服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 防止未经授权的用户访问networking?
Intereting Posts
适用于Windows的免费SMTP服务器 检查文件属性中的“解锁”xml文件 如何在nginx 1.6中删除$ uri的语言部分作为try_files的用途? 只有一个地址的ISPConfig / postfix邮件转发失败 通过RDP连接到Win 2003服务器时出现黑屏 通过SSH备份Windows Datastax OpsCenter 5.1无法备份“所有密钥空间” 如果我已经有数据库访问权限,如何切换到shell访问? DNSlogging说“这个域没有邮件服务器”的方法? AWS EC2 Ubuntu实例不允许连接到Redis 有没有办法将ssh无密码身份validation复制到一个新的RHEL linux服务器不提示初始login? 什么是BEV设备? configurationSonicwall将VLANstream量路由到Internet 在Exchange 2010中无法提供“发送”权限 有没有一个邮件列表供应商,允许我在我的网站上包含一个registry单?

防止未经授权的用户访问networking?

只是好奇:人们如何“locking”他们的networking,以防止未经授权的设备获得networking访问?

DHCP与静态IPnetworking中是不同的吗?

Windows AD如何pipe理?

编辑:我没有试图阻止任何事情本身。 只是好奇一个“安全”的networking应该如何实施

在您的networking上实施802.1xauthentication,和/或禁用所有未使用的交换机端口。

DHCP,静态IP和AD与外部人员试图获得访问权限的安全性很less有关。

如果你不想停用端口,我build议把所有“额外的”交换机端口放在一个拥有自己的DHCP服务器的VLAN中,而不是路由到你的networking上的任何东西。 然后监视DHCP服务器是否有任何租约,并跟踪人们随机插入的位置。如果您确实希望您可以在该VLAN上设置强制门户,以解释为什么他们无法浏览互联网。

从什么安全? locking,以防止什么?

  • 你试图减轻的威胁是什么?
  • 您的理论合法用户对安全目标有多大的不便?
  • 有点与前一点有关)被保护的东西的价值是什么
  • 违约的成本/后果是什么? 人会死吗? 企业会破产吗?

我不是那么迂腐,这些只是在开始locking任何东西之前必须回答的一些问题。 例如,保持我的雇主数据安全所需的安全性与保持银行安全所需的安全性不同,或者保护与军事部署有关的敏感数据。

我可以告诉你,为了防止用户随意连接到一个我所关心的安全性的networking,我可能会实现802.1x的安全性,但根据他们对上述问题的回答,我可能需要做更多的事情。 或less一点。

Windows 域隔离将使您的Windows节点与IPSEC隔离 – 防止任何人连接到不属于域的networking访问它们。

通过还要求用户/个人身份validation或只需域名成员通过任何防火墙 – 你进一步限制了插件可以做的事情。

尽pipe如此,打印机networking上的打印机必然会存在脆弱的节点,而物理安全性对于防止某人只是插入networking而言依然重要。

尽可能简单地分割networking也将有助于提高networking的可靠性。

与802.1x相结合,虽然你会得到相当不错的东西,虽然802.1x是有线的forms可悲的是不防弹。

像往常一样安全; 深度和许多层是要走的路。

所有基于DHCP的,基于MAC的和基于IP的访问控制解决scheme都可以通过欺骗来轻易被击败,因此效率最低。

创buildVLAN是限制networking访问的廉价方法。 它有其自身的局限性和弱点。

802.1xauthentication是一种基于交换机的端口控制方法,大部分时间都适用于小型组织。 然而,在一个人开始使用的情况下,如果打印机开关端口通常处于打开状态,则会失败。

在过去的几年中,一种新型的电器/设备/解决scheme已经进入市场,实现NAC(networking访问控制),其中一些使用802.1x。 这些设备/解决scheme需要用户进行authentication,并且还将用户的访问限制为仅需要做日常工作的资源。 打印机不会说SSH访问服务器。 因此,现在打印机的端口对用户来说价值较低。

ADpipe理与防止networking访问很less有关。 它控制谁可以login资源,如果他们是由ADpipe理的,但不会阻止设备连接到您的networking。 除非您也基于以太网MAC地址进行过滤,否则不会使用DHCP或静态IP。

你能否更彻底地解释你想阻止的访问? 这个问题范围相当广泛,可能需要数年时间才能完全覆盖。 ;)

如果802.1x对您的情况看起来有点过分,并且您正在寻找更多的解决scheme,让人们感到不便,以致于他们不会插入任何硬件,我喜欢我的同事所做的,而且它像一个魅力。 您所需要的只是一个networking,其中所有设备都具有静态或静态分配的DHCP IP地址,无论如何,这可能是一个好主意,例如为了在日志中保持长期一致性。

  1. 在所有机器上,将ARPcaching设置为本地IPnetworking中的所有IP地址,以将其指定为本地pipe理的特定MAC地址
  2. 在工作站上,将服务器和网关的IP地址设置为真实的HW地址[*]
  3. 在服务器上,将已知工作站的IP地址设置为真实的HW地址[*]
  4. 在DHCP服务上,为未知主机分配一个特殊范围的地址
  5. 在网关上,不会路由该范围内的stream量,而只会将缺省路由上的所有HTTPstream量redirect到具有“未注册计算机,等等”页面的Web服务器作为其默认虚拟主机。

[*]可以很容易地用一个脚本对主要的configuration源代码完成 – 我们使用LDAP来configurationDHCP,我的同事用一个简单的shell脚本来parsingldapsearch(1)的输出,并且在Windows / AD环境下这样做shouldn更难 – IronPython? 电源shell?

正如我所说的,这不是硬性的密码安全性,但它实现了两个共同的安全需求:1.销售人员不能在他们回来的时候将他们的笔记本电脑粘到局域网上,这是对木马程序的神谕。同样的情况下,工作站彼此隔离是金色的 – 没有自发CIFS份额的混乱,没有病毒传播…

我们已经研究了所有的方法,基本上已经解决了NAC / NAP解决scheme与分区networking相结合的唯一解决scheme。 其他解决scheme充满了问题:

  • DHCP w / MAC保留可以通过克隆MAC,然后ARP泛滥原来的networking或干脆拔掉它挫败。
  • 没有任何东西阻止某人抓取一个静态IP,特别是如果他们拔掉了需要静态IP的东西(如networking打印机)。
  • 未使用的端口在默认情况下应该被禁用,但是在更大的环境中,不可避免地会被意外地留下。 所以基于禁止端口的访问迟早会有违约的情况发生。

当你看到一般的方法时,如果你的networking具有很高的安全性,你可以控制对所有端口的物理访问。 这是locking它的唯一保证方式。

当然这在可用性方面有很多缺点。

在我工作的最后一家公司,我们将networking划分为几个VLAN,并使用DHCP保留来限制客户端连接。 DHCP范围仅限于vlan上的客户端数量,并且需要扩展范围才能添加更多的客户端。

由于预留将IP地址绑定到MAC地址,因此需要删除旧的预留以添加不同的客户端。 有人随便拔掉一根网线,插上不同的电脑,就不会拿起一个IP地址。

随便说,因为这不包括MAC欺骗。