web-dev-qa-db-ja.com

権限のないユーザーがイントラネットにアクセスできないようにする

ユーザーがイントラネットにアクセスできないようにする一般的な方法は何ですか?

現在、ケーブルを差し込む人なら誰でも、どのイントラネットサーバーにも自由にアクセスできます。この振る舞いを変えたい。しかし、WindowsマシンだけでなくLinuxクライアントも実行しているので、DHCPアクセスを制限するためにNAPを使用することはできません。

これが私の考えです。

  1. おそらく、すべてのユーザーがネットワークアクセスを許可する前に、AD認証を行う必要があります。しかし、それはルーターと統合されていません。
  2. ホワイトリストから許可されたMACアドレスを確認しました。しかし、加害者は単にトラフィックをリッスンし、許可されたMACアドレスを収集して後で使用することができます。

私は今どうすればいい?成熟した製品はありますか?

4
daisy

これに取り組む方法はいくつかあります。

  1. 未使用のポートを無効にします(これは明らかに防御の最前線になるはずです)
  2. スイッチでポートセキュリティを使用するには、攻撃者が特定のMACアドレスを見つけて特定のポートに接続する必要があります。これにより、ほとんどの人がホームデバイスを会社のネットワークに接続できなくなります。これに加えて、ポートの「サスペンド」モードをアクティブにすることができます。ポートで無効なMACアドレスが初めて検出されると、シャットダウンされ、管理者が手動で再度アクティブにする必要があります。
  3. Radiusは、明らかに問題に最も適したソリューションです。 Windows DC=をRADIUS認証サーバーとして構成し、802.1Xを使用してスイッチに認証要求を転送させることができます。その結果、ネットワークにアクセスしようとするユーザーはユーザー名を入力する必要があります。およびDCで使用されるpw。正しくない場合、それらは別の制限付きVLANに分離されます。欠点:802.1Xをサポートするハードウェアが必要であり、VLANの概念を理解する必要があります。 RADIUSの詳細については、こちらをご覧ください。ご興味がおありでしたら、お気軽にお問い合わせください。
6
kohpe

理想的な設定は、従業員と部外者の扱いを変えることです。すべての従業員を別のファイアウォールゾーンの別のネットワークに配置し、trust(10.2.0.0/16)と部外者を別のファイアウォールゾーンの別のネットワークに配置する必要があります。 trust2と言う(10.3.0.0/16)

信頼からインターネットへのアクセスを提供し、必要に応じてtrust2からIPアドレスをホワイトリストに登録できます(静的アドレスを提供する必要があります)。これにより、組織のポリシーに対する柔軟性が向上します(例:無制限のインターネットアクセスを従業員に許可し、特定のサイトを非従業員からブロックする場合)

NAPに来たので、まだ作業していませんが、いくつか読んだ後、MicrosoftパートナーがNAP LinuxおよびMAC用のクライアントをリリースしました。( http:// kurtsh。 com/2008/12/23/info-network-access-protection-nap-clients-for-linux-and-Macintosh-are-available /

私はこれらのクライアントのいずれかを使用した経験がないため、コメントすることはできませんが、問い合わせはできます。これらは商用ツールのようです

非商用ツールを探している場合、squidを使用する可能性があります。Squidはユーザーにユーザー名とパスワードの入力を求めることができます。

http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch32_:_Controlling_Web_Access_with_Squid#Password_Authentication_Using_NCSA

http://www.cyberciti.biz/tips/linux-unix-squid-proxy-server-authentication.html

さらに別のオプションでは、ファイアウォールの助けが必要になります。ジュニパーのネットスクリーンで作業し、ルールで認証を許可したので、基本的にはファイアウォールルールで認証を構成し、インターネットアクセスを許可すると、ユーザーはユーザー名とパスワードを入力して通過する必要がありますこれはデバイスに依存しており、ファイアウォールでそのような機能を確認する必要があります。

0
aRun

スイッチの未使用のポートを無効にするだけです。このようにして、攻撃者がケーブルを接続した場合、そのポートが無効になっているためにイントラネットに接続しません。

明らかに、デバイスのプラグを抜いてそこにデバイスを接続すれば、イントラネットに接続できます。しかし、この時点で別の質問が出てきます。物理的なセキュリティはどうですか?

0
eez0

NAPが最善の策であり、LinuxおよびMacクライアントで利用できます。 NAP機能を持たないデバイスを手動で、またはポータルページを使用してほとんど自動化することで、「登録」することもできます。どちらの方法でも、他の人が指摘したように、ユーザーがマシンを自由に取り外すことができます。

0
Nathan C