Soru Etki alanı bilgisayarlarının birbirleriyle iletişim kurmasına izin verme


Alanımız yaklaşık 60 bilgisayardan oluşmaktadır. Windows 10 iş istasyonlarının birbiriyle iletişim kuramadığından emin olmakla görevlendirildim. Yöneticim, bilgisayarların yalnızca ağ yazıcıları, dosya sunucusu, DC ile iletişim kurabilmesi ve Internet'e erişebilmesi için statik yollar oluşturmamı istedi.

Bilgisayarların hepsi aynı ağda olduğu için, bu bilgisayarların birbirlerini görmesini engellemek için statik yolların olmayacağını düşünüyorum. Etki alanındaki bilgisayarların ağ kaynaklarını kullanmasına izin vermenin, ancak birbirleriyle doğrudan iletişim kurmanın en iyi yolu nedir?


9
2017-07-25 12:43


Menşei


Rotalar bunu yapmanın yolu değildir. Güvenlik duvarı kuralları. - EEAA
Yönetilebilir anahtarlarınız ve güvenlik duvarınız var mı? - sdkks
İş istasyonları kablosuz olarak bağlanırsa, gelişmiş erişim noktalarındaki istemci yalıtımı, herhangi bir 2 wifi istemcisinin birbiriyle iletişim kurmasını engeller. - sdkks
@EEAA Bence amaç, ele geçirilen makinelerden katman2 saldırılarını diğerlerinden tamamen engellemek olabilir. - sdkks
@sdkks Bu saldırılar, katı gelen güvenlik duvarı kurallarıyla kolayca azaltılır. - EEAA


Cevaplar:


Bunu destekleyen bir anahtarınız varsa, kablolu bağlantılarda 'korumalı bağlantı noktaları' veya Wi-Fi'deki erişim noktaları için 'istemci yalıtımı', aynı Katman 2 ağındaki ana bilgisayarlar arasındaki trafiği ortadan kaldırmanıza yardımcı olabilir.

Örneğin, bu Cisco anahtarı Manuel:

Korumalı portlar şu özelliklere sahiptir: Korumalı bir port iletmez   herhangi bir başka limana herhangi bir trafik (tek noktaya yayın, çok noktaya yayın veya yayın)   ayrıca korumalı bir porttur. Veri trafiği arasında iletilemez   Katman 2'de korunan portlar; sadece PIM paketleri gibi trafiği kontrol eder,   iletilir çünkü bu paketler CPU tarafından işlenir ve   yazılımda iletilir. Korunanlar arasında geçen tüm veri trafiği   Bağlantı noktaları bir Katman 3 cihazı üzerinden iletilmelidir.

Bu nedenle, aralarında veri aktarmayı düşünmüyorsanız, 'korumalı' olduklarında harekete geçmeniz gerekmez.

Korumalı bir bağlantı noktası ile korumasız bir bağlantı noktası arasındaki yönlendirme davranışı   her zamanki gibi ilerler.

İstemcileriniz korunabilir, DHCP sunucusu, ağ geçidi, vb. Korumasız bağlantı noktalarında olabilir.

27-07-2017 Güncellemesi
@Sirex'in işaret ettiği gibi, yığılmayan birden fazla anahtarınız varsa, bunlar neredeyse tek bir anahtar, korumalı bağlantı noktaları DEĞİLDİR bunlar arasındaki trafiği durdurmayacak.

Not: Bazı anahtarlar (Özel VLAN Katalizör Anahtarı'nda belirtildiği gibi)   Destek Matrisi) şu anda sadece PVLAN Kenar özelliğini desteklemektedir.   "korumalı bağlantı noktaları" terimi de bu özelliğe işaret eder. PVLAN Kenar portları   korunan diğerleriyle iletişimi engelleyen bir kısıtlama var   aynı anahtardaki portlar. Korumalı portlar ayrı anahtarlarda,   ancak birbirleriyle iletişim kurabilir.

Eğer durum buysa, ihtiyacınız olacak İzole Özel VLAN portlar:

Bazı durumlarda, Katman 2 (L2) bağlantısını engellemeniz gerekir.   Cihazların yerleştirilmeden bir anahtar üzerindeki son cihazlar arasında   farklı IP alt ağlarında. Bu kurulum IP israfını önler   adresleri. Özel VLAN'lar (PVLAN), Katman 2'deki izolasyonu sağlar.   aynı IP alt ağındaki cihazlar. Üzerindeki bazı bağlantı noktalarını kısıtlayabilirsiniz.   sadece varsayılan ağ geçidine sahip belirli portlara ulaşmak için geçiş yapın,   Yedekleme sunucusu veya Cisco LocalDirector eklenmiş.

PVLAN birden fazla anahtar üzerinden geçiyorsa, anahtarlar arasındaki VLAN gövdeleri olmalıdır. standart VLAN bağlantı noktaları.

Anahtarlar arasında PVLAN'ları gövdelerle genişletebilirsiniz. gövde   Bağlantı noktaları düzenli VLAN'lardan ve ayrıca birincilden gelen trafiği taşır.   yalıtılmış ve topluluk VLAN'ları. Cisco standart kullanımını önerir   trunk portları her iki anahtar da PVLAN'ları destekliyorsa.

Cisco kullanıcısıysanız, kullanabilirsiniz bu matris Anahtarlarınızın ihtiyacınız olan seçenekleri destekleyip desteklemediğini görmek için.


16
2017-07-25 14:54



izole vlans da çalışır ve çoklu anahtar dostu olur - Sirex
@Sirex vlan trunking ve forwarding nedeniyle? - sdkks
Evet. Anladığım kadarıyla iki çözümün nasıl farklı olduğu. - Sirex
@Sirex İyileştirme önerinizi ekledim - sdkks
Bir not olarak, TP-Link akıllı serisinde MTU VLAN (Çoklu Kiracı Birimi VLAN) özelliği de bulunmaktadır. - fsacer


Müşteri başına 1 alt ağ yapmak kadar korkunç bir şey yaptıysanız bunu yapabilirsiniz. Bu bir yönetim kabusu olurdu.

Windows Güvenlik Duvarı uygun politikalarla bu konuda yardımcı olacaktır. Domain Isolation gibi bir şey yapabilir, ancak daha da kısıtlayıcı olabilirsiniz. OU başına kuralları, bir OU'daki sunucularla ve başka birindeki iş istasyonlarıyla uygulayabilirsiniz. Ayrıca, yazıcıların (ve sunucuların) bu işi daha basit hale getirmek için iş istasyonları ile aynı alt ağda olmadığından emin olmak istersiniz.

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

Ağ yazıcılarıyla ilgili olarak - doğrudan baskıya izin vermediyseniz bunu daha da kolaylaştırabilirsiniz, ancak yazıcıları bir baskı sunucusundan paylaşılan kuyruklar olarak barındırdıysanız. Bu, birçok nedenden dolayı uzun bir süre için iyi bir fikir olmuştur.

Bunun gerçek ticari amacının ne olduğunu sorabilir miyim? Kötü amaçlı yazılım salgınlarını önlemeye yardımcı olmak mı? Büyük resmi / bitiş çizgisini akılda tutmak, gereksinimleri tanımlamanıza yardımcı olur, böylece her zaman sorunuzun bir parçası olmalıdır.


11
2017-07-25 13:30



Sanırım bu, soytarı sömürüsü gibi saldırılardan korunmak. - sdkks
Tabii, bu benim de tahminimdi, ama soru soran soruları bu soru soran hakkında hatırlatmaktan hoşlanıyorum. - mfinni
Evet, buradaki amaç, herhangi bir kötü amaçlı yazılım salgınının yayılmasını sınırlamaktır. - taiwie
Etki alanı üyesi olmayan bir BYOD aygıtı olmadığı sürece, bu çözüm OP'ye sıfır maliyet olacaktır. (Tüm makinelerin Windows olduğunu varsayarsak) - sdkks


Her iş istasyonunu belirli bir kullanıcıya bağlayabiliyorsanız, yalnızca bu kullanıcının bu iş istasyonuna erişmesine izin verebilirsiniz.

Bir etki alanı ilkesi ayarı: yerel olarak oturum açma hakkı.

Bu, kullanıcının en yakın iş istasyonuna gitmesini ve atanmış makinesine erişmek için şifresini girmesini engellemez, ancak kolayca algılanabilir.

Ayrıca bu sadece Windows ile ilgili hizmetleri etkiler, bu yüzden makinelerde bir web sunucusu hala erişilebilir olacaktır.


-3
2017-07-25 17:05



Ayrıca, iş istasyonları arasında taşınması istenmeyen gönderileri kullanan kötü amaçlı yazılımları da engellemez. - mfinni
@mfinni Tabii. Ne yazık ki, gereksinimin gerçek olup olmadığını (teknik tasarruflu yönetici) veya buzzwords'leri soran bir yönetici belirtmedi. Ayrıca amaç önemlidir: Diğer cevaplarda belirtildiği gibi, düşük osi seviyesi çözümden bahsettiğiniz tehditler için gerçek koruma gereklidir. Ve eğer sunucular sunucularla iletişim kuruyorsa, hala kötü amaçlı yazılımların yayılmasından korunmuyor ... - Paolo