được bảo vệ" cũng đề cập đến tính năng này. Các cổng PVlan Edge có một hạn chế ngăn chặn giao tiếp với các cổng được bảo vệ khác trên cùng một công tắc. Các cổng được bảo vệ trên các công tắc riêng biệt, tuy nhiên, có thể giao tiếp với nhau.

Nếu đó là trường hợp bạn sẽ cần các cổng Vlan riêng biệt :

Trong một số trường hợp, bạn cần ngăn kết nối Lớp 2 (L2) giữa các thiết bị đầu cuối trên một công tắc mà không đặt các thiết bị trong các mạng con IP khác nhau. Thiết lập này ngăn chặn sự lãng phí địa chỉ IP. Các Vlan riêng (PVlan) cho phép cách ly ở Lớp 2 của các thiết bị trong cùng một mạng con IP. Bạn có thể hạn chế một số cổng trên công tắc chỉ tiếp cận các cổng cụ thể có cổng mặc định, máy chủ dự phòng hoặc Cisco LocalDirector được đính kèm.

Nếu PVlan trải dài trên nhiều thiết bị chuyển mạch, các thân Vlan giữa các thiết bị chuyển mạch phải là cổng Vlan tiêu chuẩn .

Bạn có thể mở rộng PVlan trên các thiết bị chuyển mạch với việc sử dụng trung kế. Các cổng trung kế mang lưu lượng truy cập từ các Vlan thông thường và cũng từ các Vlan chính, bị cô lập và cộng đồng. Cisco khuyến nghị sử dụng các cổng trung kế tiêu chuẩn nếu cả hai thiết bị chuyển mạch trải qua các trung kế hỗ trợ PVlan.

Nếu bạn là người dùng của Cisco, bạn có thể sử dụng ma trận này để xem liệu các thiết bị chuyển mạch của bạn có hỗ trợ các tùy chọn bạn cần không.


1
vlans bị cô lập cũng sẽ hoạt động và thân thiện với nhiều công tắc
Sirex

@Sirex vì vlan trunking và chuyển tiếp?
sdkks

1
Đúng. theo tôi hiểu đó là cách hai giải pháp khác nhau.
Sirex

@Sirex Tôi đã thêm đề xuất cải tiến của bạn
sdkks

như một lưu ý, cũng có một tính năng gọi là MTU Vlan (V-Multi-Tenant Unit Vlan) trên loạt thông minh TP-Link, giúp mọi cổng trên Vlan tách biệt với đường lên.
fsacer

11

Bạn có thể làm điều này, nếu bạn đã làm một cái gì đó kinh khủng như tạo 1 mạng con cho mỗi khách hàng. Đây sẽ là một cơn ác mộng quản lý.

Tường lửa Windows, với các chính sách phù hợp, sẽ giúp với điều này. Bạn có thể làm một cái gì đó như cách ly tên miền, nhưng thậm chí còn hạn chế hơn. Bạn có thể thực thi các quy tắc cho mỗi OU, với các máy chủ trong một OU và các máy trạm trong một OU khác. Bạn cũng muốn đảm bảo rằng các máy in (và máy chủ) không nằm trên cùng một mạng con như các máy trạm để làm cho việc này đơn giản hơn.

https://technet.microsoft.com/en-us/l Library / cc730709 (v = ws.10) .aspx

Về máy in mạng - bạn có thể thực hiện việc này dễ dàng hơn nữa nếu bạn không cho phép in trực tiếp, nhưng lưu trữ máy in dưới dạng hàng đợi chung từ máy chủ in. Đây là một ý tưởng tốt trong một thời gian dài vì nhiều lý do.

Tôi có thể hỏi mục tiêu kinh doanh thực tế của việc này là gì không? Là nó để giúp ngăn chặn sự bùng phát phần mềm độc hại? Giữ cho hình ảnh lớn / dòng kết thúc trong tâm trí giúp xác định các yêu cầu, vì vậy đó luôn luôn là một phần của câu hỏi của bạn.


Tôi đoán điều này là để bảo vệ khỏi các cuộc tấn công như khai thác Wannacry.
sdkks

3
Chắc chắn, đó cũng là dự đoán của tôi, nhưng tôi thích những người hỏi câu hỏi về khía cạnh của câu hỏi này.
mfinni

Có, mục tiêu ở đây là hạn chế sự lây lan của bất kỳ sự bùng phát phần mềm độc hại nào.
taiwie

Miễn là không có thiết bị BYOD nào không phải là thành viên của miền, giải pháp này sẽ có chi phí bằng 0 đối với OP. (Giả sử tất cả các máy là Windows)
sdkks

-3

Nếu bạn có thể liên kết mỗi máy trạm với một người dùng cụ thể, bạn chỉ có thể cho phép người dùng đó truy cập vào máy trạm đó.

Đây là một thiết lập chính sách miền: đăng nhập cục bộ ngay.

Điều này không ngăn người dùng đến máy trạm gần nhất và nhập mật khẩu của họ để truy cập vào máy được chỉ định của họ, nhưng nó có thể dễ dàng phát hiện.

Ngoài ra, điều này chỉ ảnh hưởng đến các dịch vụ liên quan đến Windows nên máy chủ web trên máy vẫn có thể truy cập được.


1
Nó cũng không ngăn phần mềm độc hại sử dụng các khai thác chưa được chỉnh sửa di chuyển giữa các máy trạm.
mfinni

@mfinni Chắc chắn rồi. Thật không may, op đã không chỉ định nếu yêu cầu là thực tế (người quản lý hiểu biết kỹ thuật) hoặc người quản lý yêu cầu buzzwords. Ngoài ra mục tiêu rất quan trọng: để bảo vệ thực sự cho các mối đe dọa mà bạn đề cập đến giải pháp mức độ osi thấp là bắt buộc, như đã nêu trong các câu trả lời khác. Và nếu máy chủ liên lạc với máy chủ thì vẫn không có sự bảo vệ nào khỏi phần mềm độc hại lây lan ...
Paolo
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.