Políticas de wireless corporativas

6

Nossos laptops corporativos são restritos para permitir apenas o acesso à Internet por meio de nosso proxy (perfil de conexão no Internet Explorer enviado por meio de um GPO). Em uma conexão remota / de terceiros, isso é permitido criando uma VPN de volta à rede corporativa (Cisco VPN Client - > Cisco ASA), quando o proxy estará disponível e rotearemos todo o tráfego da Internet através disso.

Recentemente, tivemos a questão levantada por um de nossos usuários que estava tentando usar uma conexão sem fio em um trem. A empresa de trens exige que o usuário preencha um formulário hospedado em sua própria rede.

O problema que tivemos foi que o usuário não conseguiu acessar a página interna das empresas de trem, pois o proxy não estava disponível. Eles não conseguiram conectar a VPN, pois não haviam concluído a página de logon das empresas de trem.

Consideramos que poderíamos especificar essa página no "ignorar proxy para esse endereço ...", o que permitiria uma conexão apenas com essa página. Isso foi rejeitado, pois teríamos que começar a adicionar todas as empresas de trem, hotéis e hotspot público que funciona dessa maneira (que deve ser uma lista de milhares)

A segunda sugestão era permitir conexões a qualquer rede local (10. * ou 192. *), mas as implicações com relação à segurança pareciam ser perigosas. Além disso, a página oferecida pela empresa de trem seria http://virginrailwifisignup page e não http://192.168.1.1

Nesse momento, ficamos perplexos. O agora familiar grito surgiu no escritório "não podemos ser os únicos que tiveram este problema", mas não consegui encontrar alguém que tenha mencionado uma solução útil.

Então eu pergunto a você, falha do servidor, como você conseguiu isso?

Vale a pena notar que fornecemos a todos os nossos usuários de dispositivos móveis conexões 3G para quando estiverem fora de casa, eles fazem VPN de volta, mas são muito esquisitos em um trem.

    
por Patrick 18.01.2012 / 12:43

3 respostas

4

Our corporate laptops are restricted to only allow internet access through our proxy (connection profile in Internet Explorer pushed through a GPO).

Pressionando as configurações para um perfil de conexão no IE, você não somente permite acesso à Internet através de seu proxy. Você acabou de fazer uma noção sobre o acesso à Internet por meio de seu proxy e aumentar a acessibilidade.

Se eu entendi corretamente o que você quer é fazer com que os usuários se conectem à sua VPN para acessar a internet usando seu proxy. Se for esse o caso, você deve ter cuidado, pois agora todos os malwares / ataques em potencial são roteados pela rede.

Por padrão, na maioria dos Windows após o XP, quando você se conecta a uma VPN, você está usando o gateway padrão na rede remota. Assim, você precisa garantir que essa configuração permaneça assim. Você pode fazer isso através do seu GP ou CMAK ou por um script ou até mesmo fazê-lo manualmente como usuário alavancado uma vez para cada máquina.

Mas em logins baseados na web, seus usuários têm que acessar algum site aleatório (e, portanto, a internet)! É aqui que a Reconhecimento de local de rede entra em ação

The Group Policy client will apply policy settings whenever domain controller availability returns. Examples of connection events that trigger Group Policy processing include establishing VPN sessions, recovering from hibernation or standby, and the docking of a laptop. This benefit can potentially increase the level of security on the workstation by more quickly applying Group Policy changes.

Portanto, se o usuário estabelecer uma conexão com uma rede diferente da sua rede de trabalho você vai acionar sua conexão VPN e tudo é bom.

Eu tenho que admitir que não é um trabalho fácil, especialmente quando há diversificação de clientes.

A outra maneira de contornar isso é bloquear tudo desativando o lote e fazer outra conta de usuário para uso fora de sua VPN e forçando outros tipos de limitações (por exemplo, sem vídeos, áudio, domínios específicos, etc.)

No entanto, outra maneira é bloquear determinadas portas de uma conexão específica ou limitar o acesso à sua VPN, por exemplo, sem acesso a servidores internos

    
por 18.01.2012 / 15:44
0

Eu acho que estou um pouco confuso, mas por que todos os seus clientes, quando fora do seu tijolo e argamassa, devem ser forçados a se conectar à internet apenas para serem roteados de volta através de sua própria rede?

Eu recebo um cliente VPN para poder ligar para casa e acessar recursos na rede, mas por que você quer que todo o tráfego de navegação seja enviado de volta para você apenas para ser roteado novamente? É para fins de filtragem de conteúdo ou simplesmente para que eles também possam acessar recursos corporativos.

Independentemente disso, acho que estou um pouco confuso sobre por que a configuração precisa ser assim em primeiro lugar. Se eles não estão na sua rede, por que se incomodar em procurá-los de volta ao escritório se, de fato, eles também tiverem um cliente VPN? Eu acho que estou curioso para saber se a coisa toda pode ser um pouco mais complicada, mais engenharia se você quiser.

    
por 29.08.2012 / 13:44
-5

Use um firewall real para restringir o acesso - não apenas o perfil de conexão do MSIE.

    
por 18.01.2012 / 13:15

Tags