บรรจวบ เข้าสู่ระบบ
Score:1
Dark Corner avatar Server

เคล็ดลับในการจัดการมิกซ์พีซีที่ปลอดภัยและไม่ปลอดภัย

ธง cn
Dark Corner

มีอาคารสองหลังที่เชื่อมต่อกันด้วยใยแก้วนำแสง แต่ละหลังมีพีซี 3-10 เครื่อง แต่มีพีซีที่ใช้ในบริบทธุรกิจผสมกันและบางอาคารใช้ในบ้าน น่าเสียดายที่เมื่อเครือข่ายได้รับการออกแบบเมื่อหลายปีก่อน ไม่มีใครดำเนินการเพื่อแยกสภาพแวดล้อมทั้งสองออกจากกัน

อาคาร เอ
มีเซิร์ฟเวอร์ เครื่องพิมพ์ พีซีสำหรับทำงาน พีซีสำหรับแขก สมาร์ทโฟนส่วนตัว
ที่นี่ยังเป็นที่เชื่อมต่ออินเทอร์เน็ตเพียงแห่งเดียว ใช้โดยทั้งสองอาคาร
ได้รับการแก้ไขด้วยไฟร์วอลล์ (pfsense) ที่แยก LAN ของสำนักงานและส่วนเครือข่ายด้วย Access Point ที่แตกต่างกันสำหรับสมาร์ทโฟนและพีซีของผู้เยี่ยมชม มี DHCP สองตัวเพื่อแยกเครือข่ายทั้งสองออกจากกัน
ฉันต้องการให้แขกสามารถใช้เครื่องพิมพ์ที่ใช้งานได้บน LAN และฉันไม่รู้ว่ากฎในไฟร์วอลล์จะเพียงพอหรือไม่

อาคารบี
ที่นี่ก็มีเครื่องพิมพ์ พีซีสำหรับทำงาน สมาร์ทโฟน และพีซีสำหรับแขก
ที่นี่ยังมีบ้านที่มีพีซีส่วนตัว xBoxes สมาร์ททีวี ฯลฯ
ใช้เฉพาะ DHCP ของ LAN ในอาคาร A เท่านั้น
ดังนั้นด้วยปัญหาด้านความปลอดภัยที่มากขึ้น ดังนั้นฉันจึงต้องแยกสภาพแวดล้อมทั้งสามแห่ง (ที่ทำงาน แขก และบ้าน) โดยไม่ต้องแก้ไขการเดินสายเครือข่าย
ฉันไม่รู้ว่าการสร้าง VLAN นั้นเพียงพอหรือไม่ ไม่ว่าในกรณีใดๆ ในการเชื่อมต่ออินเทอร์เน็ตหรือไปยังเซิร์ฟเวอร์ในอาคาร A การรับส่งข้อมูลจะต้องผ่านไฟเบอร์เส้นเดียวเสมอ
ต้องคำนึงถึงด้วยว่าเราไม่มีความเป็นไปได้ในการจัดการในบ้าน มีจุดเครือข่าย แต่เราไม่รู้ว่าจะใช้อย่างไร ดังนั้นการตรวจสอบจะต้องเกิดขึ้นที่ต้นน้ำของจุดเครือข่าย
อย่างไรก็ตาม ที่นี่ ฉันสามารถติดตั้งไฟร์วอลล์ pfsense ตัวที่สองได้

ขอบคุณล่วงหน้าสำหรับคำแนะนำใด ๆ

39
0 + 0
djdomi avatar
za flag
djdomi
vlans เป็นจุดเริ่มต้นที่ดีและเป็นการเริ่มต้นที่ดีโดยเฉพาะเมื่อควรใช้เครื่องพิมพ์จากทั้งสองด้าน
1
ตอบกลับ
anx avatar
fr flag
anx
นี่อาจเป็น[ความปลอดภัย](https://security.stackexchange.com/help/on-topic)มากกว่าปัญหาการจัดการระบบ ไม่ว่าในกรณีใด คุณต้องระบุ *เป้าหมาย* ของงานออกแบบอาคารหลังของคุณให้ชัดเจนยิ่งขึ้น - คุณเพียงแค่ต้องแน่ใจว่าอุปกรณ์ที่ไม่มีการจัดการจะทำให้ลิงค์ของคุณอิ่มตัวน้อยลง (ความน่าเชื่อถือ) หรือไม่? หรือคุณสงสัยว่าพีซีที่ทำงานบางเครื่องได้รับการตั้งค่าในลักษณะที่ได้รับความไว้วางใจจากโทโพโลยีเครือข่ายที่ไม่น่าเชื่อถือ (จากนั้นควรแก้ไขก่อน โดยมีมาตรการจำกัดความสามารถของเครื่องที่ไม่น่าเชื่อถือในการส่งทราฟฟิกที่ปลอมแปลงโดยเคร่งครัด)
2
ตอบกลับ
Dark Corner avatar
cn flag
Dark Corner
อย่างที่ฉันพูดไป ฉันไม่สามารถควบคุมพีซีและสมาร์ทโฟนส่วนตัวได้ ในอาคาร A ฉันสามารถจำกัดการเข้าถึงผ่านจุดเข้าใช้งานเฉพาะ แต่ในอาคาร B ฉันไม่สามารถควบคุมได้ ดังนั้นฉันจึงไม่สามารถรู้ได้ว่าที่บ้านของเขา มีพนักงานที่ใช้พีซีส่วนตัวของเขากำลังดาวน์โหลดไฟล์ที่มีไวรัสอยู่หรือไม่ หรือลูกชายของเขาพยายามเข้าสู่ NAS ของบริษัทโดยใช้รหัสผ่านของพ่อเขาหรือไม่ ดูเหมือนจะไร้สาระที่จะพูดถึงเรื่องนี้ แต่วันนี้เป็นการกำหนดค่าเครือข่ายและก่อนอื่นฉันต้องแบ่งส่วนเครือข่ายทางกายภาพเพื่อให้เข้าถึงอินเทอร์เน็ตได้ฟรีเท่านั้นและทุกอย่างจะถูก จำกัด ไว้ในส่วนเครือข่ายนั้น
0
ตอบกลับ
Score:2
Ron Trunk avatar Server
ธง in
Ron Trunk

ฉันจะถือว่าพีซีและเครื่องพิมพ์ทั้งหมดเชื่อมต่อกับสวิตช์ที่มีการจัดการซึ่งรองรับ VLAN หากไม่เป็นเช่นนั้น ไม่มีอะไรที่คุณสามารถทำได้จนกว่าคุณจะเปลี่ยนแปลงสิ่งนั้น

ในแต่ละไซต์ ให้สร้าง VLAN สามรายการ: ที่ทำงาน บ้าน และแขก เดินสายไฟ 3 VLAN ผ่านไฟเบอร์ลิงค์และไฟร์วอลล์ ดังนั้นไฟร์วอลล์จึงเป็นเกตเวย์เริ่มต้นสำหรับแต่ละ VLAN

จากนั้นคุณสามารถกำหนดแต่ละพอร์ตให้กับ VLAN ที่ถูกต้องได้ ขึ้นอยู่กับประเภทของอุปกรณ์บนพอร์ตนั้น

ตอนนี้คุณสามารถสร้างนโยบายบนไฟร์วอลล์เพื่อแยกแต่ละ VLAN ในการเริ่มต้น ฉันขอแนะนำให้คุณอนุญาตให้ VLAN ทั้งหมดเข้าถึงอินเทอร์เน็ต แต่ไม่อนุญาตให้อุปกรณ์ใน VLAN หนึ่งเข้าถึงอีกอุปกรณ์หนึ่ง ด้วยวิธีนี้ คุณสามารถแยกอุปกรณ์ที่บ้านและที่ทำงานออกจากกัน

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา