Bảo mật mạng LAN trong mạng LAN văn phòng hiện có

12

Trước tiên, tôi sẽ đăng bài này lên Server Fault nhưng thành thật mà nói, tôi không phải là quản trị viên mạng, tôi là một sinh viên CS được kêu gọi sắp xếp một cái gì đó cho một doanh nghiệp gia đình rất nhỏ vừa chuyển sang một doanh nghiệp nhỏ không gian văn phòng và không thực sự có tiền trong tay để thuê người sắp xếp nó vì vậy tôi phải học những gì cần thiết để hoàn thành công việc. Tôi cũng biết rằng câu hỏi này 'LAN trong mạng LAN' đã được hỏi trước đây vì vậy hãy thoải mái đánh dấu đây là một bản sao mặc dù không có câu hỏi nào hiện có thực sự trả lời các câu hỏi tôi có.

Như vậy, vấn đề. Văn phòng chúng tôi chuyển đến đang được chuyển đổi từ một tòa nhà lớn trước đây được sử dụng bởi một doanh nghiệp thành một "trung tâm kinh doanh" với các phòng riêng lẻ được cho thuê. Mỗi phòng được nối dây với một số cổng ethernet dẫn trở lại phòng mạng với một tủ chứa đầy các công tắc để liên kết mọi thứ lại với nhau mặc dù không có cái nào được sử dụng theo như tôi có thể nói. Anh chàng quản lý mạng đã trở nên dư thừa và giờ đây chủ yếu là đền thờ cho việc anh ta không quản lý cáp.

Các doanh nghiệp hiện đang chiếm các phòng đều dựa vào mạng wifi được cung cấp bởi một bộ kết nối bộ định tuyến / modem gia đình 'BT HomeHub'. Theo quy định của Chính phủ, tôi không thích ý tưởng chia sẻ mạng và tôi nghi ngờ các nhà quản lý cũng sẽ như vậy.

Vì vậy, các tùy chọn ở đây là gì? Tôi thực sự không thể làm bất cứ điều gì về bộ định tuyến / modem gia đình vì có nhiều doanh nghiệp khác chia sẻ điều này để truy cập không dây. Tôi lý tưởng muốn truy cập internet thông qua modem này nhưng cần đảm bảo rằng mạng chúng tôi đang chạy hoàn toàn không thể truy cập được bởi các thiết bị khác trên mạng không thuộc hoạt động kinh doanh của chúng tôi. Tôi đã duyệt qua một số dịch vụ bộ định tuyến dành cho doanh nghiệp nhỏ của Cisco cùng với các điểm truy cập không dây (truy cập không dây là ưu tiên trước mắt) nhưng tôi không chắc liệu tôi có thể đạt được điều trên với một hay không và muốn chắc chắn trước khi tôi đặt hàng phần cứng.

Tôi chắc chắn lựa chọn tốt nhất sẽ chỉ đơn giản là chạy một đường dây khác vào tòa nhà nhưng điều đó làm tăng thêm chi phí hàng tháng cộng với hợp đồng dịch vụ vì vậy tôi rất muốn tránh điều đó vào lúc này.

Bất kỳ suy nghĩ về lựa chọn tốt nhất trong tình huống này và làm thế nào tôi có thể đi về nó?

networking  router  lan 
Lục giác
nguồn
3
Những câu hỏi đầu tiên để tự hỏi: chúng ta cần truy cập Internet như thế nào? Công ty sẽ chết nó bộ định tuyến nhà của BT chết. Nếu đó là điều cần thiết thì hãy thuê đường dây không dành cho người tiêu dùng của bạn. Tốt nhất là từ một ISP khác, sau đó một ISP đã có sẵn trong văn phòng để bạn có thể sử dụng nó làm dự phòng khẩn cấp. Xem xét thứ hai: Ai có quyền truy cập vào tủ đầy công tắc? Họ mô hình / khả năng gì (rất vui khi biết bạn bắt đầu làm việc với một giải pháp). Họ được quản lý chuyển đổi? Firmware cập nhật? Thứ ba có lẽ là thời gian để tìm ra dây cáp nào được nối với phòng của bạn.
Hennes
Khi bạn nhận được những câu trả lời đó, hãy đọc Vlan (đối với có dây). Cũng xem xét việc không cho phép truy cập internet vào bất cứ thứ gì ngoại trừ máy chủ thư và proxy tất cả các thiết bị khác đằng sau nó. (Đó là một máy chủ như tường lửa, đằng sau đó là một máy chủ thư và logic đằng sau đó là một proxy) và máy chủ tệp). Và nghĩ về sao lưu. Một trong những khởi đầu tồi tệ nhất là nếu poeple lưu trữ thông tin trên máy tính xách tay của họ thay vì trên ổ đĩa mạng.
Hennes
Bạn có quyền truy cập gì vào thiết bị? Bạn có được phép đăng nhập vào "combo bộ định tuyến / modem gia đình" không? Nguồn truy cập Internet của trang web là gì? (Tôi đoán DSL từ BT. Chỉ là phỏng đoán. Câu trả lời không phải là Wi-Fi.) Nếu bạn muốn "bảo vệ" mạng của mình khỏi các mạng khác trên trang web, thiết bị điển hình để "bảo vệ" mạng là tường lửa. Điều đó nói rằng, nhiều bộ định tuyến cung cấp các khả năng "tường lửa" nội bộ (có lẽ ít chuyên dụng / được thiết kế cho nhiệm vụ hơn một thiết bị tường lửa chuyên dụng). Một số thiết bị chuyên nghiệp của Cisco có thể có đường cong học tập cao.
TUYỆT VỜI
Chính thức tôi không có quyền truy cập, mặc dù tôi chắc chắn rằng có thể thương lượng được nên tôi sẽ gặp vào ngày mai. Chỉ cần tìm kiếm một số ý tưởng về những gì có thể có với thiết bị đã có. Nguồn dường như là một đường DSL kinh doanh thông thường, mà tôi biết không phải là 'WiFi' (Tôi không phải là cựu chiến binh mạng nhưng tôi không vô dụng, đừng lo lắng). Vlan trông thú vị, tôi chắc chắn sẽ xem xét thêm về chúng. Tôi chỉ đang vật lộn để kết hợp một số khái niệm mạng với thiết lập thế giới thực.
Hexodus
@TOOGAM Tôi sẽ không mong muốn người dùng máy tính trung bình hiểu một số điều trong "bộ định tuyến" doanh nghiệp nhỏ của Cisco mà không có hướng dẫn. Hãy để một mình có thể định cấu hình thiết bị mạng dựa trên IOS của Cisco. Đồng ý với bạn cho đến nay. Nhưng tôi thực sự không nghĩ rằng đó là duy nhất cho Cisco; thiết bị chuyên dụng thường không có một đường cong học tập dốc. Heck, bạn có thể đặt người dùng máy tính trung bình ở phía trước máy hiện sóng trung bình và tiến hành xem pháo hoa. Tôi không chắc có bao nhiêu người dùng máy tính trên trung bình sẽ biết cách sử dụng máy hiện sóng.
một CVn

Câu trả lời:

16

Trước hết: Nếu bạn có nghĩa vụ pháp lý để phân tách lưu lượng truy cập, hãy luôn nhờ ai đó có thẩm quyền thực hiện để đăng xuất trên bất kỳ kế hoạch nào như trong các yêu cầu pháp lý trước khi bạn bắt đầu thực hiện. Tùy thuộc vào các yêu cầu pháp lý cụ thể, có thể là bạn sẽ phải cung cấp các mạng riêng biệt không có điểm tin cậy chung.

Điều đó nói rằng, về cơ bản, bạn nghĩ rằng bạn có ba tùy chọn: V.1 802.1Q (tốt hơn)nhiều lớp NAT (tệ hơn)các mạng riêng biệt (an toàn nhất, nhưng cũng phức tạp và có thể tốn kém nhất do tua lại vật lý) .

Tôi giả sử ở đây rằng mọi thứ đã được kết nối là Ethernet. Một phần của tiêu chuẩn Ethernet tổng thể là cái được gọi là IEEE 802.1Q , mô tả cách thiết lập các mạng LAN lớp liên kết riêng biệt trên cùng một liên kết vật lý. Điều này được gọi là Vlan hoặc LAN ảo (lưu ý: WLAN hoàn toàn không liên quan và trong bối cảnh này thường là viết tắt của LAN không dây và thường đề cập đến một trong các biến thể của chuẩn 802.11 ). Sau đó, bạn có thể sử dụng một công tắc cao cấp hơn (những thứ rẻ tiền mà bạn có thể mua để sử dụng tại nhà thường không có tính năng này; bạn muốn tìm một công tắc được quản lý , lý tưởng nhất là quảng cáo hỗ trợ theo chuẩn 802.1Q, mặc dù được chuẩn bị để trả phí bảo hiểm cho tính năng) được định cấu hình để tách riêng từng Vlan thành một tập hợp (có thể chỉ một) cổng. Sau đó, trên mỗi Vlan, các bộ chuyển mạch tiêu dùng thông thường (hoặc cổng NAT có cổng đường lên Ethernet, nếu muốn) có thể được sử dụng để phân phối thêm lưu lượng trong đơn vị văn phòng.

Ưu điểm của Vlan, so với nhiều lớp NAT, là nó hoàn toàn độc lập với loại lưu lượng trên dây. Với NAT, bạn bị mắc kẹt với IPv4 và có thể IPv6 nếu bạn may mắn và cũng phải đối mặt với tất cả các vấn đề đau đầu truyền thống của NAT vì NAT phá vỡ kết nối đầu cuối (thực tế đơn giản là bạn có thể nhận được danh sách thư mục từ một Máy chủ FTP thông qua NAT là một minh chứng cho sự khéo léo của một số người làm việc với công cụ đó, nhưng ngay cả những cách giải quyết đó thường cho rằng chỉ có một NAT dọc theo tuyến kết nối); với Vlan, bởi vì nó sử dụng bổ sung vào khung Ethernet , nghĩa đen là mọi thứcó thể truyền qua Ethernet có thể được truyền qua Vlan Ethernet và kết nối đầu cuối được bảo toàn, theo như IP có liên quan, không có gì thay đổi ngoại trừ tập hợp các nút có thể truy cập trên phân đoạn mạng cục bộ. Tiêu chuẩn cho phép tối đa 4.094 (2 ^ 12 - 2) Vlan trên một liên kết vật lý duy nhất, nhưng thiết bị cụ thể có thể có giới hạn thấp hơn.

Do đó đề nghị của tôi:

  • Kiểm tra xem thiết bị chính (có gì trong giá công tắc lớn trong phòng mạng) có hỗ trợ 802.1Q không. Nếu có, sau đó tìm hiểu cách định cấu hình và thiết lập chính xác. Tôi sẽ khuyên bạn nên bắt đầu bằng cách thực hiện khôi phục cài đặt gốc, nhưng hãy đảm bảo bạn không mất bất kỳ cấu hình quan trọng nào bằng cách thực hiện. Hãy chắc chắn để tư vấn chính xác cho bất cứ ai dựa vào kết nối đó sẽ bị gián đoạn dịch vụ trong khi bạn làm điều này.
  • Nếu thiết bị chính không hỗ trợ 802.1Q, hãy tìm một số thiết bị phù hợp và đáp ứng nhu cầu của bạn về số lượng Vlan, số cổng, v.v. và mua nó. Sau đó tìm hiểu cách cấu hình nó, và thiết lập chính xác. Điều này có phần thưởng mà bạn có thể giữ riêng biệt trong khi thiết lập mọi thứ, giảm thời gian chết cho bất kỳ người dùng hiện tại nào (bạn sẽ thiết lập nó trước, sau đó gỡ bỏ thiết bị cũ và kết nối thiết bị mới, vì vậy thời gian chết sẽ bị giới hạn về cơ bản lâu bạn cần rút phích cắm và cắm lại mọi thứ).
  • Yêu cầu mỗi đơn vị văn phòng sử dụng một bộ chuyển mạch hoặc "bộ định tuyến" tại nhà hoặc doanh nghiệp nhỏ (cổng NAT) với cổng đường lên Ethernet, để phân phối thêm kết nối mạng giữa các hệ thống của họ.

Khi bạn định cấu hình các công tắc, chắc chắn đảm bảo giới hạn mỗi Vlan ở bộ cổng riêng của nó và đảm bảo tất cả các cổng đó chỉ đi đến một đơn vị văn phòng. Nếu không, các Vlan sẽ ít hơn các dấu hiệu "không làm phiền" lịch sự.

Bởi vì lưu lượng truy cập duy nhất đến các đầu ra Ethernet của mỗi đơn vị sẽ là của riêng họ (nhờ các Vlan riêng biệt, được định cấu hình của bạn), điều này sẽ cung cấp sự phân tách đầy đủ mà không yêu cầu bạn phải tua lại mọi thứ như các mạng riêng biệt thực sự.

Ngoài ra, đặc biệt nếu bạn triển khai Vlan hoặc kết thúc việc tua lại mọi thứ, hãy tận dụng cơ hội để gắn thẻ chính xác tất cả các cáp với số đơn vị và cổng! Sẽ mất thêm một chút thời gian, nhưng sẽ có giá trị hơn trong tương lai nếu có bất kỳ vấn đề mạng nào trong tương lai. Hãy xem tôi đã thừa hưởng tổ chuột của một con chuột. Gì bây giờ? trên Server Fault cho một số gợi ý hữu ích.

một CVn
nguồn
2
Cảm ơn Michael này, thông tin cực kỳ hữu ích và đề xuất của bạn có vẻ hợp lý (tôi đã nâng cấp nhưng thiếu 15 đại diện cho thời điểm này). Tôi sẽ làm một số điều tra thêm vào ngày mai về những gì phần cứng hiện có hỗ trợ và nói chuyện với chủ sở hữu tòa nhà về việc liệu nó có thể được tái sử dụng theo cách này hay không. Chắc chắn các Vlan nghe giống như những gì tôi đang mong muốn đạt được với lưu lượng truy cập hoàn toàn tách biệt nên tôi sẽ đọc một số điều đó. Câu hỏi về Lỗi Máy chủ mà bạn liên kết khiến tôi bật cười, rất may nó không tệ như vậy. Tôi sẽ lấy lời khuyên của bạn về việc phân loại nó ra mặc dù. Chúc mừng!
Hexodus
2
Ngoài ra, có một lựa chọn khác. Trong công ty tôi đang làm việc, chúng tôi có một bộ định tuyến 4G, với một hợp đồng riêng. Điều này sẽ giảm tải cho mạng không dây hiện tại và bạn có thể chắc chắn rằng mình sẽ có cùng một dịch vụ, bất cứ nơi nào bạn đến, hoàn toàn tách rời khỏi mọi người khác. Điều này không thêm nhiều phức tạp và không phải là quá lớn.
Ismael Miguel
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.