我们的公司正在搬迁到一栋新大楼,所有接入交换机都由该大楼的 IT 人员管理,这意味着我们将无法管理它们,并且不同楼层的所有公司将以某种方式使用相同的物理网络。我们将获得一个 VLAN(任意数量),以将我们的网络与其他网络分开和隔离。
问题是,我如何确保大楼内的 IT 人员无法访问我的 VLAN?(他们可以配置任何交换机上的任何端口(从任何楼层)来访问我的 VLAN,然后访问我的整个网络)
对于这样的情况有没有什么解决方案呢?
答案1
如果您将共享网络视为像互联网一样的“敌对网络”,那么 VPN 是一个相当明显的选择。
您可以将 VPN 路由器及其“不安全”接口连接到共享网络,并将您的客户端(或私有交换机)连接到“安全”路由器接口。
共享网络管理员仍然可以中断通信,但他们无法监听或篡改数据。
一种更简单的方法是使用 SSL(如 HTTPS)对所有连接进行端到端加密,但这仍然会暴露“基层”通信。
答案2
对于您不信任的大楼 IT 人员来说,没有真正好的方法来保护这种设置的安全 - 如果没有在网关后面建立单独的网络和相应的网络基础设施,您实际上无法控制这些网络基础设施(从而首先违背了 VLAN 存在的目的),然后将其连接到 VLAN 才能访问该网关后面的网络的“互联网”。
由于无法控制交换机,因此无法真正控制对网络的访问。无法实施适当的端口封锁规则,无法实施网络级限制,也无法关闭交换机上的端口以防止对 VLAN 的访问。
为了真正保护这种您无法控制组成网络的物理基础设施的网络,唯一的选择就是运行您自己的网络,使用 VLAN 作为到 Internet 或其他网络范围的“访问”隧道,并在后台使用另一个防火墙或设备连接到您自己的交换机和端点机器网络,从而将数据限制在网络边界内。
不幸的是,另一种选择是相似的 - 那就是在 VLAN 中设置一个运行正确配置的 VPN 的安全网关设备,而除了端点计算机之外,其他一切都在其后面。然后,端点计算机必须通过 VPN 连接到“网关”盒,然后它们才能访问您想要保护的设备和信息。从那里,然后根据子网划分、用户身份验证等,您可以配置对该网关设备后面您自己的“控制范围”内的设备的访问(无论是 Cisco ASA 还是 pfSense 盒或其他类型的设备,都由您决定)。但是,这仍然需要您拥有一个内部的“第二个”网络来保存您想要保护的数据,并且您只需将整个建筑物的 VLAN 视为网关设备的“外部”或 WAN 连接即可。
答案3
您可以使用标准路由器,这样您就可以将本地网络与建筑物隔离开来。只需将建筑物视为互联网即可。例如,您可以使用 WiFi 路由器,将 WAN 端口连接到您楼层的交换机。IT 人员必须提供标准连接数据,如 IP/掩码/网关。问题是您不能在员工区使用建筑物的物理网络,您必须有自己的电缆或使用 WiFi(连接到路由器)。