我最近接手管理我教会的 IT 资源。以前它是由无人管理的,因此受制于任何随机的人或供应商建立网络的半成品想法。现在我们在不同的分区上有一个有线网络和一个无线网络;无线的是公用的,有线的是我们实际工作的网络。
现在最大的问题是任何拥有以太网电缆的人都可以插入任何端口并立即访问我们的互联网连接和网络上的任何不安全资源,包括打印机、无密码保护的共享、域目录列表等。我试图查找有关此的一些信息,但显然我不知道正确的术语,因此没有找到任何有用的信息。
我有哪些选项可以锁定我们的有线网络,以便未登录域的用户无法访问任何这些内容?(如果相关的话,我们的服务器运行的是 Windows Server 2k3 并且确实包含一个 Active Directory 控制器;我们的网络硬件由一组 Cisco 交换机和一个 Cisco 881 路由器组成,该路由器同时支持有线和无线网络。)
您有多种选择,具体取决于您想投资多少金钱和时间。
在复杂/高端,可以配置802.1x认证,只有域用户才能访问有线网络。这涉及购买/构建半径服务器,将其绑定到域控制器并配置交换机以在连接端口时查询半径服务器。
我假设您有一个少于 30 个用户的小型网络。我还假设您的“办公室”用户不会经常走动(即,他们的计算机在办公桌上)。
在这种情况下,一个更简单的选择是禁用所有未使用的端口,或为“访客”网络配置它们。无论哪种方式,访问者都无法访问您的服务器。当然,缺点是当您有新用户或移动家具时,您将不得不重新配置这些端口。对于少数不频繁的动作,这不应该是一种负担。
如果我可能稍微偏离主题,我敢打赌您最大的安全问题并不是真正不受保护的以太网端口。攻击网络的人通常这样做是为了偷钱,所以你的努力应该是为了保护教会的金融资产。确保您的网上银行是安全的,并且未经某种验证就无法将钱转出。您还可以投资一些反恶意软件/垃圾邮件过滤,以减少无意中下载旨在窃取银行信息的软件的机会。
一个人为了窃取某些东西而插入您的网络的情况不太可能发生。还有更重要的威胁需要担心。
抱歉跑题了。
除了已经提到的 .1x 和端口安全功能。另一个快速解决方案是将所有未使用的端口分配给黑洞/虚拟 vlan 并关闭它们。