No permita que las computadoras de dominio se comuniquen entre sí

9

Nuestro dominio consta de alrededor de 60 computadoras. Me encargaron asegurarme de que las estaciones de trabajo con Windows 10 no puedan comunicarse entre sí. Mi gerente me pidió que creara rutas estáticas para que las computadoras solo puedan comunicarse con las impresoras de red, el servidor de archivos, DC y acceder a Internet.

Dado que todas estas computadoras están en la misma red, no creo que las rutas estáticas eviten que estas computadoras se vean entre sí. ¿Cuál es la mejor manera de permitir que las computadoras en el dominio utilicen los recursos de la red, pero no se comuniquen directamente entre sí?

taiwie
fuente
12
Las rutas no son la forma de hacer esto. Las reglas de firewall son.
EEAA
¿Tiene conmutadores manejables y firewall?
sdkks
2
Si las estaciones de trabajo están conectadas de forma inalámbrica, el aislamiento del cliente en puntos de acceso avanzados evitará que cualquier cliente wifi 2 se comunique entre sí.
sdkks
@EEAA Creo que el objetivo podría ser evitar totalmente los ataques de capa 2 de máquinas comprometidas a otras.
sdkks
1
@sdkks Esos ataques se mitigan fácilmente mediante estrictas reglas de firewall entrantes.
EEAA

Respuestas:

16

Si tiene un conmutador que lo admite, los 'puertos protegidos' para las conexiones cableadas o el 'aislamiento del cliente' para los puntos de acceso en Wi-Fi pueden ayudarlo a eliminar el tráfico entre los hosts en la misma red de capa 2.

Por ejemplo, esto es del manual del switch Cisco :

Los puertos protegidos tienen estas características: un puerto protegido no reenvía ningún tráfico (unidifusión, multidifusión o difusión) a ningún otro puerto que también sea un puerto protegido. El tráfico de datos no se puede reenviar entre puertos protegidos en la capa 2; solo el tráfico de control, como los paquetes PIM, se reenvía porque estos paquetes son procesados ​​por la CPU y reenviados en el software. Todo el tráfico de datos que pasa entre puertos protegidos debe reenviarse a través de un dispositivo de Capa 3.

Entonces, si no tiene la intención de transferir datos entre ellos, no necesita tomar medidas una vez que estén 'protegidos'.

El comportamiento de reenvío entre un puerto protegido y un puerto no protegido continúa como de costumbre.

Sus clientes pueden estar protegidos, el servidor DHCP, la puerta de enlace, etc. pueden estar en puertos desprotegidos.

Actualización 27-07-2017
Como señaló @sirex, si tiene más de un conmutador que no está apilado, lo que significa que prácticamente NO es un solo conmutador, los puertos protegidos no detendrán el tráfico entre ellos .

Nota: Algunos conmutadores (como se especifica en la matriz de compatibilidad del conmutador VLAN Catalyst privado) actualmente solo admiten la función PVLAN Edge. El término "puertos protegidos" también se refiere a esta característica. Los puertos de PVLAN Edge tienen una restricción que impide la comunicación con otros puertos protegidos en el mismo conmutador. Sin embargo, los puertos protegidos en conmutadores separados pueden comunicarse entre sí.

Si ese es el caso, necesitaría puertos VLAN privados aislados :

En algunas situaciones, debe evitar la conectividad de capa 2 (L2) entre dispositivos finales en un conmutador sin colocar los dispositivos en diferentes subredes IP. Esta configuración evita el desperdicio de direcciones IP. Las VLAN privadas (PVLAN) permiten el aislamiento en la capa 2 de dispositivos en la misma subred IP. Puede restringir algunos puertos en el conmutador para llegar solo a puertos específicos que tengan una puerta de enlace predeterminada, un servidor de respaldo o un Cisco LocalDirector conectado.

Si PVLAN abarca varios conmutadores, las troncales de VLAN entre los conmutadores deben ser puertos VLAN estándar .

Puede extender las PVLAN a través de conmutadores con el uso de troncales. Los puertos troncales transportan el tráfico de las VLAN regulares y también de las VLAN primarias, aisladas y comunitarias. Cisco recomienda el uso de puertos troncales estándar si ambos conmutadores que se someten a enlaces troncales son compatibles con PVLAN.

Si es usuario de Cisco, puede usar esta matriz para ver si sus conmutadores admiten las opciones que necesita.

sdkks
fuente
1
vlans aislados también funcionarían y serían compatibles con varios conmutadores
Sirex
@Sirex debido a vlan trunking y reenvío?
sdkks
1
si. Según tengo entendido, así es como difieren las dos soluciones.
Sirex
@Sirex Agregué tu sugerencia de mejora
sdkks
Como nota, también hay una característica llamada VLAN MTU (VLAN de unidad de múltiples inquilinos) en la serie inteligente TP-Link que hace que cada puerto en VLAN separada con enlace ascendente.
fsacer
11

Podría hacer esto si hiciera algo tan horrible como hacer 1 subred por cliente. Esta sería una pesadilla administrativa.

El Firewall de Windows, con las políticas apropiadas, ayudará con esto. Podría hacer algo como Aislamiento de dominio, pero aún más restrictivo. Puede aplicar reglas por unidad organizativa, con los servidores en una unidad organizativa y las estaciones de trabajo en otra. También querrá asegurarse de que las impresoras (y los servidores) no estén en la misma subred que las estaciones de trabajo para simplificar esto.

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

Con respecto a las impresoras de red: podría hacer esto aún más fácil si no permitiera la impresión directa, pero alojara las impresoras como colas compartidas desde un servidor de impresión. Esta ha sido una buena idea durante mucho tiempo por múltiples razones.

¿Puedo preguntar cuál es el objetivo comercial real de esto? ¿Es para ayudar a prevenir brotes de malware? Tener en cuenta el panorama general / la línea de meta ayuda a definir los requisitos, por lo que siempre debe ser parte de su pregunta.

mfinni
fuente
Supongo que esto es para protegerse de ataques como el exploit wannacry.
sdkks
3
Claro, esa también fue mi suposición, pero me gusta recordar a los que hacen preguntas sobre esta faceta de hacer preguntas.
mfinni
Sí, el objetivo aquí es limitar la propagación de cualquier brote de malware.
taiwie
Mientras no exista un dispositivo BYOD que no sea miembro del dominio, esta solución tendrá un costo cero para OP. (Suponiendo que todas las máquinas son Windows)
sdkks
-3

Si puede vincular cada estación de trabajo a un usuario específico, puede permitir que solo ese usuario acceda a esa estación de trabajo.

Es una configuración de directiva de dominio: iniciar sesión localmente a la derecha.

Esto no impide que el usuario vaya a la estación de trabajo más cercana e ingrese su contraseña para acceder a su máquina designada, pero es fácilmente detectable.

Además, esto solo afecta a los servicios relacionados con Windows, por lo que un servidor web en las máquinas aún sería accesible.

Paolo
fuente
1
Tampoco evita que el malware que utiliza exploits sin parches se mueva entre estaciones de trabajo.
mfinni
@mfinni Claro. Desafortunadamente, el operador no especificó si el requisito es real (gerente técnico experto) o si un gerente solicita palabras de moda. Además, el objetivo es importante: para una protección real de las amenazas que menciona, se requiere una solución de bajo nivel de osi, como se indica en otras respuestas. Y si los hosts se comunican con los servidores, todavía no hay protección contra la propagación de malware ...
Paolo