Come limitare l'accesso alla rete LAN per i visitatori

Naviga le tue risposte
1

Come posso limitare l'accesso alla rete LAN per i visitatori?

Nei locali della mia organizzazione, qualsiasi visitatore esterno può venire a connettersi alle porte LAN nelle nostre sale riunioni. Abbiamo visto che sono in grado di eseguire il ping dei sistemi interni. Come posso prevenire questo problema?

    
posta Pentester23 14.01.2014 - 13:52
fonte

3 risposte

3

La soluzione dipende davvero dal tuo ambiente e da ciò che sei disposto a mettere in atto. Ci sono alcune soluzioni che vengono in mente, comprese quelle citate in altre risposte qui:

  • Separa le VLAN per gli spazi di riunioni pubbliche e le workstation interne. Lo svantaggio di questo è che un attaccante intelligente può eseguire un salto VLAN (a seconda dell'implementazione) e finire nella VLAN della workstation.
  • 802.1X, che richiede l'implementazione di un server RADIUS e un bel po 'di gestione sulle workstation degli utenti per garantire che abbiano i giusti profili di autenticazione e certificati per comunicare con la rete.
  • Controllo dell'accesso alla rete (o in linguaggio Cisco, Controllo ammissione in rete) che consente di autenticare gli utenti utilizzando LDAP, in base all'indirizzo MAC o altri meccanismi a seconda dell'implementazione NAC.

Di questi tre, la VLAN è probabilmente la più economica in termini di sforzo da parte tua nella configurazione dell'ambiente: non devi fare nulla sulle workstation degli utenti e devi solo assicurare una corretta segmentazione della rete. 802.1x è più costoso in termini di sforzo e adozione, ma è ancora più economico di una soluzione NAC. La soluzione NAC probabilmente sarà la più efficace e la più costosa delle tre, soprattutto se si ottiene una soluzione che non ha bisogno di distribuire un agente sulle workstation. Richiede ancora un po 'di addestramento all'utente a seconda di come lo si implementa, ma è molto più difficile ignorare un controllo NAC piuttosto che ignorare le restrizioni VLAN.

    
risposta data 14.01.2014 - 18:18
fonte
2

La soluzione più semplice è VLAN una LAN virtuale o logica. Con le VLAN è possibile separare la rete LAN fisica in diversi segmenti logici della LAN, ad esempio in base al reparto, in base agli utenti o all'applicazione. Con l'aiuto della VLAN puoi operare come costruire tante LAN virtuali secondo le tue autorizzazioni di switch e queste VLAN saranno virtualmente isolate l'una dall'altra. Quindi, quello che suggerisco è di posizionare i porti delle sale riunioni su un vlan separato che isolerà i visitatori dall'accesso a qualsiasi workstation interna.

Modifica

Le VLAN sono generalmente soggette a un attacco di salto della VLAN, ad esempio l'attacco di spoofing e doppio tagging. Queste ragioni dietro a questi attacchi sono principalmente dovute a switch non configurati, vale a dire che la porta di accesso allo switch è configurata come porta trunk. È possibile rivedere una buona valutazione della sicurezza di vlan da questa domanda i.e

Perché le persone mi dicono non utilizzare le VLAN per sicurezza?

    
risposta data 14.01.2014 - 15:11
fonte
0

Implementa Sicurezza porta (802.1X), si tratta di varie tecniche per posizionare il controllo di accesso sulle porte di rete.

    
risposta data 14.01.2014 - 14:00
fonte

Leggi altre domande sui tag

Consigli di divulgazione responsabile Come una connessione al database rende mysqli_real_escape_string più sicuro?