Meraki Z1: proteção de dispositivos corporativos de dispositivos pessoais

2

Meus funcionários da empresa têm de 600 a 700 funcionários remotos, cada um dos quais recebe um telefone IP corporativo e um endpoint de computação de cliente magro.

Em nossa implantação atual, os dois dispositivos são configurados (configurações padrão, vpn, etc) em nosso escritório corporativo e enviados para os usuários finais.

Temos alguns problemas com essa implantação atual, o principal deles é que nossa equipe de suporte quase não tem visibilidade da rede doméstica de seus funcionários quando eles precisam de suporte (tornando difícil determinar se o problema está do nosso lado ou com o funcionários ISP.

Estamos pensando em trocar nossa implementação de infra-estrutura padrão para incluir um ponto de acesso gerenciado (provavelmente o Cisco Meraki z1) para melhor visibilidade da experiência de rede doméstica de nossos funcionários. Uma proposta para este lançamento inclui-nos pedir aos funcionários para conectar o máximo possível de seus dispositivos domésticos através do seu Meraki (para melhor nos permitir fornecer garantias de QOS para seus dispositivos de trabalho).

Essa alteração me deixa desconfortável de duas maneiras:

1) Atualmente, ambos os dispositivos emitidos para nossos funcionários gerenciam suas próprias configurações de VPN, com todas as outras portas de comunicação bloqueadas, então nos sentimos muito confiantes com nossas auditorias de que os dispositivos só falam através de canais criptografados. A implantação sugerida com o Meraki inclui um novo link de rede não gerenciado pela VPN (o próprio Meraki seria conectado via VPN, os dispositivos não seriam)

2) Talvez não haja nada significativamente diferente entre conectar os dispositivos ao Meraki AP versus a implantação atual, onde os funcionários têm seus dispositivos conectados diretamente aos seus roteadores domésticos, mas me pego desejando que eu entenda melhor as configurações de firewall com informações de estado no Meraki z1 para separar os dispositivos domésticos dos dispositivos corporativos.

Há algum usuário experiente da Meraki ou profissionais de segurança de rede que possam comentar sobre essas questões?

    
por hhscitp 02.11.2014 / 20:51

1 resposta

1

Com o Z1 você pode criar duas VLANs - uma conectada à VPN e outra não. Você criaria SSIDs que conectam dispositivos a cada um desses LANS. Você pode designar certas portas VPN de portas e outras não, e instruir os funcionários a conectarem os dispositivos da empresa ao SSID ou às portas da empresa e seus próprios dispositivos aos outros SSID e portas.

Infelizmente, o Z1 atualmente não suporta impor isso através de endereços MAC ou do novo Systems Manager Sentry, ambos seriam bem simples. Você poderia usar a autenticação RADIUS para permitir o acesso com fio e sem fio à VLAN / SSID da empresa, mas o servidor RADIUS será o outro lado de uma conexão com a Internet. Eu acho que essa é sua melhor aposta.

    
por 15.07.2015 / 22:57