我们经常为不同地点的客户build立小型networking,让他们能够在不同的产品上工作,现在问题是什么应该是最好的安全做法。
目前我们有一个WiFi使用WPA2和大多数笔记本电脑连接到这个,但一些将连接到有线交换机连接到路由器。
我们正在考虑如何提高小型networking的安全性 – 我们的笔记本电脑具有安全性,因此您可以通过简单的Windows用户帐户直接与其他人共享。
一些build议是:
我们得到一个局域网交换机ACL控制和mac过滤的硬连接?
我们通过一个好的思科路由器获得了无线网卡的无线networking连接。
所有机器上的安全策略?
IP过滤和固定的IP?
我想人们担心任何人都可以插入交换机并访问networking。
概要:
保持一个体面的安全水平,可以很容易地复制到我们为客户做的每一个设置
一些build议:
首先尝试阻止对networking的物理访问。
接下来,假设已经获得物理访问并且限制进一步访问。
如果您没有用于域和文件服务器的资源,并且必须在工作站之间共享文件,请在每个工作站上创build一个具有相同密码的帐户(非pipe理员),以便访问不同计算机上的文件。
不要让“所有人”组访问任何东西。
你也可以configuration你的DHCP服务器来拒绝向未知的客户端租借 – 这并不能阻止某人通过物理访问来看stream量并为自己分配一个IP,但是这可能会减缓偶然入侵者的速度。
最后,监视情况,看看是否有人正在访问不应该的networking。 一种方法是检查您的DHCP服务器租赁,以查看是否有未知的机器请求IP。
你没有指定你是否在Windowsnetworking环境中工作,所以我会专注于一般的networking安全build议。
控制物理访问 。 理想情况下,您的交换机,配线架和服务器应安装在安全的locking位置,具有相应的冷却和电源设备,如UPS。 保持现场密钥的地方,但要抵制压力,让您的客户访问您的设备 – 好意思,但无知的员工往往可以创造更小的问题更大的问题。 确保你有一些访问日志或审计跟踪(这可以像事件跟踪系统一样简单)。 如果networking丢弃未使用,请断开其跳线或禁用交换机上的端口。
我真的避免使用基于MAC地址的安全性,因为有些人不得不更换办公室,或者你必须更换一台机器,然后你必须重新更新MAC地址表。 MAC地址无论如何都会产生错误的身份validation令牌,因为攻击者可以通过数据包嗅探轻松发现可信的MAC地址,然后将其MAC地址更改为匹配。
假设您的无线密码将被共享 。 这是我认为小型部署真正困难的事情。 “企业”级解决scheme是802.1Xauthentication,需要大量的基础设施。 如果你设置了一个WP2接入点,并把密码交给你的客户,他们会把它分发给任何有礼貌地询问的人。 如果无线真的需要提供对“私人”networking的访问,那么你自己应该设置客户机,并保持秘密,保密。 如果您的客户真的需要networking访问他们的供应商,承包商和其他用户设置一个单独的VLAN和SSID。 使用了解VLAN标记的支持Multi-SSID的接入点可轻松实现此目的。
使用防火墙 。 这是非常基本的。 在客户的networking和Big Bad Internet之间进行某种3/4层过滤,然后对其进行testing,以确保它正在做您认为正在做的事情。
不要让你的客户自己托pipe服务 (或者如果你这样做,明智地做)。 小型部署通常没有基础设施来安全地托pipe可公开访问的服务。 如果你的客户需要这些服务,你可能最好的方式是使用专门提供这些服务的外部托pipe公司(例如,有一家专门从事网站托pipe的公司,而不是在一间衣柜里的旧工作站某处)。
不要让你的客户拥有本地pipe理员 (或者如果你这样做,明智地做)。 不要给你的客户端本地pipe理员权限。 有这么多好的理由不这样做,我甚至不打算列举他们。 不要让pipe理员(或任何forms的)访问他们的本地服务器,不pipe他们说他们的新实习生在技术方面多么“有经验”。
总之,保持你的networking简单,你会保持它的安全。 安全计划的基石应该是控制物理networking访问,最小权限的原则,并抵制实施其安全性需要更多基础设施(例如可公开访问的服务)的系统。