Contexto:
Sou administrador de uma rede corporativa de porte médio com vários pontos de acesso sem fio sobrepostos e uma infraestrutura de cabeamento ethernet. Para cumprir uma auditoria de segurança, recebemos uma ordem recentemente para implementar a autorização total do dispositivo na rede - não apenas um método para detectar APs invasores e similares, mas um total "se o dispositivo não for adicionado manualmente por nós, pode conecte-se a qualquer coisa "sistema.
Meu primeiro pensamento foi: basta criar vinculações MAC-para-IP estáticas de DHCP para todos, manualmente, e fazer com que pessoas com novos dispositivos venham até mim quando configurarem suas contas pela primeira vez. Eu disse aos auditores e eles disseram que qualquer sistema que implementamos não pode ser vulnerável a spoofing de endereços MAC ou IPs estáticos, ou então ficaremos fora de conformidade.
Estou ciente de que existem produtos que se ligam à conexão de rede do seu computador e exigem que você se autentique em algum servidor centralizado para obter acesso à rede, mas minha experiência com esses (e o Cisco AnyConnect VPN, que funciona de forma semelhante) tem sido que eles não podem ser executados em todas as plataformas. Como temos um ambiente BYOD (não meu chamado), isso não funcionaria.
Pergunta:
Qual software posso executar no nível de rede para impedir que dispositivos (qualquer / todos os dispositivos; tipos arbitrários / sistemas operacionais em laptops, celulares aleatórios, tablets etc.) obtenham acesso à rede até que eu os adicione manualmente à nossa rede ( idealmente sem muito trabalho durante o processo de adição)? Ele precisa funcionar de forma semelhante nas conexões com fio e sem fio, e não pode ser ignorado configurando o endereço MAC ou IP do dispositivo como o de um dispositivo já autorizado.
Devido à variedade de dispositivos que temos, qualquer solução que usamos deve ser centralizada, sem requisitos extras de software no cliente. Se há algo que se encaixa na conta, mas requer software cliente, eu provavelmente consegui convencer a gerência a usá-lo se o software cliente funcionasse na maioria dos nossos dispositivos (ou seja, todos os laptops nix, OSX, Windows, iOS, Android, Windows Mobile, BlackBerry), e os usuários excêntricos que não eram cobertos só poderiam lidar com isso.
802.1X . Isso não é algo trivial de implementar, requer a infra-estrutura de segurança apropriada para fazer o backup (contas de usuário associadas, etc), mas até onde eu sei, a única maneira de chegar perto do que seus auditores estão pedindo .
É suportado pelo Windows, Linux, iOS (as versões Apple e Cisco, o que é bom para iPads e iPhones), OS X, Windows Mobile (mesmo em 2003, vomit ), Blackberry, Android, praticamente todos os dispositivos que estão lá fora precisam suportar o 802.1X.
O que você está procurando é chamado port security (nos switches da Cisco, pelo menos). Você precisa de switches gerenciados para esse tipo de controle de acesso.
Tags networking dhcp