Я управляю сетью для нашей (очень!) маленькой церкви в качестве волонтера. В настоящее время все настроено на одну /24 подсеть IPv4. Я хочу разбить их на VLAN для повышения безопасности, а также внедрить IPv6 в то же время.
Наше оборудование — это маршрутизатор коммерческого класса MikroTik (за шлюзом AT&T с 5 статическими IP-адресами WAN), подержанный коммутатор Netvanta 1534P PoE (плюс коммутатор Unifi PoE на некотором расстоянии) и несколько точек доступа Unifi Wi-Fi с контроллером Unifi, работающим на Raspberry Pi. У нас есть Synology NAS, который открыт для Интернета и служит нашим почтовым сервером и главным DNS-сервером. Пользователи — это два ПК с Windows в защищенных местах (офисы), еще два ПК в незащищенных местах (звуковая кабина) и гостевые пользователи на нашем гостевом доступе Wi-Fi. У нас также есть камеры безопасности, несколько устройств IoT (термостаты) и телефоны VoIP. Почти все подключено к проводному кабелю Cat 5e к довольно защищенному серверному шкафу.
Я определил следующие классы устройств, а также то, какой доступ, по моему мнению, они должны иметь. Я прошу совета о том, как реализовать эту настройку, или рекомендации по ее улучшению:
- Устройства с прямым доступом из WAN: Email, DNS и веб-сервер. Также видеостанция и подобное на NAS. Эта подсеть не должна иметь доступа к другим подсетям LAN.
- Устройства управления и контроля: порты управления для коммутаторов, маршрутизаторов, контроллера Unifi и подобных устройств. Должны быть доступны с защищенных ПК, но не из WAN (если только позже я не реализую VPN... скрестим пальцы).
- Устройства для обмена файлами: все ПК, сетевые принтеры и NAS (имеет 2 порта LAN, которые можно разделить). Должны иметь возможность обмениваться файлами и получать доступ по мере необходимости.
- Защищенные ПК: должны иметь возможность доступа к любому устройству в локальной сети.
- Незащищенные ПК: должны иметь доступ к NAS, принтерам и т. д., но не должны иметь доступа к устройствам контроля и управления.
- Устройства IoT: должны иметь доступ только к WAN; не должны видеть никакой другой сетевой трафик.
- Гостевые пользователи Wi-Fi: должны иметь доступ только к WAN; любой доступ к NAS будет осуществляться через порт, доступный через WAN.
- VoIP-телефоны: должны иметь собственную подсеть.
- Камеры безопасности: Должны видеть только локальный порт для NAS, который выступает в качестве контроллера и регистратора нашей камеры. Я не хочу, чтобы они звонили домой в Китай каждую ночь.
Я ни в коем случае не профессионал; я учусь на практике. (Церковь — моя учебная лаборатория!) Я хотел бы знать, как обеспечить максимальную защиту, особенно при внедрении IPv6... есть много людей, которые хотели бы взломать церковь (я мог бы показать вам логи моего почтового сервера...). Любая полезная информация будет оценена по достоинству.
решение1
Эта инвентаризация того, что у вас есть, — отличное начало. Задокументируйте это и сделайте резервные копии всех конфигураций.
Вместо того, чтобы пытаться навязать максимальную сетевую изоляцию, подумайте немного об управлении рисками и решениях, которые вы можете поддерживать. То, что у вас есть 9 моделей устройств, не означает, что 9 VLAN имеют смысл.
Было бы плохо, если бы кто-то забрал из ПК звукорежиссера конфиденциальные документы. Поэтому рассмотрите возможность отделения общих файлов AV от других документов и делитесь медиафайлами только с звукорежиссером. И сделайте так, чтобы звуковые ПК автоматически блокировались при бездействии. Все еще могли бы быть в той же VLAN, и, возможно, достаточно безопасно.
Гостевой Wi-Fi сложно защитить. Неизвестные беспроводные устройства не могут контролироваться добровольцем. При отсутствии необходимости доступа к локальной сети гостевой доступ является обычным вариантом использования сети, работающей только через Интернет.
Камеры безопасности были бы чувствительными, и локальное решение не нуждается в подключении к Интернету. Но насколько плохо было бы на самом деле подключиться к Интернету? Известно ли, что модель камеры звонит домой с диагностикой? Исправляет ли поставщик проблемы безопасности?
Что NAS является частью всего, включая внешнюю сеть. С двумя портами одно разделение — внешняя сеть (веб-сервер, DNS) от LAN (общий доступ к файлам). Выясните, поддерживает ли NAS VLAN. Если да, то это упрощает для NAS возможность быть частью более чем 2 VLAN. Это одна из областей, где «VLAN все дела» плюс «NAS, который делает все» могут усложнить проект.
Решите, как организовать сеть управления. Небольшой неуправляемый коммутатор, подключенный к каждому порту управления, может быть хорош, но не обязателен. Физическая изоляция заставляет потенциального злоумышленника подключаться к серверному шкафу. Хотя основная причина выхода за пределы диапазона — надежный доступ к управлению оборудованием.
Поймите весь трафик между этими предлагаемыми зонами безопасности. Переведите брандмауэр в режим разрешения и прочитайте журналы.
Создайте тестовую лабораторию, представляющую то, что у вас есть сейчас. Может быть виртуальной, с виртуальными машинами, имитирующими каждый тип устройства. Та же ОС, что и на вашем оборудовании, была бы хороша, но не обязательна для изучения принципов.
Создайте план адресов. Несколько подсетей легко помещаются в /56 или /48, которые вам может делегировать ваш провайдер. Любая перенумерация v4 также потребует плана. Не забудьте выделить тестовые сети.
Создайте правила брандмауэра для реализации желаемой политики. Запретите гостевой доступ в локальную сеть, разрешите общий доступ к файлам офиса в локальной сети, разрешите веб из интернета в экстранет. Здесь станет очевидно, что брандмауэры v6 не являются переадресацией портов, поскольку им не нужен NAT.
Создайте план перехода. Возможно, вы сможете изменить гостевой Wi-Fi в любое время, но вам нужно выбрать время, когда не будет пользователей, чтобы установить остальное. Сначала протестируйте!
И не забывайте, что безопасная сеть — это не только VLAN и брандмауэры. Основы безопасности хоста и пользователя очень эффективны. Обновите ПК и настройте многофакторную аутентификацию для приложений пользователей.