我们定期为不同地点的客户设置小型网络,以允许他们在不同的产品上工作,现在问题是什么应该是最佳安全实践。
目前我们有一个启用了 WPA2 的 wifi,大多数笔记本电脑都连接到这个,但有些会连接到连接到路由器的有线交换机。
我们正在考虑应该如何提高我们小型网络的安全性——我们在笔记本电脑上确实有安全措施,因此您可以通过一个简单的 Windows 用户帐户直接与其他人共享驱动器。
一些建议是:
我们有一个带有 ACL 控制和 mac 过滤的 LAN 交换机用于硬连线连接?
我们通过一个好的 Cisco 路由器让 acl 在 wifi 上工作?
所有机器上的 ipSec 策略?
IP过滤和固定IP?
我想人们担心任何人都可以插入交换机并访问网络。
概括:
保持一定程度的安全性,可以轻松复制到我们为客户所做的每个设置
一些建议:
首先尝试阻止对网络的物理访问。
在较小的组织中,只要机器不四处移动,就在具有粘性 mac 地址的交换机上使用端口安全。禁用任何未使用的交换机端口。
接下来,假设已获得物理访问权限并限制进一步访问。
如果您没有域和文件服务器的资源并且必须在工作站之间共享文件,请在每个工作站上创建一个(非管理员)帐户,并使用可用于访问不同机器上的文件的相同密码。
不允许“所有人”组访问任何内容。
您还可以将 DHCP 服务器配置为拒绝向未知客户端租用——这不会阻止具有物理访问权限的人监视流量并为自己分配 IP,但它可能会减慢偶然入侵者的速度。
最后,监视情况以查看是否有人正在访问不应该访问的网络。一种方法是检查您的 DHCP 服务器租约,看看是否有任何未知机器请求了 IP。
您没有指定您是否在 Windows 网络环境中工作,因此我将重点关注一般网络安全建议。
控制物理访问。理想情况下,您的交换机、接线板和服务器应位于安全的锁定位置,该位置具有适当的冷却和电源供应,例如 UPS。将现场钥匙放在某处,但要顶住压力,让您的客户访问您的设备——意思是好的,但无知的员工通常会因小问题而造成更大的问题。确保你有某种访问日志或审计跟踪(这可以像事件跟踪系统一样简单)。如果未使用网络分支,请断开其跳线或禁用交换机上的端口。
我真的避免使用基于 MAC 地址的安全性,因为不可避免地有人会换办公室,或者你必须更换机器,然后你必须再次更新 MAC 地址表。无论如何,MAC 地址都会产生错误的身份验证令牌,因为攻击者可以通过数据包嗅探轻松发现受信任的 MAC 地址,然后更改其 MAC 地址以进行匹配。
假设您的无线密码将被共享。在我看来,这是小型部署真正难以解决的问题。“企业”级解决方案是 802.1X 身份验证,它需要大量的基础设施。如果您设置 WP2 访问点并将密码交给您的客户,则期望他们会将密码提供给任何礼貌询问的人。如果无线真的需要提供对“专用”网络的访问,那么您应该自己设置客户端机器并真正保密,保密。如果您的客户确实需要为其供应商、承包商和其他用户访问网络,请设置单独的 VLAN 和 SSID。这可以使用理解 VLAN 标记的支持多 SSID 的接入点轻松实现。
使用防火墙。这是非常基本的。在您的客户端网络和 Big Bad Internet 之间安装某种第 3/4 层过滤,并对其进行测试以确保它按照您认为的方式进行。
不要让您的客户自行托管服务(或者如果您这样做,请谨慎行事)。小型部署通常没有基础设施来安全地托管可公开访问的服务。如果您的客户需要这些类型的服务,您可能最好使用专门提供这些服务的外部托管公司(例如,让一家专门从事网络托管的公司托管他们的网站,而不是壁橱里的旧工作站某处)。
不要让您的客户拥有本地管理员(或者如果您这样做,请明智地这样做)。不要给你的客户本地管理员权限。不这样做的理由太多了,我什至懒得一一列举。并且不要给他们管理员(或任何类型的)访问他们本地服务器的权限,无论他们说他们的新实习生在技术方面多么“有经验”。
简而言之,保持您的网络简单,您将保证它的安全。您的安全计划的基石应该是控制物理网络访问、最小特权原则和抵制实施其安全性需要更多可用基础设施的系统(例如,可公开访问的服务)。