Asegurar una LAN sin seguridad física

8

Tengo un dilema interesante. Tengo una oficina grande (más de 50 usuarios) que estará en el campus de una universidad local. El propósito es fomentar la colaboración, etc., pero el entorno abierto se va a jugar feliz con la seguridad de mi red.

Básicamente, tengo seguridad física en mi sala de demark / servidor, y eso es todo. Peor aún, todas las computadoras tendrán acceso WAN, por lo que los problemas de seguridad no se limitan a la oficina local, sino a toda la compañía (enorme).

Estoy ajustando las cosas tanto como sea posible. Todas las máquinas están vinculadas a MAC, el acceso a WAN está restringido en la medida de lo posible, etc., y estoy haciendo algunas cosas engañosas, como hacer sondas automáticas de SO / hardware para observar la clonación de MAC.

Sin embargo, estoy un poco preocupado. La falta de seguridad física me está asustando. ¿Qué recomendarían ustedes?

    
pregunta Satanicpuppy 17.02.2012 - 19:16
fuente

3 respuestas

6

¿Su hardware admite vlans y seguridad de puertos? Simplemente ejecuta esas máquinas en una vlan diferente. Luego tenga listas de control de acceso para controlar el acceso a la WAN. Suponiendo que sus conmutadores están físicamente seguros, solo debería ser lo suficientemente seguro para la mayoría de las aplicaciones. Al ver que ya tiene una lista de direcciones mac para permitir, también puede configurar el bloqueo de puertos.

Normalmente no estoy de acuerdo con el uso de direcciones mac como forma de autenticación. Es mucho trabajo para algo que se pasa fácilmente por alto. Lo mejor es disuadir a alguien de conectar una computadora portátil extraviada a la red, pero un atacante medio dedicado podría sobrevivir en segundos.

Configurar una VPN encriptada le daría una mayor seguridad si cree que vale la pena el trabajo extra. Una VPN es probablemente mucho menos trabajo que tratar con direcciones MAC.

    
respondido por el WalterJ89 18.02.2012 - 02:01
fuente
5

Estoy de acuerdo con SteveS, ¿qué estás tratando de asegurar?

  1. Averigüe qué necesita proteger (qué datos son importantes y cuáles no)
  2. Averigüe qué riesgos tiene para esos datos / recursos
  3. Desarrolle su seguridad para mitigar los riesgos identificados

Esto le permitirá equilibrar entre restringir usuarios y permitirles colaborar abiertamente. Y también cuando las personas se quejan de tus restricciones, tendrás un gran poder de fuego para respaldar lo que has hecho.

    
respondido por el Robert 17.02.2012 - 20:49
fuente
2

Así que he visto este de varios clientes en el último año. Dot1x está detrás del movimiento en toda la empresa. Lento pero seguro.

Es esencialmente una porción de NAC reinventada. De modo que el usuario se conecta, no en MAC DB, obtiene la pantalla de autenticación web para conectarse a la red central o se envía a la red invitada según la política. Además, si este servicio está activado, se les cuestionará la postura y el perfil.

Colocaban sus credenciales AAA (hablando con un servidor de AD y permitidos en la red según la postura, el perfil y la política) se les otorga acceso a la red. Hay varios proveedores en la categoría: redes BradFord, ForeScout e ISE de Cisco. Estas tecnologías monitorean varias partes de la red para comprender los dispositivos que se conectan a la red y crear un DB de tiempo extra.

Están intentando distinguir la capacidad de separar a la persona del dispositivo también en el caso de uso de BYOD. Entonces, en este ejemplo, puede hacer que un empleado ingrese a la sala del campus; use sus credenciales pero NO se le permita ingresar a la red de la escuela porque su iPad no fue permitido en la red sin el perfil y la evaluación de la postura correctos. Sería enviado a la red de invitados hasta que se resolviera.

    
respondido por el SecurityCrunch 22.02.2012 - 00:50
fuente

Lea otras preguntas en las etiquetas