bedraad netwerk beveiligen?

Lijkt me een beetje omslachtig om te vpn'en.

Ik zou gewoon lekker firewallen en de mensen op het interne netwerk lekker zelf laten uitzoeken of ze hun pc beveiligen tegen de anderen op het interne netwerk.

Gooi er een Linux bakkie neer met een distro als IPcop, dan kun je de i-net access heel precies regelen. B.v. met de combo Ipcop+Advanced proxy.

Ik zou dat gewoon draadloos doen. In de router kan je dan aangeven welke draadloze ontvangers mogen verbinden.

Te omslachtig allemaal.

Gewoon access op MAC adres toestaan en alles wat niet bekend is in jouw router heeft pech.
Zo kun je zelfs draadloos access regelen.

Wel een beetje router kopen bij de computerboer he

http://www.securew2.com/

RedNas74 schreef op vrijdag 16 maart 2007 @ 13:55:
Ik zou dat gewoon draadloos doen. In de router kan je dan aangeven welke draadloze ontvangers mogen verbinden.

Draadloos is vast geen optie, anders had ie daar zelf wel over begonnen.

In een bedraad netwerk kan je net zo goed bepalen wie er op komt en wie niet, d.m.v. een simpele firewall, daar heb je echt geen draadloos netwerk voor nodig.

En vervolgens kan bezoek niet internetten op je netwerk, dus "thuis" samen werken met een studiecollega is onmogelijk/lastig. Lijkt me niet zo handig..

Ik neem aan dat elke bewoner van het studentenhuis wel internet wil hebben, waarom dan iedereen apart administreren? Reken gewoon aan iedereen hetzelfde en opt-out kan dan gewoon niet. Gebeurt vaak zat.

[ Voor 42% gewijzigd door Gerco op 16-03-2007 14:00 ]

Gerco schreef op vrijdag 16 maart 2007 @ 13:58:
En vervolgens kan bezoek niet internetten op je netwerk, dus "thuis" samen werken met een studiecollega is onmogelijk. Lijkt me niet zo handig..

Daar kan een beetje tweaker natuurlijk zo een oplossing voor bedenken. Maar ik geef toe, dat het niet handig is idd.... aangezien ik de dames van de HEAO (bijvoorbeeld) niet zo snel zo'n oplossing zie bedenken.

Als ik jou was zou ik een DHCP server inrichten in het netwerk. Daarna alleen bepaalde MAC adressen toestaan om een lease aan te vragen of toegang tot het netwerk te krijgen.

Dit zou je kunnen doen met een wat betere router en natuurlijk ook met Windows 2003 Server. Mijn voorkeur zou uitgaan naar Server 2003 omdat je dit wat betere beheermogelijkheden geeft. Mits je de kennis hebt natuurlijk

Verwijderd schreef op vrijdag 16 maart 2007 @ 14:03:
[...]

ik ben zelf niet zo'n fan van linux want ik wilde die pc eigenlijk ook nog voor andere dingen gebruiken....
om te downloaden en als file server

Maar toch zal ik deze mogelijkheid eens goed gaan bekijken

Dan kijk je eens naar clarkconnect, die heeft ook Samba inge=bouwd dacht ik.
Enne no worries, ben geen Linux kenner en zelfs ik kan prima overweg met Ipcop en b.v. Clarkconnect. Is allemaal webbased en de installers zijn simpel.

Verwijderd schreef op vrijdag 16 maart 2007 @ 14:05:
[...]


Dit is natuurlijk totaal geen goede beveiliging... Je zal alsnog moeten comineren met een firewall op deze manier.

DHCP heeft niks te maken met beveiligen, maar met het uitdelen van ip addressen... Wanneer je eenmaal de ip range en de gateway etc. weet kan je deze ook zelf inkloppen... en voila je hebt internet. Je zult dus toch moeten firewallen.

Ik ben niet zo'n windows kenner, maar ik weet dat de standaard firewall van linux (iptables) ook op mac adres kan filteren, dus ik neem aan dat een firewall onder windows dat ook wel kan.

Dat klopt. Maar natuurlijk ga je gebruik maken van een firewall om externe users buiten te sluiten. Alleen was dat niet de vraag van de TS.

Wat ik bedoelde met beveiliging op MAC adres: Alleen het verkeer van bepaalde NIC's mogen verwerkt worden door de server, mac filtering, en alleen bekende MAC adressen krijgen een lease. Zo hoef je maar een MAC adres toe te voegen en dat was het. Je hoeft die persoon ook niet de IP instellingen door te geven want dat gaat toch automatisch. En probeert hij toch zonder dat je 'm hebt toegevoegd komt hij er alsnog niet op.

Verwijderd schreef op vrijdag 16 maart 2007 @ 14:05:
[...]


Dit is natuurlijk totaal geen goede beveiliging... Je zal alsnog moeten comineren met een firewall op deze manier.

DHCP heeft niks te maken met beveiligen, maar met het uitdelen van ip addressen... Wanneer je eenmaal de ip range en de gateway etc. weet kan je deze ook zelf inkloppen... en voila je hebt internet. Je zult dus toch moeten firewallen.

Ik ben niet zo'n windows kenner, maar ik weet dat de standaard firewall van linux (iptables) ook op mac adres kan filteren, dus ik neem aan dat een firewall onder windows dat ook wel kan.

Maar wanneer je macadres niet geregistreerd is kun je zoveel ipadressen inkloppen als je zelf wilt, internet zul je toch niet krijgen. Ik denk dat het registreren van de mac-adressen het makkelijkst is.
Neem hiervoor een simpel (maar goed) routertje en je bent klaar. Ook geen gezeik met pc's die dag en nacht aan moeten blijven staan.

Zoals boven al vaker is gezegd, dat doe je met een firewall/proxy

[ Voor 4% gewijzigd door KillerAce_NL op 16-03-2007 14:14 ]

Verwijderd schreef op vrijdag 16 maart 2007 @ 14:12:
Nou ik zal mijn vraag anders stellen.....

Ik wil eigenlijk dat iedereen die op het netwerk wil (draadloos of bedraad) zich moet identificeren. Want dan ben je ook van het gezeur af dat als er een keertje iemand langs komt. ik dacht dat dat het makkelijkst zou zijn met een vpn.

maar 802.1x lijkt me ook een prima oplossing maar dan is de vraag hoe ik dat opstel

Draadloos alles regelen is geen optie want draadloos is niet erg snel en het is ook de bedoeling om films te kunnen sharen. Daarbij zijn er al teveel accesspoint in de omgeving die allemaal storen op elkaar.

wat is er mis met mijn antwoord: http://www.securew2.com/

voor zowel draadloos als vast netwerk

Verwijderd schreef op vrijdag 16 maart 2007 @ 14:03:
[...]

ik ben zelf niet zo'n fan van linux want ik wilde die pc eigenlijk ook nog voor andere dingen gebruiken....
om te downloaden en als file server

Maar toch zal ik deze mogelijkheid eens goed gaan bekijken

Zelfs als je nog een oud AT-kastje met een P1 133mhz hebt staan (deze trek je evt. ook uit de computerbak op de gemeentewerf) kan deze prima dienst doen als firewall. Je hebt hier zelfs speciale linux distributies voor, die je vanaf floppy kunt draaien (dus geen hdd (== extra stroom) voor nodig).
Het enige wat je dus nodig hebt is een oud pc'tje en 2 netwerkkaartjes.
En zo'n linux distro... http://freesco.sourceforge.net/ dat is er volgens mij eentje

Is RADIUS niet het simpelste? Iedereen een login geven en als ze niet betalen ofzo de login blokkeren

Verwijderd schreef op vrijdag 16 maart 2007 @ 14:19:
[...]

perfect antwoord maar dat is alleen de client helaas.... als ik zou weten hoe ik een 802.1x server zou moeten opzetten was ik zo klaar

Mijn fout.. ik had het niet gezien

Paul Nieuwkamp schreef op vrijdag 16 maart 2007 @ 14:21:
Is RADIUS niet het simpelste? Iedereen een login geven en als ze niet betalen ofzo de login blokkeren

Dat werkt toch alleen bij draadloos netwerk?

[ Voor 31% gewijzigd door Silver7 op 16-03-2007 14:22 ]

Denk dat de topic starter niet weet wat bepaalde dingen zijn.

Ter info: Elke netwerkkaart heeft een eigen identificatie nummer: MAC Address.
Elke pc heeft dus een netwerkkaart met eigen nummer.

Het hangt van de afspraken af die je maakt met je mede bewoners hoe je het internet gaat reguleren.

Met een server en bepaalde paketten kun je wellicht ook de bandbreedte instellen en reguleren zodat iedereen zijn eigen beetje krijgt (helpt tegen mensen die kazaa enzo hebben draaien en de hele bandbreedte consumeren).

Als je hier afspraken over maakt is het makkelijkste, goedkoopste en meest betrouwbare manier om een router te plaatsen waar je de toegang regelt op MAC adres niveau.
Elke netwerkkaart die probeert te verbinden wordt gevraagd naar zijn nummer. Komt deze niet voor op de router, heb je geen internet.

Het leukste lijkt mij om een server te plaatsen en iedereen login ID's te geven, alleen wordt je hier niet vrolijk van omdat je dan te maken krijgt met vragen van de gebruikers over wellicht poort mapping omdat hun spel of applicatie niet werkt, of ze zijn hun wachtwoord vergeten etc etc.

Een router is dan veel simpeler. Zeker als je ook nog UPnP gebruikt. Als ze willen internetten, moeten ze hun mac adres aan jou geven en dan kunnen ze internetten. Betalen ze niet, haal je het Mac adres uit de router (remote) en voila ze kunnen niet meer internetten.

Overigens bij een server met username en pw kan het ook zijn dat je buurman dit doorgeeft aan iemand anders en dan gebruikt (tuurlijk je kunt locken op 1 keer inloggen).

Hoop dat je er iets aan hebt.

Nee, bij alles wat Radius snapt Een wireless AP doet vaak wel Radius, maar er zijn ook een heleboel switches die Radius-client kunnen zijn.

Een Radius-server is afaik ook een 802.1X server. Win3k3: "Add/remove programs" -> "Add/remove Windows components" -> "Network Services" -> "Details" -> "Internet Authentication Service"

http://articles.techrepublic.com.com/5100-1035-6148579.html gaat dan wel over wireless, maar het grootste gedeelte ervan is ook rechtstreeks te gebruiken voor wired

[ Voor 20% gewijzigd door Paul op 16-03-2007 14:28 ]

Active directory ? Je gaat users in een domain drukken, ALLEEN voor internet authenticatie ? Je drukt ze dan ook nog eens allemaal policies door de strot. Als ik in een studentenhuis zit, dan zou ik mijn laptoppie echt niet in een andermans domein willen hebben en zo het risico lopen dat een admin mijn pc van me kaapt.


Sorry echt een onzin oplossing.

Proxy opzetten met users/mac adres acces. Niet betaald, user uit, kun je ook niet internetten.

MAC-adressen zijn leuk maar werken alleen op het bestaande segment. Iedereen die iets van security weet, weet ook dat het ZEER eenvoudig is om MAC-adressen te spoofen.

Wat ik zelf zou doen is de Windows 2003 bak inrichten met ISA Server en gebruik maken van de interne RADIUS-server. Of als je niet met RADIUS wil klooien dan kan gebruik maken van de ISA-Firewall-client. Kwestie van een gebruiker aanmaken en die gebruikers op het domein in laten loggen. Verder alleen Authenticated Users toelaten op het netwerk en de rest krijgt gewoon geen toegang tenzij jij dat aangeeft.

ISA Server verkrijgen zal ook voor een student geen probleem moeten zijn (MSDNAA)...

Paul Nieuwkamp schreef op vrijdag 16 maart 2007 @ 14:26:
Nee, bij alles wat Radius snapt Een wireless AP doet vaak wel Radius, maar er zijn ook een heleboel switches die Radius-client kunnen zijn.

Een Radius-server is afaik ook een 802.1X server. Win3k3: "Add/remove programs" -> "Add/remove Windows components" -> "Network Services" -> "Details" -> "Internet Authentication Service"

http://articles.techrepublic.com.com/5100-1035-6148579.html gaat dan wel over wireless, maar het grootste gedeelte ervan is ook rechtstreeks te gebruiken voor wired

w00t Thnx Ik ga zoiets bouwen voor WLAN en dan met FreeBSD over een tijdje maar mocht ik het voor Windows nodig hebben en bedraad weet ik in ieder geval dat het kan

managable switches geen oplossing ?, bijv een simpele 3COM 3300 desnoods 2 stuks (een voor beneden en de tweede voor boven) dan kun je ook leuke vlans maken enzoo

Voordelen: Makkelijk te realiseren, onderhouden, managen.
nadelen: je zult eenmalig 1/2 Switches moeten aanschaffen, maar je hebt al een 3COM 3300 switch met gigabit uplink (naar je 2e switch boven) voor nog geen ~50 €uries

[ Voor 40% gewijzigd door Puch-Maxi op 16-03-2007 14:59 ]

Puch-Maxi schreef op vrijdag 16 maart 2007 @ 14:54:
managable switches geen oplossing ?, bijv een simpele 3COM 3300 desnoods 2 stuks (een voor beneden en de tweede voor boven) dan kun je ook leuke vlans maken enzoo

Jup dan zou je zelfs nog aan de slag kunnen gaan met Network Access Control FreeNAC is best wel geinig om te zien

Verwijderd schreef op vrijdag 16 maart 2007 @ 14:47:
[...]

dit zou ook een oplossing kunnen zijn alleen dan moet iedereen die een laptop gebruikt thuis zijn laptop weer allemaal op die proxy gaan instellen en als ze dan naar school gaan dan moet dat weer allemaal uit

Daar zijn vast wel wat simpele tooltjes voor te vinden en anders is het gewoon een kwestie van even snel in IE / FireFox de boel wijzigen...

Kon Microsoft ISA server ook niet filteren wie er wel en wie er niet op inet mocht?

Mishmash schreef op vrijdag 16 maart 2007 @ 14:57:
Kon Microsoft ISA server ook niet filteren wie er wel en wie er niet op inet mocht?

Natuurlijk. Oneerbiedig gezegd is het gewoon een proxy.

Bor de Wollef schreef op vrijdag 16 maart 2007 @ 15:09:
[...]
Natuurlijk. Oneerbiedig gezegd is het gewoon een proxy.

ISA is gewoon veel meer dan een Proxy en een Firewall. Er zitten in de laatste versies gewoon opties in die gewoon heel veel gebruikt worden op Enterprise-level. Wellicht een beetje overkill voor wat thuisgebruik maar het doet daarin tegen wel heel erg goed zijn werk (in tegenstelling tot sommige andere producten )

Tja weetje wat het is met proxy's..: Gebruiker "001" heeft zijn internet niet betaald, Gebruiker "002" wel, deze zet voor Gebruiker 001 even een sock's/proxy op evt via SSH/VPN en voilá gebruiker 001 internet weer vrolijk verder.

Punt 2 betalen de gebruikers alleen voor het "internet" of ook voor hun netwerk voorziening.
want wanneer je met manageable switches gaat werken en je zet een poort uit kan de gebruiker logischerwijs ook niet meer op het LAN, mischien dat je dit wel met Vlan's kun afvangen (trunking ?)

Waarom stellen mensen 802.1x voor als de TS daar a) de kennis niet voor heeft en belangrijker b) zijn switches dat niet ondersteunen? Alleen managed switches ondersteunen 802.1x en dan ben je weer een paar honderd euro verder. Is 't goedkoper om gewoon mensen mee te laten liften en ze af en toe wat klappen te verkopen als ze niet betalen.

Silver7 schreef op vrijdag 16 maart 2007 @ 14:21:

Dat werkt toch alleen bij draadloos netwerk?

Nee hoor, 802.1x werkt ook bedraad.

Puch-Maxi schreef op vrijdag 16 maart 2007 @ 15:21:
Tja weetje wat het is met proxy's..: Gebruiker "001" heeft zijn internet niet betaald, Gebruiker "002" wel, deze zet voor Gebruiker 001 even een sock's/proxy op evt via SSH/VPN en voilá gebruiker 001 internet weer vrolijk verder.

Punt 2 betalen de gebruikers alleen voor het "internet" of ook voor hun netwerk voorziening.
want wanneer je met manageable switches gaat werken en je zet een poort uit kan de gebruiker logischerwijs ook niet meer op het LAN, mischien dat je dit wel met Vlan's kun afvangen (trunking ?)

Daar hebben ze in ISA dus bandwith rules voor Als gebruiker 002 zo graag wil delen? Prima, kost hem zijn bandbreedte en niet van de rest