语境:
我是中型企业networking的pipe理员,拥有多个重叠的无线接入点和以太网布线基础设施。 为了遵守安全审计,我们最近被命令在networking上执行完整的设备授权 – 不仅仅是一个检测非法AP等的方法,而是一个完整的“如果你的设备不是我们手动添加的,它可以连接任何东西“系统。
我的第一个想法是:只需手动为每个人创build静态的DHCP MAC-to-IP绑定,并且让新设备的人在他们第一次build立账户时find我。 我告诉审计人员,他们说,无论我们实施的系统如何,都不能容易受到MAC地址欺骗或静态IP攻击,否则我们将不符合要求。
我知道有那里的产品会绑定到您的计算机的networking连接,并要求您对一些中央服务器进行身份validation,以获得networking访问权限,但我对这些(和Cisco AnyConnect VPN,它的工作原理类似)一直是,他们不能在所有平台上运行。 由于我们有一个BYOD环境(不是我的电话),这是行不通的。
题:
我可以在networking级别运行哪些软件,以防止设备(笔记本电脑,随机移动电话,平板电脑等任何/所有设备;任意types/操作系统)获取networking访问权限,直到我手动将其添加到networking中为止加法过程中有很多麻烦)? 它需要在有线和无线连接上类似地工作,并且不能通过将设备的MAC地址或IP设置为已经授权的设备的绕过。
由于我们有各种各样的设备,所以我们使用的任何解决scheme都应该集中,而不需要客户端的额外软件。 如果有些东西符合法案要求,但需要客户端软件,我可以说服pipe理层使用它,如果客户端软件在大多数我们的设备上工作(即所有* nix笔记本电脑,OSX,Windows(xp到8),iOS, Android,Windows Mobile,黑莓),以及那些没有涉及的古怪用户可以处理它。
802.1X 。 这不是微不足道的实施,它需要适当的安全基础设施来备份(相关的用户帐户等),但据我所知,唯一的办法甚至接近你的审计员要求。
它支持Windows,Linux,iOS(包括苹果和思科版本,所以它适用于iPad和iPhone),OS X,Windows Mobile(甚至2003年, 呕吐 ),黑莓,Android,几乎所有的设备都需要支持802.1X。
你正在寻找的是所谓的port security (至less在思科交换机上)。 您需要用于这种访问控制的pipe理型交换机。