我有一个有趣的困境。我有一个大型(50 多个用户)办公室,将在当地大学的校园内。目的是促进协作等,但开放的环境将与我的网络安全一起玩得很开心。
基本上,我的丹麦/服务器机房有物理安全,就是这样。更糟糕的是,所有计算机都将具有 WAN 访问权限,因此安全问题不仅限于本地办公室,而是整个(巨大的)公司。
我正在尽可能地收紧事情。所有机器都受 MAC 约束,WAN 访问受到尽可能多的限制,等等,我正在做一些棘手的事情,比如进行自动操作系统/硬件探测以监视 MAC 克隆。
不过,我还是有点担心。缺乏人身安全让我感到害怕。你们会推荐什么?
您的硬件是否支持 vlan 和端口安全?只需在不同的 vlan 上运行这些机器。然后使用访问控制列表来控制对 WAN 的访问。假设您的交换机在物理上是安全的,那么对于大多数应用程序来说,仅此一项就足够安全了。看到您已经有一个允许的 MAC 地址列表,您也可以设置端口阻塞。
我通常不同意使用 mac 地址作为一种身份验证形式。对于如此容易绕过的东西,这是很多工作。最好它可以阻止某人将流浪笔记本电脑连接到网络,但半专注的攻击者可以在几秒钟内通过它。
如果您认为值得付出额外的工作,那么设置加密的 VPN 将提供额外的安全保障。与处理 MAC 地址相比,VPN 的工作量可能要少得多。
我同意 SteveS,你想确保什么?
这将使您在限制用户和让他们公开协作之间取得平衡。而且,当人们抱怨您的限制时,您将拥有强大的火力来支持您所做的事情。
所以在过去的一年里,我从几个客户那里看到了这个。Dot1x 是整个企业运动的幕后推手。缓慢但确定。
它本质上是重新发明的 NAC 的一部分。因此,用户插入,而不是 MAC DB,他们获得网络身份验证屏幕以进入核心网络 - 或根据策略发送到访客网络。此外,如果启用此服务,他们将在姿势和轮廓方面受到挑战。
他们将输入他们的 AAA 凭证——与 AD 服务器交谈并根据状态、配置文件和策略允许他们进入网络——他们被授予网络访问权限。该类别中有几家供应商 - BradFord Networks、ForeScout 和 Cisco 的 ISE。这些技术监控网络的各个部分,以了解接入网络的设备并超时构建数据库。
他们正在尝试区分在 BYOD 用例下将人与设备分开的能力。因此,在此示例中,您可以让员工进入校园房间 - 使用他的凭据,但不允许在学校网络上使用,因为在没有正确的个人资料和姿势评估的情况下,他的 IPAD 不允许在网络上使用。在解决之前,他将被发送到访客网络。