도메인 컴퓨터가 서로 통신하도록 허용하지 마십시오


9

우리의 도메인은 약 60 대의 컴퓨터로 구성되어 있습니다. Windows 10 워크 스테이션이 서로 통신 할 수 없는지 확인했습니다. 관리자는 컴퓨터가 네트워크 프린터, 파일 서버, DC 와만 통신하고 인터넷에 액세스 할 수 있도록 고정 경로를 만들도록 요청했습니다.

이 모든 컴퓨터가 동일한 네트워크에 있기 때문에 고정 경로로 인해이 컴퓨터가 서로를 볼 수 있다고 생각하지 않습니다. 도메인의 컴퓨터가 네트워크 리소스를 사용할 수 있지만 서로 직접 통신하지 않는 가장 좋은 방법은 무엇입니까?


12
경로는이 방법이 아닙니다. 방화벽 규칙이 있습니다.
EEAA

관리 가능한 스위치와 방화벽이 있습니까?
sdkks

2
워크 스테이션이 무선으로 연결된 경우 고급 액세스 포인트에서 클라이언트를 격리하면 2 개의 wifi 클라이언트가 서로 통신 할 수 없습니다.
sdkks

@EEAA 저는 목표는 계층 2 공격이 다른 시스템으로 손상되는 시스템을 완전히 막는 것이라고 생각합니다.
sdkks

1
@sdkks 이러한 공격은 엄격한 인바운드 방화벽 규칙을 통해 쉽게 완화됩니다.
EEAA

답변:


16

스위치를 지원하는 스위치가 있으면 케이블 연결을위한 '보호 된 포트'또는 Wi-Fi의 액세스 포인트를위한 '클라이언트 격리'가 동일한 Layer-2 네트워크의 호스트 간 트래픽을 제거하는 데 도움이 될 수 있습니다.

예를 들어, 이것은 Cisco 스위치 매뉴얼에 있습니다.

보호 포트에는 다음 기능이 있습니다. 보호 포트는 트래픽 (유니 캐스트, 멀티 캐스트 또는 브로드 캐스트)을 보호 포트 인 다른 포트로 전달하지 않습니다. 계층 2에서 보호 된 포트간에 데이터 트래픽을 전달할 수 없습니다. 이러한 패킷은 CPU에 의해 처리되고 소프트웨어로 전달되므로 PIM 패킷과 같은 제어 트래픽 만 전달됩니다. 보호 된 포트 사이를 통과하는 모든 데이터 트래픽은 계층 3 장치를 통해 전달되어야합니다.

따라서 데이터를 전송하지 않으려는 경우 일단 '보호'된 후에는 조치를 취할 필요가 없습니다.

보호 된 포트와 보호되지 않은 포트 사이의 전달 동작은 평소와 같이 진행됩니다.

클라이언트는 보호 될 수 있고 DHCP 서버, 게이트웨이 등은 보호되지 않은 포트에있을 수 있습니다.

업데이트 27-07-2017
당신이 적층되지 않은 하나 개 이상의 스위치가있는 경우 @sirex으로는 사실상 단일 스위치, 보호 된 포트되지 않음을 의미, 지적 그 사이 것이다 정지하지 트래픽 .

참고 : 일부 스위치 (Private VLAN Catalyst 스위치 지원 매트릭스에 지정된)는 현재 PVLAN Edge 기능 만 지원합니다. "보호 된 포트"라는 용어는이 기능을 나타냅니다. PVLAN Edge 포트에는 동일한 스위치의 다른 보호 포트와의 통신을 방지하는 제한이 있습니다. 그러나 별도의 스위치에있는 보호 된 포트는 서로 통신 할 수 있습니다.

이 경우 격리 된 개인 VLAN 포트 가 필요 합니다 .

경우에 따라 다른 IP 서브넷에 장치를 배치하지 않고 스위치의 엔드 장치간에 L2 (계층 2) 연결을 방지해야합니다. 이 설정은 IP 주소 낭비를 방지합니다. PVLAN (Private VLAN)을 사용하면 동일한 IP 서브넷에있는 장치의 계층 2에서 격리 할 수 ​​있습니다. 기본 게이트웨이, 백업 서버 또는 Cisco LocalDirector가 연결된 특정 포트에만 도달하도록 스위치의 일부 포트를 제한 할 수 있습니다.

PVLAN이 여러 스위치에 걸쳐있는 경우 스위치 간의 VLAN 트렁크는 표준 VLAN 포트 여야합니다 .

트렁크를 사용하여 스위치 전체에서 PVLAN을 확장 할 수 있습니다. 트렁크 포트는 일반 VLAN 및 기본, 격리 및 커뮤니티 VLAN에서 트래픽을 전송합니다. 트렁킹을 수행하는 두 스위치 모두 PVLAN을 지원하는 경우 표준 트렁크 포트를 사용하는 것이 좋습니다.

Cisco 사용자 인 경우이 매트릭스 를 사용 하여 스위치가 필요한 옵션을 지원하는지 확인할 수 있습니다.


1
격리 된 vlan도 작동하고 다중 스위치 친화적입니다.
Sirex

VLAN 트렁킹 및 전달 때문에 @Sirex?
sdkks

1
예. 내가 이해하기 때문에 두 솔루션이 어떻게 다른지.
Sirex

@Sirex 개선 제안을 추가했습니다
sdkks

참고로 TP-Link 스마트 시리즈에는 MTU VLAN (Multi-Tenant Unit VLAN)이라는 기능이있어 별도의 VLAN에있는 모든 포트를 업 링크로 만듭니다.
fsacer

11

클라이언트 당 1 개의 서브넷을 만드는 것만 큼 끔찍한 일을한다면 그렇게 할 수 있습니다. 이것은 관리의 악몽 일 것입니다.

적절한 정책을 가진 Windows 방화벽이이를 도와 줄 것입니다. 도메인 격리와 같은 작업을 수행 할 수 있지만 더 제한적입니다. 한 OU의 서버와 다른 OU의 워크 스테이션을 사용하여 OU 당 규칙을 시행 할 수 있습니다. 또한 프린터와 서버가 워크 스테이션과 동일한 서브넷에 있지 않은지 확인하여 더 간단하게 만들 수 있습니다.

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

네트워크 프린터와 관련하여-직접 인쇄를 허용하지 않지만 인쇄 서버에서 프린터를 공유 대기열로 호스팅 한 경우이 작업을 더 쉽게 수행 할 수 있습니다. 여러 가지 이유로 오랫동안 좋은 아이디어였습니다.

이것의 실제 비즈니스 목표가 무엇인지 물어볼 수 있습니까? 멀웨어 발생을 방지하는 데 도움이됩니까? 큰 그림 / 완료 라인을 염두에두면 요구 사항을 정의하는 데 도움이되므로 항상 질문의 일부가되어야합니다.


나는 이것이 워너 크리 익스플로잇과 같은 공격으로부터 보호하는 것이라고 생각합니다.
sdkks

3
물론, 그것은 저의 추측이기도했지만,이 질문에 대한 질문을 상기시키는 질문자들을 좋아합니다.
mfinni

그렇습니다. 여기서의 목표는 모든 맬웨어 발생의 확산을 제한하는 것입니다.
taiwie

도메인의 구성원이 아닌 BYOD 장치가 없으면이 솔루션의 운영 비용은 전혀 들지 않습니다. (모든 기계가 Windows라고 가정)
sdkks

-3

각 워크 스테이션을 특정 사용자에게 바인드 할 수있는 경우 해당 사용자 만 해당 워크 스테이션에 액세스 할 수 있습니다.

로컬로 로그온하는 도메인 정책 설정입니다.

이렇게하면 사용자가 가장 가까운 워크 스테이션으로 이동하여 자신의 지정된 컴퓨터에 액세스하기 위해 자신의 암호를 입력 할 수는 없지만 쉽게 감지 할 수 있습니다.

또한 이것은 Windows 관련 서비스에만 영향을 미치므로 컴퓨터의 웹 서버에 여전히 액세스 할 수 있습니다.


1
또한 패치되지 않은 악용을 사용하는 맬웨어가 워크 스테이션간에 이동하는 것을 막지 않습니다.
mfinni

@mfinni 물론입니다. 불행히도 op는 요구 사항이 실제 (기술적 해군 관리자)인지 아니면 유행어를 요구하는 관리자인지 지정하지 않았습니다. 또한 목표는 중요합니다. 위협에 대한 실질적인 보호를 위해서는 다른 답변에 명시된 바와 같이 낮은 OSI 수준의 솔루션이 필요하다고 언급합니다. 호스트가 서버와 통신하는 경우에도 여전히 맬웨어 확산으로부터 보호 할 수 없습니다.
Paolo
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.