impide que un usuario no autorizado tenga acceso a la intranet

Hay diferentes maneras de abordar esto:

1. Desactive los puertos no utilizados (lo que obviamente debería ser la primera línea de defensa)
2. El uso de la seguridad del puerto en su conmutador hace que sea al menos necesario que un atacante descubra una cierta dirección MAC y se conecte a un puerto específico, lo que evitará que la mayoría de las personas conecten sus dispositivos domésticos a la red de la empresa. Además de esto, puede activar un modo de "suspensión" para los puertos: la primera vez que se detecta una dirección MAC no válida en un puerto, se cerrará y un administrador deberá reactivarlo manualmente.
3. El radio sería obviamente la solución más adecuada para su problema. Puede configurar su Windows DC como un servidor de autenticación de radio y luego hacer que sus conmutadores reenvíen la solicitud de autenticación usando 802.1X. El resultado sería que cualquier persona que intentara acceder a la red tendría que ingresar su nombre de usuario y pw utilizados en el DC. Si no es correcto, se aislarán en una VLAN restrictiva independiente. Desventaja: necesita un hardware compatible con 802.1X y debe comprender los conceptos de VLAN. No voy a entrar en detalles de RADIUS aquí. Si está interesado, no dude en preguntar.

La configuración ideal es tratar a los empleados de manera diferente y a los empleados externos que llegan a la oficina de manera diferente. Todos los empleados deben colocarse en una red diferente en una zona de firewall diferente, por ejemplo, trust (10.2.0.0/16) y los usuarios externos en otra red en otra zona de firewall diga trust2 (10.3.0.0/16)

Puede proporcionar acceso a internet desde trust y luego incluir en la lista blanca las direcciones IP cuando sea necesario desde trust2 (debe proporcionar direcciones estáticas). Esto le dará mayor flexibilidad a las políticas de la organización. (por ejemplo: si desea dar acceso a internet sin restricciones a los empleados y bloquear ciertos sitios a los no empleados)

Llegando a NAP, no he trabajado en ello. Pero después de algunas lecturas, parece que los socios de Microsoft han lanzado clientes NAP para Linux y MAC. ( enlace )

No tengo experiencia previa en el uso de ninguno de estos clientes, por lo que no puedo comentarlos, pero puede hacer consultas. Parecen herramientas comerciales

Si está buscando herramientas no comerciales, existe la posibilidad de usar squid.Squid puede solicitar a los usuarios un nombre de usuario y una contraseña.

un

enlace

Otra opción requeriría la ayuda de su firewall. He trabajado en Juniper Netscreens y permitieron la autenticación en la regla. Así que básicamente configura la autenticación en la regla del firewall que permite el acceso a Internet y los usuarios deberán ingresar un nombre de usuario y contraseña. para comunicarse. Esto depende del dispositivo y deberá verificar su firewall para obtener una característica de este tipo.

Simplemente deshabilite los puertos no utilizados en el conmutador, de esta manera, si el atacante conecta un cable, no se conectará a la intranet porque ese puerto estaba deshabilitado.

Obviamente, si desenchufa algún dispositivo y lo conecta allí, puede conectarse a la intranet. Pero en este punto, consiga en el juego otra pregunta, ¿cómo es su seguridad física?

NAP sería su mejor apuesta y está disponible para clientes de Linux y Mac. También puede "registrar" dispositivos que no tienen la capacidad de NAP de forma manual o en su mayoría automatizada con una página del portal. De cualquier manera, debería, como otros han señalado, trabajar en su seguridad física si los usuarios pueden desconectar las máquinas libremente.