web-dev-qa-db-ja.com

小規模ネットワークのベストセキュリティプラクティス-wifi、lan、

私たちは定期的にさまざまな場所にいるクライアントのために小さなネットワークをセットアップして、クライアントがさまざまな製品で作業できるようにしています。

現在、Wi-FiはWPA2で有効になっており、ほとんどのラップトップはこれに接続しますが、ルーターに接続するケーブルスイッチに接続するものもあります。

小規模なネットワークのセキュリティを強化するために何をすべきかを考えています。ラップトップにはセキュリティがあり、単純なWindowsユーザーアカウントで他の人のドライブと直接共有できます。

いくつかの提案は次のとおりです。

  1. 有線接続用のACL制御とMacフィルタリングを備えたLANスイッチを入手できますか?

  2. 優れたCiscoルーターを介してWi-FiでACLを動作させますか?

  3. すべてのマシンのipSecポリシー?

  4. IPフィルタリングと固定IP?

誰でもスイッチに接続してネットワークにアクセスできるのではないかと心配されていると思います。

概要:

クライアントに対して行うすべてのセットアップに簡単に複製できる適切なセキュリティレベルを維持します

networkingsecuritylocal-area-networkipsecwifi
5
Grimlockz

いくつかの提案:

ネットワークへの物理的なアクセスを防ぐことから始めます。

  1. ロックされたキャビネット内にスイッチを配置して、スイッチに物理的にアクセスできないようにします。
  2. 中規模の組織がワークステーションにネットワークへの認証を強制する場合は、可能であれば802.1x認証を展開します。
    小規模な組織では、マシンが動き回らない限り、スティッキーMACアドレスを持つスイッチでポートセキュリティを使用します。未使用のスイッチポートを無効にします。
  3. ワイヤレスネットワークでは、AESと長いキー(> 15)でWPA2を使用します

次に、物理アクセスが取得されたと想定し、それ以上のアクセスを制限します。

ドメインとファイルサーバーのリソースがなく、ワークステーション間でファイルを共有する必要がある場合は、異なるマシン上のファイルへのアクセスに使用できる同じパスワードを使用して、各ワークステーションに単一の(管理者以外の)アカウントを作成します。
「全員」のグループに何かへのアクセスを許可しないでください。

不明なクライアントへのリースを拒否するようにDHCPサーバーを構成することもできます。これにより、物理的にアクセスできる人がトラフィックを監視してIPを割り当てるのを防ぐことはできませんが、偶発的な侵入者の速度を低下させる可能性があります。

最後に、状況を監視して、アクセスしてはならないネットワークに誰かがアクセスしていないかどうかを確認します。 1つの方法は、DHCPサーバーのリースをチェックして、不明なマシンがIPを要求していないかどうかを確認することです。

4
Paul Ackerman

Windowsネットワーク環境で作業しているかどうかを指定しなかったので、一般的なネットワークセキュリティの提案に焦点を当てます。

  1. 物理アクセスの制御。理想的には、スイッチ、パッチパネル、およびサーバーは、UPSなどの適切な冷却および電力供給を備えた安全なロック場所に配置する必要があります。オンサイトキーをどこかに保持しますが、クライアントが機器にアクセスできるようにするというプレッシャーに抵抗します。意味はありますが、無知な従業員は、小さな問題から大きな問題を引き起こすことがよくあります。何らかのアクセスログまたは監査証跡があることを確認してください(これはインシデント追跡システムと同じくらい簡単です)。 ネットワークドロップが使用されていない場合は、パッチケーブルを外すか、スイッチのポートを無効にします。

    必然的に誰かがオフィスを切り替えるか、マシンを交換してからMACアドレステーブルを再度更新する必要があるため、MACアドレスベースのセキュリティの使用は本当に避けています。攻撃者はパケットスニッフィングを介して信頼できるMACアドレスを簡単に発見し、一致するようにMACアドレスを変更できるため、MACアドレスはとにかく不正な認証トークンを作成します。

  2. ワイヤレスパスワードが共有されると仮定します。これは、私の意見では、小規模な展開では本当に苦労していることです。 「エンタープライズ」グレードのソリューションは802.1X認証であり、かなりのインフラストラクチャが必要です。 WP2アクセスポイントをセットアップしてパスワードをクライアントに渡す場合、クライアントは丁寧に質問する人にパスワードを渡すことを期待します。ワイヤレスが本当に「プライベート」ネットワークへのアクセスを提供する必要がある場合は、クライアントマシンをセットアップし、本当に秘密を厳守する必要があります。クライアント本当にがベンダーのネットワークアクセスを必要とする場合、請負業者と他のユーザーは別々のVLANとSSIDを設定します。これVLANタグ付けを理解するMulti-SSID対応アクセスポイントを使用して、簡単に実現できます。

  3. ファイアウォールを使用。これはかなり基本的なことです。クライアントのネットワークとBigBad Internetの間に、ある種のLayer-3/4フィルタリングを配置し、それをテストして、想定どおりに動作していることを確認します。

  4. クライアントにサービスのセルフホストを許可しないでください(または、許可する場合は、慎重に行ってください)。小規模な展開には、一般にアクセス可能なサービスを安全にホストするためのインフラストラクチャがないことがよくあります。クライアントがこれらの種類のサービスを必要とする場合は、これらのサービスの提供を専門とする外部ホスティング会社を使用するのがおそらく最善の方法です(たとえば、クローゼット内の古いワークステーションではなく、Webホスティングを専門とする会社がWebサイトをホストするどこか)。

  5. クライアントにローカル管理者を許可しないでください(または許可する場合は、慎重に行ってください)。クライアントにローカル管理者権限を与えないでください。これを行わない理由はたくさんありますが、それらを列挙することすらしません。そして、not新しいインターンがテクノロジーを使っていると言っても、管理者(またはあらゆる種類の)にローカルサーバーへのアクセスを許可します。

つまり、ネットワークをシンプルに保ち、安全に保つことができます。セキュリティ計画の要は、物理ネットワークアクセスの制御、最小特権の原則、およびセキュリティが利用可能なより多くのインフラストラクチャ(たとえば、公的にアクセス可能なサービス)を必要とするシステムの実装に抵抗することです。

0
user62491