Toon posts:

vreemde laptops

Pagina: 1
Acties:

donderdag 29 mei 2008 11:57

Acties:

Verwijderd

Topicstarter
Wij hebben een netwerk in onze school met x aantal pc's.
Alle pc's krijgen een ip via dhcp enz....
Het is nu zo dat leerlingen meer en meer hun laptop van thuis meebrengen.
Ze steken de netwerkkabel erin, krijgen ook een ipadres enz
Ze zijn dus geconnecteerd met m'n netwerk.
1° die laptops kunnen vol met virussen en spyware.... zitten
2° kunnen het netwerk onveilig maken
3° kunnen eventueel surfen en downloaden
.....
Is er een methode of mogelijkheid om dit aan banden te leggen?
Ik denk dat er wel nog velen met dit probleem zitten of zullen zitten
Alvast bedankt voor de tips

donderdag 29 mei 2008 11:59

Acties:
  • geforce5_guy
  • Registratie: December 2001
  • Niet online

geforce5_guy

Verwijderd schreef op donderdag 29 mei 2008 @ 11:57:
Wij hebben een netwerk in onze school met x aantal pc's.
Alle pc's krijgen een ip via dhcp enz....
Het is nu zo dat leerlingen meer en meer hun laptop van thuis meebrengen.
Ze steken de netwerkkabel erin, krijgen ook een ipadres enz
Ze zijn dus geconnecteerd met m'n netwerk.
1° die laptops kunnen vol met virussen en spyware.... zitten
2° kunnen het netwerk onveilig maken
3° kunnen eventueel surfen en downloaden
.....
Is er een methode of mogelijkheid om dit aan banden te leggen?
Ik denk dat er wel nog velen met dit probleem zitten of zullen zitten
Alvast bedankt voor de tips
In de dhcp server instellen dat alleen computers met een bepaald mac adres een IP mogen krijgen.

donderdag 29 mei 2008 11:59

Acties:
  • Haan
  • Registratie: Februari 2004
  • Laatst online: 16:21

Haan

dotnetter

Je zou alles standaard kunnen blokken en toegang geven op basis van het MAC adres van de laptop, zo is het bij mij op de universiteit in ieder geval ook geregeld.

Kater? Eerst water, de rest komt later

donderdag 29 mei 2008 12:00

Acties:
  • Noork
  • Registratie: Juni 2001
  • Niet online

Noork

Torrents e.d. dicht gooien. Volgens mij zijn hier wel oplossingen voor. Zorgen dat je alleen http verkeer door laat. Zal genoeg te vinden zijn op Got en Google.

edit:
Misschien even een modje schoppen om de titel te veranderen? Deze dekt de lading niet.

[ Voor 23% gewijzigd door Noork op 29-05-2008 12:01 ]

donderdag 29 mei 2008 12:00

Acties:

Verwijderd

Proxy server instellen met 'n ACL is 'n optie.

donderdag 29 mei 2008 12:14

Acties:

Verwijderd

Als je via DHCP enkel de bekende pc's IPs laat uitdelen, dan zullen ze op hun laptop gewoon een vast IP instellen, wat volgens mij de beste optie is, is om 2 IP ranges te gebruiken, 1 voor de bekende MAC adressen bv 10.0.0.x en 1 voor de onbekende: 10.0.1.x, tussen deze 2 ranges gaan firewallen, zo zijn je school pc's ten minste afgescheiden van de vreemde machines.

donderdag 29 mei 2008 16:05

Acties:

Verwijderd

Topicstarter
Ik zal jullie reeds bedanken voor jullie tips!
Ik probeer deze.

donderdag 29 mei 2008 16:53

Acties:
  • redfox314
  • Registratie: December 2004
  • Laatst online: 02-03 10:17

redfox314

Als de router die jullie gebruiken MAC filtering ondersteund dan kan je tenminste een rem op het probleem zetten: ze moeten al moeite doen om een ip adres te krijgen. (MAC spoofing)
Leerlingen hebben dan GEEN toegang tot het netwerk.
Verwijderd schreef op donderdag 29 mei 2008 @ 12:14:
Als je via DHCP enkel de bekende pc's IPs laat uitdelen, dan zullen ze op hun laptop gewoon een vast IP instellen, wat volgens mij de beste optie is, is om 2 IP ranges te gebruiken, 1 voor de bekende MAC adressen bv 10.0.0.x en 1 voor de onbekende: 10.0.1.x, tussen deze 2 ranges gaan firewallen, zo zijn je school pc's ten minste afgescheiden van de vreemde machines.
Je kan deze oplossing eventueel uitbreiden als jullie je leerlingen gecontroleerd toegang willen geven tot het netwerk:
Je laat iedereen het mac adres van zijn computer registreren (en zijn naam) en je kent aan de hand daarvan rechten toe door middel van je ip adressen uit te delen volgens groep bijvoorbeeld:

Ongeregistreerde computers krijgen geen ip adres en je linkt je dhcp server aan je firewall. Dwz ip adressen die niet toegekend zijn worden niet doorgelaten.
Schoolcomputers/computers van leeraren krijgen een ip in range x
en computers van leerlingen krijgen een ip in range y.
Door middel van een firewall scheidt je range x van range y.
Bovendien hou je van de leerlingen logs bij wat ze allemaal uitspoken en kan je eventueel hun registratie intrekken.

Dit gaat natuurlijk niet met een huis tuin en keuken routertje. Met een server kan je natuurlijk hiervoor de benodigde software zoeken en installeren. (Vraagt natuurlijk een investering).

maandag 2 juni 2008 11:55

Acties:

Verwijderd

Topicstarter
Ik heb inderdaad al een en ander gevonden.
Is het echter mogelijk om die mac-adressen uit een lijst in te geven?
(want indien je 150 pc's hebt dan moet je ze allemaal manueel ingeven)
Ik veronderstel dat er anders wel typ fouten aanwezig zullen zijn :-)
(Ohja en als firewall heb ik een isa server)

[ Voor 8% gewijzigd door Verwijderd op 02-06-2008 11:56 ]

maandag 2 juni 2008 11:58

Acties:
  • JohnStaakke
  • Registratie: Oktober 2007
  • Laatst online: 05-03 17:02

JohnStaakke

Bij ons op school moest je je mac adres registreren bij de TD, zo kreeg je toegang en werd je gelijk gekoppeld aan een profiel e.d

maandag 2 juni 2008 13:13

Acties:
  • brederodekater
  • Registratie: Maart 2006
  • Laatst online: 10-06-2025

brederodekater

Doe eens een google op VMPS en kijk of je switches dit ondersteunen.

maandag 2 juni 2008 13:21

Acties:
  • William/Ax3
  • Registratie: Augustus 2000
  • Laatst online: 02-03 21:31

William/Ax3

We are Starstuff

Hebben jullie geen AD domein? Daar kan je standaard het zo zetten dat pc's die niet bekend zijn in de AD(aangemeld in het domein) gewoon niets kunnen.

Je zou ook een apart netwerk segment kunnen maken voor als men toch de leerlingen het toe wil laten om een laptop mee te nemen. Op dit segment zoals reeds gezegt is blokkeer je gewoon alle standaard zaken als torrents etc in je firewall.

|WOW Daggerspine | Troll Hunter Axejess |

maandag 2 juni 2008 13:40

Acties:
  • chromeeh
  • Registratie: Oktober 2001
  • Laatst online: 14:13

chromeeh

the Gnome

William/Ax3 schreef op maandag 02 juni 2008 @ 13:21:
Hebben jullie geen AD domein? Daar kan je standaard het zo zetten dat pc's die niet bekend zijn in de AD(aangemeld in het domein) gewoon niets kunnen.

Je zou ook een apart netwerk segment kunnen maken voor als men toch de leerlingen het toe wil laten om een laptop mee te nemen. Op dit segment zoals reeds gezegt is blokkeer je gewoon alle standaard zaken als torrents etc in je firewall.
Idd...
Je hebt een aantal opties:
1. MAC filteren (onoverzichtelijk en vergt veel administratie)
2. Middels je AD onbekende pc's / laptops weigeren op je netwerk
3. Je gateway / proxy / router vertellen dat onbekende machines geen verbinding mogen maken
4. Een aparte VLAN met daarin de betreffende machines

Zo kan ik nog wel meer opties bedenken, maar sommigen zijn ook prijzig...

"Some day, I hope to find the nuggets on a chicken."

maandag 2 juni 2008 13:51

Acties:
  • hhoekstra
  • Registratie: Maart 2008
  • Laatst online: 13:42

hhoekstra

Bij ons op school kunnen ook alle laptops een ip adres krijgen van het bekabeld netwerk alleen hebben ze dan geen internet. (proxy's)

Alle laptops zitten bij ons op draadloos netwerk. Om daar op te komen moet je de laptop aanmelden bij systeembeheer MAC adres + gegevens. Zo blijven werkstations en laptops gescheiden en hebben ze toch de controle die ze graag willen hebben.

maandag 2 juni 2008 13:51

Acties:

Verwijderd

Je zou ook een apart netwerk segment kunnen maken voor als men toch de leerlingen het toe wil laten om een laptop mee te nemen. Op dit segment zoals reeds gezegt is blokkeer je gewoon alle standaard zaken als torrents etc in je firewall.
hoe koppel je dan die "vreemde laptops" aan dat apart netwerk segment?? zonder veel administratief werk...

maandag 2 juni 2008 14:32

Acties:
  • William/Ax3
  • Registratie: Augustus 2000
  • Laatst online: 02-03 21:31

William/Ax3

We are Starstuff

Verwijderd schreef op maandag 02 juni 2008 @ 13:51:
[...]
hoe koppel je dan die "vreemde laptops" aan dat apart netwerk segment?? zonder veel administratief werk...
Zoals crash zij als voorbeeld VLAN

Zoals hij ook zij er zijn legio oplossingen te bedenken. Ga eerst eens onderzoeken hoe jullie netwerk nu in elkaar zit en wat je precies wilt gaan doen met de "vreemde" laptops en kijk dan wat voor oplossing in jullie situatie het beste past met ook daarbij de spullen die wel vanaf school zelf zijn inbegrepen.

|WOW Daggerspine | Troll Hunter Axejess |

woensdag 4 juni 2008 22:19

Acties:

Verwijderd

Topicstarter
beste mensen.
Het toekennen van verschillende adressen aan verschillende pc's lukt heel goed.
Bijv. een pc waarvan het mac adres in de reservatie zit krijgt een nummer uit zijn scope en een pc waarvan zijn adres niet gereserveerd is krijgt een nummer uit een andere scope.
Maar nu nog een verder vraagje:

Indien ik bijvoorbeeld op een schoolpc aanmeld en de gegevens overschrijf (er zijn manieren genoeg om dit te achterhalen, denk maar aan de usb-portables) en dan deze gegevens in een laptop ingeven en vervolgens de netwerkdraad van die pc in mijn laptop steek.

Dan kan ik evenveel doen als die pc die mag internetten en op het netwerk......

Is er nog een methode om dit te vermijden?

donderdag 5 juni 2008 07:40

Acties:
  • jamesbond007uk
  • Registratie: Maart 2005
  • Laatst online: 11-03 21:58

jamesbond007uk

Gadget specialist / Freak

1) werk met vlan en certificaten
2) pc zonder certificaat komt in guest vlan
Dus geen risicos
3) pc met certificaat komt op alle shares etc

Jamesbond007uk

donderdag 5 juni 2008 08:02

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

Enige goede oplossing is inderdaad dot1x in combinatie met certificaten.

donderdag 5 juni 2008 08:04

Acties:
  • 2bmws
  • Registratie: Maart 2005
  • Laatst online: 16-07-2025

2bmws

Kijk eens naar Qmanage van Quarantainenet
dat is volgens mij precies de functionaliteit die je zoekt

[ Voor 27% gewijzigd door 2bmws op 05-06-2008 08:04 ]

Time is an illusion, Lunchtime doubly so

donderdag 5 juni 2008 08:37

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 08:54

jvanhambelgium

Welke switches gebruiken jullie daar eigenlijk ?? Je moet ook kijken naar de mogelijkheden van de hardware natuurlijk of het verhaaltje gaat snel eindigen...

DOT1X / CERT is inderdaad een robuuste oplossing indien je gebruikte switching apparatuur hiermee overweg kan.

Globaal moet je maar een beginnen denken rond een NAC (Network Admission Control) framework want vandaag of morgen heb je een schoolnetwerk dat op z'n gat ligt door over-ijverige studentjes...

donderdag 5 juni 2008 13:53

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

Meest voor de hand liggende opties voor wat grotere omgevingen zijn:

1. 802.1x
2. VMPS (waarbij onbekende pc's in een fallback VLAN terecht komen wat nergens anders bij kan)
3. Mac-filtering. Wel veel administratie.

Vicariously I live while the whole world dies

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq