Unauthorized laptops blokkeren

Sorry hoor, maar bij dit soort vragen denk ik altijd van:

Wat heb je zelf al ondernomen om dit op te lossen?
beetje zelf initiatief is niet verkeerd hoor!

misschien is een ou waarin alle niet ingedeelde pc's komen al genoeg in combinatie met een helemaal dichtgetimmerde set regels ?

je moet kijken of je switches 802.1x ondersteunen dit doet namelijk wat je wil.

Authenticatie van je gebruikers voor LAN. Ik weet alleen dat je voor onbedraade netwerken een radius server kan gebruiken maar of dat dit ook kan voor bedraad heb ik geen idee.

Cisco NAC, Microsoft NAP.

battler schreef op vrijdag 26 januari 2007 @ 12:39:
Authenticatie van je gebruikers voor LAN. Ik weet alleen dat je voor onbedraade netwerken een radius server kan gebruiken maar of dat dit ook kan voor bedraad heb ik geen idee.

ja dit kan het zit beiden in 802.1x Je kan onbekende gebruikers dan in eenander vlan stoppen die enkel het internet opkunnen en waarvan alle plaatjes door de proxy ondersteboven worden gezet

1. Wat ze uitspoken
2. Welke software er geinstalleerd is
3. of de een virus met zich mee dragen.
4. etc etc

Wij hebben veel last van mensen die hun eigen laptop aansluiten in ons netwerk. Dat zijn dus laptops die niet uitgegeven zijn door het bedrijf

Misschien een stomme vraag, maar de mensen die de laptop via het bedrijf hebben zullen hem misschien ook op andere plaatsen in het internet steken.. Dan ehb je precies dezelfde gevolgen als met een niet-bedrijfslaptop


Het komt op mij meer over als een soort van 'wraak'; jullie niet onze laptop nou dan maar gewoon heelmaal niet


In ieder geval zal het niet makkelijk worden om dit wired in te stellen, aangezien voor verificatie er toch iets nodig is dat ook op andere laptops kan worden gezet?

Filteren op MAC adressen van de laptops die WEL van het bedrijf zijn.

Kun je via DHCP o.a. regelen, een via een wat betere (lees duurdere) switch kun je ook dit al managen. Voor de rest is het van belang, dat je policy's kloppen.

Hoe is het eigenlijk mogelijk, dat een ongeautoriseerde gebruiken toch toegang kan krijgen tot het internet ????

Mogelijk kun je ISA server installeren op een server, daar een 2de nic in doen, aan je domein hangen, en op userbasis/computernaam, etc de ristricties instellen.

Dat werkt perfect. B.v. hier mag men alleen HTTP.
En voor de HTTP is er ook nog statefull inspection, zodat ook Tunnel-over-Http wordt geweerd.
(want als men in de gaten heeft, dat je gaat firewallen, gebruiken ze gewoon de openstaande poorten, om b.v. kazaa, e.d. te kunnen gebruiken.)


Een tip om te beginnen is wel : http://www.isaserver.org . Dat moet perfect aansluiten op je situatie's.

Eventueel kan ik ook nadere informatie vertrekken hier over....mail me dan maar.

Sander

kijk nou eerst eens ff naar 802.1x en kijk wat er mogelijk is. Volgens mij kan je namelijk zelf met een certificaat werken wat vast wel aan een specifieke machine gekoppeld kan worden

ik denk dat het dichttimmeren van de netwerkverbinding ook wel kan als je via een ou gaat werken voor niet herkende pc's

al de andere oplossingen vereisen aanpassingen op meerdere plekken, en sommige op alles toegestane pc's.

probeer jij maar een een niet herkende pc iets te laten doen op in een domein. dat gaat erg lastig.

met regels kun je volgens mij alle poorten op een windows machine dichtzetten. en als het een linux machine betreft weet ik al helemaal niet of die wel een goed ip adres krijgt.

jongens ou en dergelijke is wel leuk hoor maar als ik een volledig geinfecteerde machine er aan hang dan zal die hele ou me reet roesten. Ik ga gewoon spammen als een gek. Je moet dit op de netwerklaag direct aanpakken.
Waarom zou een linux machine geen ip krijgen. Volgens mij is DHCP redelijk standaard

dhcp draait toch op de server in het domein, en zodoende kun je toch middels regels en ou's de regels voor dhcp vastleggen. je kunt ook vaste ips uitdelen aan bepaalde mac adressen, en vast ook wel de lease intrekken van niet geaccepteerde machines. dan heeft ie heel even een ip, en dan zal de dhcp server of AD niet lang nodig hebben om te besluiten dat de pc van het netwerk afgesloten moet worden?

of de niet gewenste pc's een ip geven uit een aparte range waarop ze nix mogen / kunnen
en alles netjes gelogd wordt.
adhv hun macadres (niet echt mogelijk gaf je aan) of mbv computernaam/domein/user.

en ev. als ze dan proberen te surfen ofzo ze doorwijzen naar 1 statische pagina met daarop een vette waarschuzing. bv mbv isaserver, proxy(-script), ...

en maak het ook goed bekend in de bedrijfspolicy dat dat niet meer gewaardeerd/toegestaan wordt en deel ev. enkele laatste waarschuwingen of zelfs inbeslag name van toestellen uit.
(en na x-tal dagen het systeem terug geven ofzo)

(als ze het aansluiten op het bedrijfsnetwerk kan het gezien worden als deel van dat netwerk, en dat is in eigendom van baas - net zoals die dan verantwoordelijk kan gesteld worden voor ev. illegale software op dat systeem)

verder: timmer alles vrij goed dicht qua alternatieve aansluitmogelijkheden

[ Voor 12% gewijzigd door soulrider op 26-01-2007 16:05 . Reden: polici <> policy ]

engelbertus schreef op vrijdag 26 januari 2007 @ 13:55:
dhcp draait toch op de server in het domein, en zodoende kun je toch middels regels en ou's de regels voor dhcp vastleggen. je kunt ook vaste ips uitdelen aan bepaalde mac adressen, en vast ook wel de lease intrekken van niet geaccepteerde machines. dan heeft ie heel even een ip, en dan zal de dhcp server of AD niet lang nodig hebben om te besluiten dat de pc van het netwerk afgesloten moet worden?

ok wat als ik gewoon hard een ip adres klop op mijn PC. DHCP op basis van MAC is zo 1995

zoals eerder gezegd 802.1x i.c.m. certificaten...

Verwijderd schreef op vrijdag 26 januari 2007 @ 16:14:
zoals eerder gezegd 802.1x i.c.m. certificaten...

is inderdaad de enige standaard oplossing. Allee mensen willen graag met moeilijke ou dingen gaan rotzooien.
Echter ik denk dat je eerst gewoon eens de gebruikers op moet voeden. Ik zou het niet in mijn kop halen om mijn prive laptop aan het netwerk te hangen. Het moet gewoon in de gebruikersovereenkomst staan dat het streng verboden is niet bedrijfsapparatuur aan het netwerk te hangen.

waar slaat dat op.. waarom is met een ou moeilijk?


dan maar 1995 , of met dat 802.1x maar dat vond ie ook al niks.

engelbertus schreef op vrijdag 26 januari 2007 @ 22:16:
waar slaat dat op.. waarom is met een ou moeilijk?


dan maar 1995 , of met dat 802.1x maar dat vond ie ook al niks.

NAC is een variant op 802.1x en daar ging de TS verder mee

Maak een policy voor je gebruikers en bedenk boetes of straffen

paella schreef op zaterdag 27 januari 2007 @ 11:44:
Maak een policy voor je gebruikers en bedenk boetes of straffen

Dat is sowieso aan te raden

engelbertus schreef op vrijdag 26 januari 2007 @ 22:16:
waar slaat dat op.. waarom is met een ou moeilijk?

Omdat een onbekende laptop/pc waarschijnlijk geen domainmember is, en zich dus geen moer aan zal trekken van welke OU dan ook

802.1x is the way to go...
802.1x gebruikt voor de authenticatie een radius server, deze radius server kan de authenticatie via mschap op een ad domein laten verlopen. Pas als de gebruiker een geldige gebruikersnaam/wachtwoord combi heeft op het windows domein worden standaard ethernet frames door de switch toegestaan. Eventueel kan je met guest (of zelfs dynamic) vlans icm access-lists nog een captive portal bakken voor gasten met beperkte toegangsrechten.
Handige steekwoorden: freeradius (kan wel een nachtmerrie zijn om te configureren), eap-peap, ms-chapv2, openssl, winbindd
Eap-peap heeft als voordeel dat windows xp het tegenwoordig standaard ondersteund en je alleen een server certificaat nodig hebt om machines op het lan toe te laten. Bij eap-tls heb je ook client certificaten nodig (en ik zou geen zin hebben in de extra hoeveelheid werk die dat met zich meebrengt).

En als je ook nog NAC gebruikt, ben je lekker bezig

Verwijderd schreef op vrijdag 26 januari 2007 @ 12:26:
Luitjes,

Wij hebben veel last van mensen die hun eigen laptop aansluiten in ons netwerk. Dat zijn dus laptops die niet uitgegeven zijn door het bedrijf. Deze niet geautoriseerde laptops willen wij dus ook buiten het netwerk houden.

Wat is last? Maken ze dingen stuk? Waarom die drang tot totale controle? Systeembeheer is er tot ondersteuning van de werknemers, niet andersom.

bouwfraude schreef op zondag 28 januari 2007 @ 13:33:
Maken ze dingen stuk?

Het is goed mogelijk dat een laptop die vol zit met virussen, mass-mailers, spyware en dergelijke, een aardige verstoring op je produktie-LAN kan opleveren.

Ook het beleid bij mijn huidige opdrachtgever is dat geen "vreemde" apparatuur aangesloten mag worden op het bedrijfsnetwerk. Hebben interne medewerkers vanwege hun werkzaamheden toch een laptop nodig, dan wordt deze uitgegeven door de opdrachtgever zelf. (en dus zijn de laptops ook managed/dichtgespijkerd zodat er enkel door het bedrijf goedgekeurde software op geinstalleerd kan worden). Een dergelijke aanpak is redelijk standaard bij de meeste opdrachtgevers waar ik kom. (dit zijn over het algemeen wel de grotere organisaties met een uitgewerkt it-beleid).

Speciaal voor externe consultants, die voor hun werkzaamheden internet toegang nodig zijn op hun laptop, is een speciaal lan ingericht, wat aan een consumenten ADSL-verbinding hangt. Ideale oplossing.

bouwfraude schreef op zondag 28 januari 2007 @ 13:33:
[...]


Wat is last? Maken ze dingen stuk? Waarom die drang tot totale controle? Systeembeheer is er tot ondersteuning van de werknemers, niet andersom.

ja en deel van die ondersteuning is een werkend netwerk garanderem. Dat kan je een stuk minder goed als jan en allemal troep er op aansluiten

Question Mark schreef op zondag 28 januari 2007 @ 14:05:
[...]
Het is goed mogelijk dat een laptop die vol zit met virussen, mass-mailers, spyware en dergelijke, een aardige verstoring op je produktie-LAN kan opleveren.

Ook het beleid bij mijn huidige opdrachtgever is dat geen "vreemde" apparatuur aangesloten mag worden op het bedrijfsnetwerk. Hebben interne medewerkers vanwege hun werkzaamheden toch een laptop nodig, dan wordt deze uitgegeven door de opdrachtgever zelf. (en dus zijn de laptops ook managed/dichtgespijkerd zodat er enkel door het bedrijf goedgekeurde software op geinstalleerd kan worden). Een dergelijke aanpak is redelijk standaard bij de meeste opdrachtgevers waar ik kom. (dit zijn over het algemeen wel de grotere organisaties met een uitgewerkt it-beleid).

Speciaal voor externe consultants, die voor hun werkzaamheden internet toegang nodig zijn op hun laptop, is een speciaal lan ingericht, wat aan een consumenten ADSL-verbinding hangt. Ideale oplossing.

Wij zijn momenteel ook aan het einde van onze implementatie van 802.1x waarbij ongeauthenticeerden niet op ons netwerk kunnen.
Alleen zijn we nog aan het zoeken om de snelheid van de authenticatie te verhogen, duurt nu ongeveer 4minuten via cisco switch naar MS IAS.

bouwfraude schreef op zondag 28 januari 2007 @ 13:33:
[...]


Wat is last? Maken ze dingen stuk? Waarom die drang tot totale controle? Systeembeheer is er tot ondersteuning van de werknemers, niet andersom.

Ik ben zelf een voorstander van MAC-address control. Maar in een grote omgeving kan ik me best voorstellen dat het wat lastig te implementeren valt.
Het enige wat ik hier aan enthousiaste reacties zie is 802.1x ... dus... ik zou zeggen. Ga er voor.

[ Voor 6% gewijzigd door RammY op 29-01-2007 19:35 ]

Was zelf ook druk op zoek naar iets soortgelijks en had ook al een nieuw topic aangemaakt.

Wellicht interessant voor mensen om dus ook even hier te kijken:
802.1x (implementatie) documentatie/boeken gezocht

Ik zou ook eens kijken naar je AV vendoren. McAfee en Trend Micro hebben namelijk hier hele mooie en krachtige oplossingen voor die het ook nog uitbreiden dat laptops die een bepaalde AV signature / MS patch oid niet hebben dat ze naar een ander VLAN gaan met een remediation portal........

Just me 3 cents (ja ik ben wat duurder )

Sophos heeft dat ook geloof ik.

vliegjong schreef op donderdag 15 februari 2007 @ 14:13:
Ik zou ook eens kijken naar je AV vendoren. McAfee en Trend Micro hebben namelijk hier hele mooie en krachtige oplossingen voor die het ook nog uitbreiden dat laptops die een bepaalde AV signature / MS patch oid niet hebben dat ze naar een ander VLAN gaan met een remediation portal........

Just me 3 cents (ja ik ben wat duurder )

Klopt idd, de McAfee variant vond ik wel interessant uitzien.

Hier is trouwens een vergelijking van diverse oplossingen:
http://www.cisco.com/appl...cont_0900aecd80503ef7.pdf

PS: Beetje vreemd dat cisco deze host, aangezien hun oplossing er niet zo geweldig uitkomt volgens het overzicht

[ Voor 21% gewijzigd door punisher007 op 15-02-2007 21:45 ]

Wil je alleen netwerk gebruikers authentiseren, dan kun je kijken naar 802.1x.
( Eventueel aangevuld met certificaten en / of Tokens )
Voor wireless clients heb je een 802.1x client nodig van Funk Software of Meetinghouse.
Daarnaast heb je een RADIUS server nodig, bijvoorbeeld Microsoft IAS of Cisco ACS.

Wil je ook security policies uitrollen, dan kun je kijken naar NAC.
Je kunt bijv. instellen dat je checkt op de nieuwste Windows patches en kijken of de antivirus software de nieuwste definities heeft. Dit kan voor zowel wired als wireless netwerken.

Voldoen een client niet aan de policy, dan kun je deze automatisch in een Quarantine VLAN plaatsen. (Waarbij alleen de update servers bereikbaar zijn evt. via Internet.) Voldoet een client aan de policy, dan kan deze weer het netwerk op.

Met NAC is het ook redelijk eenvoudig om Role Based VLANs te implementeren. Voorbeeld:
- Werknemers hebben volledig toegang tot het netwerk
- Onderaannemers / Accountants hebben toegang tot een deel van het netwerk.
- Bezoekers hebben alleen internet acces. ( Evt. geknepen met QoS. )

Cisco heeft twee smaken NAC:
- NAC Framework
- NAC Appliance

NAC Framework wordt een beetje los gelaten ten voordeel van NAC Appliance, aangezien dit eenvoudiger te implementeren is en meer feature-rijk is.

Open source : SecureW2 (Link naar Tweakers Meuktracker)

Bij ons op de universiteit Groningen gebruiken ze het naar volle tevredenheid, en open source dus kost niks

[ Voor 23% gewijzigd door RobertJ op 16-02-2007 00:36 ]

Verwijderd schreef op vrijdag 26 januari 2007 @ 12:44:
[...]
Zelf initatief is er zeker wel, en ben ook nog steeds zoekende.
Maar omdat de kennis niet toereikend genoeg is vraag ik het hier.

Als je je niet geroepen voelt om 'helpend' te reageren, laat het dan daar ook bij aub.
iig geval bedankt voor de moeite

Als jij een pasklare oplossing voor de beheersomgeving van je werkgever zoekt, verwacht ik ook de nodige inzet en initiatief.
Ik vind de eigen inzet ook behoorlijk laag.

Wat voor netwerk apparatuur gebruik je ?
Hoe ziet je netwerk eruit ?
Meerdere sites/vestigingen ?
Wat is het main OS van je fileservers ?
Wat is het main OS van de laptops die geauthoriseers aangesloten worden ?
Wat is het budget ?
Wat heb je zelf al allemaal gevonden ?
Waarmo voldoet dat niet aan je eissen ?
Wat zijn die eissen dan ?
etc.

Zoals eerder gezegd is de snelste en simpelste oplossing om de gebruikers goed te informeren en de regels van gebruik van het netwerk op te leggen. Overleg met je baas wat de gevolgen kunnen zijn van gebruik van prive laptops en zorg dat je consequenties op kunt leggen.

Als je een 2003 domain hebt:
Network Access Quarantine Control in Windows Server 2003
Doet precies wat je wil...

Bl@ckbird schreef op vrijdag 16 februari 2007 @ 00:05:
Wil je alleen netwerk gebruikers authentiseren, dan kun je kijken naar 802.1x.
( Eventueel aangevuld met certificaten en / of Tokens )
Voor wireless clients heb je een 802.1x client nodig van Funk Software of Meetinghouse.

Een 802.1x supplicant zit gewoon ingebouwd in Windows.

Met NAC is het ook redelijk eenvoudig om Role Based VLANs te implementeren. Voorbeeld:
- Werknemers hebben volledig toegang tot het netwerk
- Onderaannemers / Accountants hebben toegang tot een deel van het netwerk.
- Bezoekers hebben alleen internet acces. ( Evt. geknepen met QoS. )

Daar heb je helemaal geen NAC voor nodig, dat kan met gewoon simpel 802.1x al.

Is gewoon een kwestie van 802.1x in combinatie met een RADIUS-server.

Wat links van producten:
FreeNAC
Cisco Systems Network Admission Control
Consentry Network Admission Control
Juniper Networks Unified Access Control

Van FreeNAC hebben ze een appliance image die je gewoon kan draaien in VMware. Kan je het makkelijk een keer proberen! Image laden en gaan met die banaan!

Greetings from a security engineer

[ Voor 13% gewijzigd door Clueless op 16-02-2007 12:14 ]

jochemd schreef op vrijdag 16 februari 2007 @ 11:08:
[...]
Daar heb je helemaal geen NAC voor nodig, dat kan met gewoon simpel 802.1x al.

Ik beweer ook niet dat dat met 802.1x niet mogelijk zou zijn...

Overigens is FreeNAC een mooie GUI voor 802.1x.
Echte Network Admission Control is het niet.