Como lidar com dispositivos “convidados” na rede com fio

Navegue suas respostas
3

Quais são algumas boas maneiras de lidar com dispositivos não confiáveis em uma rede com fio? Aqui estão alguns exemplos do que estou pensando:

  1. Um dos proprietários da empresa traz seu laptop regularmente e se conecta à rede.

  2. O usuário traz um laptop ou outro dispositivo e se conecta por qualquer motivo, mas não para ser intencionalmente malicioso.

  3. O laptop vem de um campo que pode ter vírus, mas precisa estar conectado para receber atualizações, etc.

Todos os nossos dispositivos normais usam IPs estáticos. Uma ideia que tive foi desligar o DHCP em nossa sub-rede de trabalho e depois criar a segunda sub-rede com a configuração do DHCP para os IPs do servidor. Basicamente, acabaríamos com duas sub-redes rodando na mesma rede física. A ideia é que qualquer dispositivo não confiável receba um IP do DHCP e seja colocado na sub-rede não confiável.

    
por poke 14.12.2010 / 04:12

3 respostas

5

Existe algum motivo para você não usar o 802.1x? Muitos switches suportam, e tudo que você precisa é um servidor radius ou dois.

Basicamente, ele permite que o comutador conceda acesso somente se a máquina tiver credenciais adequadas. O lado positivo disso é que, se isso não acontecer, normalmente ele pode ser colocado em uma "guest vlan" para que você termine com uma porta Ethernet que se move entre o acesso convidado e o autenticado.

Esta é também a porta ethernet, portanto, você pode ativá-la somente em portas que estão em áreas públicas, etc. As outras portas nos escritórios principais com áreas de trabalho com fio não precisam ser afetadas.

Também é possível fazer isso em pontos de acesso sem fio.

Tudo isso requer um equipamento um pouco mais sofisticado, mas dependendo de quanto vale o seu tempo, pode valer a pena fazê-lo uma vez e não ter que rolar suas próprias coisas. Todo sistema operacional principal tem suporte a 802.1x embutido nestes dias, a menos que você esteja elaborando e usando certificados, não há nada para instalar em um cliente que não seja um nome de usuário e senha únicos em um painel de controle.

    
por 14.12.2010 / 16:30
3

Você pode implementar algum tipo de dispositivo NAC (Network Access Control). Existem vários produtos comerciais, mas também existem soluções de código aberto, como o Packetfence .

    
por 14.12.2010 / 15:49
1

Essa poderia ser a solução "sem custo".

Existem outros recursos de switches, como:

  • Segurança da porta
  • IP Guard
  • espionagem DHCP

E assim por diante .. Você deve procurar por "segurança da camada 2".

    
por 14.12.2010 / 14:58

Tags

O que significa o Linux Server Virtualization? Por que criar um arquivo aleatório para o dispositivo de loopback para o sistema de arquivos criptografados?