A melhor prática de segurança para redes pequenas - wifi, lan,

Algumas sugestões:

Comece tentando impedir o acesso físico à rede.

1. Coloque interruptores dentro de armários bloqueados para impedir o acesso físico a eles.
2. Implante a autenticação 802.1x, se possível, para organizações de médio porte forçar estações de trabalho a se autenticarem na rede.
   Em organizações menores, use port-security nos switches com endereços mac fixos, desde que as máquinas não se movam. Desative todas as portas de switch não utilizadas.
3. Na sua rede sem fio, use WPA2 com AES e uma chave longa (> 15)

Em seguida, assuma que o acesso físico foi obtido e limite o acesso adicional.

Se você não tiver recursos para um domínio e servidor de arquivos e precisar compartilhar arquivos entre estações de trabalho, crie uma única conta (não administrativa) em cada estação de trabalho com a mesma senha que pode ser usada para acessar arquivos em máquinas diferentes. br> Não permita que o grupo "todos" tenha acesso a nada.

Você também pode configurar seus servidores DHCP para negar concessões a clientes desconhecidos. Isso não impede que alguém com acesso físico assista a tráfego e atribua a si mesmo um IP, mas pode reduzir a velocidade de intrusos casuais.

Finalmente, monitore a situação para ver se alguém está acessando a rede que não deveria estar. Uma maneira seria verificar suas concessões de servidor DHCP para ver se alguma máquina desconhecida solicitou IPs.

Você não especificou se está ou não trabalhando no ambiente de rede do Windows ou não, por isso vou me concentrar nas sugestões gerais de segurança de rede.

1. Controle o acesso físico . Idealmente, seus switches, painéis de conexão e servidores devem estar em um local seguro de bloqueio que tenha disposições adequadas de refrigeração e energia, como um no-break. Mantenha uma chave no local em algum lugar, mas resista à pressão para permitir que seus clientes acessem seu equipamento - bem intencionado, mas os funcionários ignorantes podem criar problemas maiores com os menores. Certifique-se de ter algum tipo de log de acesso ou trilha de auditoria (isso pode ser tão simples quanto o sistema de rastreamento de incidentes). Se uma queda de rede não for usada, desconecte seu cabo de conexão ou desative a porta no switch.

   Eu realmente evito usar a segurança baseada em endereço MAC porque, inevitavelmente, alguém muda de escritório ou você precisa substituir uma máquina e, em seguida, atualize a tabela de endereços MAC novamente. Os endereços MAC criam tokens de autenticação ruins de qualquer forma, pois um invasor pode descobrir facilmente um endereço MAC confiável por meio de sniffing de pacote e, em seguida, alterar seu endereço MAC para corresponder.

2. Suponha que sua senha sem fio será compartilhada . Isso é algo que as implantações menores realmente enfrentam na minha opinião. A solução de nível "Enterprise" é a autenticação 802.1X, que requer uma infraestrutura substancial. Se você configurar um ponto de acesso WP2 e entregar a senha aos seus clientes, espere que eles sejam entregues a todos que pedirem educadamente. Se a rede realmente precisa fornecer acesso à rede "privada", você mesmo deve configurar as máquinas clientes e manter o segredo, bem secreto. Se seus clientes realmente precisarem de acesso à rede para seus fornecedores, os contratados e outros usuários configuram uma VLAN e um SSID separados. Isso pode ser feito facilmente usando pontos de acesso compatíveis com Multi-SSID que entendem a marcação de VLAN.

3. Use um firewall . Isso é bem básico. Tenha algum tipo de filtragem de Camada 3/4 entre a rede do seu cliente e a Big Bad Internet e teste-a para ter certeza de que está fazendo o que você acha que está fazendo.

4. Não permita que seus clientes hospedem serviços (ou, se você fizer isso, faça isso criteriosamente). Implementações pequenas geralmente não possuem a infraestrutura para hospedar com segurança serviços públicos acessíveis. Se os clientes precisam desses tipos de serviços, você provavelmente será mais bem atendido usando uma empresa de hospedagem externa especializada em fornecer esses serviços (por exemplo, ter uma empresa especializada em hospedagem na web hospedar seu site, não uma estação de trabalho antiga em um armário em algum lugar).

5. Não permita que seus clientes tenham Administrador Local (ou, se você fizer isso, faça isso de forma criteriosa). Não dê privilégios de administrador local aos seus clientes. Há tantas boas razões para não fazer isso que eu nem vou me incomodar em enumerá-las. E não conceda a eles acesso de administrador (ou qualquer tipo de) a seu servidor local, independentemente de quão "experientes" digam que seu novo estagiário esteja com a tecnologia.

Em suma, mantenha sua rede simples e você a manterá segura. A base do seu plano de segurança deve ser o controle do acesso à rede física, o princípio do menor privilégio e a resistência à implementação de sistemas cuja segurança requer mais infraestrutura disponível (serviços acessíveis ao público, por exemplo).