Dynamische Netzwerksegmentierung für BYOD-Clients
Ziel
Mittels dynamischer Netzwerksegmentierung werden alle BYOD-Clients (Bring Your Own Device) innerhalb eines internen Unternehmensnetzwerks verfolgt. Ihr Zugriff auf unternehmenskritische Ressourcen, wie interne Dateiserver, wird beschränkt.
Angestellte und Besucher verbinden ihre privaten Geräte mit dem Unternehmensnetzwerk. Da diese Geräte nicht von den Sicherheitsrichtlinien des Unternehmens abgedeckt werden, kann ihnen nicht vertraut werden und sie können die Sicherheit des Unternehmensnetzwerks gefährden.
BYOD-Clients können durch ihr Verhalten im Netzwerk identifiziert werden. In diesem Beispiel wird vorausgesetzt, dass WhatsApp auf internen Geräten nicht erlaubt wird. Deshalb wird jedes Gerät, das WhatsApp-Verkehr erzeugt, als BYOD definiert.
Der interne Dateiserver befindet sich in einem eigenen statischen Netzwerkobjekt. Ein dynamisches Netzwerkobjekt verfolgt BYOD-Clients, indem es ihre MAC-Adressen speichert. Da MAC-Adressen persistent sind, ist es nicht notwendig, einen Timeout festzulegen, und Geräte können für unbegrenzte Zeit als BYOD nachverfolgt werden. Das dynamische Netzwerkobjekt muss groß genug sein, um alle Geräte fassen zu können.
Ein statisches Netzwerkobjekt für den Dateiserver erstellen
Erstellen Sie ein statisches Netzwerkobjekt, das den internen Dateiserver charakterisiert.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für das statische Netzwerkobjekt:
Name |
Network |
IP Addresses |
MAC-Adressen |
|---|---|---|---|
|
Internal |
Included: MAC-Adresse des internen Dateiservers |
Ein dynamisches Netzwerkobjekt für BYOD-Clients erstellen
Erstellen Sie ein dynamisches Netzwerkobjekt, das die BYOD-Clients speichert.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für das dynamische Netzwerkobjekt:
Name |
Network |
Size |
Timeout |
|---|---|---|---|
|
External |
|
|
Eine ausführliche Anleitung zur Erstellung eines globalen dynamischen Netzwerkobjekts finden Sie unter Dynamische Netzwerkobjekte erstellen.
Bemerkung
Achten Sie darauf, dass das dynamische Netzwerkobjekt groß genug ist, um alle Geräte zu fassen.
Tipp
Ein Timeout von 0 bedeutet, dass die Einträge nicht automatisch entfernt werden.
Den Regelsatz erstellen
Konfigurieren Sie zwei globale Regeln:
Regel 1 fügt die MAC-Adressen aller Hosts, die WhatsApp-Verkehr erzeugen, zum dynamischen Netzwerkobjekt hinzu.
Regel 2 blockiert sämtlichen Datenverkehr von Hosts im dynamischen Netzwerkobjekt zum internen Dateiserver.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für die Regeln:
Regel |
Source |
Destination |
Condition |
Actions |
|---|---|---|---|---|
|
|
Classification |
Dynamic Network Object |
|
|
|
Final Action: Reject Traffic and Stop Processing |
Eine ausführliche Anleitung zur Erstellung einer Regel finden Sie unter Globale Regeln erstellen.
Klicken Sie auf APPLY CHANGES oben in der Menüleiste, um Ihre Konfigurationsänderungen zu aktivieren.
Ergebnis
BYOD-Clients im Unternehmensnetzwerk werden nachverfolgt und ihnen wird der Zugriff auf den internen Dateiserver verweigert. Dennoch können sie das Unternehmensnetzwerk weiterhin für andere Zwecke nutzen, z. B. für die Verbindung mit dem Internet.