BYOD - Confirmando que los dispositivos están aprobados

Navega tus respuestas
4

Actualmente ejecutamos un Cisco ASA 5510 y un token RSA para autenticar a los usuarios en nuestra red para el acceso VPN. La compañía está intentando iniciar BYOD, pero desea asegurarse de que la PC haya sido aprobada por la empresa antes de que llegue a nuestra red. Esto no es algo que esté vigente en este momento, ya que cualquier persona con un token RSA y un nombre de usuario / contraseña puede instalar el software cisco connect en cualquier PC que posea y VPN.

Actualmente empleamos AD en nuestra red, RSA, y el ASA5510 es el dispositivo que sirve para la conexión VPN.

TL: DR. Nos gustaría poder identificar efectivamente una PC de usuarios antes de permitir que esa PC (si no está autorizada) llegue a nuestra red a través de VPN.

    
pregunta HAL 13.08.2014 - 22:31
fuente

1 respuesta

2

Hay NAC basados en agentes que no permitirán que un dispositivo se conecte a una red a menos que se cumplan ciertas condiciones, como:

  1. Cierto otro software instalado, como AV
  2. El usuario es parte del conjunto de usuarios aprobado
  3. Las configuraciones de seguridad se configuran de una determinada manera
  4. etc.

Esto requiere mucha administración y la inscripción de nuevos dispositivos puede ser un poco molesta, pero estos tipos de sistemas proporcionan lo que está buscando. Usted dice que el sistema IBM tomaría demasiada configuración para funcionar, y sospecho que encontrará el mismo problema con la mayoría de ellos.

Hay sistemas sin agentes que utilizan una combinación de MAC, nivel de parche del sistema operativo e información de WMI para determinar si un dispositivo está permitido, pero tienen diferentes niveles de éxito. He usado uno con gran efecto, pero también me costó mucho.

    
respondido por el schroeder 14.08.2014 - 16:33
fuente

Lea otras preguntas en las etiquetas

¿Puedo usar el servicio de administración de usuarios de stormpath con una biblioteca XACML como BALANA? ¿WPA2 Enterprise protege contra las evaslopping dentro de la red?