Kontrola dostępu do specyficznych zasobów

Pytanie: Korporacyjna sieć rozrasta się, a my musimy pomyśleć o ochronie serwerów. Teraz mamy wewnętrzną zaporę ogniową umieszczoną pomiędzy użytkownikami a serwerami, która pomaga kontrolować niektóre aspekty bezpieczeństwa. Rozpoczęliśmy wykorzystywanie serwera DHCP do kontrolowania przydziału adresów IP dla stacji roboczych, jednak potrzebujemy dodatkowej kontroli dostępu do specyficznych zasobów sieciowych. Staje się to dużym problemem, gdy użytkownik przemieszcza się lub musi zmienić konfigurację. Jak sobie z tym radzić?

Pytanie: Korporacyjna sieć rozrasta się, a my musimy pomyśleć o ochronie serwerów. Teraz mamy wewnętrzną zaporę ogniową umieszczoną pomiędzy użytkownikami a serwerami, która pomaga kontrolować niektóre aspekty bezpieczeństwa. Rozpoczęliśmy wykorzystywanie serwera DHCP do kontrolowania przydziału adresów IP dla stacji roboczych, jednak potrzebujemy dodatkowej kontroli dostępu do specyficznych zasobów sieciowych. Staje się to dużym problemem, gdy użytkownik przemieszcza się lub musi zmienić konfigurację. Jak sobie z tym radzić?

Odpowiedź: Do rozważenia jest użycie wirtualnej sieci lokalnej (VLAN). Zakładając, że wykorzystujemy zarządzalne przełączniki, to co zamierzamy zrobić można osiągnąć w dość łatwy sposób. W przypadku VLAN możemy pogrupować wybrane stacje robocze w specyficzną podsieć niezależnie od tego, w którym miejscu rzeczywistej sieci się znajdują. Upraszcza to definiowanie reguł zapory dla określonych stacji roboczych przez posługiwanie się zakresem podsieci zamiast indywidualnymi adresami IP.

Gdy zaczniemy konfigurację VLAN, z pewnością konieczne będzie rozróżnienie dwóch typów przełączników - pracujących w warstwach 2 i 3. Przełączniki warstwy 3 dają większe możliwości konfiguracji, ale są zdecydowanie droższe. Przełączniki warstwy

2 mogą brać udział w tworzeniu sieci VLAN, ale nie mają zbyt dużej funkcjonalności. O ile to jest możliwe, główny przełącznik w sieci powinien pracować w warstwie 3.

Zależnie od producenta przełącznika wybranego do tworzenia VLAN, warto sprawdzić jedną rzecz. Prawdopodobnie będziemy potrzebowali jednego przełącznika (możliwe, że więcej, ale to sprawa zależna od producenta), który będzie utrzymywał główną bazę danych informacji o VLAN. Zanim przyłączymy nowy przełącznik do sieci, skonfigurujmy go jako klienta - nie serwer - w konfiguracji VLAN. Unikniemy ryzyka usunięcia konfiguracji sieciowej VLAN przez dodanie kolejnego serwera VLAN.

Sugerujemy także udokumentowanie każdego portu na przełącznikach, w celu lepszej orientacji w połączeniach na panelu krosowym. Warto również umieścić naklejki z nazwiskami osób przyłączonych do konkretnych portów. Takie czynności zdecydowanie zwiększą szybkość identyfikacji problemów. Warto utrzymywać aktualne kopie bezpieczeństwa konfiguracji przełączników. Jeżeli przełącznik ulegnie uszkodzeniu, ograniczamy czas potrzebny na konfigurację nowego przełącznika.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200