鲍勃和我已经一次又一次地讨论了改进公共无线配置的必要性. 你们有些人已经明白了. 遗憾的是,许多人没有. 随着夏天的临近,让我们一劳永逸地解决这个问题.
以下是一些你需要执行的设计改变:
如果在您控制的区域内的端点必须被认为是补丁和远程访问方面的“蛮荒西部”, 那么你的公共/自带设备必须被视为一个真正的战区,没有什么是可以信任的.
为了达到这个目的,我们的设计原则是绝对不让这些用户接触到网络内部的所有信息. 例外情况可能是,如果您有一个带有webmail或类似有限暴露资源的内部邮件服务器. 像VMware Horizon View这样的VDI解决方案是很好的解决方案,可以让这些设备以安全的方式进入内部.
为了达到这个目的,我们必须做一些基本的设计改变,以安全地适应这些公共/BYOD用户.
- 永远不要使用内部DHCP来服务公共/BYOD范围. 您的普通DHCP应该配置管理员级凭据,以允许DHCP与DNS通信并进行“动态DNS (DDNS)更新”. 这就是DHCP租用客户端的名称在DNS中显示的位置. 这个正向查找条目与一个干净的对应的反向DNS PTR记录结合在一起时,允许客户端管理系统(如Microsoft SCCM Configuration Manager或Dell KACE设备)找到您的客户端来执行所有这些管理功能. 对于Public/BYOD,我们实际上不希望这些租约在我们的内部DNS中注册. 它只会让它变得嘈杂. 莎莉的iPhone无关紧要. 更糟糕的是,我们可能会有DNS中毒,我将我的手机命名为DO-SERVER,并让它错误地将自己宣传为真正的DO-SERVER的替代地址,从而导致大规模功能障碍. *所有* 只要移动作用域而不注册名称,这种情况就会消失.
- 第1条的后续内容是根本不指向内部DNS. 你需要做两件事中的一件:
- 将这些公共/BYOD范围指向某种公共DNS. 我们建议他们至少使用免费版的思科Umbrella(又名OpenDNS),这样你至少可以为这些用户屏蔽第一级已知的恶意网站.
- 对于那些拥有合法内部资源的人来说,这些BYOD/公共设备需要访问这些资源.e. 要做到这一点,最简单的方法就是建立一个独立的DNS服务器,该服务器不属于域,并且存在于公共/BYOD可见VLAN中. 把你的1-5个DNS记录放在那里,然后指向思科保护伞.
- 许多网站更进一步,强迫用户用他们的内部凭证向公共/BYOD网络进行身份验证——甚至是其他地方的一些公共/社会媒体凭证,以便获得无线接入. 就像你去很多医生的办公室一样接受EULA.
- 我在Paladin Sentinel控制台经常看到的另一件事是许多公共/BYOD vlan的DHCP作用域耗尽. 这通常是因为您的DHCP作用域太小,租期太长. 我们让教师或学生经过自助餐厅,从口袋里的手机上找到一个地址. 要解决这个问题,我们需要做以下事情:
- 将这些范围的租赁时间限制在合理的短时间内
- 创建具有较大地址空间的作用域以避免此问题.
- 人们还忘记了微软DHCP有一个隐藏的、内置的4小时宽限期. 这意味着如果你设定一个1小时的租赁, 5小时内(1小时租期+ 4小时宽限期)不回收、不重新出租. 那是你学习的大部分时间. 这会导致范围耗尽. 需要为整个DHCP服务器范围设置一个注册表项,以将宽限期缩短为更实际的期限. 因为它必须应用于服务器而不是作用域, 这是为公共/BYOD使用完全独立的DHCP服务器的另一个原因.
这就是你们的任务. 做到这一点,你将拥有更快乐的公共/BYOD用户, 更干净的内部DNS和更少的头痛.
这些都不难,我相信在你的特定设置中有一些项目需要考虑清楚. 我们很高兴与您讨论这个问题,并制定一个计划来一劳永逸地完成这项工作.
最近的评论