我應該如何保護企業無線網路?
在我的工作中,我們正在實施一個新的 WiFi 網路,我正在嘗試考慮網路安全性的設計。
案例 1:客人。我們將設置一個強制門戶,客人將接受可接受的使用政策,並且僅限於 Internet,不能訪問 LAN。很簡單,我們將讓防火牆阻止危險埠,而不必擔心,因為它們無法觸及我們的主網路。
案例 2:擁有 BYOD 和公司擁有的筆記型電腦的員工可能會在離開辦公室數月後才被帶到辦公室。Windows 和 OSX 的混合。他們將通過 WPA2-Enterprise 對我們的 AD/RADIUS 進行身份驗證。有沒有一種好方法可以讓這些人安全地通過 LAN 訪問內部伺服器?
我的想法是,僅僅讓這些人不受限制地訪問 LAN 是有問題的。如果他們已加入域,他們最終將收到來自 WSUS 的安全更新,但不一定在他們連接之前。也不能保證防病毒。有了我們現在擁有的有線網路,這是次要的,但我可以看到 BYOD 隨著 wifi 網路的增加而增長,特別是對於我們大量的暑期實習生而言。
我已經研究過 Microsoft 網路訪問保護以強制執行安全設置並隔離不合規的設備,但我不確定它如何與 OS X 一起使用(我能找到的唯一代理,UNET 代理,在網站上有一些損壞的連結並且定價不明確)。它似乎也很複雜。
這是矯枉過正嗎?在現實世界中,其他人如何處理這種情況?有沒有人喜歡的更簡單的網路訪問控制解決方案?
我有一個學區客戶,他的設置與您所說的類似。
- 公共訪問在一個單獨的 VLAN 上執行,具有專用的基於 Linux 的 DHCP 和 DNS,除了通過邊緣防火牆(有效地將公共 wifi 放置在防火牆之外)之外,無法訪問公司網路(有效地將公共 wifi 放置在防火牆之外——因此 VPN 訪問和對 DMZ 的訪問)託管伺服器通過公共 wifi 工作)。《兒童網際網路保護法》要求我們對這種連接進行嚴格過濾,讓公眾得到最嚴格的政策。(如果我可以在專用的物理 LAN 和單獨的 Internet 連接上執行它,我會的。錢另有說法。)
- 學生擁有的設備通過 WPA-RADIUS 進行身份驗證並可以訪問 Internet。DHCP 和 DNS 由基於 LAN 的伺服器提供。基於 AP 的防火牆規則(我們正在執行 Ruckus ZoneFlex AP,每個 AP 中都有一個基於 Linux 的 iptables 防火牆)阻止對 LAN 的訪問,但特定服務除外(HTTP 到“學習管理系統”和一些其他 Web 伺服器) . 訪問 LAN 子網有一個預設拒絕策略。
從管理政策的角度來看,我覺得員工擁有的設備和地區擁有的設備之間存在很大的區別,所以我在運營配置中反映了這一點。
- 員工擁有的設備與學生擁有的設備完全相同,只是有不同的 Internet 過濾策略,員工可以通過 RDP 訪問台式電腦所在的 LAN 子網。對於訪問 LAN 子網,仍然存在預設拒絕策略。基於 LAN 的伺服器為員工擁有的設備提供的服務數量非常有限,坦率地說,我希望保持這種狀態。我將盡我最大的努力確保我們在“BYOD”子網和 LAN 子網之間保持預設的拒絕策略和例外情況。我與人們對此有一些分歧,但我認為“BYOD”設備永遠不可能像地區擁有的設備那樣值得信賴。
- 學區擁有的設備(包括膝上型電腦)僅針對“域電腦”組的成員通過 WPA-RADIUS 身份驗證獲得自己的 SSID。訪問 LAN 有一個廣泛開放的政策。沒有使用者在他們的電腦上擁有管理員權限,我很高興自欺欺人地認為這些設備大多是值得信賴的。如果我有點偏執,我會在所有筆記型電腦上使用 TPM 部署 Bitlocker,以防止使用者離線修改作業系統。最後一點帶有全盤加密,這就是我需要讓我合理地確定學區擁有的設備至少在某種程度上值得信賴的全部內容。我們只有 Windows 客戶端,但對於 Mac 環境,
我們沒有機器可以在場外停留數月。如果我這樣做了,我會託管一個面向 Internet 的 WSUS 伺服器,並讓客戶端即使在異地時也可以在那裡查找更新。根據您的防病毒軟體,您也可以讓它以這種方式執行。
並不是說我認為 NAC / NAP 是“矯枉過正”——我認為這是一個根本有缺陷的想法。有些人認為束手無策是使用 NAC / NAP 的一個理由,但我很難相信不受信任的客戶來評估自己的“健康狀況”。我完全贊成對來自受信任主機的機器執行漏洞掃描,但要求不值得信任的主機對其自身做出可信賴的陳述對我來說似乎非常有缺陷。