許可されていないユーザーがネットワークにアクセスするのを防ぎますか?
ただ好奇心が強い:許可されていないデバイスがネットワークにアクセスするのを防ぐために、人々はどのようにしてネットワークを「ロックダウン」するのでしょうか。
DHCPと静的IPネットワークでは違いがありますか?
管理されているWindowsADはどうですか?
編集:私はそれ自体何も防ごうとはしていません。 「安全な」ネットワークをどのように実装すべきか興味があります
ネットワークに802.1x認証を実装するか、未使用のスイッチポートをすべて無効にします。
DHCP、静的IP、およびADは、アクセスを取得しようとする部外者からのセキュリティとはほとんど関係がありません。
ポートを完全に無効にしたくない場合は、すべての「余分な」スイッチポートをVLANに配置することをお勧めします。このサーバーには、独自のDHCPサーバーがあり、他のポートにはルーティングされません。次に、そのDHCPサーバーでリースがないか監視し、人々がランダムに接続している場所を追跡します。本当に必要な場合は、その上にキャプティブポータルをセットアップできますVLANインターネットを閲覧する。
何から安全ですか?何を防ぐためにロックダウンしましたか?
- あなたが軽減しようとしている提案された脅威は何ですか?
- あなたの理論上の正当なユーザーは、セキュリティの目的でどれだけ不便を感じることができますか?
- ちょっと前のポイントにリンクされています)保護されているものの価値は何ですか
- 違反のコスト/結果は何ですか?人々は死ぬのでしょうか?企業は破産しますか?
ちなみに、私は衒学者ではありません。これらは、何かをロックし始める前に、あなたが答える質問のほんの一部です必須。雇用主のデータを安全に保つために必要なセキュリティは、銀行を安全に保つために必要なセキュリティや、たとえば軍事配備に関連する機密データを保護するために必要なセキュリティとは異なります。
ある程度セキュリティに関心のあるネットワークにユーザーが気軽に接続するのを防ぐために、802.1xセキュリティを実装することもできますが、上記の質問に対するユーザーの回答によっては、それ以上のことを行う必要がある場合があります。または少し少ない。
DHCPベース、MACベース、およびIPベースのすべてのアクセス制御ソリューションは、それらをスプーフィングすることで簡単に無効にできるため、効果が最も低くなります。
VLANの作成は、ネットワークアクセスを制限するための安価な方法です。それには独自の制限と弱点があります。
802.1x認証は、スイッチベースのポート制御方法であり、ほとんどの場合、小規模な組織で機能します。ただし、通常は開いたままになっているプリンタスイッチポートなどを使用し始めた場合は失敗します。
ここ数年で、NAC(ネットワークアクセスコントロール)を実装する新しい種類のアプライアンス/デバイス/ソリューションが市場に登場し、それらのいくつかは802.1xを使用しています。これらのデバイス/ソリューションでは、ユーザーが認証を行う必要があり、ユーザーのアクセスを日常業務に必要なリソースのみに制限します。プリンタは、サーバーへのSSHアクセスを取得するとは言いません。したがって、現在、プリンタのポートはユーザーにとってあまり価値がありません。
AD管理は、ネットワークアクセスの防止とはほとんど関係がありません。 ADによって管理されている場合、リソースにログインできるユーザーを制御しますが、デバイスがネットワークに接続するのを停止することはありません。イーサネットMACアドレスに基づくフィルタリングも行っていない限り、DHCPまたは静的IPも使用しません。
防止しようとしているアクセスの種類をより詳しく説明できますか?この質問の範囲はかなり広く、完全にカバーするには何年もかかる可能性があります。 ;)
802.1xがあなたの状況にとってやり過ぎのように思われ、人々がハードウェアをすべて気ままにプラグインしないように十分に不便な解決策をもっと探しているなら、私は私の同僚がしたことを好きで、それは魅力のように機能します。必要なのは、すべてのデバイスに静的または静的に割り当てられたDHCP IPアドレスがあるネットワークだけです。これは、とにかく良い考えかもしれません。ログの長期的な一貫性のため。
- すべてのマシンで、ARPキャッシュエントリをローカルIPネットワーク内のすべてのIPアドレスを特定のローカル管理MACアドレスに設定します
- ワークステーションで、サーバーとゲートウェイのIPアドレスを実際のHWアドレスに設定します[*]
- サーバーで、既知のワークステーションのIPアドレスを実際のハードウェアアドレスに設定します[*]
- DHCPサービスで、不明なホストに特別な範囲のアドレスを割り当てます
- ゲートウェイでは、その範囲からのトラフィックをルーティングせず、デフォルトルート上のすべてのHTTPトラフィックを、デフォルトの仮想ホストとして「未登録のマシン、何とか何とか...」ページがあるWebサーバーにのみリダイレクトします。
[*]メインの構成ソースに対するスクリプトで簡単に実行できます-DHCP構成にLDAPを使用し、同僚はldapsearch(1)出力を解析する単純なシェルスクリプトで実行しました。これはWindows/AD環境で実行する必要があります。難しくはありません-IronPython?パワーシェル?
私が言ったように、これは堅固な暗号化セキュリティではありませんが、2つの一般的なセキュリティニーズを満たします。1。営業担当者は、戻ってきたときにラップトップをLANに貼り付けることはできません。これは、トロイの木馬に対する神の送信です。同じように、ワークステーションを互いに分離することは黄金です-自発的なCIFS共有の混乱や、ウイルスの拡散はありません...
一般的なアプローチを見ると、ネットワークのセキュリティが高い場合は、すべてのポートへの物理アクセスを制御できます。これは、それをロックダウンする唯一の保証された方法です。
もちろん、これには使いやすさに関して多くの欠点があります。
私が働いていた最後の会社では、ネットワークをいくつかのVLANに分割し、DHCP予約を使用してクライアント接続を制限しました。 DHCPの範囲は、VLAN上のクライアントの数に制限されており、クライアントを追加するには範囲を拡張する必要がありました。
予約はIPアドレスをMACアドレスに関連付けているため、別のクライアントを追加するには、古い予約を削除する必要がありました。誰か偶然ネットワークケーブルを抜いて別のPCを差し込んでも、IPアドレスは取得されません。
これはMACスプーフィングを考慮していないため、私はカジュアルにと言います。