我以志愿者的身份管理我们(非常小的)教堂的网络。目前,所有内容都设置在单个 /24 IPv4 子网上。我想将这些子网划分为 VLAN 以提高安全性,同时实施 IPv6。
我们的硬件是 MikroTik 商用级路由器(位于具有 5 个静态 WAN IP 的 AT&T 网关后面)、二手 Netvanta 1534P PoE 交换机(以及距离较远的 Unifi PoE 交换机)和一些 Unifi Wi-fi 接入点,其中 Unifi 控制器在 Raspberry Pi 上运行。我们有一个 Synology NAS,它暴露在互联网上,并充当我们的电子邮件服务器和主 DNS 服务器。用户是安全位置(办公室)的两台 Windows PC、非安全位置(录音棚)的另外两台 PC 以及我们访客访问 Wi-fi 上的访客用户。我们还有安全摄像头、一些 IoT 设备(恒温器)和 VoIP 电话。大多数东西都通过有线 Cat 5e 电缆连接到一个相当安全的服务器机柜。
我已经确定了以下设备类别,以及我认为它们应该具有的访问权限。我寻求有关如何实施此设置的建议或改进建议:
- 可从 WAN 直接访问的设备:电子邮件、DNS 和 Web 服务器。还有 NAS 上的视频站和类似设备。此子网不应能够访问其他 LAN 子网。
- 控制和管理设备:交换机、路由器、Unifi 控制器和类似设备的管理端口。应该能够从受保护的 PC 访问,但不能从 WAN 访问(除非我以后实施 VPN... 祈祷好运)。
- 文件共享设备:所有 PC、联网打印机和 NAS(它有 2 个可隔离的 LAN 端口)。应能够根据需要共享文件和访问。
- 安全的 PC:应该能够访问 LAN 上的任何设备。
- 非安全 PC:应该能够访问 NAS 以及打印机等,但不能访问控制和管理设备。
- 物联网设备:应该只能访问 WAN;不应该看到任何其他网络流量。
- 访客 Wi-fi 用户:应该只能访问 WAN;任何对 NAS 的访问都必须通过 WAN 可访问的端口进行。
- VoIP 电话:应该有自己的子网。
- 安全摄像头:应该只能看到 NAS 的本地端口,NAS 充当我们的摄像头控制器和录像机。我不希望他们每晚都打电话回中国。
我绝不是专业人士;我只是边做边学。(教堂是我的训练实验室!)我想知道如何提供尽可能多的保护,特别是在实施 IPv6 时……有很多人想入侵教堂(我可以向你展示我的邮件服务器日志……)。任何有用的信息都将不胜感激。
答案1
这份清单是一个很好的开始。记录下来,并备份所有配置。
不要试图实施最大限度的网络隔离,而是要考虑风险管理和可以维护的解决方案。仅仅因为您有 9 种型号的设备,并不意味着 9 个 VLAN 有意义。
如果有人从录音室 PC 上拿走了敏感文件,那就糟了。因此,请考虑将 AV 文件共享与其他文件分开,只与录音室共享媒体文件。并且让录音 PC 在空闲时自动锁定。仍然可以在同一个 VLAN 上,而且可能相当安全。
访客 Wi-Fi 很难防御。未知无线设备无法由志愿者监管。访客访问是互联网专用网络的常见用例,因为访客访问无需访问 LAN。
安全摄像头很敏感,而本地解决方案无需连接到互联网。但连接到互联网到底有多糟糕?摄像头型号是否已知可以通过诊断功能进行回访?供应商是否修补了安全问题?
NAS 是一切的一部分,包括面向外部的网络。有了两个端口,一个分离就是外部网络(Web 服务器、DNS)与 LAN(文件共享)。查明 NAS 是否支持 VLAN。如果是,NAS 更容易成为 2 个以上 VLAN 的一部分。这是一个“VLAN 所有东西”加上“NAS 做所有事情”可能会使设计复杂化的领域。
决定如何构建管理网络。连接每个管理端口的小型非托管交换机可能不错,但不是必需的。物理隔离迫使潜在攻击者插入服务器机柜。尽管带外连接的主要原因是为了可靠地访问设备控制。
了解这些建议的安全区域之间的所有流量。将防火墙置于允许模式并阅读日志。
创建一个代表您现有设备的测试实验室。可以是虚拟的,使用虚拟机模拟每种类型的设备。最好使用与您的硬件相同的操作系统,但不需要学习原理。
制定地址规划。您的 ISP 可能会为您分配一个 /56 或 /48 地址,因此可以轻松容纳少量子网。任何 v4 重新编号也需要规划。记得分配您的测试网络。
创建防火墙规则以实施所需的策略。拒绝访客进入 LAN,允许文件共享办公室进入 LAN,允许网络从互联网进入外联网。这里会发现,v6 防火墙不是端口转发,因为它不需要 NAT。
制定过渡计划。也许您可以随时更改访客 Wi-Fi,但需要选择一个没有用户上网的时间来安装其余内容。先测试一下!
不要忘记,安全网络不仅仅是 VLAN 和防火墙。主机和用户安全基础非常强大。更新 PC,并为用户的应用程序配置多因素身份验证。