LAN sécurisé au sein d'un LAN de bureau existant

12

Tout d'abord, j'allais publier ceci sur Server Fault mais honnêtement, je ne suis pas administrateur de réseau, je suis un étudiant CS qui a été appelé à trier quelque chose pour une très petite entreprise familiale qui vient d'emménager dans une petite des bureaux et je n'ai pas vraiment d'argent pour embaucher quelqu'un pour le trier, donc je dois apprendre ce qui est nécessaire pour terminer le travail. Je suis également conscient que cette question «LAN dans un LAN» a déjà été posée, alors n'hésitez pas à marquer cela comme un doublon, bien qu'aucune des questions existantes ne réponde vraiment aux questions que j'ai.

Ainsi, la question. Le bureau dans lequel nous avons emménagé est en train d'être converti d'un grand bâtiment précédemment utilisé par une seule entreprise en un «centre d'affaires» avec des chambres individuelles louées. Chaque chambre est câblée avec plusieurs ports Ethernet menant à une salle réseau avec une armoire remplie de commutateurs pour tout lier, bien que rien de cela ne soit utilisé pour autant que je sache. Le gars qui a géré le réseau a été licencié et c'est maintenant principalement un sanctuaire à son manque de gestion des câbles.

Les entreprises actuelles qui occupent les chambres dépendent toutes d'un réseau wifi fourni par un combo routeur / modem domestique fourni par le FAI 'BT HomeHub'. Étant donné que nous sommes réglementés par le gouvernement, je n'aime pas l'idée de partager un réseau et je doute que les régulateurs non plus.

Alors, quelles sont les options ici? Je ne peux vraiment rien faire pour le routeur / modem domestique car il y a plusieurs autres entreprises qui partagent cela pour un accès sans fil. J'aimerais idéalement accéder à Internet via ce modem, mais je dois m'assurer que le réseau sur lequel nous fonctionnons est complètement inaccessible par les autres appareils du réseau qui ne font pas partie de notre entreprise. J'ai parcouru certaines des offres de routeurs pour petites entreprises de Cisco ainsi que des points d'accès sans fil (l'accès sans fil étant la priorité immédiate), mais je ne sais pas si je peux atteindre ce qui précède avec un et je veux être certain avant de commander Matériel.

Je suis sûr que la meilleure option serait de simplement faire passer une autre ligne dans le bâtiment, mais cela ajoute un coût mensuel supplémentaire plus un contrat de service, donc je tiens à éviter cela pour le moment.

Avez-vous des réflexions sur la meilleure option dans cette situation et sur la façon de procéder?

Hexode
la source
3
Premières questions à vous poser: dans quelle mesure avons-nous besoin d'un accès Internet? L'entreprise mourra-t-elle? Le routeur domestique de BT meurt. Si cela est essentiel, louez votre propre ligne non-résidentielle. De préférence à partir d'un autre FAI, puis un déjà au bureau afin que vous puissiez l'utiliser comme sauvegarde d'urgence. Deuxième considération: qui a accès à l'armoire pleine de commutateurs? De quel modèle / capacités s'agit-il (c'est bien de savoir avant de commencer à travailler sur une solution). Sont-ils gérés commutés? Firmware à jour? Troisièmement, il est probablement temps de déterminer quels câbles sont câblés à vos pièces.
Hennes
Lorsque vous avez obtenu ces réponses, lisez les VLAN (pour les câblés). Pensez également à ne pas autoriser l'accès Internet à autre chose qu'un serveur de messagerie et à proxy tous les autres appareils derrière lui. (C'est un serveur comme pare-feu, logiquement derrière un serveur de messagerie et logiquement derrière un proxy) et un serveur de fichiers). Et pensez aux sauvegardes. L'un des pires départs serait si les gens stockaient des informations sur leurs ordinateurs portables plutôt que sur un lecteur réseau.
Hennes
Quel accès avez-vous à l'équipement? Avez-vous la permission de vous connecter au "combo routeur / modem domestique"? Quelle est la source de l'accès Internet du site? (Je suppose que DSL de BT. Juste une supposition. La réponse n'est pas Wi-Fi.) Si vous voulez "protéger" votre réseau contre d'autres réseaux sur site, le dispositif typique pour "protéger" un réseau est un pare-feu. Cela dit, de nombreux routeurs offrent des capacités internes de type "pare-feu" (probablement moins spécialisées / conçues pour la tâche qu'un périphérique pare-feu dédié). Certains équipements professionnels de Cisco peuvent avoir une courbe d'apprentissage élevée.
TOOGAM
Officiellement, je n'y ai pas accès, bien que je sois certain que cela pourrait être négocié, donc je m'en occuperai demain. Je cherche juste quelques idées sur ce qui pourrait être possible avec l'équipement déjà en place. La source semble être une ligne DSL professionnelle régulière, dont je sais qu'elle n'est pas «WiFi» (je ne suis pas un vétéran des réseaux, mais je ne suis pas si maladroit, ne vous inquiétez pas). Les VLAN semblent intéressants, je les examinerai certainement plus loin. J'ai du mal à assembler certains des concepts de mise en réseau avec la configuration du monde réel.
Hexodus
@TOOGAM Je ne m'attendrais pas à ce que l'utilisateur moyen d'un ordinateur comprenne certaines choses de mon "routeur" Cisco Small Business sans conseils. Sans parler de pouvoir configurer l'équipement réseau Cisco basé sur IOS. D'accord avec vous jusqu'à présent. Mais je ne pense vraiment pas que ce soit unique à Cisco; l'équipement spécialisé a souvent une courbe d'apprentissage abrupte. Heck, vous pouvez placer l'utilisateur moyen de l'ordinateur devant l' oscilloscope moyen et regarder les feux d'artifice. Je ne sais pas combien d' utilisateurs d'ordinateur au-dessus de la moyenne sauraient même utiliser un oscilloscope.
un CVn du

Réponses:

16

Tout d'abord: si vous êtes légalement tenu de procéder à la séparation du trafic, demandez toujours à une personne habilitée à le faire de signer tout plan conformément aux exigences légales avant de commencer à le mettre en œuvre. En fonction des exigences juridiques spécifiques, il pourrait bien être que vous avez à fournir des réseaux physiquement séparés sans point de confiance commun.

Cela dit, je pense que vous avez essentiellement trois options: VLAN 802.1Q (mieux) et plusieurs couches de NAT (pire) et réseaux physiquement séparés (les plus sécurisés, mais aussi compliqués et probablement les plus chers en raison du recâblage physique) .

Je suppose ici que tout ce qui est déjà câblé est Ethernet. Une partie de la norme Ethernet globale est ce que l'on appelle IEEE 802.1Q , qui décrit comment établir des réseaux locaux de couche liaison distincts sur la même liaison physique. C'est ce que l'on appelle des VLAN ou des LAN virtuels (remarque: le WLAN n'est absolument pas lié et dans ce contexte signifie normalement LAN sans fil et se réfère très souvent à l'une des variantes IEEE 802.11 ). Vous pouvez ensuite utiliser un commutateur haut de gamme (les produits bon marché que vous pouvez acheter pour un usage domestique n'ont généralement pas cette fonctionnalité; vous souhaitez rechercher un commutateur géré , idéalement un qui annonce spécifiquement la prise en charge 802.1Q, mais soyez prêt à payer une prime pour la fonctionnalité) configuré pour séparer chaque VLAN en un ensemble (éventuellement un seul) port (s). Sur chaque VLAN, des commutateurs de consommation courants (ou des passerelles NAT avec un port de liaison montante Ethernet, si vous le souhaitez) peuvent alors être utilisés pour répartir davantage le trafic au sein de l'unité de bureau.

L'avantage des VLAN, par rapport à plusieurs couches de NAT, est qu'il est complètement indépendant du type de trafic sur les câbles. Avec NAT, vous êtes coincé avec IPv4 et peut - être IPv6 si vous êtes chanceux, et devez également faire face à tous les maux de tête traditionnels de NAT parce que NAT rompt la connectivité de bout en bout (le simple fait que vous pouvez obtenir une liste de répertoires à partir d'un Le serveur FTP via NAT est un témoignage de l'ingéniosité de certaines personnes qui travaillent avec ce genre de choses, mais même ces solutions de contournement supposent généralement qu'il n'y a qu'un seul NAT le long de la route de connexion); avec les VLAN, car il utilise un ajout à la trame Ethernet , littéralement n'importe quoiqui peut être transféré via Ethernet peut être transféré via VLAN Ethernet et la connectivité de bout en bout est préservée, de sorte qu'en ce qui concerne IP, rien n'a changé, sauf l'ensemble de nœuds accessibles sur le segment de réseau local. La norme autorise jusqu'à 4 094 (2 ^ 12 - 2) VLAN sur une seule liaison physique, mais un équipement spécifique peut avoir des limites inférieures.

D'où ma suggestion:

  • Vérifiez si l'équipement maître (qui se trouve dans ce grand rack de commutateurs dans la salle réseau) prend en charge 802.1Q. Si tel est le cas, découvrez comment le configurer et le configurer correctement. Je recommanderais de commencer par faire une réinitialisation d'usine, mais assurez-vous de ne pas perdre de configuration importante en le faisant. Assurez-vous de bien conseiller à toute personne qui s'appuie sur cette connectivité qu'il y aura des interruptions de service pendant cette opération.
  • Si l'équipement maître ne prend pas en charge 802.1Q, trouvez-en un qui le fait et répond à vos besoins en termes de nombre de VLAN, de nombre de ports, etc., et achetez-le. Découvrez ensuite comment le configurer et le configurer correctement. Cela a l'avantage de pouvoir être séparé pendant la configuration, réduisant les temps d'arrêt pour tous les utilisateurs existants (vous le configurez d'abord, puis retirez l'ancien équipement et connectez le nouveau, de sorte que le temps d'arrêt serait limité à la façon dont longtemps, vous devez débrancher et rebrancher tout).
  • Demandez à chaque unité de bureau d' utiliser un commutateur ou un «routeur» domestique ou de petite entreprise (passerelle NAT) avec un port de liaison montante Ethernet, pour répartir davantage la connectivité réseau entre leurs propres systèmes.

Lorsque vous configurez les commutateurs, assurez-vous absolument de limiter chaque VLAN à son propre ensemble de ports, et assurez-vous que tous ces ports ne vont qu'à une seule unité de bureau. Sinon, les VLAN ne seront guère plus que des panneaux de courtoisie «ne pas déranger».

Parce que le seul trafic qui atteint les prises Ethernet de chaque unité serait le leur (grâce à la configuration de VLAN séparés et séparés), cela devrait fournir une séparation adéquate sans vous obliger à tout recâbler comme des réseaux réellement physiquement séparés.

De plus, surtout si vous implémentez des VLAN ou finissez par tout recâbler, profitez-en pour étiqueter correctement tous les câbles avec les numéros d'unité et de port! Cela prendra du temps supplémentaire, mais cela en vaudra plus que la peine d' aller de l'avant, surtout s'il y a un problème de réseau à l'avenir. Vérifiez que j'ai hérité d'un nid de câbles de rat. Et maintenant? sur Server Fault pour quelques conseils utiles.

un CVn
la source
2
Merci pour cette information très utile de Michael et votre suggestion semble raisonnable (j'ai voté pour le moment mais je n'ai pas 15 représentants pour le moment). Je ferai une enquête plus approfondie demain sur ce que le matériel existant prend en charge et je parlerai aux propriétaires du bâtiment pour savoir s'il pourrait être réutilisé de cette manière. Certes, les VLAN ressemblent plus à ce que je cherchais à réaliser avec un trafic complètement séparé, je vais donc faire quelques lectures à ce sujet. Cette question de panne de serveur que vous avez liée m'a fait rire, heureusement ce n'est pas aussi mauvais que ça. Je prendrai cependant vos conseils pour le trier. À votre santé!
Hexodus
2
En outre, il existe une autre option. Dans l'entreprise dans laquelle je travaille, nous nous sommes procuré un routeur 4G, avec un contrat séparé. Cela met moins de charge sur ce réseau sans fil existant et vous pouvez être sûr que vous aurez le même service, où que vous alliez, complètement détaché de tout le monde. Cela n'ajoute pas beaucoup de complexité et n'est pas aussi dispendieux.
Ismael Miguel