Pientoimiston verkko

[Purple]

Meillä on toimistorakennus missä on 4 konetta ( 1 2 3 4) sekä 3 nassia (A B C). Millaista kalustoa tarvitaan jotta saadaan yhteyksiä seuraavasti.

A ja B nasseille täytyy päästä kaikilta koneilta 1-4. Nassiin C saisi päästä vain koneet 1 ja 2.

Onko tämä toteuttavissa kytkimellä VLANien avulla vai täytyykö olla järeämpää rautaa (palomuuri) käytössä? Nopeutta ei juuri tarvita joten ei haittaa vaikka ei absoluuttisen parasta ratkaisua hankita.

Koneisiin ei saa useampaa verkkokorttia joten tekemällä uusi verkko 1 2 C kombolle ei ole mahdollista.

 

[mailman]

Vlanien kanssa onnistuu. Eli sellainen kytkin ostoon.
Merkistä riippuen sitten ohjeet

 

[M#T]

Onnistuu VLAN avulla. Riittäisikö vain, jos rajoittaa pääsy oikeuksia NAS käyttäjätunnuksella? Ei välttämättä tarvitse laitteita hankkia.

 

[Kilkenblad]

Onnistuu VLAN avulla. Riittäisikö vain, jos rajoittaa pääsy oikeuksia NAS käyttäjätunnuksella? Ei välttämättä tarvitse laitteita hankkia.

Tätä komppaan. Saisiko NAS C:n asetuksista rajata pääsyä IPn tai MACin mukaan? Ei varmasti kaikkein tietoturvallisin ratkaisu mutta voisi toimia noin pienessä käytössä.

 

[mikajh]

Ei varmasti kaikkein tietoturvallisin ratkaisu

Ei sitä VLANiakaan pidetä tietyllä tasolla tietoturvallisena

 

[mailman]

Ei sitä VLANiakaan pidetä tietyllä tasolla tietoturvallisena

Mikäs tämä mainitsemasi "tietty taso" sitten on?

 

[Mco]

Mikäs tämä mainitsemasi "tietty taso" sitten on?

Fyysinen taso ainakin. VLAN rajoittaa liikenteen tiettyihin kytkimen portteihin, mutta kuka vain, joka pääsee liittämään oman laitteensa porttiin, pääsee käsiksi NASiin, jos muita suojauksia ei ole.

 

[mailman]

Fyysinen taso ainakin. VLAN rajoittaa liikenteen tiettyihin kytkimen portteihin, mutta kuka vain, joka pääsee liittämään oman laitteensa porttiin, pääsee käsiksi NASiin, jos muita suojauksia ei ole.

Tottahan toki näin.
Veikkaan että tässä tapauksessa ei taida olla niin "justiin". Noh, OP kertoo tarkemmin

 

[Algron28]

Omasta mielestä ainoa helppo ratkaisu on käyttöoikeudet NAS-tasolla. Toki niiden VLANien kanssa voi plärätä, mutta sitten tarvitaan reititin ja kytkin joka tukee sekä tarvittava konffaus palomuurisääntöihin joilla rajata/sallia liikenne.

 

[minapamina]

Helppo ja paras tapa on luvittaa eri käyttäjät NASseissa, eli ei sallita pääsyä koneelta, vaan sallitaan pääsy käyttäjille. Tämän lisäksi voit tehdä erottelua verkkotasolla, mutta esimerkiksi VLANit tai sallimiset tietyistä IP-osotteista tai MAC-osotteista on kierrettävissä vaikka spooffaamalla MAC-osoite, vaihtamalla oman koneen IP-osoite tai kytkemällä kone johonkin toiseen VLANiin. Loppuviimein palataan taas alkuun, eli kaikki perustuu sille, että vain asianomaisilla on tunnukset tietyille laitteille.

Toki tähänkin voidaan sotkea zero trustia, naccia ja vaikka mitä, mutta siinä vaiheessa ei enää puhuta "helposta ja halvasta pikkutoimiston verkosta". Ja vaikka kaikki nämä olisivat kunnossa, mikään tai kukaan ei estä kytkemästä konetta suoraan kaapelilla NASsiin, jolloin viimeistään kaikki verkkotason säätö muodostyy lähes turhaksi, sillä fyysinen tietoturva ei ole kunnossa. Eli tunnukset ja niiden kautta pääsynhallinta

 

[Tigerou]

Olettanen jotta kaikilla käyttäjillä on kuitenkin pääsy nettiin jatkuvasti?
Vaikka olisi minkälainen palomuurikin niin reikiähän löytyy parhaistakin purkeista jatkuvasti. MikroTikin vanhemmat sinänsä hyvät purkit ikävänä esimerkkinä. Joten varmistukset, varmistukset ja varmistukset (offline-moisetkin) heti kuntoon.
Jottei ennemmin tai myöhemmin sisään pääsevä mato pääse ainakaan kryptaamaan levyjänne.