Protezione di una LAN senza protezione fisica

8

Ho un dilemma interessante. Ho un grande ufficio (oltre 50 utenti) che si troverà nel campus di un'università locale. Lo scopo è promuovere la collaborazione, ecc., Ma l'ambiente aperto giocherà allegramente con la mia sicurezza di rete.

Fondamentalmente, ho una sicurezza fisica nella mia demark / server room, e basta. Peggio ancora, tutti i computer avranno accesso WAN, quindi i problemi di sicurezza non sono limitati all'ufficio locale, ma all'intera (enorme) azienda.

Sto stringendo le cose il più possibile. Tutte le macchine sono vincolate dal MAC, l'accesso WAN è limitato per quanto possibile, ecc. E sto facendo alcuni trucchi, come fare sonde automatiche OS / hardware per controllare la clonazione MAC.

Tuttavia, sono un po 'preoccupato. La mancanza di sicurezza fisica mi sta facendo impazzire. Ragazzi cosa mi consigliate?

    
posta Satanicpuppy 17.02.2012 - 19:16
fonte

3 risposte

6

Il tuo hardware supporta vlans e sicurezza della porta? Basta eseguire quelle macchine su un vlan diverso. Quindi disporre di elenchi di controllo di accesso per controllare l'accesso alla WAN. Supponendo che i tuoi switch siano fisicamente sicuri, da solo dovrebbero essere abbastanza sicuri per la maggior parte delle applicazioni. Visto che hai già un elenco di indirizzi mac da consentire, puoi anche impostare il blocco delle porte.

Di solito non sono d'accordo con l'utilizzo degli indirizzi mac come forma di autenticazione. È molto lavoro per qualcosa che è così facilmente aggirato. È meglio che possa dissuadere qualcuno dall'aggancio di un laptop randagio alla rete, ma un mezzo attaccante dedicato potrebbe cavarsela in pochi secondi.

Configurare una VPN crittografata darebbe un ulteriore margine di sicurezza se pensi che valga la pena di lavorare in più. Un VPN è probabilmente molto meno lavoro che occuparsi degli indirizzi MAC.

    
risposta data 18.02.2012 - 02:01
fonte
5

Sono d'accordo con SteveS, cosa stai cercando di proteggere?

  1. Scopri cosa è necessario proteggere (quali dati sono importanti e quali no)
  2. Scopri quali rischi hai per quei dati / risorse
  3. Migliora la tua sicurezza nel mitigare i rischi identificati

Ciò ti consente di bilanciare gli utenti restrittivi e consentire loro di collaborare apertamente. E anche quando la gente si lamenta delle tue restrizioni avrai una grande potenza di fuoco per fare il backup di quello che hai fatto.

    
risposta data 17.02.2012 - 20:49
fonte
2

Quindi l'ho visto da diversi clienti l'anno scorso. Dot1x è dietro il movimento in tutta l'azienda. Lento ma sicuro.

È essenzialmente una parte di NAC reinventata. Quindi, l'utente si collega, non nel DB MAC, ottiene la schermata di autenticazione web per accedere alla rete principale o inviata alla rete ospite in base alla politica. Inoltre, verrebbero messi in discussione per la postura e il profilo se questo servizio è attivo.

Metterebbero le loro credenziali AAA - parlando con un server AD e permessi sulla rete in base a postura e profilo e policy - a loro è garantito l'accesso alla rete. Ci sono diversi fornitori nella categoria - BradFord Networks, ForeScout e Cisco ISE. Queste tecnologie monitorano varie parti della rete per comprendere i dispositivi che si collegano alla rete e creano un overtime del DB.

Stanno cercando di distinguere la possibilità di separare la persona dal dispositivo anche nel caso d'uso del BYOD. Quindi in questo esempio potresti avere un dipendente che entra nella stanza del campus - usa le sue credenziali ma NON è permesso sulla rete scolastica perché il suo IPAD non è stato permesso sulla rete senza una corretta valutazione del profilo e della postura. Sarebbe stato inviato alla rete ospite fino a quando non fosse stato risolto.

    
risposta data 22.02.2012 - 00:50
fonte

Leggi altre domande sui tag