Eu tenho um cliente de distrito escolar que tem uma configuração semelhante ao que você está falando.
-
O acesso público é executado em uma VLAN separada com DHCP e DNS dedicados baseados em Linux e sem acesso à rede corporativa, exceto através do firewall de borda (efetivamente colocando o wifi público "fora" do firewall e o acesso a servidores hospedados pela DMZ funciona a partir do wifi público). A "Lei de Proteção à Criança na Internet" exige que filtremos strongmente essa conexão, para que o público receba a política mais restritiva. (Se eu pudesse rodar isso em uma LAN física dedicada e em uma conexão de Internet separada, eu faria. Money diz o contrário.)
-
Os dispositivos de propriedade dos alunos são autenticados no WPA-RADIUS e têm acesso à Internet. DHCP e DNS são fornecidos por servidores baseados em LAN. Regras de firewall baseadas em AP (estamos executando APs Ruckus ZoneFlex, que possuem um firewall iptables baseado em Linux em cada AP) impedem o acesso à LAN, exceto serviços específicos (HTTP para o "sistema de gerenciamento de aprendizado" e alguns outros servidores da Web) . Existe uma política de negação padrão para acesso às sub-redes da LAN.
Eu sinto que há uma strong distinção entre dispositivos de propriedade do funcionário e de propriedade do Distrito, do ponto de vista da política de gerenciamento, então eu refleti isso na configuração operacional.
-
Os dispositivos de propriedade dos funcionários são exatamente iguais aos dos alunos, exceto que há uma política de filtragem da Internet diferente e os funcionários obtêm acesso RDP às sub-redes da LAN em que os PCs desktop residem. Ainda existe uma política de negação padrão para acesso às sub-redes LAN. O número de serviços oferecidos a dispositivos de propriedade de funcionários por servidores baseados em LAN é muito limitado e, francamente, eu quero continuar assim. Eu tentarei o máximo para garantir que mantenhamos uma política de negação padrão com exceções entre as sub-redes "BYOD" e as sub-redes da LAN. Eu tive algumas divergências com as pessoas sobre isso, mas eu sou da opinião de que dispositivos "BYOD" não podem ser confiáveis na medida em que os dispositivos de propriedade do Distrito podem.
-
Dispositivos de propriedade do distrito, incluindo laptops, obtêm seu próprio SSID com autenticação WPA-RADIUS apenas para membros do grupo "Computadores do domínio". Existe uma ampla política de acesso à LAN. Nenhum usuário tem direitos de administrador em seus computadores e estou razoavelmente feliz em me convencer a pensar que os dispositivos são confiáveis. Se eu fosse um pouco mais paranóico, implantaria o Bitlocker usando os TPMs em todos os laptops para impedir a modificação offline do sistema operacional pelos usuários. Esse último bit com criptografia de disco completo, seria tudo o que eu precisaria para me fazer sentir razoavelmente certo de que os dispositivos de propriedade do distrito são pelo menos um pouco confiáveis. Temos apenas clientes Windows, mas, para um ambiente Mac, acredito que recursos similares adequados para garantir a integridade da base confiável da computação estejam disponíveis.
Não temos máquinas que permaneçam fora do site por meses. Se o fizesse, eu hospedaria um servidor WSUS voltado para a Internet e pedirei que os clientes procurem atualizações mesmo quando estiverem fora do local. Dependendo do seu software antivírus, você também poderá fazê-lo funcionar dessa maneira.
Não é que eu ache que o NAC / NAP é "exagero" - eu acho que é uma ideia fundamentalmente falha . Algumas pessoas argumentam que o cinto e suspensórios são uma razão para usar o NAC / NAP, mas eu tenho dificuldade em confiar em um cliente não confiável para avaliar sua própria "saúde". Eu sou todo para executar varreduras de vulnerabilidade contra máquinas de um host confiável, mas pedir a um host não confiável para fazer uma declaração confiável sobre si mesmo parece muito falho para mim.