我们定期为不同地点的客户设置小型网络,以允许他们使用不同的产品,现在的问题是最佳的安全实践应该是什么。
目前,我们有一个启用了 WPA2 的 wifi,大多数笔记本电脑都连接到它,但有些笔记本电脑会连接到与路由器相连的有线交换机。
我们正在思考应该做些什么来提高我们小型网络的安全性——我们确实在笔记本电脑上有安全保护,因此您可以通过一个简单的 Windows 用户帐户直接与其他人共享驱动器。
一些建议如下:
我们获得了一个具有 ACL 控制和 MAC 过滤功能的 LAN 交换机,用于硬线连接?
我们可以通过优质的思科路由器让 acl 在 wifi 上运行吗?
所有机器上都有 ipSec 策略吗?
IP 过滤和固定 IP?
我想人们担心的是任何人都可以接入交换机并访问网络。
概括:
保持良好的安全性,并可轻松复制到我们为客户所做的每项设置中
答案1
一些建议:
首先尝试阻止对网络的物理访问。
- 将交换机放置在带锁的柜子内,以防止物理访问。
- 如果可能,请为中型组织部署 802.1x 身份验证,以强制工作站对网络进行身份验证。
在较小的组织中,只要机器不移动,就使用带有粘性 mac 地址的交换机上的端口安全性。禁用所有未使用的交换机端口。 - 在您的无线网络上,使用带有 AES 和长密钥 (> 15) 的 WPA2
接下来,假设已经获得物理访问权限并限制进一步访问。
如果您没有域和文件服务器的资源,并且必须在工作站之间共享文件,请在每个工作站上创建一个具有相同密码的单个(非管理员)帐户,该帐户可用于访问不同计算机上的文件。
不要允许“所有人”组访问任何内容。
您还可以将 DHCP 服务器配置为拒绝向未知客户端授予租约 - 这虽然不能阻止具有物理访问权限的人监视流量并为自己分配 IP,但可能会减慢偶然入侵者的速度。
最后,监控情况,看看是否有人访问了不该访问的网络。一种方法是检查您的 DHCP 服务器租约,看看是否有任何未知的机器请求了 IP。
答案2
您没有说明是否在 Windows 网络环境中工作,因此我将重点介绍一般的网络安全建议。
控制物理访问理想情况下,您的交换机、配线架和服务器应放置在安全锁定的位置,并配备适当的冷却和电源,例如 UPS。将现场钥匙放在某处,但要抵制允许客户访问设备的压力 - 好心但无知的员工往往会因小事而造成更大的问题。确保您有某种访问日志或审计跟踪(这可以像事件跟踪系统一样简单)。如果网络接口未使用,请断开其跳线或禁用交换机上的端口。
我确实避免使用基于 MAC 地址的安全性,因为不可避免地有人会更换办公室,或者您必须更换一台机器,然后您必须再次更新 MAC 地址表。无论如何,MAC 地址都是错误的身份验证令牌,因为攻击者可以通过数据包嗅探轻松发现受信任的 MAC 地址,然后更改其 MAC 地址以匹配。
假设你的无线密码将被共享在我看来,这是小型部署真正难以解决的问题。“企业”级解决方案是 802.1X 身份验证,这需要大量基础设施。如果您设置了 WP2 接入点并将密码交给您的客户端,那么他们会将密码提供给任何礼貌询问的人。如果无线确实需要提供对“私人”网络的访问,那么您应该自己设置客户端机器并真正保密。如果您的客户端真的需要为其供应商、承包商和其他用户设置单独的 VLAN 和 SSID 的网络访问。这可以使用能够理解 VLAN 标记的多 SSID 接入点轻松实现。
使用防火墙。这是很基本的。在客户端网络和 Big Bad Internet 之间设置某种第 3/4 层过滤,并对其进行测试以确保它正在执行您认为它正在执行的操作。
不要允许你的客户自行托管服务(或者如果您这样做,请谨慎行事)。小型部署通常没有安全托管可公开访问服务的基础设施。如果您的客户需要这些类型的服务,最好使用专门提供这些服务的外部托管公司(例如,让专门从事网络托管的公司托管他们的网站,而不是某个壁橱里的旧工作站)。
不允许你的客户拥有本地管理员(或者如果你要这么做,要谨慎行事)。不要给你的客户本地管理员权限。有很多不这么做的好理由,我甚至不想一一列举。并且不是给予他们本地服务器的管理员(或任何类型)访问权限,不管他们声称他们的新实习生在技术方面有多么“经验丰富”。
简而言之,保持网络简单,就能保证网络安全。安全计划的基石应该是控制物理网络访问、最小特权原则以及抵制实施需要更多可用基础设施(例如可公开访问的服务)的系统。