Мы внедряем новую сеть Wi-Fi на моей работе, и я пытаюсь продумать дизайн системы безопасности для этой сети.
Пример использования 1: гости. У нас будет настраиваемый портал, гости примут политику допустимого использования и будут ограничены только Интернетом, без доступа к локальной сети. Достаточно просто, мы позволим брандмауэру блокировать опасные порты, и не о чем беспокоиться, поскольку они не могут коснуться нашей основной сети.
Пример использования 2: сотрудники с BYOD и ноутбуками компании, которые могут месяцами проводить вне офиса, прежде чем их приведут в офис. Смесь Windows и OSX. Они будут проходить аутентификацию с помощью WPA2-Enterprise в нашем AD / RADIUS. Есть ли хороший способ предоставить этим людям безопасный доступ к внутренним серверам по локальной сети?
Я думал, что просто предоставить этим людям неограниченный доступ к локальной сети проблематично. Если они присоединены к домену, они в конечном итоге получат обновления безопасности от WSUS, но не обязательно до подключения. Антивирус также не гарантируется. С проводной сетью, которая у нас есть сейчас, это второстепенно, но я вижу, что BYOD растет с добавлением сети Wi-Fi, особенно для нашего большого количества летних стажеров.
Я изучил Microsoft Network Access Protection, чтобы установить параметры безопасности и поместить в карантин несовместимые устройства, но я не уверен, как он будет работать с OS X (единственный агент, который я смог найти, UNET, имеет несколько неработающих ссылок на веб-сайте и цены неясны). Это тоже кажется довольно сложным.
Это перебор? Как другие справляются с этим сценарием в реальном мире? Есть ли более простое решение для контроля доступа к сети, которое нравится людям?
У меня есть заказчик школьного округа, у которого аналогичная установка, о которой вы говорите.
Общедоступный доступ осуществляется через отдельную VLAN с выделенными DHCP и DNS на базе Linux, и нет доступа к корпоративной сети, кроме пограничного межсетевого экрана (фактически выводя общедоступный Wi-Fi «за пределы» межсетевого экрана - таким образом, доступ к VPN и доступ к DMZ- размещенные серверы работают от общедоступного Wi-Fi). «Закон о защите детей в Интернете» требует, чтобы мы тщательно отфильтровали это соединение, чтобы общественность получила наиболее строгую политику. (Если бы я мог запустить это через выделенную физическую локальную сеть и отдельное подключение к Интернету, я бы сделал это. Деньги говорят иначе.)
Устройства, принадлежащие учащимся, проходят аутентификацию в WPA-RADIUS и имеют доступ к Интернету. DHCP и DNS предоставляются серверами в локальной сети. Правила брандмауэра на основе точки доступа (мы используем точки доступа Ruckus ZoneFlex, которые имеют брандмауэр iptables на базе Linux в каждой точке доступа) предотвращают доступ к локальной сети, за исключением определенных служб (HTTP для «системы управления обучением» и некоторых других веб-серверов) . Для доступа к подсетям LAN по умолчанию существует политика запрета.
Я чувствую, что существует четкое различие между устройствами, принадлежащими сотрудникам, и устройствами, принадлежащими округу, с точки зрения политики управления, поэтому я отразил это в операционной конфигурации.
Устройства, принадлежащие сотрудникам, ничем не отличаются от устройств учащихся, за исключением того, что существует другая политика фильтрации Интернета, и сотрудники получают доступ по протоколу RDP к подсетям LAN, в которых находятся настольные ПК. По-прежнему существует политика запрета по умолчанию для доступа к подсетям LAN. Количество сервисов, предлагаемых для принадлежащих сотрудникам устройств серверами в локальной сети, очень ограничено, и, честно говоря, я хочу сохранить его таким же. Я буду изо всех сил стараться гарантировать, что мы сохраняем политику отказа по умолчанию с исключениями между подсетями «BYOD» и подсетями LAN. У меня были некоторые разногласия по этому поводу, но я придерживаюсь мнения, что устройства BYOD никогда не могут быть заслуживающими доверия в такой степени, как устройства, принадлежащие округу.
Устройства, принадлежащие округу, включая портативные компьютеры, получают собственный SSID с аутентификацией WPA-RADIUS только для членов группы «Компьютеры домена». Существует широко открытая политика доступа к локальной сети. Ни у кого из пользователей нет прав администратора на своих компьютерах, и я достаточно счастлив, обманывая себя, полагая, что эти устройства в основном заслуживают доверия. Если бы я был немного более параноиком, я бы развернул Bitlocker с помощью TPM на всех портативных компьютерах, чтобы предотвратить автономную модификацию ОС пользователями. Этот последний бит с полным шифрованием диска - это все, что мне нужно, чтобы заставить меня почувствовать разумную уверенность в том, что устройства, принадлежащие району, по крайней мере в некоторой степени заслуживают доверия. У нас есть только клиенты для Windows, но я считаю, что для среды Mac доступны подходящие аналогичные возможности, гарантирующие целостность доверенной вычислительной базы с момента загрузки.
У нас нет машин, которые месяцами не работают. Если бы я это сделал, я бы разместил сервер WSUS с выходом в Интернет и попросил бы клиентов искать там обновления, даже когда они находятся за пределами площадки. В зависимости от вашего антивирусного программного обеспечения вы также можете заставить его работать таким образом.
Дело не в том, что я считаю NAC / NAP "излишним" - я думаю, что это принципиально ошибочная идея. Некоторые люди утверждают, что пояс с подтяжками - это причина для использования NAC / NAP, но мне трудно доверять ненадежному клиенту в оценке его собственного «здоровья». Я полностью поддерживаю сканирование уязвимостей машин с доверенного хоста, но просить ненадежный хост сделать достоверное заявление о себе кажется мне очень ошибочным.
Почему BYOD должен отличаться для пользователей внутри вашего помещения, чем снаружи? Если бы это был я, я бы настроил WIFI как собственную сеть с доступом в Интернет и использовал бы VPN для доступа к ограниченным материалам.