Como devo proteger uma rede sem fio corporativa?

5

Estamos implementando uma nova rede WiFi no meu trabalho e estou tentando pensar em um design de segurança para a rede.

Caso de uso 1: convidados. Teremos uma configuração de portal cativo, os hóspedes aceitarão uma política de uso aceitável e estarão restritos apenas à Internet, sem acesso à LAN. Bastante simples, permitiremos que o firewall bloqueie portas perigosas e não nos preocupemos muito, já que elas não podem tocar em nossa rede principal.

Caso de uso 2: funcionários com BYOD e laptops de propriedade da empresa que podem passar meses fora do local antes de serem levados ao escritório. Mix de Windows e OSX. Eles serão autenticados com o WPA2-Enterprise em nosso AD / RADIUS. Existe uma boa maneira de dar a essas pessoas o acesso seguro à LAN para servidores internos?

Meu pensamento foi que apenas dar a essas pessoas acesso irrestrito à LAN é problemático. Se eles forem ingressados no domínio, eles eventualmente receberão atualizações de segurança do WSUS, mas não necessariamente antes de se conectarem. O antivírus também não é garantido. Com a rede com fio que temos atualmente, isso é menor, mas vejo o crescimento do BYOD com a adição de uma rede Wi-Fi, especialmente para a nossa grande safra de estagiários de verão.

Eu examinei o Microsoft Network Access Protection para impor configurações de segurança e colocar em quarentena dispositivos não compatíveis, mas não tenho certeza de como ele funcionará com o OS X (o único agente que encontrei, o UNET, tem alguns links quebrados no site e os preços não são claros). Também parece ser bastante complexo.

Isso é um exagero? No mundo real, como os outros lidam com esse cenário? Existe uma solução mais simples para o controle de acesso à rede?

    
por Quinten 02.05.2013 / 16:51

2 respostas

7

Eu tenho um cliente de distrito escolar que tem uma configuração semelhante ao que você está falando.

  • O acesso público é executado em uma VLAN separada com DHCP e DNS dedicados baseados em Linux e sem acesso à rede corporativa, exceto através do firewall de borda (efetivamente colocando o wifi público "fora" do firewall e o acesso a servidores hospedados pela DMZ funciona a partir do wifi público). A "Lei de Proteção à Criança na Internet" exige que filtremos strongmente essa conexão, para que o público receba a política mais restritiva. (Se eu pudesse rodar isso em uma LAN física dedicada e em uma conexão de Internet separada, eu faria. Money diz o contrário.)

  • Os dispositivos de propriedade dos alunos são autenticados no WPA-RADIUS e têm acesso à Internet. DHCP e DNS são fornecidos por servidores baseados em LAN. Regras de firewall baseadas em AP (estamos executando APs Ruckus ZoneFlex, que possuem um firewall iptables baseado em Linux em cada AP) impedem o acesso à LAN, exceto serviços específicos (HTTP para o "sistema de gerenciamento de aprendizado" e alguns outros servidores da Web) . Existe uma política de negação padrão para acesso às sub-redes da LAN.

Eu sinto que há uma strong distinção entre dispositivos de propriedade do funcionário e de propriedade do Distrito, do ponto de vista da política de gerenciamento, então eu refleti isso na configuração operacional.

  • Os dispositivos de propriedade dos funcionários são exatamente iguais aos dos alunos, exceto que há uma política de filtragem da Internet diferente e os funcionários obtêm acesso RDP às sub-redes da LAN em que os PCs desktop residem. Ainda existe uma política de negação padrão para acesso às sub-redes LAN. O número de serviços oferecidos a dispositivos de propriedade de funcionários por servidores baseados em LAN é muito limitado e, francamente, eu quero continuar assim. Eu tentarei o máximo para garantir que mantenhamos uma política de negação padrão com exceções entre as sub-redes "BYOD" e as sub-redes da LAN. Eu tive algumas divergências com as pessoas sobre isso, mas eu sou da opinião de que dispositivos "BYOD" não podem ser confiáveis na medida em que os dispositivos de propriedade do Distrito podem.

  • Dispositivos de propriedade do distrito, incluindo laptops, obtêm seu próprio SSID com autenticação WPA-RADIUS apenas para membros do grupo "Computadores do domínio". Existe uma ampla política de acesso à LAN. Nenhum usuário tem direitos de administrador em seus computadores e estou razoavelmente feliz em me convencer a pensar que os dispositivos são confiáveis. Se eu fosse um pouco mais paranóico, implantaria o Bitlocker usando os TPMs em todos os laptops para impedir a modificação offline do sistema operacional pelos usuários. Esse último bit com criptografia de disco completo, seria tudo o que eu precisaria para me fazer sentir razoavelmente certo de que os dispositivos de propriedade do distrito são pelo menos um pouco confiáveis. Temos apenas clientes Windows, mas, para um ambiente Mac, acredito que recursos similares adequados para garantir a integridade da base confiável da computação estejam disponíveis.

Não temos máquinas que permaneçam fora do site por meses. Se o fizesse, eu hospedaria um servidor WSUS voltado para a Internet e pedirei que os clientes procurem atualizações mesmo quando estiverem fora do local. Dependendo do seu software antivírus, você também poderá fazê-lo funcionar dessa maneira.

Não é que eu ache que o NAC / NAP é "exagero" - eu acho que é uma ideia fundamentalmente falha . Algumas pessoas argumentam que o cinto e suspensórios são uma razão para usar o NAC / NAP, mas eu tenho dificuldade em confiar em um cliente não confiável para avaliar sua própria "saúde". Eu sou todo para executar varreduras de vulnerabilidade contra máquinas de um host confiável, mas pedir a um host não confiável para fazer uma declaração confiável sobre si mesmo parece muito falho para mim.

    
por 02.05.2013 / 17:24
0

Por que o BYOD deve ser diferente para os usuários quando estão dentro de suas instalações do que fora? Se fosse eu, eu configuraria o WIFI como sua própria rede com acesso à Internet e usaria VPN para acessar as coisas restritas.

    
por 02.05.2013 / 18:13