web-dev-qa-db-ja.com

訪問者のLANへのネットワークアクセスを制限する方法

訪問者のLANへのネットワークアクセスを制限するにはどうすればよいですか?

私の組織の敷地内では、外部の訪問者は誰でも会議室のLANポートにアクセスして接続できます。彼らは内部システムにpingできることがわかりました。この問題を防ぐにはどうすればよいですか?

1
Pentester23

ソリューションは、実際には環境が何であるか、そして何を導入しても構わないと思っているかによって異なります。ここで他の回答で言及されているものを含め、頭に浮かぶいくつかの解決策があります:

  • パブリックミーティングスペースと内部ワークステーション用の個別のVLAN。これの欠点は、スマートな攻撃者がVLANホップを実行し(実装によって異なる)、ワークステーションVLANに到達する可能性があることです。
  • 802.1X。これには、RADIUSサーバーを実装し、ネットワークと通信するための適切な認証プロファイルと証明書をユーザーのワークステーションに確保するためのかなりの管理が必要です。
  • MACアドレスまたはNAC実装に応じて他のメカニズムに基づいて、LDAPを使用してユーザーを認証できるネットワークアクセスコントロール(またはシスコ言語では、ネットワークアドミッションコントロール)。

これら3つのうち、VLANは、環境の構成におけるユーザーの労力の点でおそらく最も安価です。ユーザーのワークステーションで何もする必要はなく、適切にセグメント化する必要があります。通信網。 802.1xは労力と採用の点でより高価ですが、それでもNACソリューションよりも安価です。特にワークステーションにエージェントを展開する必要がないソリューションを入手する場合は、NACソリューションが3つの中で最も効果的で最も高価になるでしょう。実装方法によっては、ユーザートレーニングが必要になりますが、NAC制御をバイパスすることは、VLAN制限をバイパスするよりもはるかに困難です。

3

最も簡単な解決策は、VLAN仮想または論理LANです。VLANを使用すると、物理LANネットワークを、ユーザーまたはアプリケーションベースに基づいて部門ベースなどの異なる論理LANセグメントに分離できます。=の助けを借りてVLANスイッチが許可する限り多くの仮想LANを構築することができ、これらはVLANが互いに実質的に分離されます。そのため、会議室が別のVLANにポートされているため、訪問者は内部のワークステーションにアクセスできなくなります。

編集:

VLANは一般的にVLAN=ホッピング攻撃、つまりスイッチのなりすましや二重タグ付け攻撃を受けます。これらの攻撃の背後にあるこれらの理由は、主にスイッチの設定ミス、つまりスイッチアクセスポートがトランクポートとして構成されているためです。この質問からのVLANのセキュリティの評価、つまり

セキュリティのためにVLANを使用しないように言われるのはなぜですか?

2
Ali Ahmad

実装 ポートセキュリティ (802.1X)、これはネットワークポートにアクセス制御を配置するためのさまざまな手法です。

0
RQ'