小型网络的最佳安全实践 - wifi、lan、

Question

我们定期为不同地点的客户设置小型网络，以允许他们使用不同的产品，现在的问题是什么才是最佳安全实践。

目前我们有一个支持 WPA2 的 wifi，大多数笔记本电脑都连接到这个，但有些会连接到连接到路由器的有线交换机。

我们正在考虑我们应该做些什么来提高我们小型网络的安全性 - 我们确实在笔记本电脑上设置了安全性，因此您可以通过一个简单的 Windows 用户帐户直接与其他人共享驱动器。

一些建议是：

1. 我们得到了一个带有 ACL 控制和 mac 过滤的 LAN 交换机，用于硬连线连接？

2. 我们通过一个好的 Cisco 路由器让 acl 在 wifi 上工作？

3. 所有机器上的 ipSec 策略？

4. IP过滤和固定IP？

我想人们担心任何人都可以插入交换机并访问网络。

概括：

保持体面的安全级别，可以轻松复制到我们为客户所做的每个设置

Answer 1

一些建议：

首先尝试阻止对网络的物理访问。

1. 将开关放置在上锁的柜子内，以防止物理接触它们。
2. 如果可能的话，为中型组织部署 802.1x 身份验证，以强制工作站对网络进行身份验证。
   在较小的组织中，只要机器不移动，就可以在具有粘性 MAC 地址的交换机上使用端口安全。禁用所有未使用的交换机端口。
3. 在您的无线网络上，使用带有 AES 的 WPA2 和长密钥 (> 15)

接下来，假设已获得物理访问权限并限制进一步的访问。

如果您没有域和文件服务器的资源，并且必须在工作站之间共享文件，请在每个工作站上创建一个具有相同密码的单个（非管理员）帐户，该帐户可用于访问不同计算机上的文件。
不允许“每个人”组访问任何内容。

您还可以将 DHCP 服务器配置为拒绝对未知客户端的租用 - 这并不能阻止具有物理访问权限的人监视流量并为自己分配 IP，但可能会减慢偶然入侵者的速度。

最后，监视情况以查看是否有人正在访问不应访问的网络。一种方法是检查您的 DHCP 服务器租约，看看是否有任何未知计算机请求了 IP。