Toon posts:

toegang vanaf laptops beperken

Pagina: 1
Acties:

vrijdag 9 juni 2006 22:30

Acties:

Verwijderd

Topicstarter
Situatie is als volgt:
Omgeving met een 15 servers en 600 pcs. Het is één groot netwerk met éénzelfde subnet. Er is één domein met 4 subdomeinen. De toestellen krijgen een ipadres via dhcp. Vermits dat er hoe langer hoe meer personeel hun laptops van thuis meebrengen en inpluggen in het netwerk moet we er voor zorgen dat ze niet aan de servers kunnen (homedirs, webservers, mailservers,...). Als ze hun laptop van thuis meebrengen en inpluggen in het netwerk dan dan moet de toegang tot de server op het laagste niveau geblokkerd worden. Zij kunnen op hun latop als administrator allerlei sniffing software installeren.

Er zijn verschillend mogelijkheden maar welke is het interessantste?

- werken met 802.1x met RADIUS server en bijhorende switchen. Als de juiste credentials worden gegeven dan laat de switch verkeer toe vanaf dat toestel. Het grote nadeel is dat dit niet geïntegreerd kan worden met LDAP. Kan hier gewerkt worden met certificaten?

- mac adres filtering toepassen. Kan met openbsd en brconfig/pf. Dit werkt goed alleen vraag ik me af of dit niet een zeer grote bottleneck gaat worden als het in het grote netwerk gebruikt wordt? Het mac adres kan gespoofed worden maar dit negeren we.

- er voor zorgen dat het toestel geen IP-adres krijgt. We dachten dit te doen met het instellen van een klasse id op elk toestel. Zo zou een toestel waar de klasse id goed is ingesteld een ipadres krijgen. Dit blijkt echter niet te werken. De klassse id bepaalt blijkbaar enkel welke settings het meekrijgt en niet in welk rang het een ipadres krijgt. Een ander probleem is dat men het ipadres vast kan instellen in de correcte range en gateway.

-DMZ is niet mogelijk omdat het niet te vermijden is dat een personeelslid hier of daar de netwerkkabel van een vast toestel uittrekt en in zijn laptop steekt en een ipadres insteld.

- is het niet mogelijk om met certificaten te werken specifiek per toestel. Op dit manier zou enkel wanneer het juiste certificaat kan voor gelegd worden er toegang verschaft worden tot de servers.

Alle tips zijn welkom.

Alvast bedankt!

zaterdag 10 juni 2006 08:45

Acties:
  • thamoosio
  • Registratie: April 2002
  • Laatst online: 21-01-2024

thamoosio

Ja-haaaaaa

Sja.. ten eerste kan ik me altijd best pissig maken om dit soort dingen. Ik vind het echt belachelijk dat gebruikers de vrijheid krijgen om dit te doen. IT zou de 'macht' moeten krijgen van de business units om hier tegen op te treden. Maargoed, dat is wellicht wat offtopic.

Ik zou in iedergeval op het hele netwerk IPsec en certificaten introduceren. Het kost je wel wat CPU kracht, maar dat is te verklaren en te overleggen naar management. Zo vermijd je grotendeels het sniffen van pakketjes op je netwerk
Daarnaast moet je zorgen dat de browserservices (als je geen legacy apps meer hebt draaien) uit staan op de servers en PC's. Zo vermijd je de occasional browsers (mijn netwerkplaatsen etc)
Proxy server gebruiken voor internet access, zo vermijd je het inpluggen en internetten van de thuispc's.

heb ik nog ergens niet aan gedacht?

Bij voorbaat sorry..

zaterdag 10 juni 2006 08:49

Acties:
  • Vorkie
  • Registratie: September 2001
  • Niet online

Vorkie

is 2 hardwareprofielen op de notebooks niets?

Eentje voor standalone (thuis e.d)
en eentje voor op het werk? Met alle rechten van het bedrijf?

Wordt redelijk veel gebruikt in dit soort grote omgevingen.

zaterdag 10 juni 2006 18:56

Acties:
  • mvdejong
  • Registratie: Juni 2000
  • Laatst online: 29-11-2024

mvdejong

When does the hurting stop ?

Verwijderd schreef op vrijdag 09 juni 2006 @ 22:30:
- mac adres filtering toepassen. Kan met openbsd en brconfig/pf. Dit werkt goed alleen vraag ik me af of dit niet een zeer grote bottleneck gaat worden als het in het grote netwerk gebruikt wordt? Het mac adres kan gespoofed worden maar dit negeren we.

- er voor zorgen dat het toestel geen IP-adres krijgt.
Deze twee combineren : IP-adressen koppelen aan bekende (reeksen van) MAC-id's ?
Elke fatsoenlijke DHCP-server kan dit, en wordt vaak gebruikt om servers een vast IP-adres te geven, en toch bij wijzigingen in de IP-ranges niet op elke server zelf te gaan sleutelen.

Als je op zich die laptops wel wil toelaten : daaraan een andere IP-range koppelen, en een firewall of switch met routing-policies de toegang vanaf de vaste-PC IP-range wel, en vanaf de laptop-IP-range differentieren.

[ Voor 16% gewijzigd door mvdejong op 11-06-2006 19:49 . Reden: [/quote] vergeten ]

The number of things that Arthur couldn't believe he was seeing was fairly large

zaterdag 10 juni 2006 22:25

Acties:

Verwijderd

Topicstarter
thamoosio:
Lijkt me het interessantste momenteel. Moet ik eens uitzoeken hoe het eenvoudig beheerbaar blijft in een groot netwerk. Heb je hier misschien interessante links voor?

ThaNetRunner :
Met 2 hardware profielen voorkom je niet dat er iemand paswoorden, ... kan onder scheppen op het netwerk. Ze stellen gewoon een vast ipadres in waarmee ze op het netwerk kunnen en ze zijn vertrokken (admin rechten op hun laptop).

mvdejong: dan zit ik nog met het probleem dat ze zelf een ipadres opgeven en gateway instellen. Ze zijn toch admin op hun laptop.

Alvast bedankt voor de tips!

zaterdag 10 juni 2006 23:56

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

mvdejong schreef op zaterdag 10 juni 2006 @ 18:56:
Deze twee combineren : IP-adressen koppelen aan bekende (reeksen van) MAC-id's ?
Elke fatsoenlijke DHCP-server kan dit, en wordt vaak gebruikt om servers een vast IP-adres te geven, en toch bij wijzigingen in de IP-ranges niet op elke server zelf te gaan sleutelen.
Ja leuk.
600 mac-adressen bijhouden.

Neem dan inderdaad een 802.1x oplossing waarbij je met machinecertificaten en een RADIUS server werkt.
(en je hebt al een domain CA mogelijkheid met 2000 en 2003 Servers, 2003 en XP doen auto-enrollment via AD.)

IPSec (ook met certs) deployen is al helemaal geen verkeerd plan, daar stop je 90% van het netwerkgezeik al mee.
http://support.microsoft.com/kb/254949/en-us
http://support.microsoft.com/kb/813878/en-us
http://support.microsoft.com/kb/888266/en-us
http://support.microsoft.com/kb/914841/en-us
http://support.microsoft.com/kb/323342/en-us


Daarnaast kan je ook nog naar Network Access Quarantine Control kijken, als het MS Windows 2003 gebaseerd is.
http://www.microsoft.com/...twork/vpn/quarantine.mspx
Kan je je verdachte clients mee isoleren.

Mijn tip zou zijn om meer naar een IPSec policy te kijken om gericht de invloed van rogue laptops te beperken binnen je netwerk.
Bijkomend voordeel kan ook nog zijn dat je de hoeveelheid broadcasts van Windows clients (netBT) hier flink mee terug schroeft, en je een schoner netwerk houdt.

[ Voor 59% gewijzigd door alt-92 op 11-06-2006 00:07 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 11 juni 2006 12:21

Acties:
  • Rolfie
  • Registratie: Oktober 2003
  • Nu online

Rolfie

We gebruiken bij diverse klanten bij ons, port security op basis van MAC adressen op de switch. Dit werkt perfect. Het is af en toe lastig maar we gebruiken het bij ons voor zo'n 80 servers 1000 werkstations en 100 printers. De opzet is lastig, maar als het 1 maal werkt dan doet het goed zijn werk. Er komt geen vreemde laptop het netwerk op.....

zondag 11 juni 2006 12:38

Acties:
  • aZuL2001
  • Registratie: September 2002
  • Laatst online: 31-01 11:11

aZuL2001

Los van alle technische mogelijke oplossingen, hoe zit het met het veiligheidsbeleid ?
In zo'n grote omgeving zal daar toch wel iets dergelijks aanwezig zijn ?

Dan is het namelijk vrij eenvoudig, desnoods eerst nog een keer waarschuwen, maar kun je op de dhcp server vrij eenvoudig zien of er vreemde hostnames bij gekomen zijn. Die kun je dan of isoleren of verder onderzoeken en conform het gestelde beleid aktie ondernemen.

Wel vreemd imho dat dit mogelijk is. Als er al 4 domeinen aktief zijn, dan kun je toch vrij eenvoudig de toegang tot de servers beperken door dat alleen aan domaincomputers toe te laten ?

Het lijkt mij dat security geen erg grote prio heeft gehad de afgelopen jaren. En dat terwijl de meeste hacks van binnenuit komen.

Abort, Retry, Quake ???

zondag 11 juni 2006 19:50

Acties:
  • mvdejong
  • Registratie: Juni 2000
  • Laatst online: 29-11-2024

mvdejong

When does the hurting stop ?

BackSlash32 schreef op zaterdag 10 juni 2006 @ 23:56:
[...]

Ja leuk.
600 mac-adressen bijhouden.
TS kwam zelf al met mac-adres filtering. Als je bereid bent tot die administratie, dan zijn er meerdere oplossingen mogelijk.

The number of things that Arthur couldn't believe he was seeing was fairly large

zondag 11 juni 2006 20:03

Acties:
  • Bleh!
  • Registratie: Januari 2000
  • Laatst online: 21:17

Bleh!

:)

Een mac adres kun je ook spoofen... Dus dat lijkt mij geen heel robuuste oplossing.

Toen plassen pissen werd, is het gezeik begonnen.

zondag 11 juni 2006 20:12

Acties:
  • Rolfie
  • Registratie: Oktober 2003
  • Nu online

Rolfie

bleh schreef op zondag 11 juni 2006 @ 20:03:
Een mac adres kun je ook spoofen... Dus dat lijkt mij geen heel robuuste oplossing.
Dit klopt, maar het werkt wel goed. Zodra een vreemd MAC adres op de switch port komt, slaat de port meteen dicht. Het is een veel gebruikte techniek om je netwerk beveiligen.

zondag 11 juni 2006 20:19

Acties:
  • DarthPlastic
  • Registratie: Augustus 2005
  • Laatst online: 07-01 19:29

DarthPlastic

aZuL2001 schreef op zondag 11 juni 2006 @ 12:38:
Dan is het namelijk vrij eenvoudig, desnoods eerst nog een keer waarschuwen, maar kun je op de dhcp server vrij eenvoudig zien of er vreemde hostnames bij gekomen zijn. Die kun je dan of isoleren of verder onderzoeken en conform het gestelde beleid aktie ondernemen.
Éja, dit lijkt mij ook wel een goede tip idd.
Kijk gewoon eens of je een vreemde naam ziet => MAC Block :Y)
Evt automatisch blokkeren, of automatische controle toepassen.
Dubbele hostnames zijn zo te detecteren, en de logica achterhalen en bijverzinnen zal moeilijk lukken.

Owner SuitIT, https://www.suitit.nl

zondag 11 juni 2006 20:43

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Ik heb een bedrijf meegemaakt wat 802.1x met certificaten + radius gebruikt.
Moet je eerst een cert installeren (wat administrator-approved moet worden, dus geen auto-enroll) voordat je uberhaupt met een poort in aanraking komt ;)

Maar dit is allemaal leuk en aardig...
Waar het om gaat is:
Welke bescherming wil je hebben?

Dit soort port-control mechanismen zijn leuk voor "onbekende" hosts, maar een roaming user die een legale lapdoos heeft, in het domain zit maar deze vol met wormen terug hangt is dan nog steeds een risico voor je netwerk.

Met goeie IPsec policies en Windows Firewall policy kun je iig je mede-netwerk gebruikers beschermen tegen die rogue wormen spammer.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 12 juni 2006 01:45

Acties:

Verwijderd

Erg toevallig dat dit topic langs komt, ik was me een beetje aan het orienteren om op mijn werk ook een beperking in te bouwen.

Ik dacht aan het volgende:[list]• Koppel macadressen aan een ipadres in je DHCP server.
• Onbekende MAC adressen krijgen een IP uit een aparte range, afgeschermd van elkaar (extreem klein subnet, 1 server en de pc).
• Zodra een onbekende computer gevonden word, dan zal de computer in het test-vlan gezet worden.
• Poortscan draaien, om te kijken welke informatie we kunnen vinden over de computer. Kijken of er services draaien die kunnen duiden op spyware. Systeembeheer moet nou een authorisatie doen voor het gebruik van de computer.
• Doorschakelen naar gasten-vlan, waar de gebruiker alleen naar internet toe kan. Door een aparte firewall zodat het internet ook gelimiteerd is.In het test-vlan zal iedere internet aanvraag beandwoord worden met een status pagina.
Iemand aanmerkingen op zo'n constructie?

Ik weet niet in hoeverre het te regelen is met radius+certs, zodat ik een computer zonder cert kan detecteren en kan laten schakelen naar nader VLAN? Dan kan de procedure versimpeld (en veel veiliger) worden :)

maandag 12 juni 2006 07:17

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 16:59

Equator

Crew Council

#whisky #barista

Komende uit een grote omgeving (Rechterlijke Organisatie) heb ik dit fenomeen ook meegemaakt.

Je kan dit soort problemen het beste op 2 manieren tackelen, te wete:
- In de organisatie
Laat door het MT een duidelijke memo naar buiten gaan dat het ten alle tijden ten strengste verboden is om eigen hardware aan het netwerk of PC's te knopen. Indien toch gedaan: sanctie is laptop inleveren voor controle en bij twijfel hdd erase. Dit schrik behoorlijk af. :)

Het toestaan van een vreemde laptop op een bedrijfsnetwerk, ook al is hij gecontroleerd is IMO not done. het bedrijf levert hardware waarop gewerkt kan worden. Die behoef je niet zelf mee te nemen.

- En in de techniek
Of een 802.1x oplossing, of een IPsec oplossing.
Met 600 werkstation's is dit nog wel te doen.. Bij 17.500 werkplekken was dat een wat te grote ingreep dus is dat bij ons nooit gedaan. (plus het feit dat er nog NT4.0 werd (word) gedraaid op de domeinen..
Een MAC filtering systeem, danwel door reserveringen op de DHCP server danwel op de switch is IMO een hel om op te zetten, en als je te weinig manuren hebt om die administratie bij te houden raadt ik het alleen maar af.

[ Voor 10% gewijzigd door Equator op 12-06-2006 07:21 . Reden: Kleine toevoeging ]

maandag 12 juni 2006 11:20

Acties:
  • thamoosio
  • Registratie: April 2002
  • Laatst online: 21-01-2024

thamoosio

Ja-haaaaaa

Equator schreef op maandag 12 juni 2006 @ 07:17:
Komende uit een grote omgeving (Rechterlijke Organisatie) heb ik dit fenomeen ook meegemaakt.

Je kan dit soort problemen het beste op 2 manieren tackelen, te wete:
- In de organisatie
Laat door het MT een duidelijke memo naar buiten gaan dat het ten alle tijden ten strengste verboden is om eigen hardware aan het netwerk of PC's te knopen. Indien toch gedaan: sanctie is laptop inleveren voor controle en bij twijfel hdd erase. Dit schrik behoorlijk af. :)

Het toestaan van een vreemde laptop op een bedrijfsnetwerk, ook al is hij gecontroleerd is IMO not done. het bedrijf levert hardware waarop gewerkt kan worden. Die behoef je niet zelf mee te nemen.

- En in de techniek
Of een 802.1x oplossing, of een IPsec oplossing.
Met 600 werkstation's is dit nog wel te doen.. Bij 17.500 werkplekken was dat een wat te grote ingreep dus is dat bij ons nooit gedaan. (plus het feit dat er nog NT4.0 werd (word) gedraaid op de domeinen..
Een MAC filtering systeem, danwel door reserveringen op de DHCP server danwel op de switch is IMO een hel om op te zetten, en als je te weinig manuren hebt om die administratie bij te houden raadt ik het alleen maar af.
Precies wat ik zei, en helemaal mee eens. Vooral dat puntje van laptop inleveren >:) en de laatste regel betreffende de administratie benodigd om de oplossing bij te houden.

Bij voorbaat sorry..

dinsdag 13 juni 2006 13:25

Acties:
  • aZuL2001
  • Registratie: September 2002
  • Laatst online: 31-01 11:11

aZuL2001

Equator schreef op maandag 12 juni 2006 @ 07:17:
Een MAC filtering systeem, danwel door reserveringen op de DHCP server danwel op de switch is IMO een hel om op te zetten, en als je te weinig manuren hebt om die administratie bij te houden raadt ik het alleen maar af.
Dat zit toch allemaal in de inventaris database ? })

Abort, Retry, Quake ???

Pagina: 1
Reageer