Administro la red para nuestra (¡muy!) pequeña iglesia como voluntaria. Actualmente todo está configurado en una única subred IPv4 /24. Quiero dividirlos en VLAN para mayor seguridad y también implementar IPv6 al mismo tiempo.
Nuestro hardware es un enrutador MikroTik de calidad comercial (detrás de una puerta de enlace de AT&T con 5 IP WAN estáticas), un conmutador PoE Netvanta 1534P de segunda mano (más un conmutador PoE Unifi a cierta distancia) y algunos puntos de acceso Wi-Fi Unifi con el controlador Unifi en ejecución. en una frambuesa Pi. Tenemos un Synology NAS que está expuesto a Internet y que sirve como servidor de correo electrónico y servidor DNS maestro. Los usuarios son dos PC con Windows en ubicaciones seguras (oficinas), dos PC más en ubicaciones no seguras (cabina de sonido) y usuarios invitados en nuestro acceso Wi-Fi para invitados. También contamos con cámaras de seguridad, algunos dispositivos IoT (termostatos) y teléfonos VoIP. Casi todo está conectado a un cableado Cat 5e a un armario de servidores bastante seguro.
He identificado las siguientes clases de dispositivos, junto con el acceso que creo que deberían tener. Estoy pidiendo consejos sobre cómo implementar esta configuración o recomendaciones para mejorarla:
- Dispositivos con acceso directo desde WAN: Correo electrónico, DNS y servidor web. También Estación de vídeo y similares en el NAS. Esta subred no debería poder acceder a otras subredes LAN.
- Dispositivos de control y gestión: Puertos de gestión para conmutadores, enrutadores, controlador Unifi y dispositivos similares. Se debería poder acceder desde PC seguras, pero no desde WAN (a menos que en una fecha posterior implemente una VPN... crucemos los dedos).
- Dispositivos para compartir archivos: todas las PC, impresoras en red y el NAS (tiene 2 puertos LAN que se pueden segregar). Debería poder compartir archivos y acceder según sea necesario.
- PC seguras: deberían poder acceder a cualquier dispositivo en la LAN.
- PC no seguras: deberían poder acceder al NAS, así como a las impresoras, etc., pero no deberían poder acceder a los dispositivos de control y administración.
- Dispositivos IoT: deben tener acceso únicamente a WAN; no debería ver ningún otro tráfico de red.
- Usuarios invitados de Wi-Fi: deben tener acceso únicamente a WAN; cualquier acceso al NAS sería a través del puerto accesible WAN.
- Teléfonos VoIP: Deben tener su propia subred.
- Cámaras de seguridad: solo deberían poder ver el puerto local del NAS, que actúa como nuestro controlador de cámara y grabadora. No quiero que llamen a China todas las noches.
No soy un profesional de ninguna manera; Estoy aprendiendo haciendo. (¡La iglesia es mi laboratorio de capacitación!) Me gustaría saber cómo brindar la mayor protección posible, especialmente en la implementación de IPv6... hay muchas personas a las que les gustaría hackear una iglesia (podría mostrarles mi registros del servidor de correo...). Cualquier información útil será apreciada.
Respuesta1
Este inventario de lo que tienes es un excelente comienzo. Documente eso y haga una copia de seguridad de todas las configuraciones.
En lugar de intentar imponer el máximo aislamiento de la red, piense un poco en la gestión de riesgos y las soluciones que puede mantener. El hecho de que tenga 9 modelos de dispositivo no significa que 9 VLAN tenga sentido.
Sería malo que alguien sacara de la cabina de sonido documentos confidenciales de la PC. Por lo tanto, considere separar los archivos compartidos AV de otros documentos y solo comparta archivos multimedia con la cabina de sonido. Y haga que las PC con sonido se bloqueen automáticamente cuando estén inactivas. Todavía podría estar en la misma VLAN y tal vez sea razonablemente seguro.
El Wi-Fi para invitados es complicado de defender. Un voluntario no puede supervisar los dispositivos inalámbricos desconocidos. Sin ningún motivo para acceder a la LAN, el acceso de invitados es un caso de uso común para una red únicamente de Internet.
Las cámaras de seguridad serían sensibles y una solución únicamente local no necesita conectarse a Internet. Pero, ¿qué tan malo sería realmente conectarse a Internet? ¿Se sabe que el modelo de cámara llama a casa con diagnóstico? ¿El proveedor soluciona los problemas de seguridad?
Ese NAS es parte de todo, incluida la red externa. Con dos puertos, una separación es la red externa (servidor web, DNS) de la LAN (intercambio de archivos). Descubra si el NAS reconoce VLAN. Si es así, eso facilita que el NAS forme parte de más de 2 VLAN. Esta es un área donde "VLAN para todo" más "NAS que hace todo" podrían complicar el diseño.
Decidir cómo hacer la gestión de la red. Un pequeño conmutador no administrado conectado a cada puerto de administración puede ser bueno, pero no es necesario. El aislamiento físico obliga al posible atacante a conectarse al armario del servidor. Aunque la razón principal para salir de banda es el acceso confiable al control del equipo.
Comprenda todo el tráfico entre estas zonas de seguridad propuestas. Coloque un firewall en modo permitido y lea los registros.
Crea un laboratorio de pruebas que represente lo que tienes ahora. Puede ser virtual, con máquinas virtuales que simulen cada tipo de dispositivo. Sería bueno tener el mismo sistema operativo que en su hardware, pero no es necesario aprender los principios.
Crea un plan de direcciones. Un puñado de subredes caben fácilmente en un /56 o /48 que su ISP le puede haber delegado. Cualquier renumeración de v4 también necesitaría un plan. Recuerde asignar sus redes de prueba.
Cree reglas de firewall para implementar la política deseada. Denegar invitados a la LAN, permitir el intercambio de archivos de la oficina a la LAN, permitir la conexión web desde Internet a la extranet. Aquí resultará evidente que los firewalls v6 no reenvían puertos, ya que no necesitan NAT.
Crea un plan de transición. Quizás puedas modificar el Wi-Fi para invitados en cualquier momento, pero debes elegir un momento en el que no haya usuarios para instalar el resto. ¡Prueba primero!
Y no olvide que una red segura no se compone solo de VLAN y firewalls. Los conceptos básicos de seguridad del host y del usuario son muy poderosos. Actualice las PC y configure la autenticación de múltiples factores para las aplicaciones de los usuarios.