Pientoimiston verkko

  • Keskustelun aloittaja Keskustelun aloittaja Purple
  • Aloitettu Aloitettu
Liittynyt
17.10.2016
Viestejä
1 013
Meillä on toimistorakennus missä on 4 konetta ( 1 2 3 4) sekä 3 nassia (A B C). Millaista kalustoa tarvitaan jotta saadaan yhteyksiä seuraavasti.

A ja B nasseille täytyy päästä kaikilta koneilta 1-4. Nassiin C saisi päästä vain koneet 1 ja 2.

Onko tämä toteuttavissa kytkimellä VLANien avulla vai täytyykö olla järeämpää rautaa (palomuuri) käytössä? Nopeutta ei juuri tarvita joten ei haittaa vaikka ei absoluuttisen parasta ratkaisua hankita.

Koneisiin ei saa useampaa verkkokorttia joten tekemällä uusi verkko 1 2 C kombolle ei ole mahdollista.

1708607877465.png
 
Vlanien kanssa onnistuu. Eli sellainen kytkin ostoon.
Merkistä riippuen sitten ohjeet:)
 
Onnistuu VLAN avulla. Riittäisikö vain, jos rajoittaa pääsy oikeuksia NAS käyttäjätunnuksella? Ei välttämättä tarvitse laitteita hankkia.
 
Onnistuu VLAN avulla. Riittäisikö vain, jos rajoittaa pääsy oikeuksia NAS käyttäjätunnuksella? Ei välttämättä tarvitse laitteita hankkia.

Tätä komppaan. Saisiko NAS C:n asetuksista rajata pääsyä IPn tai MACin mukaan? Ei varmasti kaikkein tietoturvallisin ratkaisu mutta voisi toimia noin pienessä käytössä.
 
Mikäs tämä mainitsemasi "tietty taso" sitten on?
Fyysinen taso ainakin. VLAN rajoittaa liikenteen tiettyihin kytkimen portteihin, mutta kuka vain, joka pääsee liittämään oman laitteensa porttiin, pääsee käsiksi NASiin, jos muita suojauksia ei ole.
 
Fyysinen taso ainakin. VLAN rajoittaa liikenteen tiettyihin kytkimen portteihin, mutta kuka vain, joka pääsee liittämään oman laitteensa porttiin, pääsee käsiksi NASiin, jos muita suojauksia ei ole.

Tottahan toki näin.
Veikkaan että tässä tapauksessa ei taida olla niin "justiin". Noh, OP kertoo tarkemmin :)
 
Omasta mielestä ainoa helppo ratkaisu on käyttöoikeudet NAS-tasolla. Toki niiden VLANien kanssa voi plärätä, mutta sitten tarvitaan reititin ja kytkin joka tukee sekä tarvittava konffaus palomuurisääntöihin joilla rajata/sallia liikenne.
 
Helppo ja paras tapa on luvittaa eri käyttäjät NASseissa, eli ei sallita pääsyä koneelta, vaan sallitaan pääsy käyttäjille. Tämän lisäksi voit tehdä erottelua verkkotasolla, mutta esimerkiksi VLANit tai sallimiset tietyistä IP-osotteista tai MAC-osotteista on kierrettävissä vaikka spooffaamalla MAC-osoite, vaihtamalla oman koneen IP-osoite tai kytkemällä kone johonkin toiseen VLANiin. Loppuviimein palataan taas alkuun, eli kaikki perustuu sille, että vain asianomaisilla on tunnukset tietyille laitteille.

Toki tähänkin voidaan sotkea zero trustia, naccia ja vaikka mitä, mutta siinä vaiheessa ei enää puhuta "helposta ja halvasta pikkutoimiston verkosta". Ja vaikka kaikki nämä olisivat kunnossa, mikään tai kukaan ei estä kytkemästä konetta suoraan kaapelilla NASsiin, jolloin viimeistään kaikki verkkotason säätö muodostyy lähes turhaksi, sillä fyysinen tietoturva ei ole kunnossa. Eli tunnukset ja niiden kautta pääsynhallinta :)
 
Olettanen jotta kaikilla käyttäjillä on kuitenkin pääsy nettiin jatkuvasti?
Vaikka olisi minkälainen palomuurikin niin reikiähän löytyy parhaistakin purkeista jatkuvasti. MikroTikin vanhemmat sinänsä hyvät purkit ikävänä esimerkkinä. Joten varmistukset, varmistukset ja varmistukset (offline-moisetkin) heti kuntoon.
Jottei ennemmin tai myöhemmin sisään pääsevä mato pääse ainakaan kryptaamaan levyjänne.
 

Statistiikka

Viestiketjuista
258 396
Viestejä
4 489 757
Jäsenet
74 154
Uusin jäsen
Almedin

Hinta.fi

Back
Ylös Bottom