Blocca utenti non autorizzati dall'accesso a intranet

4

Qual è il modo comune per impedire agli utenti di accedere a Intranet?

Al momento, chiunque colleghi un cavo può accedere liberamente a qualsiasi server Intranet. Voglio cambiare questo comportamento. Ma dato che eseguiamo non solo macchine Windows ma anche client Linux, non posso semplicemente usare NAP per limitare l'accesso DHCP.

Ecco i miei pensieri:

  1. Forse tutti gli utenti dovrebbero eseguire un'autenticazione AD prima di concedergli l'accesso alla rete. Ma non è integrato con il router.
  2. Controllati gli indirizzi MAC consentiti da una lista bianca. Ma il perpetratore potrebbe solo ascoltare il traffico, quindi raccogliere l'indirizzo MAC autorizzato e utilizzarlo in seguito.

Cosa dovrei fare ora? Qualunque prodotto maturo?

    
posta daisy 15.05.2013 - 06:09
fonte

4 risposte

5

Ci sono diversi modi per affrontarlo:

  1. Disabilita le porte inutilizzate (che dovrebbero essere ovviamente la prima linea di difesa)
  2. L'uso della sicurezza della porta sullo switch rende almeno necessario che un utente malintenzionato scopra un determinato indirizzo MAC e si connetta a una porta specifica, impedendo alla maggior parte delle persone di collegare i propri dispositivi domestici alla rete aziendale. Oltre a ciò è possibile attivare una modalità di "sospensione" per le porte: la prima volta che viene rilevato un indirizzo MAC non valido su una porta, si spegne e deve essere riattivato manualmente da un amministratore.
  3. Radius sarebbe ovviamente la soluzione più adatta per il tuo problema. Puoi configurare il tuo controller di dominio di Windows come server di autenticazione del raggio e poi i tuoi switch inoltrano la richiesta di autenticazione usando 802.1X. Il risultato sarebbe che chiunque cerchi di accedere alla rete dovrebbe inserire il proprio nome utente e pw utilizzati nella DC. Se non è corretto verranno isolati in una VLAN restrittiva separata. Svantaggio: è necessario un hardware che supporti 802.1X e che comprenda i concetti VLAN. Non entrerò nei dettagli di RADIUS qui. Se sei interessato, non esitare a chiedere.
risposta data 15.05.2013 - 12:59
fonte
0

L'impostazione ideale consiste nel trattare diversamente i dipendenti e gli estranei che vengono in ufficio in modo diverso.Tutti i dipendenti devono essere messi su una rete diversa in una zona firewall differente dire fiducia (10.2.0.0/16) e gli estranei su un'altra rete in un'altra zona del firewall dice trust2 (10.3.0.0/16)

Puoi fornire l'accesso a Internet dalla fiducia e quindi autorizzare gli indirizzi IP come e quando richiesto da trust2 (dovresti fornire indirizzi statici). Questo ti darà una maggiore flessibilità sulle politiche per l'organizzazione (ad esempio: se vuoi dare accesso illimitato a Internet ai dipendenti e bloccare determinati siti da non dipendenti)

Venendo a NAP, non ci ho lavorato. Dopo alcune letture, sembra che i partner Microsoft abbiano rilasciato client NAP per Linux e MAC. ( link )

Non ho esperienza precedente sull'utilizzo di nessuno di questi client, quindi non posso commentare su di essi, ma puoi fare domande. Sembrano strumenti commerciali

Se stai cercando strumenti non commerciali, esiste la possibilità di usare squid. Quid può richiedere agli utenti un nome utente e una password.

link

link

Ancora un'altra opzione richiederebbe aiuto dal firewall. Ho lavorato su Juniper Netscreens e hanno permesso l'autenticazione sulla regola. Quindi in pratica si configura l'autenticazione sulla regola del firewall che consente l'accesso a Internet e gli utenti dovranno inserire un nome utente e una password per passare. Questo dipende dal dispositivo e dovrai controllare il firewall per tale funzione.

    
risposta data 15.05.2013 - 07:30
fonte
0

Basta disabilitare le porte inutilizzate sullo switch, in questo modo se l'attaccante inserisce un cavo non si connetterà alla intranet perché quella porta era disabilitata.

Ovviamente, se scollega qualche dispositivo e collega il suo dispositivo lì, può connettersi alla intranet. Ma a questo punto entra in gioco un'altra domanda, come è la tua sicurezza fisica?

    
risposta data 15.05.2013 - 11:57
fonte
0

NAP sarebbe la soluzione migliore ed è disponibile per i client Linux e Mac. Puoi anche "registrare" i dispositivi che non hanno la capacità NAP manualmente o per lo più automatizzati con una pagina del portale. In ogni caso, dovresti, come altri hanno sottolineato, lavorare sulla tua sicurezza fisica se gli utenti sono in grado di scollegare liberamente le macchine.

    
risposta data 15.05.2013 - 12:58
fonte

Leggi altre domande sui tag