Nossa universidade usa o Sistema de controle sem fio da Cisco (Cisco WCS), que tem a capacidade de bloquear clientes, entre outras coisas.
Qual é a melhor maneira de lidar com hosts infectados por vírus ou spam na rede sem fio com laptops pessoais (como laptops de alunos particulares na universidade)? Quais políticas e ferramentas usam sua empresa?
Nossa universidade usa o Sistema de controle sem fio da Cisco (Cisco WCS), que tem a capacidade de bloquear clientes, entre outras coisas.
Recurso de Proteção de Acesso à Rede do Windows Server 2008 da função Servidor de Políticas de Rede. Ele pode até mesmo integrar-se aos switches Cisco através da autenticação 802.1x.
Você pode exigir determinadas configurações de patches, antivírus ou firewall ... propriedades agrupadas sob o banner "integridade do sistema". Os comutadores de rede que suportam a autenticação RADIUS e NAP podem enviar clientes de vlan automático para uma quarentena protegida.
O Windows também possui o IPSec integrado para proteger os servidores de clientes que não sejam de domínio, também em roaming. Você pode emitir um certificado para clientes "saudáveis" e solicitar esse certificado na negociação de IPSec SA. Essencialmente, isso filtra seus servidores para clientes aprovados pelo domínio. Você também pode fazer isso sem certificados e apenas requerer a autenticação válida do kerberos (domínio). Você pode aplicar essas diretivas IPSec de 'autenticação' ao tráfego originado nas sub-redes de sua estação de trabalho destinadas às sub-redes do servidor.
O NAP requer o ambiente XP SP3, Vista e Server 2008. Fazê-lo com facilidade também pode exigir switches mais avançados e uma PKI.
O IPSec pode ser implementado usando XP, Vista e Server 2003. Mas sem avaliação de integridade, é mais um filtro de "máquina conhecida" em comparação com "máquina desconhecida".
Muitos roteadores e APs sem fio suportam separação sem fio , que interrompe qualquer comunicação entre clientes sem fio e obviamente impede que invasões se espalhem, caso seus usuários não estejam executando firewalls.
Na verdade, se você está configurando um pequeno "Hot Spot" com apenas um roteador sem fio e uma conexão de banda larga e sem outros hosts, então isso é bastante boa segurança suficiente. Se você quiser proteger seus próprios hosts, isso é outra questão, eu iria NAT contra a rede sem fio e só permitir HTTP. De certo modo, os clientes que vêm de uma rede sem fio onde as pessoas estão usando seu próprio hardware não gerenciado, mesmo que o acesso seja controlado, devem ser tratados como tráfego da Internet e devem ser protegidos por firewall com protocolos testados e aprovados, como HTTP sendo usado. Eu não usaria o SMB no cenário, por exemplo.
Bloqueie sua porta ethernet assim que você vir uma atividade problemática, leve a máquina e limpe o vírus ou enxugue se necessário, tenha um "venha a Jesus" com eles para clicar em anexos de e-mail.
Tags networking security malware wifi spam