Meraki Z1: защита корпоративных устройств от персональных устройств
В моей компании работает около 600-700 удаленных сотрудников, каждому из которых выдается корпоративный IP-телефон и конечная точка вычисления тонкого клиента.
В нашем текущем развертывании оба устройства настроены (настройки по умолчанию, vpn и т. Д.) В нашем корпоративном офисе и отправлены конечным пользователям.
У нас есть пара проблем с этим текущим развертыванием, главным из которых является то, что наша служба поддержки почти не видит домашнюю сеть наших сотрудников, когда им нужна поддержка (что затрудняет определение, если проблема на нашей стороне или у интернет-провайдера сотрудников).
Мы рассматриваем возможность замены стандартного развертывания инфраструктуры на управляемую точку доступа (скорее всего, Cisco Meraki z1), чтобы лучше видеть возможности домашней сети наших сотрудников. Одно из предложений по этому развертыванию включает в себя обращение к сотрудникам с просьбой подключить как можно больше своих домашних устройств через свои Meraki (чтобы мы могли лучше предоставлять гарантии QOS своим рабочим устройствам).
Это изменение делает меня неловко двумя способами:
1) В настоящее время оба устройства, выданные нашим сотрудникам, управляют своими собственными настройками vpn, при этом все остальные порты связи заблокированы, поэтому в ходе аудита мы уверены, что устройства общаются только по зашифрованным каналам. Предлагаемое развертывание с Meraki включает в себя новый сетевой канал, не управляемый VPN (сам Meraki будет подключен через VPN, устройства не будут)
2) Возможно, между подключением устройств к точке доступа Meraki и текущим развертыванием нет ничего существенно отличающегося от того, когда сотрудники подключают свои устройства непосредственно к домашним маршрутизаторам, но я чувствую, что хочу лучше понять настройки межсетевого экрана с сохранением состояния на Meraki z1 до отделить домашние устройства от корпоративных устройств.
Есть ли опытные пользователи Meraki или специалисты по сетевой безопасности, которые могут прокомментировать любую из этих проблем?
1 ответ
С Z1 вы можете создать две VLAN - одну подключенную к VPN, а другую нет. Затем вы создадите SSID, которые подключат устройства к каждому из этих LANS. Вы можете назначить определенные порты VPN-портам, а другие нет, и дать указание сотрудникам подключать устройства компании к SSID или портам компании, а свои собственные устройства - к другим SSID и портам.
К сожалению, в настоящее время Z1 не поддерживает принудительное применение этого через MAC-адреса или их новый System Manager Sentry, оба из которых будут довольно простыми. Вы могли бы потенциально использовать аутентификацию RADIUS, чтобы разрешить проводной и беспроводной доступ к VLAN/SSID компании - но сервер RADIUS будет другой стороной интернет-соединения. Я думаю, что это ваша лучшая ставка.