저는 (아주!) 작은 교회의 네트워킹을 자원봉사자로 관리하고 있습니다. 현재 모든 것이 단일 /24 IPv4 서브넷에 설정되어 있습니다. 보안 강화를 위해 이를 VLAN으로 분리하고 동시에 IPv6도 구현하고 싶습니다.
우리의 하드웨어는 MikroTik 상용 등급 라우터(고정 WAN IP 5개가 있는 AT&T 게이트웨이 뒤), 중고 Netvanta 1534P PoE 스위치(그리고 약간 떨어진 곳에 있는 Unifi PoE 스위치), 그리고 Unifi 컨트롤러가 실행되는 일부 Unifi Wi-Fi 액세스 포인트입니다. 라즈베리 파이에서. 우리는 인터넷에 노출되어 이메일 서버와 마스터 DNS 서버 역할을 하는 Synology NAS를 보유하고 있습니다. 사용자는 보안 위치(사무실)에 있는 두 대의 Windows PC, 보안되지 않은 위치(사운드 부스)에 있는 추가 PC 두 대, 게스트 액세스 Wi-Fi를 사용하는 게스트 사용자입니다. 또한 보안 카메라, 몇 가지 IoT 장치(온도 조절 장치) 및 VoIP 전화도 있습니다. 대부분의 모든 것은 상당히 안전한 서버실에 연결된 유선 Cat 5e 케이블을 통해 이루어집니다.
나는 다음과 같은 종류의 장치와 그들이 가져야 한다고 생각하는 액세스 권한을 확인했습니다. 이 설정을 구현하는 방법이나 이를 개선하기 위한 권장 사항에 대한 조언을 구하고 있습니다.
- WAN에서 직접 액세스할 수 있는 장치: 이메일, DNS 및 웹 서버. 또한 NAS의 비디오 스테이션 및 이와 유사한 것. 이 서브넷은 다른 LAN 서브넷에 액세스할 수 없어야 합니다.
- 제어 및 관리 장치: 스위치, 라우터, Unifi 컨트롤러 및 유사한 장치를 위한 관리 포트입니다. 보안된 PC에서는 액세스할 수 있어야 하지만 WAN에서는 액세스할 수 없습니다(나중에 VPN을 구현하지 않는 한... 손가락이 교차합니다).
- 파일 공유 장치: 모든 PC, 네트워크로 연결된 프린터 및 NAS(분리 가능한 2개의 LAN 포트가 있음) 필요에 따라 파일을 공유하고 액세스할 수 있어야 합니다.
- 보안된 PC: LAN에 있는 모든 장치에 액세스할 수 있어야 합니다.
- 보안되지 않은 PC: NAS는 물론 프린터 등에 액세스할 수 있어야 하지만 제어 및 관리 장치에는 액세스할 수 없어야 합니다.
- IoT 장치: WAN에만 액세스할 수 있어야 합니다. 다른 네트워크 트래픽이 표시되어서는 안 됩니다.
- 게스트 Wi-Fi 사용자: WAN에만 액세스할 수 있어야 합니다. NAS에 대한 모든 액세스는 WAN 액세스 가능 포트를 통해 이루어집니다.
- VoIP 전화: 자체 서브넷이 있어야 합니다.
- 보안 카메라: 카메라 컨트롤러 및 레코더 역할을 하는 NAS의 로컬 포트만 볼 수 있어야 합니다. 나는 그들이 매일 밤 중국으로 집에 전화하는 것을 원하지 않습니다.
나는 결코 전문가가 아닙니다. 나는 하면서 배우고 있다. (교회는 나의 훈련실입니다!) 특히 IPv6 구현에서 최대한의 보호를 제공하는 방법을 알고 싶습니다. 교회를 해킹하려는 사람들이 많습니다. 메일 서버 로그...). 도움이 되는 정보를 주시면 감사하겠습니다.
답변1
당신이 가지고 있는 것의 목록은 훌륭한 시작입니다. 이를 문서화하고 모든 구성을 백업하십시오.
최대 네트워크 격리를 적용하려고 하기보다는 위험 관리와 유지 관리할 수 있는 솔루션에 대해 생각해 보십시오. 9개의 장치 모델이 있다고 해서 9개의 VLAN이 의미가 있는 것은 아닙니다.
누군가가 사운드 부스에서 PC의 민감한 문서를 가져간다면 좋지 않을 것입니다. 따라서 AV 파일 공유를 다른 문서와 분리하고 미디어 파일만 사운드 부스와 공유하는 것을 고려하십시오. 그리고 유휴 상태일 때 사운드 PC가 자동으로 잠기도록 하세요. 여전히 동일한 VLAN에 있을 수 있으며 합리적으로 안전할 수도 있습니다.
게스트 Wi-Fi는 방어하기 까다롭습니다. 알 수 없는 무선 장치는 자원봉사자가 감독할 수 없습니다. LAN에 액세스할 이유가 없는 게스트 액세스는 인터넷 전용 네트워크의 일반적인 사용 사례입니다.
보안 카메라는 민감하며 로컬 전용 솔루션은 인터넷에 연결할 필요가 없습니다. 하지만 인터넷에 연결하는 것이 실제로 얼마나 나쁠까요? 진단을 통해 집에 전화할 수 있는 카메라 모델이 있습니까? 공급업체가 보안 문제를 패치합니까?
해당 NAS는 외부 연결 네트워크를 포함하여 모든 것의 일부입니다. 두 개의 포트를 사용하면 LAN(파일 공유)에서 외부 네트워크(웹 서버, DNS)를 분리할 수 있습니다. NAS가 VLAN을 인식하는지 알아보세요. 그렇다면 NAS가 2개 이상의 VLAN에 속하기가 더 쉬워집니다. 이는 "모든 기능을 제공하는 VLAN"과 "모든 기능을 수행하는 NAS"로 인해 설계가 복잡해질 수 있는 영역입니다.
관리 네트워크를 수행하는 방법을 결정합니다. 각 관리 포트에 연결된 작은 비관리형 스위치가 있으면 좋지만 필수는 아닙니다. 물리적으로 격리하면 잠재적 공격자가 서버실에 접속하게 됩니다. 대역 외로 전환하는 주된 이유는 장비 제어에 대한 안정적인 액세스 때문입니다.
제안된 보안 영역 간의 모든 트래픽을 이해합니다. 방화벽을 허용 모드로 설정하고 로그를 읽습니다.
현재 가지고 있는 것을 나타내는 테스트 랩을 만듭니다. 각 유형의 장치를 시뮬레이션하는 VM을 사용하여 가상일 수 있습니다. 하드웨어와 동일한 OS가 있으면 좋지만 원리를 배울 필요는 없습니다.
주소 계획을 만듭니다. 소수의 서브넷은 ISP에서 위임할 수 있는 /56 또는 /48에 쉽게 맞습니다. v4 번호 다시 매기기에도 계획이 필요합니다. 테스트 넷을 할당하는 것을 잊지 마십시오.
원하는 정책을 구현하려면 방화벽 규칙을 만드세요. LAN에 대한 게스트 거부, LAN에 대한 파일 공유 사무실 허용, 인터넷에서 엑스트라넷으로의 웹 허용. 여기서 v6 방화벽은 NAT가 필요하지 않으므로 포트 전달이 아니라는 것이 분명해집니다.
전환 계획을 수립합니다. 게스트 Wi-Fi는 언제든지 변경할 수 있지만, 나머지를 설치하려면 사용자가 없는 시간을 선택해야 합니다. 먼저 테스트해보세요!
그리고 보안 네트워크는 단순한 VLAN과 방화벽이 아니라는 점을 잊지 마십시오. 호스트 및 사용자 보안 기본 사항은 매우 강력합니다. PC를 업데이트하고 사용자 앱에 대한 다중 요소 인증을 구성하세요.