Назад | Перейти на главную страницу

Безопасность беспроводной точки доступа

У нас есть опасения по поводу того, что наши сотрудники используют точки беспроводного доступа для подключения к нашей локальной сети. Мы используем VPN для подключения к нашей сети, а затем они могут передавать данные с помощью проприетарного приложения. То, что они делают небольшой просмотр веб-страниц, направляется на наш прокси-сервер и, следовательно, требует, чтобы сначала была установлена ​​VPN.

Итак, мой вопрос таков: Как лучше всего обезопасить ноутбук с момента его запуска до момента установления соединения VPN?
Они могут быть подключены к открытой незащищенной сети за много минут до запуска VPN.

Нас беспокоит не столько обнюхивание данных (поскольку данные будут отправляться только через VPN), сколько то, что кто-то может подключиться к ноутбуку и скомпрометировать его до подключения к VPN.

Персональные брандмауэры - вариант, но они должны быть эффективными без ввод от пользователя (и желательно с централизованным управлением).

Мне было бы интересно узнать, как другие подошли к этой проблеме и какие решения они нашли.

Обновить:

Подразумеваемая часть этого вопроса, который я на самом деле не задавал: считаете ли вы, что брандмауэр Windows достаточно надежен, с подходящими политиками, чтобы блокировать входящий доступ, или вы обращаетесь к сторонним решениям?

Обеспечение безопасности портативных компьютеров для сотрудников и возможность подключения через точки доступа - очень сложная задача, включающая безопасность на различных уровнях, и может быть очень дорогостоящей с точки зрения решений.

Если данные имеют такое значение в вашей сети, что очевидно, вы можете попробовать эти вещи или реализации.

  1. Защитите физический диск, зашифруя и заблокировав систему, запретив запуск скриптов или установку любой программы.
  2. Регулярно отправляйте проверенные обновления безопасности.
  3. Соблюдайте строгие правила брандмауэра, и пользователи должны разрешить их отключение.
  4. поощрять пользователей или обучать пользователей (САМОЕ ВАЖНО) использовать или подключаться только через защищенные сети. Также сообщайте им об угрозах по электронной почте, сообщениям и т. Д.
  5. Отключите локальную сеть с помощью политики удаленного VPN (мы видели это в действии почти везде), чтобы данные не могли быть переданы в любую другую сеть.
  6. Если стоимость не является проблемой, а данные имеют первостепенное значение, то ноутбук следует сделать тонким клиентом с указанными выше реализациями и использовать сервер презентаций Citrix или xen для подключения к удаленному терминалу и работы в безопасной среде.

Вам просто нужно настроить брандмауэр на каждом ноутбуке, чтобы блокировать весь сетевой трафик (выходной и входящий), за исключением пакета, необходимого для монтирования и запуска VPN-соединения.

В Windows настройками брандмауэра можно легко управлять, установив GPO в Active Directory.

Я думаю, чтобы быть более конкретным, вы разрешили бы только первичному беспроводному интерфейсу принимать пакеты из «дома» (пул адресов вашего VPN-сервера) и запретить весь остальной входящий трафик. Затем вы должны настроить брандмауэр, чтобы разрешить весь трафик через VPN-устройство. Похоже, у вас уже есть надлежащая фильтрация на уровне VPN.

Как было сказано ранее, подойдет брандмауэр Windows, управляемый AD. Кроме того, вы хотели бы, чтобы пароль учетной записи локального администратора был надежным. В моей компании мы реализовали общедоменную утилиту, которая централизованно управляет паролями локальных администраторов. И вы также хотите, чтобы на них были все обновления безопасности.

Если вас беспокоят только входящие компромиссы, пока не будет подключена VPN, принудительно включите брандмауэр Windows, блокируя весь входящий трафик без исключения. Это не предотвратит исходящий трафик, который инициирует входящий ответ, но заблокирует любой инициированный извне трафик до тех пор, пока не будет подключена VPN, что, по-видимому, является вашей заявленной проблемой. Некоторые из других ответов здесь делают еще один или несколько шагов дальше, если вам это нужно.

Это обычный компромисс между удобством и безопасностью - к сожалению, вы никогда не сможете получить и то, и другое.

Я знаю, что это не тот ответ, который вам нужен, но я думаю, что самое важное здесь - обучить пользователей и, возможно, ограничить / ограничить, кто может использовать ноутбук, а кто нет.

Я предполагаю, что вы уже максимально блокируете ОС / программное обеспечение ноутбука, но, очевидно, это не означает, что оно безопасно (просто оно немного безопаснее).

Взгляните на функцию в Windows 2008 под названием Защита доступа к сети (NAP) Он позволяет вам устанавливать политики в отношении состояния машин, которые вы разрешаете использовать в своей VPN, прежде чем им будет предоставлен полный доступ к вашей сети. Например, вы можете убедиться, что AV на клиентских компьютерах обновлен или исправлен. Вы можете настроить для этого целый ряд политик. Он также имеет возможность изолировать клиента, чтобы вы могли автоматически исправить эти вещи, прежде чем разрешать их в сети.

Это не совсем ответ на ваш вопрос, поскольку компьютеры уже подключены к VPN, но я думаю, что это, вероятно, лучший подход. т.е. подключите их к изолированной сети, убедитесь, что они прошли проверку, а затем предоставьте им полный доступ.

Некоторые клиенты VPN могут применять такую ​​политику. Клиент Check Point VPN добавил эту функцию примерно в 2000/2001 гг.