Eu administro o networking da nossa (muito!) Pequena igreja como voluntária. Atualmente tudo está configurado em uma única sub-rede /24 IPv4. Estou querendo dividi-los em VLANs para aumentar a segurança e também implementar o IPv6 ao mesmo tempo.
Nosso hardware é um roteador MikroTik de nível comercial (atrás de um gateway AT&T com 5 IPs WAN estáticos), um switch Netvanta 1534P PoE de segunda mão (mais um switch Unifi PoE a alguma distância) e alguns pontos de acesso Unifi Wi-fi com Unifi Controller em execução em um Raspberry Pi. Temos um Synology NAS que está exposto à Internet e que serve como nosso servidor de e-mail e servidor DNS mestre. Os usuários são dois PCs com Windows em locais seguros (escritórios), mais dois PCs em locais não seguros (cabine de som) e usuários convidados em nosso Wi-fi com acesso para convidados. Também temos câmeras de segurança, alguns dispositivos IoT (termostatos) e telefones VoIP. Quase tudo está em cabeamento Cat 5e com fio para um armário de servidor bastante seguro.
Identifiquei as seguintes classes de dispositivos, juntamente com o acesso que acho que eles deveriam ter. Estou pedindo conselhos sobre como implementar essa configuração ou recomendações para melhorá-la:
- Dispositivos com acesso direto da WAN: Email, DNS e servidor Web. Também estação de vídeo e similares no NAS. Esta sub-rede não deve poder acessar outras sub-redes da LAN.
- Dispositivos de controle e gerenciamento: Portas de gerenciamento para switches, roteadores, controlador Unifi e dispositivos similares. Deve poder ser acessado de PCs seguros, mas não de WAN (a menos que em algum momento posterior eu implemente uma VPN...dedos cruzados).
- Dispositivos de compartilhamento de arquivos: Todos os PCs, impressoras em rede e NAS (possui 2 portas LAN que podem ser segregadas). Deve ser capaz de compartilhar arquivos e acessá-los conforme necessário.
- PCs protegidos: Devem poder acessar qualquer dispositivo na LAN.
- PCs não protegidos: Devem poder acessar o NAS, bem como impressoras, etc., mas não devem poder acessar dispositivos de controle e gerenciamento.
- Dispositivos IoT: Devem ter acesso apenas à WAN; não deve ver nenhum outro tráfego de rede.
- Usuários convidados de Wi-fi: devem ter acesso apenas à WAN; qualquer acesso ao NAS seria através da porta acessível pela WAN.
- Telefones VoIP: devem ter sua própria sub-rede.
- Câmeras de segurança: só devem conseguir ver a porta local do NAS, que atua como nosso controlador e gravador de câmera. Não quero que eles liguem para casa, na China, todas as noites.
Não sou um profissional de forma alguma; Estou aprendendo fazendo. (A igreja é meu laboratório de treinamento!) Gostaria de saber como dar o máximo de proteção possível, principalmente na implementação do IPv6...há muitas pessoas que gostariam de hackear uma igreja (eu poderia mostrar meu logs do servidor de e-mail...). Qualquer informação útil será apreciada.
Responder1
Este inventário do que você tem é um excelente começo. Documente isso e faça backup de todas as configurações.
Em vez de tentar impor o isolamento máximo da rede, pense um pouco sobre o gerenciamento de riscos e as soluções que você pode manter. Só porque você tem 9 modelos de dispositivos, não significa que 9 VLANs façam sentido.
Seria ruim se alguém tirasse da cabine de som documentos confidenciais do PC. Portanto, considere separar os compartilhamentos de arquivos AV de outros documentos e compartilhe apenas arquivos de mídia com a cabine de som. E faça com que os PCs de som sejam bloqueados automaticamente quando ociosos. Ainda pode estar na mesma VLAN e talvez razoavelmente seguro.
O Wi-Fi para convidados é difícil de defender. Dispositivos sem fio desconhecidos não podem ser supervisionados por um voluntário. Sem motivo para acessar a LAN, o acesso de convidado é um caso de uso comum para uma rede somente de Internet.
As câmeras de segurança seriam sensíveis e uma solução apenas local não precisaria se conectar à Internet. Mas quão ruim seria realmente conectar-se à Internet? O modelo da câmera é conhecido por telefonar para casa com diagnósticos? O fornecedor corrige problemas de segurança?
Esse NAS faz parte de tudo, inclusive da rede externa. Com duas portas, uma separação é a rede externa (servidor web, DNS) da LAN (compartilhamento de arquivos). Descubra se o NAS reconhece VLAN. Nesse caso, isso torna mais fácil para o NAS fazer parte de mais de 2 VLANs. Esta é uma área onde “VLAN todas as coisas” mais “NAS que faz tudo” podem complicar o design.
Decida como fazer a rede de gerenciamento. Um pequeno switch não gerenciado conectado a cada porta de gerenciamento pode ser bom, mas não é obrigatório. O isolamento físico força um possível invasor a se conectar ao armário do servidor. Embora o principal motivo para sair da banda seja o acesso confiável ao controle do equipamento.
Entenda todo o tráfego entre essas zonas de segurança propostas. Coloque um firewall no modo de permissão e leia os logs.
Crie um laboratório de teste representando o que você tem agora. Pode ser virtual, com VMs simulando cada tipo de dispositivo. O mesmo sistema operacional do seu hardware seria bom, mas não é necessário para aprender princípios.
Crie um plano de endereço. Algumas sub-redes cabem facilmente em /56 ou /48 que você pode ter delegado do seu ISP. Qualquer renumeração da v4 também precisaria de um plano. Lembre-se de alocar suas redes de teste.
Crie regras de firewall para implementar a política desejada. Negar convidado à LAN, permitir compartilhamento de arquivos do escritório para LAN, permitir web da Internet para extranet. Aqui ficará claro que os firewalls v6 não são encaminhamento de porta, pois não precisam de NAT.
Crie um plano de transição. Talvez você possa alterar o Wi-Fi convidado a qualquer momento, mas precisa escolher um horário em que nenhum usuário esteja conectado para instalar o restante. Teste primeiro!
E não se esqueça de que uma rede segura não consiste apenas em VLANs e firewalls. Os princípios básicos de segurança do host e do usuário são muito poderosos. Atualize PCs e configure autenticação de múltiplos fatores para aplicativos dos usuários.