Infrastruktura sítě?

[NoName000]

Dobrý den všem,
v sítích se pohybuji nějaký pátek, ale nedávno se mě jeden kolega zeptal, jak bych řešil určitou situaci a kde vidím výhody a nevýhody, avšak jsem byl v koncích, tuto situaci jsem ještě neviděl, tak se chci s vámi podělit a zjistit i názor jiných...

Topologie:
- každý server vlastní VLAN
- VLAN pro zaměstnance
- VLAN pro management

Pak tam je řešené routování mězi VLANy a přístupy k externím serverům vše ma GW firewalu.

Zásadní co mě zarazilo: každý klient (zaměstnanec) má VPN tunel, který používá jak uvnitř tak i zvenku firmy, pokud tedy dojde do firmy a nezapne VPN dostane se pouze na internet.

Setkal jste se někdo s tímto řešením? Jak je lze nějak jednodušeji nahradit (radius?) či je nechat? Výhodu vidím akorát v tom, že udělím přístupy lidem z VPN a nemusím řešit přístupy jak z VPN tak z vnitřní sítě...

Díky za diskusi

[Reklama]

[Jose D]

Zásadní co mě zarazilo: každý klient (zaměstnanec) má VPN tunel, který používá jak uvnitř tak i zvenku firmy, pokud tedy dojde do firmy a nezapne VPN dostane se pouze na internet.

Přijde mi to jako celkem elegantní řešení, když nedokážu fyzicky zabezpečit přístup k portům vnitřní sítě - různé rj45 zásuvky ve vstupní hale aj. Nicméně takto řešené jsem to zatím neviděl
Celkem postrádám význam oddělené VLANy pro management - pokud mají všichni vytočenou VPN?

[NoName000]

Management = management prvků
Jako řešení to není špatné, ale právě nikde jsem to neviděl, viděl jsem třeba Radius server s certifikátama+ VPN, ale třeba VPN + Radius používající stejné certifikáty by též fungoval (myslím), jen opět další zesložitění sítě... Proto hledám lepší řešení

[DgBd]

radius umožňuje definovat ACL, který se pak použije při přihlášení přes 802.1X do sítě.  Na lepších switchích se tak dá zabránit přístupu neznámého počítače do sítě. Zásadní zlepšení s výjimkou výkonnostního v tom ale nevidím.

[M.]

Ano, viděl několikrát a i v drsnější podobě (z vnitřku sítě nefunguje vůbec internet, notebook odnesený mimo firmu nemá přistup na internet, jde spustit jen VPN klient a notebook vidí internet jen skrz filtrující proxinu dostupnou přes VPN)...
Samozřejmě je otázka, zda v dané instalaci to není přehnané, ale pokud přenosovou infrastrukturu mezi koncovými počítači a místem se servery nemá firma plně pod kontrolou (různé open space, aktivní prvky jsou v přístupných místech, pronájimané prostory, kde musím používat síť majitele budovy atd), tak je to možné řešení.
Samozřejmě dle analýzy přesně dané situace by šlo hledat možná něco vhodnějšího. Např switche mám fyticky zabezpečené ve svém prostoru, stejně tak koncové zásuvky jsou s rozvody v mém prostoru, tak na koncové zásuvky stačí 802.1x (pro eliminici připojení ciího počítače). Jen propoj do servrovny není pod mojí plnou kontrolou (jde skrz cizí firmu, pronájem, ...), tak použiju switche s MACsec podporou (802.1AEbn), které komunikaci mezi sebou fyzicky šifrují... Záleží vžy na konktrétním případě.
Jsou i sítě, které používají speciální kabeláž, která má detekci pokusu o narušneí kabelu a reaguje se odpojením daného portu na to....

[Reklama]

[j]

Me to prijde jako celkem dobry reseni, nevyhoda bude vykon, ovsem je otazka, zda limituje nejakym zpusobem provoz. Vyhoda je predevsim v tom, ze vsechna pravidla kdo kam muze jsou na jednom miste a tim je nejaky firewall. Znamena to pomerne jednoduchou spravu - pokud samo nejsou pravidla per user, ale na skupiny.

Proti jinym resenim je to predevsim jednotny => netreba resit jinak zvenku a jinak zevnitr.

Navic narozidl od jinych reseni netreba resit co HW umi/neumi (radius treba).

[majky358]

Tak pokiaľ sa jedná o zabezpečenie portov, na nejaké tie koncové zariadenia to je viacmenej dostačujúce. Môj menší dotaz, da sa riešiť
radiusom..alebo niečo podobné čo pracuje na základe kontroly vlan tagov - tu by sa uplatňovali politiky. I keď  v tomto prípade
by to šlo aj na základne sourcu najskôr...