- Razdvajanje korporativne mreže i mreže za goste može se obaviti pomoću podmreža i VLAN-ova bez dupliciranja cijele infrastrukture.
- Kombinirana upotreba NAT-a, statičkih ruta i pravila vatrozida omogućuje vam kontrolu nad time koji uređaji pristupaju internetu i kojim resursima.
- Povezivanje različitih SSID-ova s različitim VLAN-ovima izolira WiFi zaposlenika od WiFi-ja korisnika, a istovremeno održava jednu fizičku mrežu.
- Filtriranje prema IP adresi, domeni i segmentaciji pomaže u zaštiti kamera, pisača i poslužitelja od neovlaštenog pristupa.
Odvojite uredsku mrežu od gostujuće ili klijentske mreže Postalo je gotovo obavezno za svako poduzeće, bez obzira koliko malo. Ne govorimo samo o privatnosti podataka, već i o izbjegavanju svakodnevnih problema poput susjeda koji gleda vaše IP kamere ili kupaca koji preopterećuju vezu koju vaši zaposlenici koriste za posao. Ako trebate poboljšati sigurnost svoje Wi-Fi mreže, pogledajte kako zaštititi... mreža gostiju ili klijenata.
Konfigurirajte dvije potpuno odvojene mreže na istom usmjerivaču ili infrastrukturi U početku se može činiti komplicirano, posebno kada se u obzir uzmu koncepti poput VLAN-ova, NAT-a ili statičkih ruta. Međutim, uz dobro planiranje i razumijevanje što svaki element (usmjerivač, sklopka, vatrozid, pristupne točke itd.) radi, moguće je imati sigurnu internu mrežu za tvrtku i zasebnu, izoliranu mrežu za klijente, susjede ili manje pouzdane uređaje.
Tipičan scenarij: dvije neovisne mreže dijele infrastrukturu
Jedan od najčešćih slučajeva u uredima i malim poduzećima To uključuje dvije različite logičke mreže koje iz različitih razloga dijele dio hardvera ili čak internetsku vezu. Na primjer, tvrtka koja dijeli liniju s tvrtkom na katu ispod ili ured koji želi ponuditi Wi-Fi klijentima bez mogućnosti pristupa njegovim poslužiteljima ili kamerama.
Zamislite vrlo uobičajenu situaciju iz stvarnog životaPoslovni prostor u prizemlju ima pristup internetu i vlastiti ruter na mreži 192.168.1.x. Gore, drugi ured spaja svoj vlastiti ruter na prvi i stvara vlastitu mrežu, 192.168.2.x. Problem nastaje kada, zbog incidenta, poslovni prostor u prizemlju treba vidjeti IP kamere i DVR spojene na mrežu na katu, ali ne može pristupiti ostaloj opremi.
U ovom kontekstu, ključno je kontrolirati koji je promet dopušten između podmreža. i koji je promet blokiran. Može otvoriti vrlo specifičnu pristupnu točku (na primjer, na Reolink DVR priključak) koristeći fino podešena pravila vatrozida, tako da susjedi mogu vidjeti kamere, ali nikada ne mogu pristupiti računalima, poslužiteljima ili internim resursima.
Drugi tipičan scenarij je imati dvije međusobno povezane zgrade ili dva kata To se postiže putem posredničkog usmjerivača ili bežične veze (na primjer, korištenjem Ubiquiti antena), gdje svaka zgrada ima vlastitu podmrežu (192.168.1.0/24 i 192.168.2.0/24) i vatrozid ili pfSense usmjerivač koji upravlja njezinim pristupom internetu. Razdvajanje mreže već postoji, ali moraju se donijeti odluke o tome što se može, a što ne može usmjeravati između zgrada i kako upravljati WAN pristupom kada je dostupno više veza.
Korištenje više internetskih veza i sigurnosna kopija preko mreže
Mnogi uredi kombiniraju nekoliko internetskih linija.Bilo da je to zato što je potrebna veća propusnost ili zato što je potrebna redundancija kada primarna veza zakaže, uobičajeno je vidjeti dva neovisna usmjerivača ili vatrozida, svaki sa svojim vlastitim ISP-om, i dvije odvojene interne mreže. To postavlja pitanje: može li se ISP druge mreže koristiti kao rezerva ako moja linija padne?
Kada ISP modemi rade putem PPPoE-a Budući da se izravno spajaju na svaki vatrozid, nije uvijek izvedivo izravno priključiti drugi vatrozid na isti modem. U tom slučaju, uobičajeni pristup je korištenje posredničkog uređaja koji izvodi NAT i distribuira vezu na oba vatrozida. Ova ideja je valjana, ali uvodi veću latenciju, više hardvera i više točaka kvara, pa vrijedi razmotriti alternative.
Profesionalna opcija je centralizirati pristup internetu na jednom računalu. (Na primjer, snažan vatrozid ili poslovni usmjerivač) koji ima više WAN mreža i obrađuje uravnoteženje opterećenja i prebacivanje u slučaju kvara. Na taj način obje interne mreže (tvrtka i klijenti) pristupaju internetu putem istog uređaja, ali ostaju izolirane na razini usmjeravanja i vatrozida.
Ako već postoje dva potpuno odvojena vatrozida ili usmjerivačaJedno rješenje je međusobno ih povezati pomoću trećeg sučelja ili tranzitne podmreže i primijeniti pravila koja omogućuju korištenje WAN-a jednog usmjerivača kao sigurnosne kopije za određene segmente druge mreže. Ovdje je ključno raditi s metrikama rute (statičkim ili dinamičkim) i, u naprednijim rješenjima, s protokolima usmjeravanja ili skriptama koje otkrivaju kvarove glavne linije.
Izolirajte mreže radi sigurnosti pomoću VLAN-ova i podmreža
Kada govorimo o odvajanju mreže zaposlenika i mreže gostijuČesto se to ne radi s dva fizička usmjerivača, već s jednom infrastrukturom koja podržava više VLAN-ova i podmreža. To je temelj gotovo svih modernih korporativnih mreža, a također i mnogih malih i srednjih poduzeća koja koriste opremu tvrtki TP-Link, Cisco, Mikrotik itd.
Vrlo raširena praksa u poslovnim mrežama To uključuje podjelu prometa po odjelima: istraživanje i razvoj, marketing, proizvod, administracija… Svaki ima svoju podmrežu i vlastiti VLAN. Ako se koriste i upravljane pristupne točke (kao što je TP-Linkovo CAP/AC rješenje), svaki WiFi SSID može se povezati s određenim VLAN-om, tako da gostujući WiFi i korporativni WiFi putuju kroz odvojene logičke "tunele" iako dijele istu mrežu.
Tipična topologija u ovakvom scenariju Uključuje gateway ruter koji izvodi NAT prema internetu, preklopnik sloja 3 gdje su definirani VLAN-ovi i L3 sučelja (jedna IP adresa po VLAN-u/podmreži) i nekoliko CAP-ova (upravljanih pristupnih točaka) koji emitiraju različite SSID-ove povezane s odgovarajućim VLAN-ovima.
Kako bi se sve ove mreže mogle spojiti na internetGateway usmjerivač mora podržavati Multi-Net NAT. Svaka podmreža, zajedno sa svojom maskom podmreže, ugrađena je u web sučelje usmjerivača, što ukazuje na to da se LAN promet treba prevesti u WAN. Istovremeno se stvaraju statičke rute gdje je odredište svaka interna podmreža, a sljedeći skok je IP adresa Layer 3 preklopnika koji djeluje kao "jezgra" mreže.
Ako već postoje dva potpuno odvojena vatrozida ili usmjerivačaJedno rješenje je međusobno ih povezati pomoću trećeg sučelja ili tranzitne podmreže i primijeniti pravila koja omogućuju korištenje WAN-a jednog usmjerivača kao sigurnosne kopije za određene segmente druge mreže. Ovdje je ključno raditi s metrikama rute (statičkim ili dinamičkim) i, u naprednijim rješenjima, s protokolima usmjeravanja ili skriptama koje otkrivaju kvarove glavne linije.
Konfiguriranje VLAN-ova, portova i usmjeravanja na preklopniku
Sljedeći korak je odvajanje mreža unutar iste fizičke infrastrukture To uključuje ispravno konfiguriranje VLAN-ova i ulogu svakog porta na preklopniku. Ovo je često srce mreže kada se radi o okruženjima s više SSID-ova, više ureda ili kombinacijom žičnih i bežičnih mreža.
U 802.1Q VLAN dijelu prekidača Prvo se definiraju portovi koji će raditi u trunk načinu rada, obično oni koji se spajaju na CAP-ove ili drugu distribucijsku opremu. Trunk port može istovremeno prenositi označeni promet iz više VLAN-ova, dok pristupni portovi nose samo jedan neoznačeni VLAN, namijenjen računalima, pisačima ili drugim krajnjim uređajima.
Zatim se stvaraju stvarni VLAN-ovi I portovi koji bi trebali biti članovi dodaju se svakom od njih. Na primjer, za VLAN100 i VLAN200 povezane s dva različita SSID-a, portovi 1/0/37 i 1/0/39 (na koje su spojeni CAP-ovi) uključeni su kao portovi članovi. Na taj će način promet koji dolazi označen s VLAN100 ili 200 prolaziti kroz te portove.
Također je uobičajeno definirati upravljački VLAN (Na primjer, VLAN 10) koji grupira port na koji su spojeni kontroler (AC), CAP-ovi i određeni port za upravljačko računalo. PVID 10 dodijeljen je tim portovima tako da sav neoznačeni promet prolazi kroz upravljački VLAN, što omogućuje upravljanje WiFi-jem i ostatkom bežične mreže samo s tog računala.
Preklopnici sloja 3 stvaraju L3 sučelja za svaki VLANdodjeljivanjem statičke IP adrese i maske podmreže koja će djelovati kao pristupnik za svaku podmrežu. Nakon toga se omogućuje DHCP poslužitelj po VLAN-u za distribuciju IP adresa bežičnim i žičanim klijentima; na tom poslužitelju definiraju se raspon IP adresa, pristupnik (vlastito L3 sučelje preklopnika) i DNS poslužitelji (obično izlazni usmjerivač ili javni DNS poslužitelji poput 8.8.8.8).
Treba imati na umu da je DHCP poslužitelj obično prema zadanim postavkama onemogućen. Na mnogim preklopnicima ovo je potrebno, pa nakon stvaranja adresnih grupa morate to izričito omogućiti. Ako zaboravite ovaj korak, uređaji koji se spajaju na SSID-ove neće dobiti IP adresu i izgledat će kao da Wi-Fi ne radi.
Konačno, na preklopniku se definira zadana statička ruta. (0.0.0.0/0) koji upućuje na gateway ruter, tako da se sav promet čije odredište nije interna podmreža prosljeđuje na gateway kako bi došao do interneta. Ova ruta osigurava da svi segmenti (VLAN100, VLAN200, VLAN10 itd.) imaju vanjsku povezivost, uvijek poštujući sva naknadno primijenjena pravila vatrozida.
Povežite SSID s VLAN-om kako biste odvojili WiFi mreže zaposlenika i kupaca
Jedna od velikih prednosti korištenja CAP/AC ili drugih upravljanih WiFi rješenja Omogućuje vam stvaranje više SSID-ova s različitim pravilima i njihovo povezivanje s različitim VLAN-ovima. To je upravo ono što nam treba kada želimo odvojiti korporativni Wi-Fi od Wi-Fi-ja za goste ili korisnike.
Opći postupak je običnoPrvo se pokreće kontroler (AC) i usvajaju se svi CAP-ovi. Nakon što je upravljanje centralizirano, potrebni SSID-ovi (na primjer, "Ured" i "Klijenti") dodaju se u odjeljak bežičnih usluga s odgovarajućim sigurnosnim konfiguracijama.
Zatim se svaki SSID povezuje s radiom na CAP-u. (2,4 GHz ili 5 GHz, ovisno o slučaju) i, ključno za izolaciju, povezano je s VLAN-om prethodno stvorenim na preklopniku. Tipičan primjer bio bi povezivanje SSID-a „v100“ s VLAN100 i SSID-a „v200“ s VLAN200, što uzrokuje da promet svake bežične mreže putuje kroz drugu podmrežu i domenu emitiranja.
Kontroler obično funkcionira i kao DHCP poslužitelj Za upravljački segment (mrežu u kojoj se nalaze CAP-ovi), IP adrese se dodjeljuju automatski. Obično postoji zadani DHCP poslužitelj čiji raspon odgovara IP adresi konfiguriranoj na AC sučelju, tako da CAP-ovi primaju konfiguraciju bez potrebe za dodatnim promjenama.
S ovim dizajnom, prijenosno računalo koje se povezuje na SSID zaposlenika Na primjer, uređaj koji se spaja na gostujući SSID primit će IP adresu tipa 172.16.10.x, dok će uređaj koji se spaja na gostujući SSID dobiti IP adresu 172.16.20.x. Oba će imati pristup internetu bez problema, ali samo će korporativni segment imati uvid u interne poslužitelje, pisače ili kamere, kako to dopušta vatrozid.
Kontrolirajte koji uređaji pristupaju internetu pomoću pravila vatrozida
Nakon što su mreže razdvojene, sljedeći korak je odlučiti tko može pristupiti internetu i u kojem smjeru. Tu na scenu stupa vatrozid usmjerivača ili sam sigurnosni uređaj (kao što je pfSense ili vatrozid integriran u Teltonika usmjerivač).
U Teltonika usmjerivačima, na primjer, koristi se izbornik Mreža – Vatrozid – Pravila prometa. Za izradu pravila prosljeđivanja koja dopuštaju ili blokiraju promet s LAN-a na WAN. U odjeljku "Dodaj novo pravilo prosljeđivanja" definirajte naziv pravila, izvornu zonu (LAN) i odredišnu zonu (WAN) te ih dodajte da biste započeli s konfiguriranjem.
Ako je cilj potpuno isključiti pristup internetu Za sve uređaje na LAN mreži jednostavno postavite protokol na "Bilo koji" i radnju na "Isključi". Od tog trenutka nadalje, nijedan uređaj na toj LAN mreži neće moći dosegnuti WAN. Ako kasnije ponovno trebate dopustiti promet, možete izbrisati ili onemogućiti pravilo bez potrebe za ponovnim podešavanjem cijele konfiguracije.
Također je moguće biti selektivniji. i blokirati samo jednog ili više klijenata na mreži. U tom slučaju, polje Izvorna adresa navodi točnu IP adresu koju treba blokirati (na primjer, 192.168.1.100) ili čak raspon, koristeći CIDR notaciju (na primjer, 192.168.1.100/30 za pokrivanje adresa od .100 do .103). Na taj način, stroj ili grupa strojeva je odsječena od interneta, dok ostali ostaju netaknuti.
Druga korisna opcija je ograničavanje pristupa samo određenim javnim IP adresama ili mrežamaUmjesto blokiranja na temelju izvora, ova metoda cilja odredište, navodeći IP adresu ili blok IP adresa poslužitelja koje treba ograničiti u polju Adresa odredišta. Ovo je jednostavan način sprječavanja klijenata u pristupu određenim vanjskim uslugama, a ostatak interneta ostaje dostupan.
U industrijskim okruženjima uobičajeno je željeti upravo suprotno.: spriječiti bilo kakav pristup internetu osim onog koji ide do vrlo specifičnog skupa cloud servera koji prikupljaju podatke s PLC-a ili senzora; preporučljivo je provesti reviziju i provjeru ovih pravila provjeriti sigurnost vaše lokalne mreže Korištenjem Nmapa i Wiresharka prije implementacije pravila, kreiraju se dva pravila: prvo dopušta promet samo tim specifičnim IP adresama na WAN-u, a drugo blokira sve ostale. Redoslijed pravila je ključan jer ih usmjerivač procjenjuje od vrha do dna i, nakon što pronađe podudaranje, prestaje provjeravati sljedeća pravila.
To osigurava da proizvodni uređaji Komuniciraju samo s ovlaštenim adresama, smanjujući površinu napada i ispunjavajući sigurnosne zahtjeve ili interne propise bez potrebe za vrlo složenom opremom.
Blokiranje određenih web stranica i filtriranje po domenama
Osim blokiranja prema IP adresi ili podmreži, mnoge tvrtke žele filtrirati prema domeni. kako bi se spriječio neovlašteni pristup stranicama za preuzimanje, sadržaju za odrasle, streamingu ili razmjeni trenutnih poruka na gostujućoj mreži ili čak korporativnoj mreži.
U Teltonika usmjerivačima, ova vrsta filtriranja se ne vrši u vatrozidu.Umjesto toga, možete mu pristupiti iz izbornika Usluge – Web filter. Tamo omogućavate uslugu i odabirete način rada: „Crna lista“ za blokiranje samo određenih domena ili „Bijela lista“ za dopuštanje samo nekoliko i blokiranje svega ostalog.
Proces uključuje unos domena jednu po jednu. na odgovarajućem popisu. Pomoću opcije Pregledaj možete dodati web-lokacije koje želite blokirati ili dopustiti, uvijek pamteći kliknuti "Dodaj", a zatim "Spremi i primijeni" da bi promjene stupile na snagu. To je jednostavan, ali učinkovit sustav za kontrolu vrste web prometa koji cirkulira klijentskom mrežom.
Ova vrsta filtera se vrlo dobro uklapa u koncept dvostruke mreže.Strože filtriranje može se održavati na gostujućoj mreži, dok je na internoj mreži tvrtke dopušten širi raspon web-mjesta, uvijek poštujući pravila organizacije. Kombinacija VLAN-ova i filtriranja domena pruža prilično granularnu kontrolu nad time što svaki korisnički profil može učiniti.
Slučajevi iz stvarnog života: IP kamere, pisači i problemi koegzistencije
Potreba za odvajanjem mreža nije teorijski koncept.To se obično pojavljuje kada počnu problemi iz stvarnog svijeta. Vrlo čest primjer su IP kamere i DVR-ovi smješteni na uredskoj mreži, kojima druga tvrtka ili susjed povremeno trebaju pristupiti bez da vide ostatak infrastrukture.
U slučaju kamere ili DVR-a tipa Reolink Tvrtka u prizemlju (192.168.1.x) spojena je na mrežu 192.168.2.x, a možda će morati pregledavati te kamere iz sigurnosnih razloga. Rješenje nije spajanje mreža, već stvaranje pravila vatrozida koja dopuštaju promet samo s određenih IP adresa na mreži 192.168.1.x na IP adresu i portove DVR-a na 192.168.2.x.
Drugi tipičan problem javlja se s mrežnim pisačima Kada dva ureda dijele istu podmrežu ili bežičnu mrežnu opremu, zadaci ispisa poslani na jedan pisač mogu se ispisati na drugom, posebno ako su oba istog modela i slabo različita. Razdvajanje mreža dvaju ureda u zasebne podmreže, svaka sa svojim vlastitim pristupnikom i VLAN-om, sprječava "skakanje" redova ispisa između njih. Ako se problemi s detekcijom pisača pojave na Windows računalima, pregledajte rješenja kao što je vodič za Windows 11 ne prepoznaje pisač.
Ako imate samo jedan modem vašeg internetskog operatera i jednu dijeljenu pristupnu točkuAlternativno, dodatni usmjerivač (kao što je TP-Link) može se koristiti za stvaranje zasebne mreže za Office 2. Ova nova mreža imat će vlastiti IP raspon, vlastiti WiFi ključ i, zahvaljujući NAT-u, ostatak infrastrukture će vidjeti sve uređaje kao da dolaze s jedne IP adrese usmjerivača Office 2, smanjujući vidljivost između segmenata.
U svim tim slučajevima, princip je istiOdvojene podmreže, odvojeni pristupnici i vatrozid koji kontrolira koji promet smije prelaziti s jedne na drugu. To osigurava da klijenti, susjedi ili manje pouzdani uređaji nikada nemaju izravan pristup "srcu" korporativne mreže.
Stvorite drugu WiFi mrežu na usmjerivačima mobilnih operatera
Mnogi kućni korisnici i mali uredi koriste usmjerivač operatora. (na primjer, „pametni WiFi“) i pitaju se je li moguće stvoriti drugu bežičnu mrežu kako bi odvojili svoju radnu opremu od mobitela, tableta ili uređaja posjetitelja.
Većina ovih rutera ima opciju za gostujuću WiFi mrežu.Time se stvara SSID zaseban od glavnog. Iako interno još uvijek može pripadati istoj podmreži ili određenom VLAN-u opreme operatera, za korisnika to već predstavlja logičku odvojenost koja sprječava, na primjer, goste da vide dijeljene resurse ili pisače glavnog računala.
Postavljanje je obično vrlo jednostavnoDa biste to omogućili, pristupite administratorskom sučelju usmjerivača, pronađite odjeljak za gostujuću WiFi mrežu ili "drugu WiFi mrežu" i aktivirajte ga konfiguriranjem drugog naziva mreže i lozinke. Neki uređaji vam čak omogućuju ograničavanje propusnosti ili vremena povezivanja ove gostujuće mreže.
Ako usmjerivač operatera ne podržava stvarno odvajanje prometa (na primjer, ne izolira promet gostiju od prometa glavne LAN mreže), može se pribjeći vlastiti neutralni ruter koji se spaja na mrežu operatera. Ovaj ruter stvara vlastitu podmrežu, pa čak i interne VLAN-ove, ostavljajući mrežu operatera samo kao most prema internetu.
Filozofija je ista kao i u ureduSigurna mreža za radne uređaje i druga mreža, s ograničenijim dopuštenjima, za mobilne telefone, tablete, IoT uređaje ili goste. Ova struktura pomaže u smanjenju rizika i održavanju minimalne razine reda kada je istovremeno povezano mnogo različitih uređaja.
Uzete zajedno, sve ove tehnike (podmreže, VLAN-ovi, NAT, pravila vatrozida i odvojeni SSID-ovi) Omogućuju vam izgradnju, čak i s relativno jednostavnim hardverom, mrežnog okruženja u kojem ured i korisnici koegzistiraju bez međusobnog ometanja, promet je kontroliran, a kritični resursi (kamere, DVR-ovi, pisači, poslužitelji) ostaju izolirani od neželjenog pristupa, poboljšavajući i sigurnost i svakodnevnu stabilnost u tvrtki.
Strastveni pisac o svijetu bajtova i tehnologije općenito. Volim dijeliti svoje znanje pisanjem, a to je ono što ću učiniti na ovom blogu, pokazati vam sve najzanimljivije stvari o gadgetima, softveru, hardveru, tehnološkim trendovima i još mnogo toga. Moj cilj je pomoći vam da se snađete u digitalnom svijetu na jednostavan i zabavan način.