Evitar que usuários não autorizados obtenham acesso à rede?

4

Apenas curioso: como as pessoas "bloqueiam" a rede para impedir que dispositivos não autorizados obtenham acesso à rede?

É diferente em uma rede IP vs. DHCP estática?

E o Windows AD gerenciado?

Editar: Eu não estou tentando impedir nada por si. Apenas curioso como uma rede "segura" deve ser implementada

    
por Matt Rogish 06.11.2009 / 22:30

9 respostas

8

Implemente a autenticação 802.1x em sua rede e / ou desative todas as suas portas de switch não utilizadas.

O DHCP, os IPs estáticos e o AD têm muito pouco a ver com a sua segurança de um estranho que tenta obter acesso.

Se você não quiser desabilitar as portas, sugiro colocar todas as portas de switch "extras" em uma VLAN que tenha seu próprio servidor DHCP e não direcione para qualquer outra coisa em sua rede. Em seguida, monitore esse servidor DHCP para qualquer concessão e rastreie onde as pessoas estão conectando aleatoriamente. Se você realmente quiser, pode configurar um portal cativo na VLAN explicando por que eles não podem navegar na Internet.

    
por 06.11.2009 / 22:46
3

Seguro de quê? Bloqueado para evitar o que?

  • Qual é a ameaça proposta que você está tentando mitigar?
  • Quanto pode seu teórico usuários legítimos podem ser incomodados o objetivo da segurança?
  • meio ligado para o ponto anterior) qual é o valor do material sendo protegido
  • qual é o custo / consequências de uma violação? As pessoas vão morrer? Vai empresas vão à falência?

Eu não estou sendo pedante a propósito, estas são apenas algumas das perguntas que você deve responder antes que você possa começar a bloquear qualquer coisa. A segurança necessária para manter os dados do meu empregador seguros é diferente da necessária para manter um banco seguro ou para proteger dados confidenciais relacionados a implantações militares, por exemplo.

Eu posso dizer a você que para evitar que usuários se conectem casualmente a uma rede cuja segurança eu me preocupo em algum grau, posso implementar a segurança 802.1x, mas dependendo de suas respostas às perguntas acima, talvez precise fazer muito mais do que isso . Ou um pouco menos.

    
por 06.11.2009 / 22:53
3

O Isolamento do domínio do Windows isolará os nós do Windows com o IPSEC - impedindo o acesso a eles de qualquer pessoa conectando-se à rede que não faz parte do domínio.

Ao exigir também autenticação de usuário / pessoal ou simplesmente participação no domínio para obter aprovação em firewalls - você restringiu ainda mais o que um plug-in pode fazer.

No entanto, é provável que haja nós vulneráveis, como impressoras na rede de impressoras, onde a segurança física ainda será importante para evitar que alguém conecte-se.

Simplesmente segmentar a rede o máximo possível também ajudará a torná-la mais robusta.

Em combinação com o 802.1x, embora você consiga algo razoavelmente decente, embora o 802.1x não seja, infelizmente, à prova de balas em sua forma com fio.

Como de costume com segurança; profundidade e muitas camadas é o caminho a percorrer.

    
por 07.11.2009 / 00:43
2

Todas as soluções de controle de acesso com base em MAC, baseadas em MAC e baseadas em IP podem ser facilmente derrotadas falsificando-as e, portanto, são menos eficazes.

Criar VLANs é um método barato para limitar o acesso à rede. Tem suas próprias limitações e fraquezas.

A autenticação 802.1x é um método de controle de porta baseado em switch e funcionará para pequenas organizações na maioria das vezes. No entanto, falha nos casos em que uma pessoa começa a usar uma porta de switch de impressora, que geralmente é deixada em aberto.

Nos últimos anos, um novo tipo de aparelhos / dispositivos / soluções chegou ao mercado, que implementa o NAC (Network Access Control), e alguns deles usam 802.1x. Esses dispositivos / soluções exigem que um usuário autentique e também limita o acesso dos usuários apenas aos recursos necessários para realizar seu trabalho diário. Uma impressora não diria obter acesso SSH a um servidor. Portanto, a porta da impressora é de menor valor para um usuário agora.

    
por 07.11.2009 / 14:35
1

O gerenciamento do AD tem muito pouco a ver com a prevenção do acesso à rede. Ele controla quem pode fazer login nos recursos, se eles forem gerenciados pelo AD, mas não impedirá que um dispositivo se conecte à sua rede. Nem usar DHCP ou IPs estáticos, a menos que você também esteja fazendo filtragem com base em endereços MAC Ethernet.

Você pode explicar mais detalhadamente o tipo de acesso que está tentando evitar? Essa questão é bem ampla em termos de escopo e pode levar anos para ser totalmente abordada. ;)

    
por 06.11.2009 / 22:35
1

Se o 802.1x parecer um exagero para a sua situação e você estiver procurando por uma solução que incomode as pessoas o suficiente para que eles não usem hardware plug-in, querendo ou não, gosto do que meu colega fez e que funciona como um encanto. Tudo o que você precisa é de uma rede na qual todos os dispositivos tenham endereços IP de DHCP estáticos ou estaticamente atribuídos, o que pode ser uma boa ideia, por exemplo, para consistência a longo prazo em logs.

  1. Em todas as máquinas, defina as entradas de cache do ARP com todos os endereços IP na rede IP local para um endereço MAC específico administrado localmente
  2. Nas estações de trabalho, defina os endereços IP dos servidores e gateways para os endereços reais de HW [*]
  3. Nos servidores, defina os endereços IP das estações de trabalho conhecidas para os endereços reais de HW [*]
  4. No serviço DHCP, atribua um intervalo especial de endereços a hosts desconhecidos
  5. Nos gateways, não direcione nenhum tráfego desse intervalo, mas apenas redirecione todo o tráfego HTTP na rota padrão para um servidor da Web que tenha uma página "máquina não registrada, blá blá ..." como seu host virtual padrão.

[*] pode ser facilmente feito com um script contra a principal fonte de configuração - usamos o LDAP para configuração de DHCP e meu colega fez isso com um script de shell simples que analisa a saída ldapsearch (1) e fazendo isso em um Windows / Ambiente AD não deve ser mais difícil - IronPython? Powershell?

Como eu disse, isso não é uma segurança criptográfica rígida, mas cumpre duas necessidades comuns de segurança: 1. Os vendedores não podem simplesmente colocar seus laptops na LAN quando voltam, o que é um deus enviado contra trojans & c 1. Na mesma linha, ter estações de trabalho isoladas umas das outras é dourada - sem bagunça de ações CIFS espontâneas, sem propagação de vírus ...

    
por 06.11.2009 / 23:52
1

Analisamos todas as abordagens e basicamente resolvemos o fato de que uma solução NAC / NAP em combinação com uma rede particionada é a única que será suficiente. As outras soluções estão repletas de problemas:

  • O DHCP com reservas de MAC pode ser frustrado clonando o MAC e, em seguida, o ARP inundando o original da rede ou simplesmente desconectando-o.
  • Não há nada que impeça alguém de pegar um IP estático, especialmente se ele desconectar algo que exija um IP estático (como uma impressora de rede).
  • Portas não utilizadas devem ser desativadas por padrão, mas em um ambiente maior, inevitavelmente, uma será deixada acidentalmente. Assim, o acesso baseado em manter as portas desativadas está fadado a ter uma violação mais cedo ou mais tarde.
por 07.11.2009 / 14:52
0

Vendo sua abordagem geral, se sua rede é de alta segurança, você controlaria o acesso físico a todas as portas. Esta é a única maneira garantida de bloqueá-lo.

Claro que isso tem muitas desvantagens quando se trata de usabilidade.

    
por 07.11.2009 / 09:30
0

Na última empresa em que trabalhei, particionamos a rede em várias vlans e usamos reservas DHCP para limitar as conexões do cliente. O intervalo de DHCP era limitado ao número de clientes na vlan e o intervalo precisava ser expandido para adicionar mais clientes.

Como as reservas vinculavam o endereço IP a um endereço MAC, a reserva antiga precisava ser excluída para adicionar um cliente diferente. Alguém casualmente desconectando um cabo de rede e conectando um PC diferente não pegaria um endereço IP.

Eu digo casualmente porque isso não conta para falsificação de MAC.

    
por 07.11.2009 / 11:22