קיים ארגון בסדר גודל בינוני מבוסס רשת Domain 2003 Server לצרך הענין.
בארגון 3 מחלקות\חדרים\איך שלא תקראו לזה:
א.משתמשים פנים ארגוניים עם יציאה לאינטרנט.
ב.DMZ שמופרד מהרשת הפנימית אך המשתמשים הפנים ארגונים יכולים להכנס אילו כמובן.
ג.חוות שרתים,בין היתר נמצאים בה שרתי ה-DC ,שרתי גיבוי,Exchange וכו'.

השאלה שלי היא כזאת-האם אפשר להקצות VLAN לכל מחלקה?
במידה ואני מקצה VLAN אחד לחוות השרתים וVLAN נוסף שונה למשתמשי הקצה האם ייתכנו בעיות מבחינת תקשורת בעת כניסה לשרתים?
האם זה אפקטיבי בכלל לבצע VLAN בין שרתים שיש להם תהליכי אימות וכו' עם משתמשי הקצה ביום יום?או שבד"כ משתמשים בVLAN להפריד בין אזורים שאין בינהם שום קשר?
(בשרטוט המחשב עם האיש הקטן אלו הם המשתמשי קצה לצורך ההמחשה).

השאלה השניה-האם זה נכון למקם את הפיירוולים כל אחד במקומו?

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://img80.imageshack.us/img80/1381/drawing3dn1.jpg]

הציור לא ברור ממש...

כל השרתים בצד שמאל הם מחלקה א.
בחדר הזה יש את כל השרתים והכי חשוב לי לאבטח אותם.

ה-DMZ היא הרשת השלישית שלא מחוברת ל-SWITCH של המשתמשי קצה שבתוך הארגון,אבל הם כן יכולים להכנס אליה כשהם מקישים את הכתובת IP החיצונית.

הקבוצה השלישית זה המחשב עם האיש הקטן,אלו הם משתמשי הקצה שעושים לוגין מול ה DC ,
אמורים להכנס לחוות שרתים לשרתים ספציפים כמו עבודה עם האקסטצ'נג' וכו'.
זה נכון בכלל לשים VLAN בין משתמשי הקצה לבין השרתים? או שיהיו בעיות תקשורת בינהם?
בארגון האחרון שהייתי בו שרתי ה DC היה להם VLAN משלהם ולכל מחלקה של משתמשי קצה היה VLNA משלה.
בין כל מחלקה היו חסימות לוגיות זאת אומרת לא יכלת להכנס ממחלקה א' למחלקה ב' אלא אם היו פותחים חסימות.
השאלה שלי אם זה היה ברמת הסוויץ' או ברמת הנתב?

מצאתי פתרון לשאלה
תודה בכל אופן

ודאי שיש להפריד את רשת השרתים מרשת המשתמשים בסגמנטי רשת שונים, וזאת מסיבות רבות. אצלי בארגון הגדלתי לעשות והפרדתי גם את השרתים לפי קבוצות השירותים שהם נותנים, וגם כל צוות יושב ב VLAN משלו. לדעתי זה דבר שחכם לעשות בלי כל קשר לאבטחת מידע - ולו בכדי להקטין את ה broadcast domain ואת פוטנציאל הנזק האפשרי על ידי משתמשים חכמולוגיים, שיפגעו, לכל היותר, בצוות שלהם...

כנ"ל עשיתי אגב ב DMZ - כל מכונה ב DMZ יושבת ברשת פרטית עם חוקים משל עצמה, כך ששרתי ה DMZ אפילו לא יכולים לדבר אחד עם השני (אא"כ, כמובן, הגדרתי חוק שכזה בפיירוול...)

אחרי שיש VLAN-ים, אפשר לדבר על סינון תעבורה ביניהם.

לגבי "האם זה יעשה בעיות" - טכנית - קיומו של ה VLAN, לא (*). אבל, יש את עניין ניתוב המידע בין הסגמנטים השונים. כבר לא מדובר בשכבה 2 אלא בנתב. צריך לוודא שמה שמחבר את שני הסגמנטים הוא בעל קיבולת ניתוב מספקת לעומס המידע המקסימלי שיהיה אי פעם בין ה VLAN-ים השונים...

(*) יוצא דופן הוא אם תחנות הקצה שלך לוקחות מידע משרתים באמצעות broadcast. למשל NetBIOS של מיקרוסופט בעידן שלפני AD (ואז משתמשים בשרת WINS שצריך להגדיר בכל התחנות), או חיפוש של תחנה אחר שרת NIS בלינוקס/יוניקס, אם זה הוגדר כחיפוש ב broadcast. דבר נוסף הוא שירות DHCP, שמטבעו, גם הוא עובד ב broadcast. אבל ל DHCP יש פתרון פשוט ושמו DHCP Relay - הנתב יודע לקרוא את בקשות ה broadcast בסגמנט שעליו הוא יושב, ולהמיר אותן לבקשות unicast מול שרת ה DHCP שיכול לשבת בכל מקום שנגיש ברמת IP בארגון, וכך שרת DHCP יכול לחלק כתובות גם לסגמנטים מחוץ לתת הרשת שבה הוא יושב.

נמאס לכם לזכור סיסמאות? לחצו כאן!

תשובה מצויינת ולעניין.

וראוי להדגיש בתשובה את סוגיית ה-VLANים והבעיות שחששת מהם. אם לא תפריד בין מחלקות שונות (ובארגון מבוזר בין תתי המחלקות) אתה מאפשר מעבר בין מערכות שונות שלאו דווקא צריכות גישה מאחת לשניה.

לרוב מספיק לבצע ניתוב בין ה-Vlanים (עם ACL למשל), ובמידת הצורך גם להטמיע FW. הכל תלוי במידת היעילות, התקציב והצורך.

"If you want a job done well, you do it yourself..."

VLAN יתן לך מענה בחלוקת עומסים וכולי.
בקשר לאבטחה, ACL זה נחמד, אבל פורץ חביב יעבור מ VLAN ל VLAN בד"כ ללא בעיה (אלא אם
הסוויץ מוגדר למנוי VLAN HOPPING).
ה FW לפני חוות השרתים יכול לעזור, אבל השאלה מה קורה אם הוא למטה ו\או האם הוא מספק ביצועים מספקים.
בד"כ פיתרון של NAC נותן מענה מתאים לאימות גישה לשרתים, אבל הפיתרון לא זול וכולי.
לדוגמא: JUNIPER ISG 1100/1200 עם ACCESS CONTROL שלהם. כמובן שמומלץ שתי
יחידות לשרידות וכולי.
לפני שאתה רץ לישם אבטחה וכולי, מומלץ שתכין רשימת איומים שקימיים לך ברשת וכולי. אולי תגלה ש FW לפני השרתים יכול להיות נחמד,אבל מכביד מדי מכל מיני סיבות, ואולי שימוש ב PROXY חכם יותר, הקשחת נהלים וכולי אפקטיביים יותר.

בהצלחה

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.