Puncte:1

Sfaturi pentru gestionarea mixurilor de PC sigure și nesigure

drapel cn

Există două clădiri conectate printr-o fibră optică, fiecare cu 3-10 PC-uri, dar într-un mix de PC-uri folosite în context de afaceri și unele în case. Din păcate, când rețeaua a fost proiectată cu ani în urmă, nimeni nu a luat măsuri pentru a menține cele două medii separate.

Clădirea A
Există servere, imprimante, PC-uri de lucru, PC-uri pentru oaspeți, smartphone-uri personale.
Aici este și singura conexiune la Internet folosit de ambele clădiri.
S-a rezolvat cu un firewall (pfsense) care separă LAN-ul de birou și un segment de rețea cu un punct de acces diferit pentru smartphone-uri și PC-uri pentru oaspeți. Există două DHCP-uri pentru a menține cele două rețele separate.
Aș dori ca oaspeții să poată folosi imprimantele funcționale pe LAN și nu știu dacă o regulă în firewall va fi suficientă.

Cladirea B
Și aici există imprimante, computere de lucru, smartphone-uri și computere pentru oaspeți.
Aici sunt și case cu PC-uri personale, xBox-uri, SmartTV-uri etc.
Este utilizat doar DHCP-ul rețelei LAN din clădirea A
Deci cu mai multe probleme de securitate și de aceea trebuie să separ cele trei medii (lucrări, oaspeți și case) fără a modifica cablarea rețelei.
Nu stiu daca este suficient sa creezi VLAN-uri, in orice caz sa te conectezi la internet sau la serverele din Clădirea A traficul trebuie să treacă mereu prin fibra unică.
De asemenea, trebuie avut în vedere că nu avem posibilități de administrare în case. Există un punct de rețea, dar nu știm cum va fi folosit; prin urmare verificarea trebuie să aibă loc în amonte de punctul de reţea.
Aici, totuși, aș putea monta un al doilea firewall pfsense.

Multumesc anticipat pentru orice sfat.

djdomi avatar
drapel za
Vlan-urile sunt un punct de plecare bun și, în opinia mea, un început bun, în special atunci când imprimanta ar trebui să fie utilizată din ambele părți
anx avatar
drapel fr
anx
Aceasta poate fi mai mult o [securitate](https://security.stackexchange.com/help/on-topic) decât o problemă de gestionare a sistemului - În orice caz, trebuie să specificați mai clar *obiectivele* muncii dvs. de rearhitecturare - trebuie doar să vă asigurați că dispozitivele neadministrate vă pot satura mai puțin ușor legătura (fiabilitatea)? Sau bănuiți că unele PC-uri de lucru sunt configurate într-o manieră în care obțin încredere din topologia rețelei neîncrezătoare (atunci ar trebui să fie rezolvată mai întâi, cu măsurile de limitare a capacității mașinilor nesigure de a trimite trafic falsificat fiind strict secundare).
Dark Corner avatar
drapel cn
După cum am spus, nu am control asupra PC-urilor personale și smartphone-urilor. În clădirea A pot limita accesul printr-un punct de acces dedicat. Dar în clădirea B nu am niciun control și, prin urmare, nu pot ști dacă, la el acasă, un angajat de pe PC-ul personal descarcă un fișier cu un virus sau dacă fiul său încearcă să intre în NAS-ul corporativ folosind parola tatălui său. Pare ridicol să vorbesc despre asta, dar astăzi aceasta este configurația rețelei și mai întâi trebuie să segmentez rețeaua fizică, astfel încât doar accesul la internet să fie gratuit și totul să fie limitat în acel segment de rețea.
Puncte:2
drapel in

Voi presupune că toate PC-urile și imprimantele sunt conectate la comutatoare gestionate care sunt capabile de VLAN. Dacă nu este cazul, nu poți face nimic până nu schimbi asta.

La fiecare site, creați trei VLAN-uri: Work, Home și Guest. Conectați cele 3 VLAN-uri prin legătura de fibră și către firewall, astfel încât firewall-ul să fie gateway-ul implicit pentru fiecare VLAN.

Apoi, puteți aloca fiecare port VLAN-ului corect, în funcție de tipul de dispozitiv de pe acel port.

Acum puteți crea politici pe firewall pentru a izola fiecare VLAN. Pentru început, vă sugerez să permiteți tuturor VLAN-urilor să ajungă la Internet, dar nu permiteți dispozitivelor dintr-un VLAN să ajungă la altul. În acest fel, puteți păstra dispozitivele de acasă și cele de afaceri separate.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.