ドメインコンピュータが互いに通信することを許可しない

9

私たちのドメインは約60台のコンピューターで構成されています。私はWindows 10ワークステーションが互いに通信できないようにすることを任されています。私のマネージャーは、コンピューターがネットワークプリンター、ファイルサーバー、DCとのみ通信し、インターネットにアクセスできるように、静的ルートを作成するように依頼しました。

これらのコンピューターはすべて同じネットワーク上にあるため、静的ルートがこれらのコンピューターの相互参照を妨げるとは思いません。ドメイン上のコンピューターがネットワークリソースを使用できるが、互いに直接通信できないようにするための最良の方法は何ですか?

networking  security  domain  static-routes 
Taiwie
ソース
12
ルートはこれを行う方法ではありません。ファイアウォールルールがあります。
EEAA 2017
管理可能なスイッチとファイアウォールはありますか?
sdkks 2017
2
ワークステーションがワイヤレスで接続されている場合、高度なアクセスポイントでクライアントを隔離すると、2つのwifiクライアントが相互に通信できなくなります。
sdkks 2017
@EEAA目的は、侵害されたマシンから他のマシンへのレイヤー2攻撃を完全に防ぐことかもしれないと思う。
sdkks 2017
1
@sdkksこれらの攻撃は、厳密なインバウンドファイアウォールルールによって簡単に軽減されます。
EEAA 2017

回答:

16

それをサポートするスイッチがある場合、ケーブル接続の「保護ポート」またはWi-Fi上のアクセスポイントの「クライアント分離」は、同じレイヤー2ネットワーク内のホスト間のトラフィックを排除するのに役立ちます。

たとえば、これはCiscoスイッチのマニュアルからのものです。

保護ポートには次の機能があります。保護ポートは、トラフィック(ユニキャスト、マルチキャスト、またはブロードキャスト)を、保護ポートでもある他のポートに転送しません。レイヤ2の保護ポート間でデータトラフィックを転送することはできません。PIMパケットなどの制御トラフィックのみが転送されます。これらのパケットはCPUによって処理され、ソフトウェアで転送されるためです。保護ポート間を通過するすべてのデータトラフィックは、レイヤ3デバイスを介して転送される必要があります。

したがって、それらの間でデータを転送するつもりがない場合は、それらが「保護」された後でアクションを実行する必要はありません。

保護ポートと非保護ポート間の転送動作は、通常どおりに進行します。

クライアントを保護したり、DHCPサーバー、ゲートウェイなどを保護されていないポートに配置したりできます。

更新27-07-2017
@sirexが指摘したように、スタックされていない複数のスイッチがある場合、つまり実質的に単一のスイッチではない場合、保護されたポートはそれらの間のトラフィックを停止しません

注:一部のスイッチ(プライベートVLAN Catalystスイッチサポートマトリックスで指定)は、現在、PVLANエッジ機能のみをサポートしています。「保護されたポート」という用語もこの機能を指します。PVLANエッジポートには、同じスイッチ上の他の保護されたポートとの通信を妨げる制限があります。ただし、個別のスイッチ上の保護ポートは相互に通信できます。

その場合は、隔離されたプライベートVLANポートが必要になります。

状況によっては、デバイスを異なるIPサブネットに配置せずに、スイッチ上のエンドデバイス間のレイヤー2(L2)接続を防止する必要があります。この設定により、IPアドレスの浪費を防ぎます。プライベートVLAN(PVLAN)は、同じIPサブネット内のデバイスのレイヤー2での分離を可能にします。スイッチの一部のポートを制限して、デフォルトゲートウェイ、バックアップサーバー、またはCisco LocalDirectorが接続されている特定のポートのみに到達するようにできます。

PVLANが複数のスイッチにまたがっている場合、スイッチ間のVLANトランクは標準のVLANポートでなければなりません。

トランクを使用して、スイッチ間でPVLANを拡張できます。トランクポートは、通常のVLANからのトラフィックだけでなく、プライマリVLAN、独立VLAN、コミュニティVLANからのトラフィックも伝送します。トランキングを受ける両方のスイッチがPVLANをサポートする場合は、標準のトランクポートを使用することをお勧めします。

シスコのユーザーであれば、このマトリックスを使用し、スイッチが必要なオプションをサポートしているかどうかを確認できます。

sdkks
ソース
1
分離されたVLANも機能し、マルチスイッチに対応
Sirex
@SirexはVLANのトランキングと転送が原因ですか?
sdkks 2017
1
はい。私が理解しているように、2つのソリューションはどのように違うのですか。
Sirex 2017
@Sirex私はあなたの改善提案を追加しました
sdkks '27 / 07/27
注意点として、TP-LinkスマートシリーズにはMTU VLAN(マルチテナントユニットVLAN)と呼ばれる機能もあり、アップリンクを使用して個別のVLAN上のすべてのポートを作成します。
fsacer
11

クライアントごとに1つのサブネットを作成するような恐ろしいことをした場合、これを行うことができます。これは管理上の悪夢になります。

適切なポリシーを備えたWindowsファイアウォールがこれを支援します。ドメインの分離などを行うこともできますが、さらに制限が厳しくなります。サーバーを1つのOUに、ワークステーションを別のOUに配置して、OUごとにルールを適用できます。これを簡単にするために、プリンター(およびサーバー)がワークステーションと同じサブネット上にないことを確認する必要もあります。

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

ネットワークプリンターについて-直接印刷を許可しないが、プリンターをプリントサーバーからの共有キューとしてホストした場合、これをさらに簡単にすることができます。これは、さまざまな理由から長い間、良い考えでした。

これの実際のビジネス目標は何ですか?マルウェアの発生を防ぐのに役立ちますか?全体像/仕上げ線を念頭に置いておくと、要件を定義するのに役立ちます。そのため、常に問題の一部にすべきです。

mfinni
ソース
これは、wannacryエクスプロイトなどの攻撃から保護するためだと思います。
sdkks 2017
3
確かに、それは私の推測でもありましたが、私はこの質問の側面について質問質問者に思い出させるのが好きです。
mfinni 2017
はい、ここでの目標は、マルウェアの発生の拡大を制限することです。
taiwie 2017
ドメインのメンバーではないBYODデバイスがない限り、このソリューションはOPのコストがかかりません。(すべてのマシンがWindowsであると想定)
sdkks 2017
-3

各ワークステーションを特定のユーザーにバインドできる場合は、そのユーザーのみにそのワークステーションへのアクセスを許可できます。

これはドメインポリシー設定です。ローカルでログオンする権利です。

これは、ユーザーが最寄りのワークステーションに行って自分のパスワードを入力して自分の指定したマシンにアクセスすることを妨げるものではありませんが、簡単に検出できます。

また、これはWindows関連のサービスにのみ影響するため、マシン上のWebサーバーには引き続きアクセスできます。

パオロ
ソース
1
また、パッチが適用されていないエクスプロイトを使用するマルウェアがワークステーション間を移動するのを防ぎません。
mfinni 2017
@mfinniもちろん。残念なことに、opは、要件が実際の(テクニカルサビーマネージャー)か、流行語を要求するマネージャーかを指定しませんでした。また、目標も重要です。他の回答で述べられているように、脅威を実際に保護するには、低osiレベルのソリューションが必要であると述べています。ホストがサーバーと通信する場合、マルウェアの拡散からの保護はまだありません...
Paolo
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.