Ich verwalte als Freiwilliger das Netzwerk für unsere (sehr!) kleine Kirche. Derzeit ist alles auf einem einzigen /24 IPv4-Subnetz eingerichtet. Ich möchte diese zur Erhöhung der Sicherheit in VLANs aufteilen und gleichzeitig IPv6 implementieren.
Unsere Hardware besteht aus einem MikroTik-Router in Handelsqualität (hinter einem AT&T-Gateway mit 5 statischen WAN-IPs), einem gebrauchten Netvanta 1534P PoE-Switch (plus einem Unifi PoE-Switch in einiger Entfernung) und einigen Unifi-WLAN-Zugangspunkten mit Unifi-Controller, der auf einem Raspberry Pi läuft. Wir haben ein Synology NAS, das mit dem Internet verbunden ist und als unser E-Mail-Server und Master-DNS-Server dient. Benutzer sind zwei Windows-PCs an sicheren Standorten (Büros), zwei weitere PCs an ungesicherten Standorten (Tonkabine) und Gastbenutzer in unserem WLAN-Gastzugang. Wir haben auch Überwachungskameras, ein paar IoT-Geräte (Thermostate) und VoIP-Telefone. Fast alles ist über Cat 5e-Kabel mit einem ziemlich sicheren Serverschrank verbunden.
Ich habe die folgenden Geräteklassen identifiziert und die Zugriffsrechte angegeben, die sie meiner Meinung nach haben sollten. Ich bitte um Ratschläge zur Implementierung dieses Setups oder um Empfehlungen zur Verbesserung:
- Geräte mit direktem Zugriff vom WAN: E-Mail, DNS und Webserver. Auch Videostation und ähnliches auf dem NAS. Dieses Subnetz sollte nicht auf andere LAN-Subnetze zugreifen können.
- Steuerungs- und Verwaltungsgeräte: Verwaltungsports für Switches, Router, Unifi-Controller und ähnliche Geräte. Der Zugriff sollte von gesicherten PCs aus möglich sein, aber nicht vom WAN aus (es sei denn, ich implementiere zu einem späteren Zeitpunkt ein VPN ... Daumen drücken).
- Geräte zur Dateifreigabe: Alle PCs, Netzwerkdrucker und das NAS (es verfügt über 2 LAN-Ports, die getrennt werden können). Dateien und Zugriff sollten nach Bedarf freigegeben werden können.
- Gesicherte PCs: Sollten auf jedes Gerät im LAN zugreifen können.
- Ungesicherte PCs: Sollten auf das NAS sowie Drucker etc. zugreifen können, jedoch nicht auf Kontroll- und Verwaltungsgeräte.
- IoT-Geräte: Sollten nur Zugriff auf das WAN haben und keinen anderen Netzwerkverkehr sehen.
- Gastbenutzer von WLAN: Sollten nur Zugriff auf WAN haben; jeglicher Zugriff auf NAS erfolgt über den WAN-zugänglichen Port.
- VoIP-Telefone: Sollten über ein eigenes Subnetz verfügen.
- Überwachungskameras: Sollten nur den lokalen Port des NAS sehen können, das als unser Kamera-Controller und -Recorder fungiert. Ich möchte nicht, dass sie jede Nacht nach Hause nach China telefonieren.
Ich bin keineswegs ein Profi; ich lerne durchs Tun. (Die Kirche ist mein Trainingslabor!) Ich würde gerne wissen, wie ich so viel Schutz wie möglich bieten kann, insbesondere bei der Implementierung von IPv6 ... es gibt viele Leute, die gerne eine Kirche hacken würden (ich könnte Ihnen die Protokolle meines Mailservers zeigen ...). Jede hilfreiche Information ist willkommen.
Antwort1
Diese Bestandsaufnahme Ihres Bestands ist ein ausgezeichneter Anfang. Dokumentieren Sie diese und sichern Sie alle Konfigurationen.
Anstatt zu versuchen, die maximale Netzwerkisolation durchzusetzen, denken Sie ein wenig über Risikomanagement und Lösungen nach, die Sie verwalten können. Nur weil Sie 9 Gerätemodelle haben, heißt das nicht, dass 9 VLANs sinnvoll sind.
Wäre schlimm, wenn jemand vertrauliche Dokumente vom Tonkabinen-PC mitnehmen würde. Erwägen Sie also, die AV-Dateifreigaben von anderen Dokumenten zu trennen und nur Mediendateien mit der Tonkabine zu teilen. Und lassen Sie die Ton-PCs automatisch sperren, wenn sie inaktiv sind. Könnte immer noch im selben VLAN sein und vielleicht einigermaßen sicher.
Gast-WLAN ist schwer zu verteidigen. Unbekannte drahtlose Geräte können nicht von einem Freiwilligen überwacht werden. Da kein Grund besteht, auf das LAN zuzugreifen, ist der Gastzugriff ein häufiger Anwendungsfall für ein reines Internetnetzwerk.
Überwachungskameras sind empfindlich und eine rein lokale Lösung benötigt keine Internetverbindung. Aber wie schlimm wäre es wirklich, eine Internetverbindung herzustellen? Ist bekannt, dass das Kameramodell Diagnosen anruft? Behebt der Anbieter Sicherheitsprobleme?
Dieses NAS ist Teil von allem, einschließlich des nach außen gerichteten Netzwerks. Mit zwei Ports wird das externe Netz (Webserver, DNS) vom LAN (Dateifreigabe) getrennt. Finden Sie heraus, ob das NAS VLAN-fähig ist. Wenn ja, ist es für das NAS einfacher, Teil von mehr als 2 VLANs zu sein. Dies ist ein Bereich, in dem „VLAN für alles“ plus „NAS, das alles macht“ das Design verkomplizieren könnten.
Entscheiden Sie, wie Sie das Verwaltungsnetzwerk einrichten möchten. Ein kleiner, nicht verwalteter Switch, der an jeden Verwaltungsanschluss angeschlossen ist, wäre zwar praktisch, aber nicht erforderlich. Die physische Isolierung zwingt einen potenziellen Angreifer dazu, sich in den Serverschrank einzuklinken. Der Hauptgrund für den Out-of-Band-Einsatz ist jedoch der zuverlässige Zugriff auf die Steuerung der Geräte.
Verstehen Sie den gesamten Datenverkehr zwischen diesen vorgeschlagenen Sicherheitszonen. Setzen Sie eine Firewall in den Zulassungsmodus und lesen Sie die Protokolle.
Erstellen Sie ein Testlabor, das Ihren aktuellen Stand darstellt. Es kann virtuell sein, mit VMs, die jeden Gerätetyp simulieren. Dasselbe Betriebssystem wie auf Ihrer Hardware wäre schön, aber nicht erforderlich, um die Prinzipien zu erlernen.
Erstellen Sie einen Adressplan. Eine Handvoll Subnetze passen problemlos in ein /56 oder /48, das Ihnen Ihr ISP möglicherweise zuweist. Für jede v4-Neunummerierung wäre ebenfalls ein Plan erforderlich. Denken Sie daran, Ihre Testnetze zuzuweisen.
Erstellen Sie Firewall-Regeln, um die gewünschte Richtlinie umzusetzen. Verweigern Sie Gästen den Zugriff auf das LAN, erlauben Sie File-Sharing im Büro über das LAN und lassen Sie das Web vom Internet ins Extranet zu. Hier wird deutlich, dass Firewalls der Version 6 keine Portweiterleitung bieten, da sie kein NAT benötigen.
Erstellen Sie einen Übergangsplan. Vielleicht können Sie das Gast-WLAN jederzeit ändern, müssen aber einen Zeitpunkt wählen, an dem keine Benutzer online sind, um den Rest zu installieren. Testen Sie zuerst!
Und vergessen Sie nicht, dass ein sicheres Netzwerk nicht nur aus VLANs und Firewalls besteht. Die Grundlagen der Host- und Benutzersicherheit sind sehr leistungsfähig. Aktualisieren Sie PCs und konfigurieren Sie eine mehrstufige Authentifizierung für die Apps der Benutzer.