Networking

小型網路的最佳安全實踐 - wifi、lan、

  • August 31, 2012

我們定期為不同位置的客戶設置小型網路,以允許他們在不同的產品上工作,現在問題應該是最佳安全實踐。

目前我們有一個啟用了 WPA2 的 wifi,大多數筆記型電腦都連接到這個,但有些會連接到連接到路由器的有線交換機。

我們正在考慮應該做些什麼來提高我們小型網路的安全性 - 我們確實在筆記型電腦上設置了安全性,因此您可以通過一個簡單的 Windows 使用者帳戶直接與其他人共享驅動器。

一些建議是:

  1. 我們得到了一個帶有 ACL 控制和 MAC 過濾的 LAN 交換機,用於硬連線連接?
  2. 我們通過一個好的 Cisco 路由器讓 acl 在 wifi 上工作?
  3. 所有機器上的 ipSec 策略?
  4. IP過濾和固定IP?

我想人們擔心任何人都可以插入交換機並訪問網路。

概括:

保持體面的安全水平,可以輕鬆複製到我們為客戶所做的每個設置中

一些建議:

首先嘗試阻止對網路的物理訪問。

  1. 將開關放置在上鎖的機櫃內,以防止對它們進行物理訪問。
  2. 如果可能,為中型組織部署 802.1x 身份驗證,以強制工作站對網路進行身份驗證。

在較小的組織中,只要機器不移動,就在具有粘性 MAC 地址的交換機上使用埠安全性。禁用任何未使用的交換機埠。 3. 在您的無線網路上,使用帶有 AES 和長密鑰 (> 15) 的 WPA2


接下來,假設已獲得物理訪問並限制進一步的訪問。

如果您沒有用於域和文件伺服器的資源並且必須在工作站之間共享文件,請在每個工作站上使用相同的密碼創建一個(非管理員)帳戶,該帳戶可用於訪問不同機器上的文件。

不允許“每個人”組訪問任何內容。

您還可以將 DHCP 伺服器配置為拒絕向未知客戶端租用 - 這不會阻止具有物理訪問權限的人查看流量並為自己分配 IP,但它可能會減慢臨時入侵者的速度。


最後,監視情況以查看是否有人正在訪問不應該訪問的網路。一種方法是檢查您的 DHCP 伺服器租約,以查看是否有任何未知機器請求了 IP。

引用自:https://serverfault.com/questions/423301