语境:
我是一个中型企业网络的管理员,该网络具有多个重叠的无线接入点和一个以太网布线基础设施。为了遵守安全审计,我们最近被要求在网络上实施完整的设备授权——不仅仅是一种检测恶意 AP 等的方法,而是一个完整的“如果你的设备不是我们手动添加的,它可以“不连接任何东西”系统。
我的第一个想法是:只需手动为每个人创建静态 DHCP MAC 到 IP 绑定,并让拥有新设备的人在第一次设置帐户时来找我。我告诉审计员,他们说我们实施的任何系统都不能受到 MAC 地址欺骗或静态 IP 的攻击,否则我们将不合规。
我知道有一些产品会绑定到您计算机的网络连接,并要求您对某些中央服务器进行身份验证才能访问网络,但我对这些产品(以及 Cisco AnyConnect VPN 的工作方式类似)的经验) 一直是它们不能在所有平台上运行。由于我们有 BYOD 环境(不是我的电话),所以这行不通。
题:
我可以在网络级别运行什么软件来防止设备(任何/所有设备;笔记本电脑、随机手机、平板电脑等上的任意类型/操作系统)获得网络访问权限,直到我手动将它们添加到我们的网络(理想情况下没有太多添加过程中很麻烦)?它需要在有线和无线连接上类似地工作,并且不能通过将设备的 MAC 地址或 IP 设置为已授权设备的 MAC 地址或 IP 来绕过。
由于我们拥有各种各样的设备,我们使用的任何解决方案都应该是集中式的,对客户端没有额外的软件要求。如果有符合要求的东西,但需要客户端软件,如果客户端软件适用于我们的大多数设备(即所有 *nix 笔记本电脑、OSX、Windows(xp 到 8)、iOS,我可能会说服管理层使用它, Android、Windows Mobile、BlackBerry),以及未涵盖的古怪用户可以处理它。
| 归档时间: |
|
| 查看次数: |
545 次 |
| 最近记录: |