¿Cómo restringo el acceso de red a LAN para visitantes?

Navega tus respuestas
1

¿Cómo puedo restringir el acceso de red a la LAN para los visitantes?

En las instalaciones de mi organización, cualquier visitante externo puede venir y conectarse a los puertos LAN en nuestras salas de reuniones. Hemos visto que son capaces de hacer ping a los sistemas internos. ¿Cómo puedo prevenir este problema?

    
pregunta Pentester23 14.01.2014 - 13:52
fuente

3 respuestas

3

La solución realmente depende de su entorno y de lo que esté dispuesto a poner en práctica. Hay algunas soluciones que vienen a la mente, incluidas las que se mencionan en otras respuestas aquí:

  • VLAN separadas para espacios de reuniones públicas y estaciones de trabajo internas. El inconveniente de esto es que un atacante inteligente puede realizar un salto de VLAN (según la implementación) y terminar en la VLAN de su estación de trabajo.
  • 802.1X, que requiere que usted implemente un servidor RADIUS y un poco de administración en las estaciones de trabajo de los usuarios para garantizar que tengan los perfiles y certificados de autenticación correctos para comunicarse con su red.
  • Control de acceso a la red (o en el idioma de Cisco, Control de admisión a la red) que le permite autenticar a los usuarios mediante LDAP, según la dirección MAC u otros mecanismos según su implementación de NAC.

De estos tres, VLAN es probablemente el más económico en términos de esfuerzo de su parte en la configuración del entorno: no tiene que hacer nada en las estaciones de trabajo de los usuarios, y solo tiene que garantizar una segmentación adecuada de la red. 802.1x es más costoso en términos de esfuerzo y adopción, pero aún más barato que una solución NAC. La solución NAC probablemente sea la más efectiva y la más cara de las tres, especialmente si obtiene una solución que no necesita implementar un agente en las estaciones de trabajo. Aún requerirá capacitación del usuario dependiendo de cómo lo implementes, pero es mucho más difícil eludir un control NAC que eludir las restricciones de VLAN.

    
respondido por el Karthik Rangarajan 14.01.2014 - 18:18
fuente
2

La solución más simple es VLAN, una LAN virtual o lógica. Con las VLAN, puede segregar su red LAN física en diferentes segmentos de LAN lógica, es decir, basado en departamento, basado en usuarios o basado en aplicaciones. Con la ayuda de VLAN, puede operar como compilar tantas LAN virtuales como lo permita su conmutador y estas VLAN estarán virtualmente aisladas unas de otras. Entonces, lo que sugiero es colocar los puertos de sus salas de reuniones en una vlan separada, esto aislará a los visitantes de acceder a cualquiera de las estaciones de trabajo internas.

Editar:

Las VLAN están generalmente sujetas a ataques de salto de VLAN, es decir, ataques de suplantación de identidad y de doble etiquetado. Esta razón detrás de estos ataques se debe principalmente a que el conmutador está mal configurado, es decir, que el puerto de acceso al conmutador está configurado como puerto troncal. Puede revisar una buena evaluación de la seguridad de vlan a partir de esta pregunta, es decir,

¿Por qué me lo dice la gente? ¿No usar VLAN para seguridad?

    
respondido por el Ali Ahmad 14.01.2014 - 15:11
fuente
0

Implemente Port Security (802.1X), estas son varias técnicas para colocar el control de acceso en los puertos de red.

    
respondido por el RQ' 14.01.2014 - 14:00
fuente

Lea otras preguntas en las etiquetas

Parámetros del token de HTTP: UDIAuthToken ¿Qué información se puede obtener de un encabezado de correo electrónico?