我们正在我的工作中实施一个新的 WiFi 网络,我正在尝试思考网络的安全性设计。
用例 1:访客。我们将设置强制门户,访客将接受可接受的使用政策,并且只能访问互联网,不能访问 LAN。很简单,我们将让防火墙阻止危险端口,这样就不用担心了,因为他们无法接触我们的主要网络。
用例 2:拥有 BYOD 和公司自有笔记本电脑的员工可能会在被带回办公室之前在外地呆上几个月。Windows 和 OSX 混合使用。他们将使用 WPA2-Enterprise 向我们的 AD/RADIUS 进行身份验证。有没有一种好的方法可以让这些人安全地通过 LAN 访问内部服务器?
我的想法是,仅仅让这些人不受限制地访问 LAN 是有问题的。如果他们加入了域,他们最终会从 WSUS 收到安全更新,但在他们连接之前不一定如此。防病毒也无法保证。对于我们现在拥有的有线网络,这个问题并不大,但我可以看到 BYOD 会随着 wifi 网络的增加而增长,尤其是对于我们大量的暑期实习生来说。
我研究过 Microsoft Network Access Protection 来强制执行安全设置并隔离不合规的设备,但我不确定它如何与 OS X 配合使用(我能找到的唯一代理是 UNET,网站上有一些断开的链接,而且定价不明确)。它似乎也相当复杂。
这是否有点过分?在现实世界中,其他人如何处理这种情况?是否有更简单的网络访问控制解决方案供大家选择?
答案1
我有一位学区客户,他的设置与您所说的类似。
公共访问通过单独的 VLAN 运行,该 VLAN 具有专用的基于 Linux 的 DHCP 和 DNS,并且除了通过边缘防火墙外无法访问公司网络(实际上将公共 wifi 置于防火墙的“外部”——因此 VPN 访问和对 DMZ 托管服务器的访问都通过公共 wifi 进行)。“儿童互联网保护法”要求我们严格过滤此连接,因此公众会受到最严格的政策。(如果我可以通过专用的物理 LAN 和单独的互联网连接运行它,我会这样做。金钱却不这么认为。)
学生拥有的设备通过 WPA-RADIUS 验证并可以访问互联网。DHCP 和 DNS 由基于 LAN 的服务器提供。基于 AP 的防火墙规则(我们正在运行 Ruckus ZoneFlex AP,每个 AP 中都有一个基于 Linux 的 iptables 防火墙)阻止对 LAN 的访问,但特定服务除外(HTTP 到“学习管理系统”和一些其他 Web 服务器)。对 LAN 子网的访问有一个默认拒绝策略。
我觉得从管理政策角度来看,员工拥有的设备与地区拥有的设备之间存在明显区别,所以我在运营配置中反映了这一点。
员工拥有的设备与学生拥有的设备完全相同,只是互联网过滤策略不同,员工可以通过 RDP 访问台式电脑所在的 LAN 子网。对于访问 LAN 子网,仍然有默认的拒绝策略。基于 LAN 的服务器为员工拥有的设备提供的服务数量非常有限,坦率地说,我希望保持这种状态。我将尽最大努力确保我们在“BYOD”子网和 LAN 子网之间保持默认的拒绝策略,但有例外。我和一些人对此有过分歧,但我认为“BYOD”设备永远不可能像学区拥有的设备那样值得信赖。
学区拥有的设备(包括笔记本电脑)只有“域计算机”组的成员才能获得自己的 SSID 和 WPA-RADIUS 身份验证。LAN 的访问策略非常开放。没有用户拥有计算机上的管理员权限,我很乐意自欺欺人地认为这些设备大多是值得信赖的。如果我再谨慎一点,我会在所有笔记本电脑上使用 TPM 部署 Bitlocker,以防止用户离线修改操作系统。最后一点加上全盘加密,就是我所需要的全部,让我有理由确信学区拥有的设备至少在某种程度上是值得信赖的。我们只有 Windows 客户端,但对于 Mac 环境,我相信有类似的适当功能来保证从启动开始可信计算基础的完整性。
我们没有几个月不在线的机器。如果有的话,我会托管一个面向互联网的 WSUS 服务器,让客户即使不在现场也能在那里查看更新。根据您的防病毒软件,您也可以让它以这种方式运行。
我并不是认为 NAC/NAP 是“过度的”——我认为它是一种根本上有缺陷的想法。有些人认为使用 NAC/NAP 的理由是要采取绝对的措施,但我很难相信不受信任的客户端会评估自己的“健康状况”。我完全赞成对受信任主机上的机器进行漏洞扫描,但要求不值得信任的主机对自己做出可信的声明在我看来是非常不合理的。
答案2
为什么 BYOD 对于用户来说在场所内和场所外会有所不同?如果是我,我会将 WIFI 设置为可以访问互联网的自有网络,并使用 VPN 访问受限制的内容。