डोमेन कंप्यूटर को एक दूसरे के साथ संवाद करने की अनुमति न दें

9

हमारे डोमेन में लगभग 60 कंप्यूटर हैं। मुझे यह सुनिश्चित करने का काम सौंपा गया है कि विंडोज 10 वर्कस्टेशन एक दूसरे के साथ संवाद नहीं कर सकते। मेरे प्रबंधक ने पूछा कि मैं स्थैतिक मार्ग बनाता हूं ताकि कंप्यूटर केवल नेटवर्क प्रिंटर, फ़ाइल सर्वर, डीसी के साथ संवाद कर सकें और इंटरनेट का उपयोग कर सकें।

चूंकि सभी शोध कंप्यूटर एक ही नेटवर्क पर हैं, मेरा मानना ​​है कि स्थिर मार्ग इन कंप्यूटरों को एक दूसरे को देखने से रोकने के लिए नहीं जा रहे हैं। डोमेन पर कंप्यूटर को नेटवर्क संसाधनों का उपयोग करने की अनुमति देने का सबसे अच्छा तरीका क्या है, लेकिन एक दूसरे के साथ सीधे संवाद नहीं करते हैं?

networking  security  domain  static-routes 
taiwie
स्रोत
12
रूट ऐसा करने का तरीका नहीं हैं। फ़ायरवॉल नियम हैं।
ईईएए
क्या आपके पास प्रबंधनीय स्विच और फ़ायरवॉल है?
sdkks
2
यदि वर्कस्टेशन वायरलेस तरीके से जुड़े हुए हैं, तो उन्नत पहुंच बिंदुओं में क्लाइंट अलगाव किसी भी 2 वाईफाई क्लाइंट को एक दूसरे के साथ संवाद करने से रोक देगा।
sdkks
@ ईईएए मुझे लगता है कि उद्देश्य समझौता मशीनों से लेयर 2 के हमलों को पूरी तरह से रोकना हो सकता है।
sdkks
1
@sdkks उन हमलों को आसानी से सख्त इनबाउंड फ़ायरवॉल नियमों के माध्यम से कम किया जाता है।
EEAA

जवाबों:

16

यदि आपके पास एक स्विच है जो इसका समर्थन करता है, तो कैबल कनेक्शन के लिए 'संरक्षित पोर्ट' या वाई-फाई पर पहुंच बिंदुओं के लिए 'क्लाइंट आइसोलेशन' आपको उसी लेयर -2 नेटवर्क में मेजबानों के बीच यातायात को खत्म करने में मदद कर सकते हैं।

उदाहरण के लिए, यह सिस्को स्विच मैनुअल से है:

संरक्षित बंदरगाहों में ये विशेषताएं हैं: एक संरक्षित बंदरगाह किसी भी अन्य बंदरगाह जो एक संरक्षित बंदरगाह भी है, किसी भी यातायात (यूनिकस्ट, मल्टीकास्ट, या प्रसारण) को आगे नहीं बढ़ाता है। परत 2 पर संरक्षित बंदरगाहों के बीच डेटा ट्रैफ़िक को अग्रेषित नहीं किया जा सकता है; केवल नियंत्रण ट्रैफ़िक, जैसे PIM पैकेट, को अग्रेषित किया जाता है क्योंकि ये पैकेट CPU द्वारा संसाधित किए जाते हैं और सॉफ़्टवेयर में अग्रेषित किए जाते हैं। संरक्षित बंदरगाहों के बीच से गुजरने वाले सभी डेटा ट्रैफ़िक को लेयर 3 डिवाइस के माध्यम से अग्रेषित किया जाना चाहिए।

इसलिए यदि आप उनके बीच डेटा ट्रांसफर करने का इरादा नहीं रखते हैं, तो आपको 'संरक्षित' होने के बाद कार्रवाई करने की आवश्यकता नहीं है।

एक संरक्षित बंदरगाह और एक असुरक्षित बंदरगाह के बीच व्यवहार को अग्रेषित करना सामान्य रूप से आगे बढ़ता है।

आपके क्लाइंट सुरक्षित हो सकते हैं, डीएचसीपी सर्वर, गेटवे आदि असुरक्षित बंदरगाहों पर हो सकते हैं।

अपडेट 27-07-2017
जैसा कि @sirex ने बताया, यदि आपके पास एक से अधिक स्विच हैं जो स्टैक्ड नहीं हैं, जिसका अर्थ है कि वे वस्तुतः एक भी स्विच नहीं हैं, संरक्षित पोर्ट उन लोगों के बीच ट्रैफ़िक को नहीं रोकेंगे ।

नोट: कुछ स्विच (जैसा कि निजी वीएलएएन कैटलिस्ट स्विच सपोर्ट मैट्रिक्स में निर्दिष्ट है) वर्तमान में केवल पीवीएलएन एज सुविधा का समर्थन करता है। शब्द "संरक्षित पोर्ट" भी इस सुविधा को संदर्भित करता है। PVLAN एज पोर्ट में एक प्रतिबंध है जो एक ही स्विच पर अन्य संरक्षित पोर्ट के साथ संचार को रोकता है। अलग-अलग स्विच पर संरक्षित पोर्ट, हालांकि, एक दूसरे के साथ संवाद कर सकते हैं।

अगर ऐसा है तो आपको अलग-अलग निजी वीएलएएन बंदरगाहों की आवश्यकता होगी :

कुछ स्थितियों में, आपको अलग-अलग आईपी सबनेट में उपकरणों की नियुक्ति के बिना एक स्विच पर अंतिम उपकरणों के बीच परत 2 (L2) कनेक्टिविटी को रोकने की आवश्यकता है। यह सेटअप IP पतों की बर्बादी को रोकता है। निजी वीएलएएन (पीवीएलएएन) समान आईपी सबनेट में उपकरणों के लेयर 2 पर अलगाव की अनुमति देते हैं। आप केवल डिफ़ॉल्ट पोर्टवे, बैकअप सर्वर, या सिस्को LocalDirector संलग्न है जो केवल विशिष्ट पोर्ट तक पहुँचने के लिए स्विच पर कुछ पोर्ट प्रतिबंधित कर सकते हैं।

यदि PVLAN कई स्विचों पर फैल रहा है, तो स्विचों के बीच VLAN ट्रंक मानक VLAN पोर्ट होने चाहिए ।

आप चड्डी के उपयोग के साथ स्विच भर में PVLANs का विस्तार कर सकते हैं। ट्रंक पोर्ट ट्रैफ़िक को नियमित वीएलएएन से और प्राथमिक, पृथक और समुदाय वीएलएएन से भी ले जाते हैं। सिस्को मानक ट्रंक पोर्ट के उपयोग की सिफारिश करता है यदि दोनों स्विच जो ट्रंकिंग समर्थन पीवीएलएएन से गुजरते हैं।

यदि आप सिस्को उपयोगकर्ता हैं, तो आप इस मैट्रिक्स का उपयोग यह देखने के लिए कर सकते हैं कि आपके स्विच आपके लिए आवश्यक विकल्पों का समर्थन करते हैं या नहीं।

sdkks
स्रोत
1
पृथक vlans भी काम करेंगे, और मल्टी-स्विच फ्रेंडली होंगे
Sirex
@ विलेन ट्रंकिंग और फॉरवर्डिंग की वजह से?
sdkks
1
हाँ। जैसा कि मैंने समझा कि यह कैसे दो समाधान अलग है।
सेरेक्स
@ साइरेक्स मैंने आपका सुधार सुझाव जोड़ा
sdkks
एक नोट के रूप में टीपी-लिंक स्मार्ट श्रृंखला पर एमटीयू वीएलएएन (मल्टी-टेनेंट यूनिट वीएलएएन) नामक एक विशेषता भी है जो अपलिंक के साथ वीएलएएन को अलग करती है।
fsacer
11

आप ऐसा कर सकते हैं, अगर आपने प्रति ग्राहक 1 सबनेट बनाने के रूप में कुछ भयानक किया। यह एक प्रबंधन बुरा सपना होगा।

Windows फ़ायरवॉल, उपयुक्त नीतियों के साथ, इसके साथ मदद करेगा। आप डोमेन अलगाव की तरह कुछ कर सकते हैं, लेकिन और भी अधिक प्रतिबंधक। आप प्रति OU में नियम लागू कर सकते हैं, एक OU में सर्वर और दूसरे में वर्कस्टेशन। आप यह भी सुनिश्चित करना चाहेंगे कि प्रिंटर (और सर्वर) एक ही सबनेट पर नहीं हैं क्योंकि यह सरल बनाने के लिए वर्कस्टेशन है।

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

नेटवर्क प्रिंटर के बारे में - आप इसे और भी आसान बना सकते हैं यदि आपने प्रत्यक्ष मुद्रण की अनुमति नहीं दी है, लेकिन प्रिंट सर्वर से साझा कतारों के रूप में प्रिंटर को होस्ट किया है। यह कई कारणों से लंबे समय से एक अच्छा विचार रहा है।

क्या मैं पूछ सकता हूं कि इसका वास्तविक व्यावसायिक लक्ष्य क्या है? क्या मैलवेयर के प्रकोप को रोकने में मदद करना है? बड़ी तस्वीर / फिनिश लाइन को ध्यान में रखते हुए आवश्यकताओं को परिभाषित करने में मदद मिलती है, इसलिए हमेशा आपके प्रश्न का हिस्सा होना चाहिए।

mfinni
स्रोत
मैं यह अनुमान लगा रहा हूं कि यह वैनाचार्य शोषण जैसे हमलों से रक्षा करना है।
sdkks
3
यकीन है, यह मेरा अनुमान भी था, लेकिन मुझे सवाल पूछने के इस पहलू के बारे में सवाल पूछने वाले याद दिलाना पसंद है।
mfinni
हाँ यहाँ लक्ष्य किसी भी मैलवेयर के प्रकोप के प्रसार को सीमित करना है।
तावी जूल
जब तक कोई BYOD डिवाइस नहीं है जो डोमेन का सदस्य नहीं है, यह समाधान ओपी के लिए शून्य लागत का होगा। (सभी मशीनों विंडोज हैं)
sdkks
-3

यदि आप प्रत्येक कार्य केंद्र को किसी विशिष्ट उपयोगकर्ता से बाँध सकते हैं तो आप केवल उस उपयोगकर्ता को उस कार्य केंद्र तक पहुँचने की अनुमति दे सकते हैं।

यह एक डोमेन नीति सेटिंग है: लॉगऑन स्थानीय रूप से सही है।

यह उपयोगकर्ता को निकटतम कार्य केंद्र में जाने और उसके / उसके नामित मशीन तक पहुंचने के लिए पासवर्ड दर्ज करने से नहीं रोकता है, लेकिन यह आसानी से उपलब्ध है।

इसके अलावा यह केवल विंडोज से संबंधित सेवाओं को प्रभावित करता है इसलिए मशीनों पर एक वेबसर्वर अभी भी सुलभ होगा।

पाओलो
स्रोत
1
यह मैलवेयर को भी नहीं रोकता है जो कार्यस्थानों के बीच अप्रकाशित कारनामों का उपयोग करने से रोकता है।
mfinni
@ मफिनानी ज़रूर दुर्भाग्य से op निर्दिष्ट नहीं किया गया था यदि आवश्यकता वास्तविक है (तकनीकी सेवी प्रबंधक) या buzzwords के लिए पूछने वाला प्रबंधक। इसके अलावा लक्ष्य महत्वपूर्ण है: खतरों के लिए वास्तविक सुरक्षा के लिए आप कम ओएसआई स्तर के समाधान का उल्लेख करते हैं, जैसा कि अन्य उत्तरों में कहा गया है। और अगर मेजबान सर्वरों के साथ संवाद करते हैं तो अभी भी मैलवेयर फैलने से कोई सुरक्षा नहीं है ...
पाओलो
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.