Назад | Перейти на главную страницу

Запретить неавторизованным пользователям получить доступ к сети?

Просто любопытно: как люди «блокируют» свою сеть, чтобы предотвратить доступ к ней неавторизованных устройств?

Чем отличается сеть DHCP от статической IP?

А как насчет Windows AD под управлением?

Изменить: я не пытаюсь ничего предотвратить как таковое. Просто любопытно, как должна быть реализована "безопасная" сеть

Внедрите аутентификацию 802.1x в своей сети и / или отключите все неиспользуемые порты коммутатора.

DHCP, статические IP-адреса и AD имеют мало общего с вашей безопасностью от постороннего, пытающегося получить доступ.

Если вы не хотите полностью отключать порты, я бы посоветовал поместить все «лишние» порты коммутатора в VLAN, которая имеет собственный DHCP-сервер и не направляет ни на что другое в вашей сети. Затем отслеживайте этот DHCP-сервер на предмет аренды и отследите, где люди случайным образом подключаются. Если вы действительно хотите, вы можете настроить захватывающий портал в этой VLAN, объясняя, почему они не могут просматривать Интернет.

Windows Изоляция домена изолирует ваши узлы Windows с помощью IPSEC, предотвращая доступ к ним для всех, кто подключается к сети, не являющейся частью домена.

Также требуя пользовательской / личной аутентификации или просто членства в домене для прохождения любых брандмауэров, вы дополнительно ограничиваете возможности плагина.

Однако обязательно будут уязвимые узлы - например, принтеры в сети принтера, где физическая безопасность по-прежнему будет важна для предотвращения того, чтобы кто-то просто подключился.

Простое максимально возможное сегментирование сети также поможет сделать ее более надежной.

Хотя в сочетании с 802.1x вы получите что-то довольно приличное, хотя 802.1x, к сожалению, не является пуленепробиваемым в проводной форме.

Как обычно с охраной; глубина и много слоев - это то, что нужно.

Безопасно от чего? Заблокирован, чтобы предотвратить что?

  • От какой предполагаемой угрозы вы пытаетесь бороться?
  • Насколько ваши теоретические законные пользователи могут быть неудобны с точки зрения безопасности?
  • как бы связано с предыдущим пунктом) какова ценность защищаемого материала
  • каковы цена / последствия нарушения? Люди умрут? Обанкротится ли бизнес?

Я, кстати, не педантичен, это лишь некоторые из вопросов, которые вы должен ответьте, прежде чем вы сможете начать что-либо блокировать. Безопасность, необходимая для обеспечения безопасности данных моего работодателя, отличается от безопасности, необходимой для хранения в банковском сейфе или, например, для защиты конфиденциальных данных, связанных с военными развертываниями.

Я могу вам сказать, что для предотвращения случайного подключения пользователей к сети, безопасность которой я в какой-то степени забочусь, я мог бы реализовать безопасность 802.1x, но в зависимости от их ответов на вышеперечисленные вопросы мне, возможно, придется сделать гораздо больше. Или чуть меньше.

Все решения по управлению доступом на основе DHCP, MAC и IP можно легко обойти, подделав их, и, следовательно, они наименее эффективны.

Создание виртуальных локальных сетей - дешевый метод ограничения доступа к сети. У него есть свои ограничения и недостатки.

Аутентификация 802.1x - это метод управления портами на основе коммутатора, который большую часть времени будет работать в небольших организациях. Однако это не сработает в тех случаях, когда человек начинает использовать, скажем, порт коммутатора принтера, который обычно остается открытым.

В последние несколько лет на рынке появился новый вид устройств / устройств / решений, которые реализуют NAC (контроль доступа к сети), а некоторые из них действительно используют 802.1x. Эти устройства / решения требуют аутентификации пользователя, а также ограничивают доступ пользователей только к ресурсам, которые необходимы для выполнения их повседневной работы. Принтер не сказал бы получить SSH-доступ к серверу. Таким образом, порт принтера теперь менее важен для пользователя.

Управление AD имеет мало общего с предотвращением доступа к сети. Он контролирует, кто может входить в ресурсы, если ими управляет AD, но не препятствует подключению устройства к вашей сети. Ни DHCP, ни статические IP-адреса не используются, если только вы не выполняете фильтрацию на основе MAC-адресов Ethernet.

Можете ли вы более подробно объяснить, какой доступ вы пытаетесь предотвратить? Этот вопрос довольно обширен, и на его тщательное рассмотрение могут потребоваться годы. ;)

Если 802.1x кажется излишним для вашей ситуации, и вы больше ищете решение, которое доставит людям достаточно неудобств, чтобы они не подключали аппаратное обеспечение волей-неволей, мне нравится то, что сделал мой коллега, и которое работает как шарм . Все, что вам нужно, это сеть, в которой все устройства имеют статические или статически назначенные IP-адреса DHCP, что в любом случае может быть хорошей идеей, например для долговременной согласованности журналов.

  1. На всех машинах установите в записях кэша ARP все IP-адреса в локальной IP-сети на определенный локально администрируемый MAC-адрес.
  2. На рабочих станциях установите IP-адреса серверов и шлюзов на реальные HW-адреса [*]
  3. На серверах установите IP-адреса известных рабочих станций на реальные HW-адреса [*]
  4. В службе DHCP назначьте особый диапазон адресов неизвестным хостам.
  5. На шлюзах не маршрутизируйте трафик из этого диапазона, а только перенаправляйте весь HTTP-трафик по маршруту по умолчанию на веб-сервер, который имеет страницу «незарегистрированная машина, бла-бла ...» в качестве виртуального хоста по умолчанию.

[*] можно легко сделать с помощью сценария для основного источника конфигурации - мы используем LDAP для конфигурации DHCP, а мой коллега сделал это с помощью простого сценария оболочки, который анализирует вывод ldapsearch (1), и делать это в среде Windows / AD не следует Не сложнее - IronPython? Powershell?

Как я уже сказал, это не надежная криптографическая безопасность, но она удовлетворяет две общие потребности в безопасности: 1. Продавцы не могут просто вставить свои ноутбуки в локальную сеть, когда они вернутся, что является божественной посылкой против троянов и т. Д. В том же духе, изолированные друг от друга рабочие станции - это золотая середина - никакого беспорядка из спонтанного обмена CIFS, никакого распространения вирусов ...

Мы рассмотрели все подходы и в основном пришли к выводу, что решение NAC / NAP в сочетании с разделенной сетью - единственное, что будет достаточно. Другие решения чреваты проблемами:

  • DHCP с резервированием MAC может быть сорвано путем клонирования MAC, а затем ARP лавинной рассылки оригинала из сети или просто отключения его.
  • Ничто не мешает кому-то получить статический IP-адрес, особенно если он отключит что-то, для чего требуется статический IP-адрес (например, сетевой принтер).
  • Неиспользуемые порты должны быть отключены по умолчанию, но в более крупной среде один из них неизбежно останется включенным случайно. Таким образом, доступ, основанный на отключении портов, рано или поздно обязательно будет нарушен.

Если посмотреть на общие подходы, если ваша сеть имеет высокий уровень безопасности, вы должны контролировать физический доступ ко всем портам. Это единственный гарантированный способ заблокировать его.

Конечно, это имеет много недостатков, когда дело касается удобства использования.

В последней компании, в которой я работал, мы разделили сеть на несколько vlan и использовали резервирование DHCP для ограничения клиентских подключений. Диапазон DHCP был ограничен количеством клиентов в vlan, и этот диапазон необходимо было расширить, чтобы добавить больше клиентов.

Поскольку резервирования привязывали IP-адрес к MAC-адресу, старое резервирование необходимо было удалить, чтобы добавить другого клиента. Кто-то случайно отключение сетевого кабеля и подключение другого компьютера не позволяет получить IP-адрес.

Я говорю случайно потому что это не учитывает спуфинг MAC.