处理有线网络上不受信任的设备有哪些好方法?以下是我正在考虑的几个例子:
一位公司老板定期带着他的笔记本电脑来公司并接入网络。
用户带着笔记本电脑或其他设备并插入电源,无论出于何种原因,但并非故意恶意。
笔记本电脑来自可能有病毒的现场但需要连接才能获取更新等。
我们所有的常规设备都使用静态 IP。我有一个想法,就是关闭我们工作子网上的 DHCP,然后创建第二个子网,并将 DHCP 设置到该子网的服务器 IP。基本上,我们最终会得到两个在同一个物理网络上运行的子网。这个想法是,任何不受信任的设备都会从 DHCP 获得一个 IP,从而被放在不受信任的子网上。
答案1
有什么原因不能使用 802.1x 吗?许多交换机都支持它,您只需要一个或两个 radius 服务器。
它基本上允许交换机仅在机器具有适当的凭据时授予访问权限。这样做的好处是,如果没有,它通常能够被放入“来宾 VLAN”,因此您最终会得到一个在来宾和经过身份验证的访问之间移动的以太网端口。
这也是每个以太网端口,因此您只能在公共区域等的端口上打开它。主办公室中具有有线桌面的其他端口不会受到影响。
在无线接入点上也可以执行此操作。
所有这些都需要稍微高端的设备,但取决于你的时间价值,也许只做一次就值得,而不必自己动手。如今,每个主流操作系统都内置了 802.1x 支持,因此,除非你很复杂并使用证书,否则除了控制面板中的一次性用户名和密码外,客户端上无需安装任何东西。
答案2
您可以实施某种 NAC(网络访问控制)设备。有多种商业产品,但也有开源解决方案,例如封包防护。
答案3
这可能是“无成本”的解决方案。
还有其他开关功能,例如:
- 港口安全
- IP 保护
- DHCP 侦听
等等......您应该搜索“第 2 层安全性”。