私はボランティアとして、私たちの (非常に) 小さな教会のネットワークを管理しています。現在、すべてが単一の /24 IPv4 サブネット上にセットアップされています。セキュリティを強化するために、これらを VLAN に分割し、同時に IPv6 も実装したいと考えています。
私たちのハードウェアは、MikroTik の商用グレード ルーター (5 つの静的 WAN IP を持つ AT&T ゲートウェイの背後)、中古の Netvanta 1534P PoE スイッチ (および少し離れた場所にある Unifi PoE スイッチ)、および Raspberry Pi で実行される Unifi コントローラーを備えたいくつかの Unifi Wi-fi アクセス ポイントです。インターネットに公開され、電子メール サーバーおよびマスター DNS サーバーとして機能する Synology NAS があります。ユーザーは、安全な場所 (オフィス) にある 2 台の Windows PC、安全でない場所 (サウンド ブース) にある 2 台の PC、およびゲスト アクセス Wi-Fi のゲスト ユーザーです。また、セキュリティ カメラ、いくつかの IoT デバイス (サーモスタット)、および VoIP 電話もあります。ほとんどすべてのものが、かなり安全なサーバー クローゼットに有線 Cat 5e ケーブルで接続されています。
私は、次のクラスのデバイスと、それらにどのようなアクセス権が必要かを特定しました。この設定を実装する方法、または改善するための推奨事項についてアドバイスを求めています。
- WAN から直接アクセスできるデバイス: 電子メール、DNS、Web サーバー。また、NAS 上のビデオ ステーションなど。このサブネットは他の LAN サブネットにアクセスできないようにする必要があります。
- 制御および管理デバイス: スイッチ、ルーター、Unifi コントローラー、および同様のデバイスの管理ポート。セキュリティ保護された PC からはアクセスできる必要がありますが、WAN からはアクセスできません (後日 VPN を実装しない限り...うまくいくことを祈ります)。
- ファイル共有デバイス: すべての PC、ネットワーク プリンター、NAS (分離可能な 2 つの LAN ポートがあります)。必要に応じてファイルを共有し、アクセスできる必要があります。
- セキュリティ保護された PC: LAN 上のあらゆるデバイスにアクセスできる必要があります。
- セキュリティ保護されていない PC: NAS やプリンターなどにアクセスできる必要がありますが、制御および管理デバイスにはアクセスできません。
- IoT デバイス: WAN にのみアクセスでき、他のネットワーク トラフィックは表示されません。
- ゲスト Wi-Fi ユーザー: WAN にのみアクセスできます。NAS へのアクセスは、WAN アクセス可能なポートを介して行われます。
- VoIP 電話: 独自のサブネットが必要です。
- セキュリティ カメラ: カメラ コントローラーおよびレコーダーとして機能する NAS のローカル ポートのみを表示できるようにする必要があります。カメラが毎晩中国の自宅に電話をかけるのは望ましくありません。
私は決してプロではありません。実践しながら学んでいます。(教会は私のトレーニング ラボです!) 特に IPv6 の実装において、できるだけ多くの保護を提供する方法を知りたいです。教会をハッキングしたい人はたくさんいます (メール サーバーのログをお見せできます...)。役に立つ情報があれば、ぜひ教えてください。
答え1
所有しているものの一覧は、素晴らしいスタートになります。それを文書化し、すべての構成をバックアップします。
最大限のネットワーク分離を強制するのではなく、リスク管理と維持できるソリューションについて少し考えてください。デバイスのモデルが 9 つあるからといって、9 つの VLAN が意味をなすわけではありません。
誰かがサウンド ブースの PC から機密文書を持ち出したら大変です。したがって、AV ファイル共有を他の文書から分離し、メディア ファイルをサウンド ブースとのみ共有することを検討してください。また、サウンド PC がアイドル状態のときに自動的にロックされるようにします。同じ VLAN 上にあっても、おそらく十分に安全です。
ゲスト Wi-Fi の防御は難しいです。不明なワイヤレス デバイスはボランティアでは監視できません。LAN にアクセスする理由がないため、ゲスト アクセスはインターネットのみのネットワークの一般的な使用例です。
セキュリティ カメラは機密性が高く、ローカルのみのソリューションではインターネットに接続する必要はありません。しかし、インターネットに接続すると実際にどれほど悪影響があるでしょうか。カメラ モデルは診断情報を送信することが知られていますか。ベンダーはセキュリティの問題にパッチを適用していますか。
その NAS は、外部向けネットワークを含むすべてのものの一部です。2 つのポートでは、外部ネット (Web サーバー、DNS) と LAN (ファイル共有) が分離されています。NAS が VLAN 対応かどうかを確認します。対応している場合は、NAS を 2 つ以上の VLAN の一部にすることが容易になります。これは、「VLAN のすべて」と「すべてを実行する NAS」の組み合わせによって設計が複雑になる可能性がある領域の 1 つです。
管理ネットワークをどのように行うかを決定します。各管理ポートに有線接続された小さな非管理スイッチは便利ですが、必須ではありません。物理的に分離すると、攻撃者はサーバー クローゼットに侵入せざるを得なくなります。ただし、帯域外にする主な理由は、機器の制御に確実にアクセスできるようにするためです。
提案されたセキュリティ ゾーン間のすべてのトラフィックを把握します。ファイアウォールを許可モードにして、ログを読み取ります。
現在お持ちのものを表すテスト ラボを作成します。VM で各タイプのデバイスをシミュレートして、仮想化できます。ハードウェアと同じ OS が望ましいですが、原則を学習する必要はありません。
アドレス プランを作成します。ISP から委任された /56 または /48 には、いくつかのサブネットが簡単に収まります。v4 の再番号付けにもプランが必要です。テスト ネットの割り当てを忘れないようにしてください。
ファイアウォール ルールを作成して、必要なポリシーを実装します。LAN へのゲストのアクセスを拒否し、LAN へのオフィスのファイル共有を許可し、インターネットからエクストラネットへの Web アクセスを許可します。ここで、v6 ファイアウォールは NAT を必要としないため、ポート転送ではないことがわかります。
移行プランを作成します。ゲスト Wi-Fi はいつでも変更できますが、残りのインストールはユーザーがいない時間を選ぶ必要があります。まずはテストしてください。
また、安全なネットワークは VLAN とファイアウォールだけではないことを忘れないでください。ホストとユーザーのセキュリティの基本は非常に強力です。PC を更新し、ユーザーのアプリに多要素認証を構成します。