Qui*_*ten 5 networking security windows-server-2008 wifi
我们正在我的工作中实施一个新的 WiFi 网络,我正在努力思考网络安全性的设计。
用例 1:客人。我们将有一个强制门户设置,客人将接受可接受的使用政策,并将仅限于互联网,不能访问 LAN。很简单,我们将让防火墙阻止危险端口而不必担心,因为它们无法访问我们的主要网络。
用例 2:拥有 BYOD 和公司拥有的笔记本电脑的员工可能会在被带到办公室之前在异地待上数月。Windows 和 OSX 的混合。他们将通过 WPA2-Enterprise 向我们的 AD/RADIUS 进行身份验证。有没有一种好方法可以让这些人安全地通过局域网访问内部服务器?
我的想法是让这些人不受限制地访问 LAN 是有问题的。如果他们已加入域,他们最终将收到来自 WSUS 的安全更新,但不一定在他们连接之前。防病毒也不能保证。使用我们现在拥有的有线网络,这是次要的,但我可以看到 BYOD 随着 wifi 网络的增加而增长,特别是对于我们大量的暑期实习生。
我已经研究了 Microsoft 网络访问保护来强制执行安全设置并隔离不合规的设备,但我不确定它如何与 OS X 一起工作(我能找到的唯一代理,UNET 代理,在网站上有一些损坏的链接价格不详)。它似乎也很复杂。
这是矫枉过正吗?在现实世界中,其他人如何处理这种情况?人们是否喜欢更简单的网络访问控制解决方案?
我有一个学区客户,他的设置与您所说的相似。
公共访问在一个单独的 VLAN 上运行,该 VLAN 具有专用的基于 Linux 的 DHCP 和 DNS,除了通过边缘防火墙(有效地将公共 wifi 置于防火墙“外部”——因此 VPN 访问和对 DMZ 的访问)之外无法访问公司网络。托管服务器通过公共 wifi 工作)。《儿童互联网保护法》要求我们严格过滤这个连接,让公众得到最严格的政策。(如果我可以在专用的物理 LAN 和单独的 Internet 连接上运行它,我会的。金钱另有说法。)
学生拥有的设备通过 WPA-RADIUS 进行身份验证并可以访问 Internet。DHCP 和 DNS 由基于 LAN 的服务器提供。基于 AP 的防火墙规则(我们正在运行 Ruckus ZoneFlex AP,它在每个 AP 中都有一个基于 Linux 的 iptables 防火墙)阻止访问 LAN,除了特定服务(到“学习管理系统”和一些其他 Web 服务器的 HTTP) . 访问 LAN 子网有一个默认的拒绝策略。
我觉得从管理政策的角度来看,员工拥有的设备和地区拥有的设备之间有很大的区别,所以我在操作配置中反映了这一点。
员工拥有的设备与学生完全相同,只是有不同的 Internet 过滤策略,并且员工可以通过 RDP 访问台式 PC 所在的 LAN 子网。仍然存在用于访问 LAN 子网的默认拒绝策略。基于 LAN 的服务器为员工拥有的设备提供的服务数量非常有限,坦率地说,我想保持这种状态。我将尽最大努力确保我们在“BYOD”子网和 LAN 子网之间保留一个默认拒绝策略,其中包含例外。我在这方面与人们有过一些分歧,但我认为“BYOD”设备永远不可能像学区拥有的设备那样值得信赖。
学区拥有的设备(包括笔记本电脑)通过 WPA-RADIUS 身份验证获得自己的 SSID,仅适用于“域计算机”组的成员。对局域网的访问有一个广泛的开放政策。没有用户在他们的计算机上拥有管理员权限,我很高兴让自己认为这些设备大多是值得信赖的。如果我更偏执一点,我会在所有笔记本电脑上使用 TPM 部署 Bitlocker,以防止用户对操作系统进行离线修改。最后一点带全盘加密,这就是我需要让我合理地确定学区拥有的设备至少在某种程度上值得信赖的全部内容。我们只有 Windows 客户端,但对于 Mac 环境,
我们没有机器在异地停留数月。如果我这样做了,我会托管一个面向 Internet 的 WSUS 服务器,并让客户端在那里寻找更新,即使他们不在现场。根据您的防病毒软件,您也可以让它以这种方式运行。
并不是我认为 NAC/NAP 是“矫枉过正”——我认为这是一个从根本上有缺陷的想法。有些人认为腰带和吊带是使用 NAC / NAP 的原因,但我很难相信不受信任的客户会评估自己的“健康”。我完全赞成对来自受信任主机的机器执行漏洞扫描,但要求不值得信任的主机对自己做出可信赖的声明对我来说似乎非常有缺陷。
| 归档时间: |
|
| 查看次数: |
409 次 |
| 最近记录: |