Mám non-standardní požadavek, s kterým jsem se ještě nesetkal.
Klient má firemní notebook, který budou používat vzdálení či outsourceovaní pracovníci ze zahraničí, a vzhledem k tomu by chtěli zabránit tomu, aby se tento notebook mohl připojovat k veřejným WiFi sítím, ale stále by měl být schopen připojit se ke všem domácím nebo firemním sítím.
Jedná se o notebook s Windows 10 připojený k doméně Azure AD.
Nejsem si jistý, zda Windows má nějakou vestavěnou metodu, která by to mohla zajistit, a současné antivirové řešení klienta (Webroot Endpoint) tuto funkci také nemá.
Vím, že je možné blokovat zařízení s Windows od připojení ke specifickým SSID, ale Windows teprve po připojení určuje, zda je síť veřejná nebo soukromá/doménová, a tak technicky nevím, jak by systém mohl vědět před připojením, že síť je “veřejná” a že by se k ní nemělo připojit.
Je toto možné implementovat pouze pomocí softwaru třetích stran?
Existují nějaké bezpečnostní politiky založené na Azure AD, které by to mohly zajistit?
Domníval bych se, že důvod je v tom, že nechcete, aby citlivý nebo firemní provoz putoval přes veřejné WiFi bez šifrování. Ačkoliv je HTTPS téměř všude, největším rizikem při používání veřejného WiFi je únik DNS. To lze řídit pomocí DNS přes TLS nebo HTTPS.
Jako politika byste také mohli donutit veškerý provoz přes firemní VPN, kterou klient ovládá. Poté nasadit vždy zapnutou VPN a tímto způsobem riziko snížíte.
Nemohu přijít na způsob, jak to udělat. Nejlepší, co jsem mohl vymyslet, je zajistit, aby uživatel souhlasil a chápal, že se nemá připojovat k nedůvěryhodným WiFi sítím.
Ačkoliv je požadavek směšný, zdá se být možný, pokud je seznam SSID pevně stanoven (ale nezabrání to útoku na SSID se stejným názvem, což mi přijde směšné). To však neřeší část “nebo domácí sítě”. Jak zjistíte SSID všech domácích sítí uživatelů? A máte udržovat tento seznam personalizovaný pro každého uživatele? Zdá se, že to není možné.
Politika skupiny by měla umožňovat povolení pouze určitých přístupových bodů nebo zakázat ad hoc sítě.
Zakázat DHCP kromě důvěryhodných sítí? Také zvážit proxyování veškerého provozu do firmy a ostatní směrovat na lokální stroj.
Nikdy jsem to sám neřešil, takže nemohu říct, jestli by to pomohlo, ale vím, že se to dělalo na staré práci.
Nemyslím si, že by to bylo možné (blokkování připojení k WiFi bez hesla).
Myslím, že jediná možná věc je povolit sítě podle jejich názvů, ale je to těžké, pokud to je pro několik počítačů.
Větší firewally nabízí VPN, například nechte notebook připojit k jakémukoliv internetu, ale veškerý provoz bude šifrován a poslán zpět do hlavního sídla. Microsoft má také své možnosti ‚vždy zapnutá VPN‘, jak naznačuje peter-v.
Můžete si udělat seznam povolených SSID, ale to by vyžadovalo, aby zaměstnanci dali vědět, která je jejich domácí WiFi. A kdokoli může nastavit přístupový bod s názvem stejného jako známý hotel apod. Posláním veškerého provozu zpět do sídla máte podstatně lepší ochranu než jen kontrolování seznamu povolených WiFi.
Můžete omezit, ke kterým SSID se notebook může připojit, ale bude to křížová hra.
Můžete zvážit něco jako SDN/SDP (Software Defined Network/Perimeter) jako AppGate - pak vás nebude zajímat, jak se připojují, protože všechno bude zašifrováno. Předpokládám, že oni nebo podobní mají zahraniční uzly.
Samozřejmě stále musíte spravovat zabezpečení na místním počítači s bitlockerem, EPP/EDR, aktualizacemi a správou majetku atd.
Pokud vám zaměstnanci poskytnou seznam jejich SSID, můžete ho vložit do skupinové politiky.
Můžete to udělat, ale doporučuji přidat podmínku, že lze omezit systém pouze na firemní sítě. Nechcete se starat o správu konfigurace, která by musela obsahovat informace o domácí síti mimo vaši kontrolu.
Rozšíříte firemní síť tím, že jim dáte Meraki. Zabezpečte ji pomocí RADIUS. GPO nebo CSP nebo netsh Wi-Fi filtr zamknou počítač tak, aby se mohl připojit pouze k vašemu Meraki. Zbytek zakryjte v písemné politice.
Nebo prostě vynutí kompletní VPN, aby veškeré připojení bylo stále aktivní.
Všechny veřejné WiFi jsou nedůvěryhodné, nejen ty v zahraničí. VPN by s tímto problémem zatočila.
Souhlasím, ale protože jsou v zahraničí, výkon pravděpodobně bude zklamání.
Ano, to se nám zdá jasné, ale samozřejmě vedení očekává, že existuje nějaké IT kouzlo, které dokáže udělat to, co by mělo být možné jednoduše prostřednictvím vzdělávání uživatelů a správné kyberhygieny.
Plně souhlasím, že požadavek je směšný a spíše jde o kybernetickou divadlo, které nepřinese žádné významné zlepšení celkové kybernetické bezpečnosti.
Neexistuje žádný způsob, jak sledovat všechny SSID, ke kterým se tento laptop může připojit během své existence, protože bude umístěn v zámoří, až bude předán uživateli, a od té doby může být použit pro práci z domova nebo z kanceláře, a my nemáme nad tím kontrolu.
Dokonce i kdybychom nějakým způsobem identifikovali nejčastěji používané SSID po konzultaci s uživateli, nic nezabrání tomu, aby notebook byl ukraden a připojen k neznámé síti nebo uživatel ho prostě připojil v kavárně k jejich veřejnému WiFi, čímž by úplně obejel toto pečlivé ověřování SSID.
Problém je, že “veřejné” sítě mohou být zabezpečené nebo nezabezpečené, takže nejde jen o SSID bez hesla, kterým bychom se snažili zabránit přístupu.
Vidíte to po celém světě, spousta hostujících nebo veřejných WiFi sítí vás přesměruje na registrační portál při připojení, což vás dovede přes různá předběžná ověřování a na konci vám dá dočasné heslo pro připojení.
Myslím, že požadavek je hlavně poháněn paranoickou představou, že veřejné WiFi = okamžitě hacknuté.
Osobně bych důvěřoval méně internetu v domácnosti zaměstnanců než většině veřejných WiFi na letištích, školách nebo malých a středních podnicích, ale samozřejmě lidé potřebují pracovat odkudkoli, ale nepotřebují přístup k firemním zdrojům z veřejné WiFi.
Oceňuji radu, ale jak jsem již řekl, je to malý klient, který nezaplatí za nic tak složité nebo nákladné jako Meraki.
Za druhé, nemají žádné on-prem hardware ani VPN server. Jsou plně závislí na Microsoft 365 a jejich hrubý router je velmi jednoduchý.
Ano, to je jeden z dobrých důvodů, protože hlavní sídlo a notebook budou na opačných stranách světa a internetové připojení hlavního sídla je přijatelné, ale není to žádné 1 Gbps privátní vlákno na některý z Tier 1 backbone, takže nevím, jaký výkon mohou očekávat.
Druhým problémem je, že tento malý klient nemá žádný on-prem hardware a žádný VPN server. Jsou zcela závislí na Microsoft 365 a jejich Edge router je velmi základní.
Notebook je co nejvíce zapečetěný a zabezpečený, aby uživatelé neměli administrátorská práva, jsou šifrována data, není možné přistupovat přes USB, všechny jejich účty jsou zabezpečeny MFA, mají EPP přes Webroot Endpoint s přísnější politikou bezpečnosti než zařízení hlavního sídla atd.
Pokud jedete do zahraničí, dejte jim nový notebook. Dejte jim velký šifrovaný flash disk na všechna jejich data. Když se vrátí, dešifrujte disk na tom notebooku mimo síť, zkontrolujte soubory a pak ten notebook zničte.
Žádný VPN. Pokud potřebují soubory, nastavte jim OneDrive s MFA.
Pak je to nemožné. Co je váš skutečný problém?