Назад | Перейти на главную страницу

Лучшая практика безопасности для небольших сетей - Wi-Fi, LAN,

Мы регулярно настраиваем небольшие сети для клиентов в разных местах, чтобы позволить им работать с разными продуктами. Теперь возникает вопрос, что должно быть лучшей практикой безопасности.

В настоящее время у нас есть Wi-Fi с поддержкой WPA2, и большинство ноутбуков подключаются к нему, но некоторые подключаются к кабельному коммутатору, подключающемуся к маршрутизатору.

Мы думаем о том, что нам следует сделать, чтобы повысить безопасность в наших небольших сетях. У нас действительно есть средства защиты на ноутбуках, поэтому вы можете напрямую поделиться диском с другими людьми с помощью простой учетной записи пользователя Windows.

Вот некоторые предложения:

  1. У нас есть переключатель LAN с контролем ACL и Mac-фильтрацией для проводных подключений?

  2. У нас работает acl по wifi через хороший роутер Cisco?

  3. политики ipSec на всех машинах?

  4. Фильтрация IP и фиксированные IP-адреса?

Я полагаю, люди обеспокоены тем, что кто-нибудь может подключиться к коммутаторам и получить доступ к сети.

Резюме:

Поддерживайте достойный уровень безопасности, который можно легко воспроизвести для каждой настройки, которую мы делаем для клиентов.

Некоторые предложения:

Начните с попытки предотвратить физический доступ к сети.

  1. Поместите выключатели в запертые шкафы, чтобы предотвратить физический доступ к ним.
  2. Если возможно, разверните аутентификацию 802.1x для организаций среднего размера, чтобы заставить рабочие станции аутентифицироваться в сети.
    В небольших организациях используйте защиту портов на коммутаторах с закрепленными MAC-адресами, пока машины не перемещаются. Отключите все неиспользуемые порты коммутатора.
  3. В беспроводной сети используйте WPA2 с AES и длинным ключом (> 15)

Затем предположите, что физический доступ был получен, и ограничьте дальнейший доступ.

Если у вас нет ресурсов для домена и файлового сервера и вам необходимо обмениваться файлами между рабочими станциями, создайте на каждой рабочей станции единую учетную запись (без прав администратора) с одним и тем же паролем, который можно использовать для доступа к файлам на разных машинах.
Не разрешайте группе «все» доступ ни к чему.

Вы также можете настроить свои DHCP-серверы на отказ в аренде неизвестным клиентам - это не мешает кому-либо с физическим доступом наблюдать за трафиком и назначать себе IP-адрес, но это может замедлить случайных злоумышленников.


Наконец, проследите за ситуацией, чтобы увидеть, не получает ли кто-нибудь доступ к сети, чего не должно быть. Один из способов - проверить аренду вашего DHCP-сервера, чтобы узнать, запрашивали ли какие-либо неизвестные машины IP-адреса.

Вы не указали, работаете ли вы в сетевой среде Windows или нет, поэтому я сосредоточусь на общих предложениях по сетевой безопасности.

  1. Контроль физического доступа. В идеале ваши коммутаторы, коммутационные панели и серверы должны находиться в безопасном месте для запирания с соответствующими средствами охлаждения и питания, такими как ИБП. Храните где-нибудь ключ на месте, но не поддавайтесь давлению, чтобы позволить вашим клиентам получить доступ к вашему оборудованию - благие намерения, но невежественные сотрудники часто могут создавать большие проблемы из меньших. Убедитесь, что у вас есть журнал доступа или контрольный журнал (это может быть так же просто, как система отслеживания инцидентов). Если сетевой ответвитель не используется, отсоедините его соединительный кабель или отключите порт на коммутаторе.

    Я действительно избегаю использования безопасности на основе MAC-адресов, потому что неизбежно кто-то меняет офис, или вам придется заменить машину, а затем вам придется снова обновить таблицу MAC-адресов. MAC-адреса в любом случае создают неверные токены аутентификации, поскольку злоумышленник может легко обнаружить доверенный MAC-адрес с помощью анализа пакетов, а затем изменить свой MAC-адрес в соответствии с ним.

  2. Предположим, что ваш пароль беспроводной сети будет общим. На мой взгляд, это то, с чем небольшие развертывания действительно борются. Решение уровня «Enterprise» - это аутентификация 802.1X, которая требует существенной инфраструктуры. Если вы настроите точку доступа WP2 и передадите пароль своим клиентам, ожидайте, что они передадут его любому, кто вежливо спросит. Если беспроводной сети действительно необходимо предоставить доступ к «частной» сети, тогда вы должны сами настроить клиентские машины и по-настоящему сохранить секрет, хорошо в секрете. Если ваши клиенты действительно нуждаются в сетевом доступе для своих поставщиков, подрядчиков и других пользователей, устанавливающих отдельные VLAN и SSID. Это может быть легко выполнено с помощью точек доступа с поддержкой Multi-SSID, которые понимают тегирование VLAN.

  3. Используйте брандмауэр. Это довольно просто. Установите какую-то фильтрацию уровня 3/4 между сетью вашего клиента и большим плохим Интернетом и проверьте ее, чтобы убедиться, что он делает то, что, по вашему мнению, делает.

  4. Не позволяйте вашим клиентам самостоятельно размещать услуги (или если да, то делайте это разумно). Небольшие развертывания часто не имеют инфраструктуры для безопасного размещения общедоступных сервисов. Если ваши клиенты нуждаются в таких услугах, вам, вероятно, лучше всего подойдет внешняя хостинговая компания, которая специализируется на предоставлении этих услуг (например, у компании, специализирующейся на веб-хостинге, размещается их веб-сайт, а не старая рабочая станция в шкафу. где-то).

  5. Не позволяйте вашим клиентам иметь локального администратора (или если да, то делайте это разумно). Не давайте своим клиентам привилегий локального администратора. Есть так много веских причин не делать этого, я даже не буду их перечислять. И делай не предоставить им доступ администратора (или любого другого типа) к их локальному серверу, независимо от того, насколько «опытным» они говорят, что их новый стажер разбирается в технологиях.

Короче говоря, делайте свою сеть простой, и вы сохраните ее в безопасности. Краеугольным камнем вашего плана безопасности должен быть контроль физического доступа к сети, принцип наименьших привилегий и сопротивление внедрению систем, безопасность которых требует большей инфраструктуры, чем у вас есть (например, общедоступных сервисов).