我作為志工管理我們(非常!)小教堂的網絡。目前,所有內容均在單一 /24 IPv4 子網路上設定。我想將它們分成 VLAN 以提高安全性,同時也實作 IPv6。
我們的硬體是MikroTik 商業級路由器(位於具有5 個靜態WAN IP 的AT&T 網關後面)、二手Netvanta 1534P PoE 交換器(加上遠處的Unifi PoE 交換器)以及一些運行Unifi 控制器的Unifi Wi-fi 接入點在樹莓派上。我們有一台 Synology NAS,它暴露在 Internet 上,用作我們的電子郵件伺服器和主 DNS 伺服器。使用者包括位於安全位置(辦公室)的兩台 Windows PC、位於非安全位置(音響室)的另外兩台 PC,以及使用訪客造訪 Wi-fi 的訪客使用者。我們還有安全攝影機、一些物聯網設備(恆溫器)和 VoIP 電話。大多數東西都透過有線 Cat 5e 電纜連接到相當安全的伺服器機櫃。
我已經確定了以下幾類設備,以及我認為它們應該擁有的存取權限。我正在尋求有關如何實施此設定的建議,或改進它的建議:
- 可從 WAN 直接存取的設備:電子郵件、DNS 和 Web 伺服器。還有視訊站和 NAS 上的類似設備。此子網路不應能夠存取其他 LAN 子網路。
- 控制和管理設備:交換器、路由器、Unifi 控制器和類似設備的管理連接埠。應該能夠從安全的 PC 進行訪問,但不能從 WAN 進行訪問(除非稍後我實現 VPN...祈禱吧)。
- 檔案共享設備:所有PC、連網印表機和NAS(有2個可隔離的LAN連接埠)。應該能夠根據需要共享文件和存取。
- 安全 PC:應該能夠存取 LAN 上的任何裝置。
- 非安全PC:應該能夠存取NAS以及印表機等,但不應該能夠存取控制和管理設備。
- IoT 設備:只能存取 WAN;不應看到任何其他網路流量。
- 訪客 Wi-fi 使用者:只能存取 WAN;對 NAS 的任何存取都將透過 WAN 可存取的連接埠進行。
- VoIP 電話:應該有自己的子網路。
- 安全攝影機:應該只能看到 NAS 的本地端口,它充當我們的攝影機控制器和錄影機。我不希望他們每天晚上打電話給中國家。
無論如何,我不是專業人士;我邊做邊學。 (教會是我的訓練實驗室!)我想知道如何提供盡可能多的保護,特別是在實施 IPv6 方面……有很多人想要攻擊教會(我可以向你展示我的郵件伺服器日誌... )。任何有用的信息將不勝感激。
答案1
這份你所擁有的清單是一個很好的開始。記錄下來並備份所有配置。
與其嘗試實施最大程度的網路隔離,不如考慮風險管理和可以維護的解決方案。僅僅因為您有 9 種型號的設備,並不意味著 9 個 VLAN 有意義。
如果有人從錄音室拿走了電腦敏感文件,那就糟糕了。因此,請考慮將 AV 檔案共用與其他文件分開,並且僅與錄音室共用媒體檔案。並讓聲音電腦在閒置時自動鎖定。仍然可能位於同一個 VLAN 上,並且可能相當安全。
訪客 Wi-Fi 很難防禦。志工無法監督未知的無線設備。由於沒有理由存取 LAN,訪客訪問是純互聯網網路的常見用例。
安全攝影機非常敏感,並且僅限本地的解決方案無需連接到網路。但連上網路到底有多糟糕呢?相機型號是否已知可以透過診斷打電話回家?供應商是否修補安全問題?
NAS 是一切事物的一部分,包括面向外部的網路。有兩個端口,一個是外部網路(Web 伺服器、DNS)與 LAN(檔案共用)的分離。查明 NAS 是否支援 VLAN。如果是這樣,那麼 NAS 就更容易成為 2 個以上 VLAN 的一部分。在這一領域,「VLAN 包辦一切」加上「NAS 包辦一切」可能會使設計變得複雜。
決定如何做管理網路。連接到每個管理連接埠的小型非託管交換器可能會很好,但不是必需的。物理隔離迫使潛在的攻擊者插入伺服器機櫃。儘管使用帶外的主要原因是為了可靠地存取設備的控制。
了解這些建議的安全區域之間的所有流量。將防火牆置於允許模式並讀取日誌。
建立一個代表您現在擁有的測試實驗室。可以是虛擬的,用虛擬機器模擬每種類型的設備。與您的硬體上相同的作業系統會很好,但不需要學習原理。
制定地址計劃。少數子網路很容易適合您可能從 ISP 委派的 /56 或 /48。任何 v4 重新編號也需要一個計劃。請記得分配您的測試網。
建立防火牆規則以實施所需的策略。拒絕訪客存取 LAN,允許文件共用辦公室到 LAN,允許 Web 從互聯網到外部網路。在這裡,很明顯 v6 防火牆不是連接埠轉發,因為它不需要 NAT。
制定過渡計劃。也許您可以隨時更改訪客 Wi-Fi,但需要選擇沒有用戶在線的時間來安裝其餘部分。先測試一下!
不要忘記,安全網路不僅僅是 VLAN 和防火牆。主機和使用者安全基礎非常強大。更新電腦,並為使用者的應用程式配置多重身份驗證。