Не дозволяйте доменним комп'ютерам спілкуватися один з одним


9

Наш домен складається з близько 60 комп'ютерів. Мені доручено переконатися, що робочі станції Windows 10 не можуть спілкуватися між собою. Мій менеджер попросив створити статичні маршрути, щоб комп'ютери могли спілкуватися лише з мережевими принтерами, файловим сервером, постійним струмом та доступом до Інтернету.

Оскільки всі тези комп'ютерів працюють в одній мережі, я не вірю, що статичні маршрути не дозволять цим комп'ютерам бачити один одного. Який найкращий спосіб дозволити комп'ютерам домену використовувати мережеві ресурси, але не спілкуватися безпосередньо між собою?


12
Маршрути - це не спосіб зробити це. Правила брандмауера є.
EEAA

Чи є у вас керовані комутатори та брандмауер?
sdkks

2
Якщо робочі станції підключені до бездротового зв’язку, ізоляція клієнтів у розширених точках доступу запобіжить комунікації 2-х клієнтів wifi.
sdkks

@EEAA Я думаю, що ціллю може бути повністю запобігти атакам layer2 з компрометованих машин на інші.
sdkks

1
@sdkks Ці атаки легко пом'якшуються за допомогою суворих правил вхідного брандмауера.
EEAA

Відповіді:


16

Якщо у вас є комутатор, який його підтримує, "захищені порти" для кабельних з'єднань або "клієнтська ізоляція" для точок доступу в Wi-Fi можуть допомогти вам усунути трафік між хостами в одній мережі Layer-2.

Наприклад, це посібник з комутаторів Cisco :

Захищені порти мають такі функції: захищений порт не пересилає жодного трафіку (одноадресна передача, багатоадресна передача чи трансляція) на будь-який інший порт, який також є захищеним портом. Трафік даних не може передаватися між захищеними портами на рівні 2; передається лише керуючий трафік, наприклад PIM-пакети, тому що ці пакети обробляються процесором і передаються програмно. Весь трафік даних, що проходить між захищеними портами, повинен передаватися через пристрій рівня 3.

Тож якщо ви не збираєтесь передавати дані між ними, вам не потрібно вживати заходів, як тільки вони будуть "захищені".

Поведінка переадресації між захищеним портом і незахищеним портом проходить як завжди.

Ваші клієнти можуть бути захищені, DHCP-сервер, шлюз тощо можуть бути незахищеними портами.

Оновлення 27-07-2017
Як зазначав @sirex, якщо у вас є більше одного перемикача, який не є складеним, це означає, що вони практично НЕ єдиний комутатор, захищені порти не зупинять трафік між ними .

Примітка. Деякі комутатори (як зазначено в матриці підтримки приватного VLAN-каталізатора) підтримують лише функцію PVLAN Edge. Термін "захищені порти" також відноситься до цієї особливості. Порти PVLAN Edge мають обмеження, яке перешкоджає спілкуванню з іншими захищеними портами на тому ж комутаторі. Однак захищені порти на окремих комутаторах можуть спілкуватися один з одним.

У такому випадку вам знадобляться Ізольовані приватні порти VLAN :

У деяких ситуаціях потрібно запобігти підключенню рівня 2 (L2) між кінцевими пристроями на комутаторі без розміщення пристроїв у різних підмережах IP. Ця настройка запобігає марно витраченню IP-адрес. Приватні VLAN (PVLAN) дозволяють ізолювати на другому рівні пристроїв у тій самій підмережі IP. Ви можете обмежити деякі порти на комутаторі, щоб дістатись лише до певних портів, у яких доданий шлюз за замовчуванням, сервер резервного копіювання або доданий Cisco LocalDirector.

Якщо PVLAN охоплює декілька комутаторів, магістралі VLAN між комутаторами повинні бути стандартними портами VLAN .

Ви можете розширити PVLAN через комутатори за допомогою магістралей. Магістральні порти здійснюють трафік від звичайних VLAN, а також від первинних, ізольованих та спільних VLAN. Cisco рекомендує використовувати стандартні порти магістралі, якщо обидва комутатори, які проходять транкінг, підтримують PVLAN.

Якщо ви користувач Cisco, ви можете використовувати цю матрицю, щоб дізнатися, чи підтримують ваші комутатори потрібні варіанти.


1
Ізольовані влани також працювали б і були дружніми з декількома комутаторами
Sirex,

@Sirex через трансляцію та переадресацію Vlan?
sdkks

1
так. як я розумію, це те, як два рішення відрізняються.
Сірекс

@Sirex Я додав вашу пропозицію щодо вдосконалення
sdkks

Як примітка, на смарт-серіалі TP-Link також є функція під назвою MTU VLAN (Multi-Tenant Unit VLAN), яка робить кожен порт окремої VLAN з висхідною лінією.
fsacer

11

Ви можете це зробити, якби зробили щось таке жахливе, як зробити 1 підмережу на клієнта. Це був би кошмар управління.

У цьому допоможе брандмауер Windows з відповідною політикою. Ви можете зробити щось на кшталт Ізоляції домену, але ще більш обмежувального. Ви можете застосовувати правила на один ОУ, із серверами в одному ОУ та робочими станціями в іншому. Ви також хочете переконатися, що принтери (і сервери) не в тій самій підмережі, що і робочі станції, щоб зробити це простіше.

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

Щодо мережевих принтерів - ви могли б зробити це ще простіше, якщо ви не дозволили безпосередньо друкувати, але розмістили принтери як спільні черги з сервера друку. Це було давно хорошою ідеєю з кількох причин.

Чи можу я запитати, яка реальна бізнес-мета цього? Чи це допоможе запобігти спалахам шкідливих програм? Зважаючи на велику картину / фінішну лінію, це допомагає визначити вимоги, тому це завжди повинно бути частиною вашого питання.


Я здогадуюсь, що це захист від нападів, таких як експансія, яка хоче.
sdkks

3
Звичайно, і про це я здогадувався, але мені подобається нагадувати запитувачам про цю грань запитання.
mfinni

Так, мета тут - обмежити поширення будь-яких спалахів шкідливих програм.
taiwie

Поки не буде пристрою BYOD, який не є членом домену, це рішення буде мати нульову вартість для ОП. (Припустимо, що всі машини є Windows)
sdkks

-3

Якщо ви можете прив’язати кожну робочу станцію до конкретного користувача, ви можете дозволити лише цьому користувачу отримати доступ до цієї робочої станції.

Це налаштування політики домену: вхід локально право.

Це не заважає користувачеві зайти до найближчої робочої станції та ввести свій пароль для доступу до призначеної машини, але це легко виявити.

Також це стосується лише служб Windows, тому веб-сервер на машинах все ще буде доступний.


1
Це також не заважає зловмисному програмному забезпеченню, яке використовує незавершені подвиги, переміщатися між робочими станціями.
mfinni

@mfinni Звичайно. На жаль, op не вказав, чи вимога є дійсною (технічний довідковий менеджер) чи менеджер, який просить buzzword. Також важливою є мета: для реального захисту від загроз потрібне рішення низького рівня осі, як зазначено в інших відповідях. І якщо господарі спілкуються із серверами, все одно немає захисту від поширення зловмисного програмного забезпечення ...
Paolo
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.