Bob和我已经多次讨论了改进公共无线配置的必要性. 你们有些人已经明白了. 遗憾的是,很多人没有. 随着夏天的临近,让我们一劳永逸地解决这个问题.
以下是一些你需要实现的设计更改:
如果您控制区域内的端点在补丁和远程访问方面必须被视为“蛮荒西部”, 那么你的公众/个人数据必须被视为一个真正的战争区域,在那里什么都不能被信任.
为了达到这个目的,设计原则是绝对地将你的网络内部的一切都与这些用户隔开. 例外情况可能是,如果你有一个带有webmail或类似有限曝光资源的内部邮件服务器. 像VMware Horizon View这样的VDI解决方案是很好的解决方案,可以让这些设备以安全的方式进入内部.
为了实现这一目标,我们必须做出一些根本性的设计改变,以安全地适应这些公众/BYOD用户.
- 不要使用内部DHCP服务公共/BYOD作用域. 你的普通DHCP应该配置管理员级别的凭据,以允许DHCP与DNS对话并执行“动态DNS (DDNS)更新”. 这就是DHCP租用的世界杯预选赛投注端的名称在DNS中出现的地方. 当这个正向查找条目与一个干净的相应反向DNS PTR记录相结合时,允许Microsoft SCCM Configuration Manager或Dell KACE设备等世界杯预选赛投注端管理系统找到您的世界杯预选赛投注端来执行所有这些管理功能. 对于Public/BYOD,我们实际上不希望这些租赁在我们的内部DNS中注册. 它只会制造噪音. 莎莉的i电话无关紧要. 更糟糕的是,我们可能会有DNS中毒,我将我的电话命名为DO-SERVER,并让它错误地将自己宣传为真正的DO-SERVER的替代地址,从而导致大量功能紊乱. *所有*只要移动作用域而不注册名称就可以解决这个问题.
- 第1条的后续建议是完全不要指向内部DNS. 你需要做两件事中的一件:
- 将这些公共/BYOD作用域指向某种公共DNS. 我们建议至少向他们推荐免费版本的Cisco Umbrella(又名OpenDNS),这样你至少可以为这些用户屏蔽第一级已知的恶意软件网站.
- 如果你有合法的内部资源,这些BYOD/公共设备需要访问(i.e. 最简单的方法是建立一个独立的DNS服务器,它不属于域,并且存在于Public/BYOD可见VLAN中. 把你的1-5个DNS记录放在那里,然后指向思科雨伞.
- 许多网站更进一步,强迫用户使用他们的内部凭证对公共/BYOD网络进行认证——甚至是一些来自其他地方的公共/社交媒体凭证,以便获得无线访问. 就像你去看医生一样接受EULA.
- 我在Paladin Sentinel控制台经常看到的另一件事是,许多公共/BYOD vlan的DHCP范围耗尽. 这通常是因为你的DHCP范围太小,你的租期太长. 我们让教职工或学生路过食堂时从口袋里掏出一个电话地址. 为了解决这个问题,我们需要做到以下几点:
- 将这些范围的租期限制在合理的小期限内
- 创建具有大地址空间的作用域来避免这个问题.
- 此外,人们还忘记了微软DHCP有一个隐藏的、内置的4小时宽限期. 这意味着如果你设定一个小时的租赁, 地址在5小时内将不再收回并重新分发(1小时租赁+ 4小时宽限). 这是你大部分的学习时间. 这将导致范围耗尽. 有一个注册表项可以为整个DHCP服务器范围设置,以减少宽限期到一个更现实的时间. 因为它必须应用到服务器而不是作用域, 这是为公共/BYOD建立完全独立的DHCP服务器的另一个原因.
这就是你们的任务. 做到这一点,你将拥有更快乐的公众/BYOD用户, 更干净的内部DNS和更少的麻烦.
这一切都不困难,我相信在您的特定设置中有一些项目需要考虑. 我们很高兴与您讨论这个问题,并制定一个计划,以便一劳永逸地完成这项工作.
最近的评论