Как лучше всего бороться со спамом или зараженными вирусами хостами в беспроводной сети с помощью персональных ноутбуков (например, персональных ноутбуков студентов в университете)? Какие политики и инструменты использует ваша компания?
Наш университет использует Система управления беспроводной связью Cisco (Cisco WCS), который, помимо прочего, может блокировать клиентов.
Функция защиты доступа к сети Windows Server 2008 роли сервера политики сети. Он даже может интегрироваться с коммутаторами Cisco через аутентификацию 802.1x.
Вы можете потребовать определенные патчи, антивирус или настройки брандмауэра ... свойства, сгруппированные вместе под заголовком «Состояние системы». Сетевые коммутаторы, поддерживающие NAP и сквозную аутентификацию RADIUS, могут автоматически отправлять клиентов vlan в защищенный карантин.
Windows также имеет встроенный IPSec для защиты серверов от блуждающих, не принадлежащих домену клиентов. Вы можете выдать сертификат «здоровым» клиентам и потребовать этот сертификат при согласовании IPSec SA. По сути, это ip-фильтрация ваших серверов для одобренных доменом клиентов. Вы также можете сделать это без сертификатов и просто потребовать действительную аутентификацию Kerberos (домен). Вы можете применить эти политики IPSec «аутентификации» к трафику, который исходит из подсетей вашей рабочей станции и предназначен для подсетей вашего сервера.
Для защиты доступа к сети требуется среда XP SP3, Vista и Server 2008. Чтобы сделать это аккуратно, также могут потребоваться коммутаторы более высокого уровня и PKI.
IPSec может быть реализован с использованием XP, Vista и Server 2003. Но без оценки работоспособности это скорее фильтр «известная машина» и «неизвестная машина».
Многие беспроводные маршрутизаторы и точки доступа поддерживают беспроводное разделение, который останавливает связь между беспроводными клиентами и, очевидно, предотвращает распространение неприятностей, если ваши пользователи не используют брандмауэры.
Фактически, если вы настраиваете небольшую «горячую точку» только с беспроводным маршрутизатором и широкополосным подключением, а не с другими хостами, то это достаточно хорошая безопасность. Другое дело, если вы хотите защитить свои собственные хосты, я бы использовал NAT против беспроводной сети и разрешил только HTTP. В некотором смысле клиенты, которые приходят к вам из беспроводной сети, где люди используют свое собственное неуправляемое оборудование, даже если доступ контролируется, должны в значительной степени рассматриваться как трафик из Интернета и должны быть защищены с помощью только проверенных и проверенных протоколов, таких как HTTP. быть использованным. Я бы, например, не стал использовать в сценарии SMB.
Заблокируйте их порт Ethernet, как только увидите проблемную активность, возьмите машину и очистите от вирусов или, если необходимо, удалите их, попросите их «прийти к Иисусу» насчет нажатия на вложения электронной почты.