pok*_*oke 3 networking security
在有线网络上处理不受信任的设备有哪些好方法?以下是我正在考虑的几个例子:
一位公司老板定期带上他的笔记本电脑并插入网络。
用户携带笔记本电脑或其他设备并出于任何原因插入,但不是故意恶意的。
笔记本电脑来自可能有病毒但需要连接以获取更新等的领域。
我们所有的普通设备都使用静态 IP。我的一个想法是关闭我们工作子网上的 DHCP,然后使用 DHCP 设置创建第二个子网以在其上设置服务器 IP。基本上,我们最终会在同一个物理网络上运行两个子网。这个想法是任何不受信任的设备都会从 DHCP 获取 IP,从而将其置于不受信任的子网中。
有什么理由不能使用 802.1x?许多交换机都支持它,您所需要的只是一两个半径服务器。
它基本上允许交换机仅在机器具有适当的凭据时授予访问权限。这样做的好处是,如果没有,通常可以将其放置到“访客 vlan”中,因此您最终会得到一个在访客和经过身份验证的访问之间移动的以太网端口。
这也是每个以太网端口,因此您只能在公共区域等的端口上打开它。带有有线桌面的主要办公室的其他端口不需要受到影响。
也可以在无线接入点上执行此操作。
所有这些都需要稍微高端的设备,但取决于您的时间值多少,只做一次可能是值得的,而不必自己动手。如今,每个主要操作系统都内置了 802.1x 支持,因此除非您精心设计并使用证书,否则除了控制面板中的一次性用户名和密码之外,无需在客户端上安装任何东西。