ユーザーがイントラネットにアクセスできないようにする一般的な方法は何ですか?
現在、ケーブルを差し込む人なら誰でも、どのイントラネットサーバーにも自由にアクセスできます。この振る舞いを変えたい。しかし、WindowsマシンだけでなくLinuxクライアントも実行しているので、DHCPアクセスを制限するためにNAPを使用することはできません。
これが私の考えです。
私は今どうすればいい?成熟した製品はありますか?
これに取り組む方法はいくつかあります。
理想的な設定は、従業員と部外者の扱いを変えることです。すべての従業員を別のファイアウォールゾーンの別のネットワークに配置し、trust(10.2.0.0/16)と部外者を別のファイアウォールゾーンの別のネットワークに配置する必要があります。 trust2と言う(10.3.0.0/16)
信頼からインターネットへのアクセスを提供し、必要に応じてtrust2からIPアドレスをホワイトリストに登録できます(静的アドレスを提供する必要があります)。これにより、組織のポリシーに対する柔軟性が向上します(例:無制限のインターネットアクセスを従業員に許可し、特定のサイトを非従業員からブロックする場合)
NAPに来たので、まだ作業していませんが、いくつか読んだ後、MicrosoftパートナーがNAP LinuxおよびMAC用のクライアントをリリースしました。( http:// kurtsh。 com/2008/12/23/info-network-access-protection-nap-clients-for-linux-and-Macintosh-are-available / )
私はこれらのクライアントのいずれかを使用した経験がないため、コメントすることはできませんが、問い合わせはできます。これらは商用ツールのようです
非商用ツールを探している場合、squidを使用する可能性があります。Squidはユーザーにユーザー名とパスワードの入力を求めることができます。
http://www.cyberciti.biz/tips/linux-unix-squid-proxy-server-authentication.html
さらに別のオプションでは、ファイアウォールの助けが必要になります。ジュニパーのネットスクリーンで作業し、ルールで認証を許可したので、基本的にはファイアウォールルールで認証を構成し、インターネットアクセスを許可すると、ユーザーはユーザー名とパスワードを入力して通過する必要がありますこれはデバイスに依存しており、ファイアウォールでそのような機能を確認する必要があります。
スイッチの未使用のポートを無効にするだけです。このようにして、攻撃者がケーブルを接続した場合、そのポートが無効になっているためにイントラネットに接続しません。
明らかに、デバイスのプラグを抜いてそこにデバイスを接続すれば、イントラネットに接続できます。しかし、この時点で別の質問が出てきます。物理的なセキュリティはどうですか?
NAPが最善の策であり、LinuxおよびMacクライアントで利用できます。 NAP機能を持たないデバイスを手動で、またはポータルページを使用してほとんど自動化することで、「登録」することもできます。どちらの方法でも、他の人が指摘したように、ユーザーがマシンを自由に取り外すことができます。