私たちは定期的にさまざまな場所にいるクライアントのために小さなネットワークをセットアップして、クライアントがさまざまな製品で作業できるようにしています。
現在、Wi-FiはWPA2で有効になっており、ほとんどのラップトップはこれに接続しますが、ルーターに接続するケーブルスイッチに接続するものもあります。
小規模なネットワークのセキュリティを強化するために何をすべきかを考えています。ラップトップにはセキュリティがあり、単純なWindowsユーザーアカウントで他の人のドライブと直接共有できます。
いくつかの提案は次のとおりです。
有線接続用のACL制御とMacフィルタリングを備えたLANスイッチを入手できますか?
優れたCiscoルーターを介してWi-FiでACLを動作させますか?
すべてのマシンのipSecポリシー?
IPフィルタリングと固定IP?
誰でもスイッチに接続してネットワークにアクセスできるのではないかと心配されていると思います。
概要:
クライアントに対して行うすべてのセットアップに簡単に複製できる適切なセキュリティレベルを維持します
いくつかの提案:
ネットワークへの物理的なアクセスを防ぐことから始めます。
次に、物理アクセスが取得されたと想定し、それ以上のアクセスを制限します。
ドメインとファイルサーバーのリソースがなく、ワークステーション間でファイルを共有する必要がある場合は、異なるマシン上のファイルへのアクセスに使用できる同じパスワードを使用して、各ワークステーションに単一の(管理者以外の)アカウントを作成します。
「全員」のグループに何かへのアクセスを許可しないでください。
不明なクライアントへのリースを拒否するようにDHCPサーバーを構成することもできます。これにより、物理的にアクセスできる人がトラフィックを監視してIPを割り当てるのを防ぐことはできませんが、偶発的な侵入者の速度を低下させる可能性があります。
最後に、状況を監視して、アクセスしてはならないネットワークに誰かがアクセスしていないかどうかを確認します。 1つの方法は、DHCPサーバーのリースをチェックして、不明なマシンがIPを要求していないかどうかを確認することです。
Windowsネットワーク環境で作業しているかどうかを指定しなかったので、一般的なネットワークセキュリティの提案に焦点を当てます。
物理アクセスの制御。理想的には、スイッチ、パッチパネル、およびサーバーは、UPSなどの適切な冷却および電力供給を備えた安全なロック場所に配置する必要があります。オンサイトキーをどこかに保持しますが、クライアントが機器にアクセスできるようにするというプレッシャーに抵抗します。意味はありますが、無知な従業員は、小さな問題から大きな問題を引き起こすことがよくあります。何らかのアクセスログまたは監査証跡があることを確認してください(これはインシデント追跡システムと同じくらい簡単です)。 ネットワークドロップが使用されていない場合は、パッチケーブルを外すか、スイッチのポートを無効にします。
必然的に誰かがオフィスを切り替えるか、マシンを交換してからMACアドレステーブルを再度更新する必要があるため、MACアドレスベースのセキュリティの使用は本当に避けています。攻撃者はパケットスニッフィングを介して信頼できるMACアドレスを簡単に発見し、一致するようにMACアドレスを変更できるため、MACアドレスはとにかく不正な認証トークンを作成します。
ワイヤレスパスワードが共有されると仮定します。これは、私の意見では、小規模な展開では本当に苦労していることです。 「エンタープライズ」グレードのソリューションは802.1X認証であり、かなりのインフラストラクチャが必要です。 WP2アクセスポイントをセットアップしてパスワードをクライアントに渡す場合、クライアントは丁寧に質問する人にパスワードを渡すことを期待します。ワイヤレスが本当に「プライベート」ネットワークへのアクセスを提供する必要がある場合は、クライアントマシンをセットアップし、本当に秘密を厳守する必要があります。クライアント本当にがベンダーのネットワークアクセスを必要とする場合、請負業者と他のユーザーは別々のVLANとSSIDを設定します。これVLANタグ付けを理解するMulti-SSID対応アクセスポイントを使用して、簡単に実現できます。
ファイアウォールを使用。これはかなり基本的なことです。クライアントのネットワークとBigBad Internetの間に、ある種のLayer-3/4フィルタリングを配置し、それをテストして、想定どおりに動作していることを確認します。
クライアントにサービスのセルフホストを許可しないでください(または、許可する場合は、慎重に行ってください)。小規模な展開には、一般にアクセス可能なサービスを安全にホストするためのインフラストラクチャがないことがよくあります。クライアントがこれらの種類のサービスを必要とする場合は、これらのサービスの提供を専門とする外部ホスティング会社を使用するのがおそらく最善の方法です(たとえば、クローゼット内の古いワークステーションではなく、Webホスティングを専門とする会社がWebサイトをホストするどこか)。
クライアントにローカル管理者を許可しないでください(または許可する場合は、慎重に行ってください)。クライアントにローカル管理者権限を与えないでください。これを行わない理由はたくさんありますが、それらを列挙することすらしません。そして、not新しいインターンがテクノロジーを使っていると言っても、管理者(またはあらゆる種類の)にローカルサーバーへのアクセスを許可します。
つまり、ネットワークをシンプルに保ち、安全に保つことができます。セキュリティ計画の要は、物理ネットワークアクセスの制御、最小特権の原則、およびセキュリティが利用可能なより多くのインフラストラクチャ(たとえば、公的にアクセス可能なサービス)を必要とするシステムの実装に抵抗することです。