Jangan izinkan komputer domain berkomunikasi satu sama lain


9

Domain kami terdiri dari sekitar 60 komputer. Saya telah ditugaskan untuk memastikan bahwa workstation Windows 10 tidak dapat berkomunikasi satu sama lain. Manajer saya meminta saya membuat rute statis sehingga komputer hanya dapat berkomunikasi dengan printer jaringan, server file, DC, dan mengakses Internet.

Karena semua komputer ini berada di jaringan yang sama saya tidak percaya rute statis akan mencegah komputer ini saling melihat. Apa cara terbaik untuk memungkinkan komputer di domain menggunakan sumber daya jaringan, tetapi tidak berkomunikasi secara langsung satu sama lain?


12
Rute bukan cara untuk melakukan ini. Aturan firewall adalah.
EEAA

Apakah Anda memiliki sakelar dan firewall yang dapat dikelola?
sdkks

2
Jika workstation terhubung secara nirkabel, isolasi klien di titik akses lanjutan akan mencegah setiap klien wifi 2 untuk berkomunikasi satu sama lain.
sdkks

@ EEAA saya pikir tujuannya mungkin untuk benar-benar mencegah serangan layer2 dari mesin yang dikompromikan ke yang lain.
sdkks

1
@ skdkks Serangan-serangan itu mudah dikurangi melalui aturan firewall masuk yang ketat.
EEAA

Jawaban:


16

Jika Anda memiliki sakelar yang mendukungnya, 'port terproteksi' untuk koneksi kabel atau 'isolasi klien' untuk titik akses di Wi-Fi dapat membantu Anda menghilangkan lalu lintas antar host di jaringan Layer-2 yang sama.

Misalnya, ini dari manual switch Cisco :

Port yang dilindungi memiliki fitur-fitur ini: Port yang dilindungi tidak meneruskan lalu lintas apa pun (unicast, multicast, atau disiarkan) ke port lain yang juga merupakan port yang dilindungi. Lalu lintas data tidak dapat diteruskan antara port yang dilindungi di Layer 2; hanya kontrol lalu lintas, seperti paket PIM, diteruskan karena paket ini diproses oleh CPU dan diteruskan dalam perangkat lunak. Semua lalu lintas data yang lewat di antara port yang dilindungi harus diteruskan melalui perangkat Layer 3.

Jadi jika Anda tidak bermaksud untuk mentransfer data di antara mereka, Anda tidak perlu mengambil tindakan setelah mereka 'dilindungi'.

Perilaku penerusan antara port yang dilindungi dan port yang tidak dilindungi berjalan seperti biasa.

Klien Anda dapat dilindungi, server DHCP, gateway, dll. Dapat berada di porta yang tidak dilindungi.

Perbarui 27-07-2017
Seperti yang ditunjukkan oleh @sirex, jika Anda memiliki lebih dari satu sakelar yang tidak ditumpuk, artinya sakelar tersebut sebenarnya BUKAN sakelar tunggal, port yang dilindungi tidak akan menghentikan lalu lintas di antara keduanya .

Catatan: Beberapa sakelar (sebagaimana ditentukan dalam Matriks Dukungan Saklar VLAN Catalyst Swasta) saat ini hanya mendukung fitur Tepi PVLAN. Istilah "port yang dilindungi" juga merujuk ke fitur ini. Port Edge PVLAN memiliki batasan yang mencegah komunikasi dengan port lain yang dilindungi pada sakelar yang sama. Port yang dilindungi pada sakelar yang terpisah, bagaimanapun, dapat berkomunikasi satu sama lain.

Jika demikian, Anda perlu porta VLAN Private Terisolasi :

Dalam beberapa situasi, Anda perlu mencegah konektivitas Layer 2 (L2) antara perangkat akhir di sakelar tanpa penempatan perangkat di subnet IP yang berbeda. Pengaturan ini mencegah pemborosan alamat IP. Private VLAN (PVLANs) memungkinkan isolasi pada Layer 2 perangkat dalam subnet IP yang sama. Anda dapat membatasi beberapa port pada sakelar untuk hanya menjangkau port tertentu yang memiliki gateway default, server cadangan, atau Cisco LocalDirector yang terpasang.

Jika PVLAN menjangkau lebih dari beberapa switch, batang VLAN antara switch harus menjadi port VLAN standar .

Anda dapat memperluas PVLAN di seluruh sakelar dengan menggunakan batang. Port trunk membawa lalu lintas dari VLAN biasa dan juga dari VLAN primer, terisolasi, dan komunitas. Cisco merekomendasikan penggunaan port trunk standar jika kedua sakelar yang menjalani trunking mendukung PVLAN.

Jika Anda pengguna Cisco, Anda dapat menggunakan matriks ini untuk melihat apakah sakelar Anda mendukung opsi yang Anda butuhkan.


1
VLAN terisolasi juga akan berfungsi, dan menjadi multi-switch friendly
Sirex

@ Sirex karena trunking dan penerusan vlan?
SDK

1
Iya. seperti yang saya pahami itu bagaimana dua solusi berbeda.
Sirex

@ Sirex Saya menambahkan saran peningkatan Anda
SDK

sebagai catatan ada juga fitur yang disebut MTU VLAN (Multi-Tenant Unit VLAN) pada seri pintar TP-Link yang membuat setiap port pada VLAN terpisah dengan uplink.
fsacer

11

Anda bisa melakukan ini, jika Anda melakukan sesuatu yang mengerikan seperti membuat 1 subnet per klien. Ini akan menjadi mimpi buruk manajemen.

Windows Firewall, dengan kebijakan yang sesuai, akan membantu dalam hal ini. Anda dapat melakukan sesuatu seperti Isolasi Domain, tetapi bahkan lebih ketat. Anda bisa menerapkan aturan per OU, dengan server di satu OU dan workstation yang lain. Anda juga ingin memastikan bahwa printer (dan server) tidak berada di subnet yang sama dengan workstation untuk membuatnya lebih sederhana.

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

Mengenai printer jaringan - Anda bisa membuat ini lebih mudah jika Anda tidak mengizinkan pencetakan langsung, tetapi meng-host printer sebagai antrian bersama dari server cetak. Ini ide yang bagus sejak lama karena berbagai alasan.

Bisakah saya bertanya apa tujuan bisnis sebenarnya dari ini? Apakah ini untuk membantu mencegah wabah malware? Mempertahankan gambaran besar / garis finish dalam pikiran membantu menentukan persyaratan, sehingga harus selalu menjadi bagian dari pertanyaan Anda.


Saya kira ini untuk melindungi dari serangan seperti eksploitasi wannacry.
sdkks

3
Tentu, itu dugaan saya juga, tapi saya suka penanya-pengingat yang mengingatkan tentang segi bertanya-tanya ini.
mfinni

Ya tujuannya di sini adalah untuk membatasi penyebaran wabah malware.
taiwie

Selama tidak ada perangkat BYOD yang bukan anggota domain, solusi ini akan menjadi nol biaya untuk OP. (Dengan asumsi semua mesin adalah Windows)
SDK

-3

Jika Anda dapat mengikat setiap workstation dengan pengguna tertentu, Anda hanya dapat mengizinkan pengguna itu untuk mengakses workstation itu.

Ini adalah pengaturan kebijakan domain: masuk secara lokal benar.

Ini tidak mencegah pengguna untuk pergi ke stasiun kerja terdekat dan memasukkan kata sandi untuk mengakses mesin yang ditunjuknya, tetapi mudah dideteksi.

Juga ini hanya mempengaruhi layanan terkait Windows sehingga server web pada mesin masih dapat diakses.


1
Itu juga tidak mencegah malware yang menggunakan eksploit yang tidak ditonton untuk berpindah antar workstation.
mfinni

@mfinni Tentu. Sayangnya op tidak menentukan apakah persyaratannya aktual (manajer ahli teknis) atau manajer yang meminta kata kunci. Juga tujuannya penting: untuk perlindungan nyata terhadap ancaman yang Anda sebutkan diperlukan solusi tingkat osi rendah, seperti yang dinyatakan dalam jawaban lain. Dan jika host berkomunikasi dengan server masih tidak ada perlindungan dari penyebaran malware ...
Paolo
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.