Nie pozwól komputerom domeny komunikować się ze sobą

9

Nasza domena składa się z około 60 komputerów. Zadanie polegało na upewnieniu się, że stacje robocze systemu Windows 10 nie mogą się ze sobą komunikować. Mój menedżer poprosił o utworzenie tras statycznych, aby komputery mogły komunikować się tylko z drukarkami sieciowymi, serwerem plików, DC i dostępem do Internetu.

Ponieważ wszystkie te komputery są w tej samej sieci, nie sądzę, aby trasy statyczne uniemożliwiałyby sobie wzajemne widzenie się tych komputerów. Jaki jest najlepszy sposób, aby umożliwić komputerom w domenie korzystanie z zasobów sieciowych, ale nie komunikować się bezpośrednio ze sobą?

taiwie
źródło
12
Trasy nie są na to dobrym sposobem. Reguły zapory są.
EEAA
Czy masz zarządzalne przełączniki i zaporę ogniową?
sdkks,
2
Jeśli stacje robocze są połączone bezprzewodowo, izolacja klienta w zaawansowanych punktach dostępu uniemożliwi komunikację między każdym klientem 2 Wi-Fi.
sdkks,
@EEAA Myślę, że celem może być całkowite zapobieganie atakom warstwy 2 z zainfekowanych komputerów na inne.
sdkks
1
@sdkks Ataki te można łatwo złagodzić za pomocą surowych reguł zapory dla ruchu przychodzącego.
EEAA

Odpowiedzi:

16

Jeśli masz przełącznik, który go obsługuje, „chronione porty” dla połączeń kablowych lub „izolacja klienta” dla punktów dostępu w Wi-Fi mogą pomóc w wyeliminowaniu ruchu między hostami w tej samej sieci warstwy 2.

Na przykład pochodzi z instrukcji przełącznika Cisco :

Chronione porty mają następujące funkcje: Chroniony port nie przekazuje żadnego ruchu (emisji pojedynczej, multiemisji lub emisji) do żadnego innego portu, który jest również portem chronionym. Nie można przekazywać danych między chronionymi portami w warstwie 2; przekazywany jest tylko ruch kontrolny, taki jak pakiety PIM, ponieważ pakiety te są przetwarzane przez CPU i przekazywane w oprogramowaniu. Cały ruch danych przesyłany między chronionymi portami musi być przekazywany przez urządzenie warstwy 3.

Jeśli więc nie zamierzasz przenosić danych między nimi, nie musisz podejmować działań, gdy zostaną one „zabezpieczone”.

Przekazywanie między portem chronionym a portem niechronionym przebiega jak zwykle.

Klienci mogą być chronieni, serwer DHCP, brama itp. Mogą znajdować się na niechronionych portach.

Aktualizacja 27-07-2017
Jak wskazał @sirex, jeśli masz więcej niż jeden przełącznik, który nie jest ułożony w stos, co oznacza, że ​​praktycznie NIE jest to jeden przełącznik, chronione porty nie zatrzymają ruchu między nimi .

Uwaga: Niektóre przełączniki (określone w Matrycy obsługi prywatnych przełączników katalizatora VLAN) obecnie obsługują tylko funkcję PVLAN Edge. Termin „chronione porty” odnosi się również do tej funkcji. Porty PVLAN Edge mają ograniczenie uniemożliwiające komunikację z innymi chronionymi portami na tym samym przełączniku. Chronione porty na oddzielnych przełącznikach mogą się jednak komunikować.

W takim przypadku potrzebujesz izolowanych prywatnych portów VLAN :

W niektórych sytuacjach należy uniemożliwić łączność w warstwie 2 (L2) między urządzeniami końcowymi na przełączniku bez umieszczania urządzeń w różnych podsieciach IP. Ta konfiguracja zapobiega marnowaniu adresów IP. Prywatne sieci VLAN (PVLAN) umożliwiają izolację w warstwie 2 urządzeń w tej samej podsieci IP. Można ograniczyć niektóre porty przełącznika, aby uzyskać dostęp tylko do określonych portów, do których podłączona jest brama domyślna, serwer kopii zapasowych lub Cisco LocalDirector.

Jeśli PVLAN obejmuje wiele przełączników, łącza VLAN między przełącznikami powinny być standardowymi portami VLAN .

Możesz rozszerzyć PVLAN między przełączniki za pomocą magistrali. Porty trunkingowe przenoszą ruch ze zwykłych sieci VLAN, a także z podstawowych, izolowanych i społecznościowych sieci VLAN. Cisco zaleca stosowanie standardowych portów trunkingowych, jeśli oba przełączniki podlegające trunkingowi obsługują sieci PVLAN.

Jeśli jesteś użytkownikiem Cisco, możesz użyć tej macierzy, aby sprawdzić, czy Twoje przełączniki obsługują potrzebne opcje.

sdkks
źródło
1
izolowane sieci vlan również będą działać i będą przyjazne dla wielu przełączników
Sirex
@Sirex z powodu trunkingu i przekazywania vlan?
sdkks
1
tak. jak rozumiem, tak różnią się oba rozwiązania.
Sirex,
@Sirex Dodałem twoją sugestię ulepszenia
sdkks
dla przypomnienia istnieje również funkcja o nazwie MTU VLAN (Multi-Tenant Unit VLAN) w inteligentnych seriach TP-Link, która sprawia, że ​​każdy port w oddzielnej sieci VLAN z łączem w górę.
fsacer
11

Możesz to zrobić, jeśli zrobisz coś tak okropnego, jak 1 podsieć na klienta. To byłby koszmar zarządzania.

Pomoże w tym Zapora systemu Windows z odpowiednimi zasadami. Możesz zrobić coś takiego jak Domain Isolation, ale jeszcze bardziej restrykcyjne. Możesz egzekwować reguły na jednostkę organizacyjną, z serwerami w jednej jednostce organizacyjnej, a stacjami roboczymi w innej. Aby to uprościć, należy również upewnić się, że drukarki (i serwery) nie znajdują się w tej samej podsieci co stacje robocze.

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

W przypadku drukarek sieciowych - możesz to uczynić jeszcze łatwiejszym, jeśli nie zezwalasz na drukowanie bezpośrednie, ale hostujesz drukarki jako współdzielone kolejki z serwera wydruku. To był dobry pomysł od dłuższego czasu z wielu powodów.

Czy mogę zapytać, jaki jest faktyczny cel biznesowy tego? Czy ma to pomóc w zapobieganiu epidemiom złośliwego oprogramowania? Pamiętając o dużym obrazie / linii mety, pomagasz zdefiniować wymagania, więc to zawsze powinno być częścią twojego pytania.

mfinni
źródło
Domyślam się, że ma to na celu ochronę przed atakami typu exploit wannacry.
sdkks
3
Jasne, to też było moje przypuszczenie, ale lubię przypominające pytającym o ten aspekt zadawania pytań.
mfinni
Tak, tutaj celem jest ograniczenie rozprzestrzeniania się epidemii złośliwego oprogramowania.
taiwie
Tak długo, jak nie ma urządzenia BYOD, które nie jest członkiem domeny, to rozwiązanie będzie zerowe koszty dla OP. (Zakładając, że wszystkie komputery mają system Windows)
sdkks
-3

Jeśli możesz powiązać każdą stację roboczą z określonym użytkownikiem, możesz zezwolić tylko temu użytkownikowi na dostęp do tej stacji roboczej.

Jest to ustawienie zasad domeny: lokalne logowanie.

Nie uniemożliwia to użytkownikowi przejścia do najbliższej stacji roboczej i wprowadzenia hasła w celu uzyskania dostępu do wyznaczonej maszyny, ale jest to łatwe do wykrycia.

Dotyczy to również usług związanych z systemem Windows, więc serwer WWW na komputerach byłby nadal dostępny.

Paolo
źródło
1
Nie zapobiega również przenoszeniu złośliwego oprogramowania, które wykorzystuje niezałatane exploity między stacjami roboczymi.
mfinni
@mfinni Sure. Niestety op nie określił, czy wymaganie jest rzeczywiste (kierownik ds. Technicznych Savy), czy menedżer pytający o modne słowa. Ważny jest również cel: dla prawdziwej ochrony przed zagrożeniami, o których wspominasz, wymagane jest rozwiązanie niskiego poziomu, jak stwierdzono w innych odpowiedziach. A jeśli hosty komunikują się z serwerami, nadal nie ma ochrony przed rozprzestrzenianiem się złośliwego oprogramowania ...
Paolo