Kontrola dostępu w sieci LAN

Pytanie: Zarządzam siecią LAN składającą się z kilku serwerów i kilkudziesięciu pecetów. Komputery PC komunikują się z serwerami przez wewnętrzną zaporę, która pozwala mi kontrolować ruch pakietów. W systemie pracuje też serwer DHCP, który przypisuje pecetom adresy IP. Jak usprawnić system zabezpieczeń, aby kontrolować dostęp do określonych hostów, szczególnie w odniesieniu do tych użytkowników, którzy przemieszczają się z jednego miejsca systemu w inne?

Pytanie: Zarządzam siecią LAN składającą się z kilku serwerów i kilkudziesięciu pecetów. Komputery PC komunikują się z serwerami przez wewnętrzną zaporę, która pozwala mi kontrolować ruch pakietów. W systemie pracuje też serwer DHCP, który przypisuje pecetom adresy IP. Jak usprawnić system zabezpieczeń, aby kontrolować dostęp do określonych hostów, szczególnie w odniesieniu do tych użytkowników, którzy przemieszczają się z jednego miejsca systemu w inne?

Odpowiedź: Chyba warto wykorzystać wirtualne sieci LAN (VLAN). O ile w sieci znajdują się przełączniki zarządzalne, czyli takie, których konfiguracje można zmieniać zdalnie. Przełączniki takie nadają się do budowania sieci wirtualnych. Posługując się technologią VLAN, administrator może wybrać określone pecety i zadeklarować, że należą one do jednej podsieci, niezależnie od tego, w jakich fizycznych miejscach sieci LAN są one zlokalizowane. Można wtedy w łatwy sposób ustalać zasady pracy naszej zapory, podając numer podsieci, zamiast wymieniać wszystkie indywidualne adresy IP.

Konfigurując sieci VLAN, trzeba wziąć pod uwagę fakt, że w sieci mogą pracować dwa rodzaje przełączników: warstwy 2 i 3. Przełączniki warstwy 3 są droższe i charakteryzują się tym, że można je konfigurować na rozmaite sposoby. Przełączniki warstwy 2 oferują w tym względzie dużo mniej możliwości. Przełączniki zarządzające rdzeniem sieci LAN muszą być z natury rzeczy urządzeniami warstwy 3. Przełączniki sprzęgające pecety z siecią LAN (zwane brzegowymi) są najczęściej urządzeniami warstwy 2.

Przystępując do konfigurowania sieci VLAN, najlepiej jest wybrać jeden przełącznik (niekiedy może być to kilka, zależnie od wybranego dostawcy rozwiązania), w którym będzie przechowywana główna baza danych zawierająca informacje o takich sieciach. Proszę też pamiętać o następującej zasadzie - dodając do sieci nowy przełącznik, należy go konfigurować (w kontekście architektury VLAN) jako klienta, a nie jako serwer. Podając, iż jest to serwer, narażamy się nieraz (zależy to od wybranego rozwiązania) na ryzyko utraty bazy danych zawierającej informacje o sieciach VLAN.

Dobrze jest też dokładnie oznakować wszystkie porty przełącznika i zapisać sobie jak zostały one skonfigurowane, po to aby wiedzieć w każdym momencie, które porty są ze sobą połączone na patchpanelu.

I nie oznaczamy portu, przypisując mu nazwę użytkownika (ale numer lub symbol), ponieważ użytkownik może zmienić swoją lokalizację w sieci LAN.


TOP 200