Контекст:
Я администратор корпоративной сети среднего размера с несколькими перекрывающимися точками беспроводного доступа и кабельной инфраструктурой Ethernet. Чтобы обеспечить соответствие требованиям аудита безопасности, нам недавно было приказано реализовать полную авторизацию устройства в сети - не просто метод обнаружения мошеннических точек доступа и т.п., но и полный «если ваше устройство не добавлено нами вручную, оно может Подключаюсь к "системе".
Моей первой мыслью было: просто создайте статические привязки DHCP MAC-to-IP для всех вручную, и пусть люди с новыми устройствами приходят ко мне, когда они впервые настраивают свои учетные записи. Я сказал аудиторам, и они сказали, что любая система, которую мы внедряем, не может быть уязвима для подделки MAC-адреса или статического IP-адреса, иначе мы останемся вне требований.
Я знаю, что существуют продукты, которые будут привязаны к сетевому соединению вашего компьютера и потребуют от вас аутентификации на каком-то централизованном сервере, чтобы получить доступ к сети, но мой опыт работы с ними (и Cisco AnyConnect VPN, который работает аналогично ) заключается в том, что они не могут работать на всех платформах. Поскольку у нас есть среда BYOD (не мой вызов), это не сработает.
Вопрос:
Какое программное обеспечение я могу запустить на сетевом уровне, которое не позволяет устройствам (любым / всем устройствам; произвольным типам / ОС на ноутбуках, случайным мобильным телефонам, планшетам и т. Д.) Получить доступ к сети, пока я вручную не добавлю их в нашу сеть (в идеале без много хлопот в процессе добавления)? Он должен работать одинаково как для проводных, так и для беспроводных подключений, и его нельзя обойти путем установки MAC-адреса или IP-адреса устройства на уже авторизованное устройство.
Из-за разнообразия имеющихся у нас устройств любое решение, которое мы используем, должно быть централизованным, без дополнительных требований к программному обеспечению клиента. Если есть что-то, что соответствует требованиям, но требует клиентского программного обеспечения, я, вероятно, смог бы убедить руководство использовать его, если бы клиентское программное обеспечение работало на большинстве наших устройств (то есть на всех ноутбуках * nix, OSX, Windows (xp до 8), iOS, Android, Windows Mobile, BlackBerry), и странные пользователи, которые не были охвачены этим, могли просто справиться с этим.
802.1X. Это не то, что тривиально реализовать, для этого требуется соответствующая инфраструктура безопасности для его резервного копирования (связанные учетные записи пользователей и т. Д.), Но, насколько мне известно, это единственный способ даже приблизиться к тому, о чем просят ваши аудиторы. .
Он поддерживается Windows, Linux, iOS (версии от Apple и Cisco, поэтому он хорош для iPad и iPhone), OS X, Windows Mobile (даже 2003, рвота), Blackberry, Android, практически все устройства должны поддерживать 802.1X.
То, что вы ищете, называется port security (по крайней мере, на коммутаторах Cisco). Для такого контроля доступа нужны управляемые коммутаторы.