每周og体育app官网小闻——正确的公共/BYOD无线方式

2019年5月9日,
每周og体育app官网小闻——正确的公共/BYOD无线方式

Bob和我已经多次讨论了改进公共无线配置的必要性.   你们有些人已经明白了.  遗憾的是,很多人没有.  随着夏天的临近,让我们一劳永逸地解决这个问题.

以下是一些你需要实现的设计更改:

如果您控制区域内的端点在补丁和远程访问方面必须被视为“蛮荒西部”, 那么你的公众/个人数据必须被视为一个真正的战争区域,在那里什么都不能被信任.

为了达到这个目的,设计原则是绝对地将你的网络内部的一切都与这些用户隔开.  例外情况可能是,如果你有一个带有webmail或类似有限曝光资源的内部邮件服务器.   像VMware Horizon View这样的VDI解决方案是很好的解决方案,可以让这些设备以安全的方式进入内部.

为了实现这一目标,我们必须做出一些根本性的设计改变,以安全地适应这些公众/BYOD用户.

  1. 不要使用内部DHCP服务公共/BYOD作用域.   你的普通DHCP应该配置管理员级别的凭据,以允许DHCP与DNS对话并执行“动态DNS (DDNS)更新”.  这就是DHCP租用的客户端的名称在DNS中出现的地方.  当这个正向查找条目与一个干净的相应反向DNS PTR记录相结合时,允许Microsoft SCCM Configuration Manager或Dell KACE设备等客户端管理系统找到您的客户端来执行所有这些管理功能.   对于Public/BYOD,我们实际上不希望这些租赁在我们的内部DNS中注册.   它只会制造噪音.  莎莉的i电话无关紧要.  更糟糕的是,我们可能会有DNS中毒,我将我的电话命名为DO-SERVER,并让它错误地将自己宣传为真正的DO-SERVER的替代地址,从而导致大量功能紊乱.  *所有* 只要移动作用域而不注册名称就可以解决这个问题.
  2. 第1条的后续建议是完全不要指向内部DNS.   你需要做两件事中的一件:
    1. 将这些公共/BYOD作用域指向某种公共DNS.  我们建议至少向他们推荐免费版本的Cisco Umbrella(又名OpenDNS),这样你至少可以为这些用户屏蔽第一级已知的恶意软件网站.
    2. 如果你有合法的内部资源,这些BYOD/公共设备需要访问(i.e. 最简单的方法是建立一个独立的DNS服务器,它不属于域,并且存在于Public/BYOD可见VLAN中.   把你的1-5个DNS记录放在那里,然后指向思科雨伞.
  3. 许多网站更进一步,强迫用户使用他们的内部凭证对公共/BYOD网络进行认证——甚至是一些来自其他地方的公共/社交媒体凭证,以便获得无线访问. 就像你去看医生一样接受EULA.
  4. 我在Paladin Sentinel控制台经常看到的另一件事是,许多公共/BYOD vlan的DHCP范围耗尽.  这通常是因为你的DHCP范围太小,你的租期太长.  我们让教职工或学生路过食堂时从口袋里掏出一个电话地址.   为了解决这个问题,我们需要做到以下几点:
    1. 将这些范围的租期限制在合理的小期限内
    2. 创建具有大地址空间的作用域来避免这个问题.
    3. 此外,人们还忘记了微软DHCP有一个隐藏的、内置的4小时宽限期.   这意味着如果你设定一个小时的租赁, 地址在5小时内将不再收回并重新分发(1小时租赁+ 4小时宽限).  这是你大部分的学习时间.  这将导致范围耗尽.  有一个注册表项可以为整个DHCP服务器范围设置,以减少宽限期到一个更现实的时间.   因为它必须应用到服务器而不是作用域, 这是为公共/BYOD建立完全独立的DHCP服务器的另一个原因.

这就是你们的任务.  做到这一点,你将拥有更快乐的公众/BYOD用户, 更干净的内部DNS和更少的麻烦.

这一切都不困难,我相信在您的特定设置中有一些项目需要考虑.   我们很高兴与您讨论这个问题,并制定一个计划,以便一劳永逸地完成这项工作.