ডোমেন কম্পিউটারগুলিকে একে অপরের সাথে যোগাযোগ করার অনুমতি দেবেন না

9

আমাদের ডোমেনে প্রায় 60 টি কম্পিউটার থাকে। উইন্ডোজ 10 ওয়ার্কস্টেশনগুলি একে অপরের সাথে যোগাযোগ করতে পারে না তা নিশ্চিত করার জন্য আমাকে দায়িত্ব দেওয়া হয়েছে। আমার ম্যানেজার জিজ্ঞাসা করেছিল যে আমি স্থিতিশীল রুটগুলি তৈরি করি যাতে কম্পিউটারগুলি কেবলমাত্র নেটওয়ার্ক প্রিন্টার, ফাইল সার্ভার, ডিসি এবং ইন্টারনেট অ্যাক্সেস করতে পারে।

যেহেতু এই সমস্ত কম্পিউটার একই নেটওয়ার্কে রয়েছে আমি বিশ্বাস করি না স্থির রুটগুলি এই কম্পিউটারগুলিকে একে অপরকে দেখতে বাধা দেবে। ডোমেনের কম্পিউটারগুলিকে নেটওয়ার্ক সংস্থানগুলি ব্যবহার করার অনুমতি দেওয়ার, তবে একে অপরের সাথে সরাসরি যোগাযোগ না করার সর্বোত্তম উপায় কী?

networking  security  domain  static-routes 
taiwie
সূত্র
12
রুটগুলি এটি করার উপায় নয়। ফায়ারওয়াল বিধি।
EEAA
আপনার কি পরিচালনাযোগ্য সুইচ এবং ফায়ারওয়াল আছে?
sdkks
2
যদি ওয়ার্কস্টেশনগুলি ওয়্যারলেসভাবে সংযুক্ত থাকে তবে উন্নত অ্যাক্সেস পয়েন্টগুলিতে ক্লায়েন্টের বিচ্ছিন্নতা কোনও 2 ওয়াইফাই ক্লায়েন্টকে একে অপরের সাথে যোগাযোগ করতে বাধা দেবে।
sdkks
@ EEAA আমি মনে করি উদ্দেশ্য হতে পারে লেয়ার 2 আক্রমণগুলি আপোষকৃত মেশিন থেকে অন্যগুলিতে সম্পূর্ণরূপে প্রতিরোধ করা।
sdkks
1
@ এসডিকেক্স কঠোর অভ্যন্তরীণ ফায়ারওয়াল বিধি দ্বারা এই আক্রমণগুলি সহজেই হ্রাস করা যায়।
EEAA

উত্তর:

16

আপনার যদি এমন একটি স্যুইচ থাকে যা এটি সমর্থন করে, কেবল সংযোগগুলির জন্য 'সুরক্ষিত বন্দর' বা ওয়াই-ফাইতে অ্যাক্সেস পয়েন্টগুলির জন্য 'ক্লায়েন্ট বিচ্ছিন্নতা' আপনাকে একই স্তর -2 নেটওয়ার্কের হোস্টগুলির মধ্যে ট্র্যাফিক দূর করতে সহায়তা করতে পারে।

উদাহরণস্বরূপ, এটি সিসকো সুইচ ম্যানুয়াল থেকে:

সুরক্ষিত বন্দরগুলিতে এই বৈশিষ্ট্যগুলি রয়েছে: একটি সুরক্ষিত বন্দর কোনও ট্র্যাফিক (ইউনিকাস্ট, মাল্টিকাস্ট বা সম্প্রচার) অন্য কোনও বন্দরকে ফরওয়ার্ড করে না যা সুরক্ষিত বন্দরও। স্তর 2 এ সুরক্ষিত বন্দরগুলির মধ্যে ডেটা ট্র্যাফিক ফরওয়ার্ড করা যাবে না; কেবল নিয়ন্ত্রণ ট্রাফিক যেমন পিআইএম প্যাকেটগুলি ফরোয়ার্ড করা হয় কারণ এই প্যাকেটগুলি সিপিইউ দ্বারা প্রক্রিয়াজাত করা হয় এবং সফ্টওয়্যারটিতে ফরোয়ার্ড করা হয়। সুরক্ষিত পোর্টগুলির মধ্য দিয়ে যাওয়া সমস্ত ডেটা ট্র্যাফিক অবশ্যই একটি স্তর 3 ডিভাইসের মাধ্যমে ফরোয়ার্ড করতে হবে।

সুতরাং যদি আপনি তাদের মধ্যে ডেটা স্থানান্তর করার পরিকল্পনা না করেন তবে একবার সেগুলি 'সুরক্ষিত' হয়ে যাওয়ার পরে আপনাকে পদক্ষেপ নেওয়ার দরকার নেই।

সুরক্ষিত পোর্ট এবং একটি অরক্ষিত পোর্টের মধ্যে ফরোয়ার্ডিং আচরণ যথারীতি এগিয়ে চলে।

আপনার ক্লায়েন্টগুলি সুরক্ষিত করা যায়, ডিএইচসিপি সার্ভার, গেটওয়ে ইত্যাদি সুরক্ষিত বন্দরে থাকতে পারে।

27-07-2017 আপডেট করুন
@ সিরেক্স যেমন উল্লেখ করেছে, আপনার যদি একাধিক সুইচ থাকে যা স্ট্যাক করা থাকে না, অর্থাত্ সেগুলি কার্যত একটি স্যুইচ নয়, সুরক্ষিত বন্দরগুলি এর মধ্যে ট্র্যাফিক থামবে না

দ্রষ্টব্য: কিছু স্যুইচ (প্রাইভেট ভিএলএএন ক্যাটালিস্ট স্যুইচ সাপোর্ট ম্যাট্রিক্সে উল্লিখিত) বর্তমানে কেবল পিভিএলএএন এজ বৈশিষ্ট্যটিকে সমর্থন করে। "সুরক্ষিত বন্দর" শব্দটিও এই বৈশিষ্ট্যটিকে বোঝায়। পিভিএলএএন এজ বন্দরগুলির একটি সীমাবদ্ধতা রয়েছে যা একই স্যুইচটিতে অন্যান্য সুরক্ষিত পোর্টগুলির সাথে যোগাযোগ রোধ করে। পৃথক সুইচগুলিতে সুরক্ষিত বন্দরগুলি তবে একে অপরের সাথে যোগাযোগ করতে পারে।

যদি এটি হয় তবে আপনার বিচ্ছিন্ন বেসরকারী ভিএলএএন বন্দরগুলির প্রয়োজন হবে :

কিছু পরিস্থিতিতে, আপনাকে বিভিন্ন আইপি সাবনেটগুলিতে ডিভাইসগুলি স্থাপন না করে শেষ ডিভাইসের মধ্যে লেয়ার 2 (এল 2) সংযোগটি আটকাতে হবে। এই সেটআপটি আইপি অ্যাড্রেসগুলির অপচয়কে বাধা দেয়। বেসরকারী ভিএলএএন (পিভিএলএএন) একই আইপি সাবনেটের ডিভাইসের লেয়ার 2 এ বিচ্ছিন্নকরণের অনুমতি দেয়। আপনি কেবলমাত্র নির্দিষ্ট পোর্টগুলিতে পৌঁছাতে স্যুইচটিতে কিছু বন্দর সীমাবদ্ধ করতে পারেন যার একটি ডিফল্ট গেটওয়ে, ব্যাকআপ সার্ভার বা সিসকো লোকালডাইরেক্টর সংযুক্ত রয়েছে।

যদি পিভিএলএএন একাধিক সুইচে ছড়িয়ে থাকে তবে স্যুইচগুলির মধ্যে ভিএলএএন ট্রাঙ্কগুলি স্ট্যান্ডার্ড ভিএলএএন পোর্ট হওয়া উচিত ।

আপনি ট্রাঙ্ক ব্যবহার করে সুইচ জুড়ে পিভিএলএএন প্রসারিত করতে পারেন। ট্রাঙ্ক বন্দরগুলি নিয়মিত ভিএলএএন এবং প্রাথমিক, বিচ্ছিন্ন এবং সম্প্রদায় ভিএলএএন থেকে ট্র্যাফিক বহন করে। সিসকো ট্র্যাঙ্কিং সমর্থনকারী পিভিএলএন সমর্থনকারী উভয় সুইচ যদি স্ট্যান্ডার্ড ট্রাঙ্ক বন্দর ব্যবহারের পরামর্শ দেয়।

আপনি যদি সিসকো ব্যবহারকারী হন তবে আপনার সুইচগুলি আপনার প্রয়োজনীয় বিকল্পগুলি সমর্থন করে কিনা তা দেখতে আপনি এই ম্যাট্রিক্সটি ব্যবহার করতে পারেন ।

sdkks
সূত্র
1
বিচ্ছিন্ন ভ্লানগুলিও কাজ করবে, এবং মাল্টি-স্যুইচ বন্ধুত্বপূর্ণ হবে
সায়রেক্স
@ সাইরেক্স ভ্যালান ট্রাঙ্কিং এবং ফরোয়ার্ডিংয়ের কারণে?
3:30 এ এসডিস্কস
1
হ্যাঁ. যেহেতু আমি এটি বুঝতে পারি যে কীভাবে দুটি সমাধানের মধ্যে পার্থক্য রয়েছে।
সাইরেক্স
@ সিরেক্স আমি আপনার উন্নতির পরামর্শ যুক্ত করেছি
sdkks
একটি নোট হিসাবে টিপি-লিংক স্মার্ট সিরিজে এমটিইউ ভিএলএন (মাল্টি-টেন্যান্ট ইউনিট ভিএলএএন) নামে একটি বৈশিষ্ট্য রয়েছে যা প্রতিটি বন্দরকে আলাদা আলাদা করে আলাদা আলাদা ভিএলএএন তৈরি করে with
fsacer
11

আপনি এটি করতে পারতেন, যদি আপনি ক্লায়েন্ট প্রতি 1 সাবনেট তৈরির মতো ভয়ঙ্কর কিছু করেন। এটি ম্যানেজমেন্টের দুঃস্বপ্ন হবে।

উইন্ডোজ ফায়ারওয়াল, উপযুক্ত নীতি সহ, এটিতে সহায়তা করবে। আপনি ডোমেন বিচ্ছিন্নতার মতো কিছু করতে পারেন তবে আরও সীমাবদ্ধ। আপনি একটি ওইউতে সার্ভার এবং অন্যটিতে ওয়ার্কস্টেশন সহ ওউ প্রতি নিয়ম প্রয়োগ করতে পারেন। আপনি এটিও নিশ্চিত করতে চাইবেন যে প্রিন্টারগুলি (এবং সার্ভারগুলি) আরও সহজ করার জন্য ওয়ার্কস্টেশনগুলির মতো একই সাবনেটে নেই।

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

নেটওয়ার্ক মুদ্রকগুলির বিষয়ে - আপনি সরাসরি মুদ্রণের অনুমতি না দিলে আপনি এটিকে আরও সহজ করে তুলতে পারেন তবে মুদ্রক সার্ভার থেকে প্রিন্টারগুলিকে ভাগ করা সারি হিসাবে হোস্ট করেছেন। একাধিক কারণে দীর্ঘ সময় ধরে এটি একটি ভাল ধারণা।

আমি জিজ্ঞাসা করতে পারি যে এর আসল ব্যবসায়ের লক্ষ্যটি কী? এটি কি ম্যালওয়ারের প্রাদুর্ভাব রোধে সহায়তা করবে? বড় ছবি / ফিনিস লাইনটি মাথায় রেখে প্রয়োজনীয়তাগুলি সংজ্ঞায়িত করতে সহায়তা করে, যাতে এটি সর্বদা আপনার প্রশ্নের অংশ হওয়া উচিত।

mfinni
সূত্র
আমি অনুমান করছি এটি ওয়ানাস্রি শোষণের মতো আক্রমণ থেকে রক্ষা করা।
14:30 এ sdkks
3
অবশ্যই, এটি আমার অনুমানও ছিল, তবে আমি প্রশ্ন-জিজ্ঞাসার এই দিকটি সম্পর্কে প্রশ্নকারীদের মনে করিয়ে দিতে চাই।
mfinni
হ্যাঁ এখানে লক্ষ্যটি হ'ল যে কোনও ম্যালওয়ার প্রাদুর্ভাব ছড়িয়ে দেওয়া সীমাবদ্ধ করা।
তাইওয়াই
যতক্ষণ না কোনও BYOD ডিভাইস নেই যা ডোমেনের সদস্য নয়, এই সমাধানটি ওপিতে শূন্যের মূল্য হতে পারে। (ধরে
নিচ্ছি
-3

আপনি যদি প্রতিটি ওয়ার্কস্টেশন কোনও নির্দিষ্ট ব্যবহারকারীর সাথে আবদ্ধ করতে পারেন তবে আপনি কেবলমাত্র সেই ব্যবহারকারীকে সেই ওয়ার্কস্টেশন অ্যাক্সেস করতে পারবেন able

এটি একটি ডোমেন নীতি সেটিং: স্থানীয়ভাবে লগন on

এটি ব্যবহারকারীর নিকটতম ওয়ার্কস্টেশনে যেতে এবং তার মনোনীত মেশিনটি অ্যাক্সেস করতে তার পাসওয়ার্ড প্রবেশ করতে বাধা দেয় না, তবে এটি সহজেই সনাক্তযোগ্য।

এছাড়াও এটি কেবল উইন্ডোজ সম্পর্কিত পরিষেবাগুলিকেই প্রভাবিত করে তাই মেশিনগুলিতে একটি ওয়েবসভার এখনও অ্যাক্সেসযোগ্য হবে।

পাওলো
সূত্র
1
এটি ম্যালওয়্যারকে প্রতিরোধ করে না যা ওয়ার্কস্টেশনের মধ্যে চলাচল থেকে অপরিবর্তিত শোষণ ব্যবহার করে।
এমফিনি
@ এমফিন্নি শিওর দুর্ভাগ্যক্রমে অপটি প্রয়োজনীয়তাটি প্রকৃত (প্রযুক্তিগত স্যাভি ম্যানেজার) বা কোনও ম্যানেজার বুজওয়ার্ডের জন্য জিজ্ঞাসা করছে কিনা তা নির্দিষ্ট করে নি। এছাড়াও লক্ষ্যটি গুরুত্বপূর্ণ: হুমকির বিরুদ্ধে প্রকৃত সুরক্ষার জন্য আপনি নিম্ন ওসি স্তরের সমাধান উল্লেখ করেছেন, যেমন অন্যান্য উত্তরে বলা হয়েছে। এবং হোস্টগুলি যদি সার্ভারের সাথে যোগাযোগ করে তবে এখনও ম্যালওয়্যার ছড়িয়ে যাওয়ার কোনও সুরক্ষা নেই ...
পাওলো
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.