3G uitschakelen

Ik neem aan dat je met 3g uitschakelen een laptop bedoeld?
Welk OS draait er dan op die machines?

als je op basis van 7 werkt, zou je met taak /triggers kunnen werken..
bij als er dan een bepaald event in het logboek is, laat je de boel enablen of disablen

Andere optie is je gebruikers verplichten extern ook gebruik te maken van jullie firewall via VPN.

[ Voor 57% gewijzigd door Verwijderd op 08-04-2011 21:16 ]

Verwijderd schreef op vrijdag 08 april 2011 @ 15:05:
Nu maken die mensen graag misbruik van de 3g mogelijkheden omdat ze hiermee rechtstreeks op internet kunnen (zonder webfilter),

Je bedoelt dat ze er gebruik van kunnen maken om hún werk te doen?

op zich geen groot probleem maar op security gebied is het wel een groot probleem, zodra mensen naar internet gaan via 3g is het mogelijk om via evt een trojan op ons netwerk te komen en hebben we een firewall voor jan l*l.

Ik zou toch serieus overwegen een andere beveiligingsstrategie te kiezen en je niet langer op de klassieke firewalled corpnet structuur te richten omdat je zoals je merkt daar toch al gaten in hebt zitten.

Richt je aandacht op het beveiligen van je data en applicaties in plaats van je netwerk. Die slag heb je (logisch) toch al verloren. Een client hoef je ook niet persé te vertrouwen, maar de applicaties die je aanbiedt heb je veel meer controle over.

Maar goed. Je zou kunnen denken aan een scripted/Taskbased oplossing die de WWAN adapter disabled zodra er meer dan 1 netwerkconnectie actief is die in jouw subnetranges valt bijvoorbeeld.

[ Voor 8% gewijzigd door alt-92 op 10-04-2011 21:11 ]

Maar al zou hetgeen je wilt te doen gerealiseerd zijn dan nog voegt het niet veel toe aan je beveiliging in mijn ogen. Immers die clients kunnen dan alsnog via 3G (of een andere bron van internet) besmet raken wanneer ze los zijn van je netwerk en zodra ze verbinding hebben met het netwerk narigheid veroorzaken.

Dat bedoel ik dus

Je maakt toevallig geen gebruik van IBM/Lenovo machines. Daarvoor bestaat een utility genaamd Access Connections waarmee je netwerk profielen kan aanmaken en adapters beheren.

Verder zoals reeds gezegd, zorgen dat er verplicht gebruik gemaakt moet worden van de bedrijfsproxy, en de gebruikers dus min of meer verplicht zijn om VPN te gebruiken om op internet te kunnen.

Er zijn tal van mogelijkheden, maar daarvoor zal je toch met een iets meer gedetailleerde beschrijving van je netwerk moeten komen.

Gezien het feit dat men zover gaat dat ze het mobiele netwerk gebruiken omdat jullie de boel hebben dicht gezet geeft wel aan dat jullie behoorlijk beperken over naar welke websites men toe mag.

Als je dat nou eens wat soepeler instelt dan heb je veel meer de controle over de weg waarop client pc's verbinden met het netwerk en internet binnen jullie LAN.

Via de Cisco ASA firewall kan je SSL VPN draaien met de Anyconnect SSL VPN client.
De volgende besturingssystemen worden ondersteund:

• Windows 7 32-bit (x86) and 64-bit (x64)
• Windows Vista 32-bit (x86) and 64-bit (x64), including Service Packs 1 and 2 (SP1/SP2)
• XP SP2+ 32-bit (x86) and 64-bit (x64)
• Mac OS X 10.5 and 10.6.x
• Linux Intel (2.6.x kernel)

Cisco AnyConnect Mobile (requires optional AnyConnect Mobile license)

• Apple iOS 4
• Windows Mobile 5.0, 6.0, and 6.1 (Professional and Classic)

Android zal binnenkort ook ondersteund worden denk ik...
Aangezien Cisco met een zakelijke tablet komt die Android draait.

De AnyConnect client heeft Optimal Gateway Selection. Hiermee geef je een lijstje ASA's op in de client.
De client pingt de verschillende gateway's. Zit je bijvoorbeeld in Europa dan selecteert de Anyconnect client automatisch deze ASA. Vlieg je vervolgens naar New York, dan wordt op basis van de delay, de ASA in de US geselecteerd op op te connecten. Met Trusted Network detection kan de AnyConnect client aan de hand van DNS detecteren of het op het interne netwerk zit, of op een ander netwerk. (Thuis, vliegveld, hotel, etc.)

Verder zit er Hotspot/Captive Portal Detection op. Het idee is dat de AnyConnect SSL VPN client altijd een verbinding heeft met de ASA. Hierdoor wordt al het verkeer geïnspecteerd door de ASA. Met de Captive Portal Detection kunnen users toch creditcard gegevens invullen, zodat ze in een hotel het Internet op kunnen.

Er is ook een integratie tussen de ASA en de IronPort Websecurity appliance.
Met de Websecurity appliance kan je URL filtering doen en webapplicaties controleren.
Daarnaast worden downloads geïnspecteerd met een AV engine. ( Standaard Webroot en optioneel McAfee als 2e engine.) Mobiele users (laptops, tablet of smartphone) hebben altijd een VPN connectie en hun data wordt geïnspecteerd door de ASA firewall, optionele IPS module en/of de Websecurity appliance.

Voor wat kleinere netwerken heeft Cisco Scansafe overgenomen.
Dit is meer een cloud-gebaseerde security oplossing.

En nu even concreet zonder cisco-plug wat dat voor de topicstarter kan betekenen?

Lol, de TS is gewoon verkeerd bezig met de beveiliging. Veel bedrijven denken dat ze gewoon een firewall op de internet verbinding kunnen zetten en zo alles veilig is. Tegenwoordig moet je je servers en applicaties apart afschermen en je clients als zijnde van het Internet te beschouwen. Je intern netwerk kun je misschien iewat meer toegang geven voor shares enzo maar vertrouwen met open toegang naar alle poorten kun je het niet.

Als je teveel gaat blokkeren en scripten gaan er dingen mislopen en dan nog gaan mensen er rond lopen, veel klagen, veel werk veroorzaken en eventueel gewoon hun eigen machine kopen.

Web filtering en regeltjes instellen is zo 2005 - mensen willen het net op, laat het gewoon toe. Met OpenDNS of zo kun je eventueel nog de adult en adware/spyware/virus categorie filteren maar daar houd ik het toch bij op en zelfs daar loop ik soms met problemen waar legitieme sites geblokkeerd worden. Je kunt beter investeren in degelijke virusscanners en een aparte beveiligingsschil voor je servers en applicaties.

Voor klein en middelgroot bedrijf moet je echt niet met Cisco onderweg - veel te duur voor wat ze geven. Grote bedrijven hebben vaak nog Cisco maar ik kies liever een goedkoper alternatief zoals HP of een iewat professioneler alternatief zoals Juniper. Cisco is zo ongeveer de Microsoft van netwerkapparatuur - te duur, teveel hoofdpijn met licenties en teveel gladpratende verkopers en dan zo weinig mogelijk product of support aanleveren.

Je hebt een aantal opties:
Je kan gewoon je users opvoeden en aangeven wat wel en niet is toegestaan. Je hebt dan alleen een VPN sessie nodig om mobiele users te koppelen aan het interne netwerk. Op de laptops heb je dan antivirus nodig, maar Welke sites men bezoekt is geheel hun eigen verantwoording. URL filtering heb je dan niet nodig. Zeker bij een kleinschalige omgeving heeft dit de voorkeur.

Het ligt natuurlijk aan welke gegevens je wil beschermen.
Een bank heeft andere eisen dan een ZZPer. (In ieder geval de gevolgen van lekkende gegevens zijn bij een bank meestal groter dan bij een ZZPer.) Je kan de Laptop of mobiel apparaat voorzien van antivirus software. Een andere oplossing is om alle data naar het mobiele apparaat te inspecteren d.m.v. een alway-on VPN. (Centraal via een VPN Head-end en firewalling, IPS of URL filtering of vanuit de cloud.)
Het probleem hiermee is dat je dit bij een grotere omgeving centraal wil beheren.

Guru Evi schreef op woensdag 13 april 2011 @ 06:13:
Als je teveel gaat blokkeren en scripten gaan er dingen mislopen en dan nog gaan mensen er rond lopen, veel klagen, veel werk veroorzaken en eventueel gewoon hun eigen machine kopen.

Met IPS kan je applicaties zoals MSN of P2P volledig blokkeren. Maar het is handiger om alleen de bandbreedte terug te schroeven. Users zullen er achter komen dat het thuis sneller downloaden is en men zal dan ook geen acties ondernemen om de beveilingsmaatregelen te omzeilen.

Guru Evi schreef op woensdag 13 april 2011 @ 06:13:
Web filtering en regeltjes instellen is zo 2005 - mensen willen het net op, laat het gewoon toe. Met OpenDNS of zo kun je eventueel nog de adult en adware/spyware/virus categorie filteren maar daar houd ik het toch bij op en zelfs daar loop ik soms met problemen waar legitieme sites geblokkeerd worden. Je kunt beter investeren in degelijke virusscanners en een aparte beveiligingsschil voor je servers en applicaties.

IronPort websecurity appliance werkt op basis van risk-rating van IP adressen en URL's.
Daarnaast heeft het een eigen clasificatie engine waarmee het webpagina in één van de 65 categorieën kan indelen. Deze info word weer terug naar IronPort gestuurd. (Maar dit kan je uitschakelen.) Het is dus een zelflerend systeem. Wat mensen bezoeken moeten ze zelf weten, maar ik zou zeker filteren op categorieën als adware/spyware en virussen. Met Facebook en andere social media zie je allerlei games en andere applicatie verschijnen die malware kunnen bevatten.

Guru Evi schreef op woensdag 13 april 2011 @ 06:13:
[...] dan zo weinig mogelijk product of support aanleveren.

Op hardware wordt vaak geen supportcontracten afgesloten en dan heb je inderdaad geen recht op support
( En de diverse supportlabs die men heeft. )

Op de switches zit overigens Limited Lifetime Hardware Warranty en de nieuwe switches Enhanced Limited Lifetime Hardware Warranty. (2660S/3560X/3750X) Je hebt dan ook toegang tot TAC en software updates.
Zie tabel 11. Maar dit gaat offtopic...

Verwijderd schreef op donderdag 14 april 2011 @ 13:29:
Wat meer info over ons netwerk.

De reden om 3g uit te schakelen in het bedrijf is toch de bezoekjes naar facebook/youtube en andere prive gerelateerde zaken. Het webfilter staat ook niet echt scherp ingesteld, alleen social media en streaming media staan dicht (en nog wat andere categorien zoals hacking, virus, porno etc)

Dat is echt achterhaald

waarom mag iemand niet op youtube of op facebook, je ziet wat er nu gebeurt, het lukt ze toch wel!

Verwijderd schreef op donderdag 14 april 2011 @ 14:36:
[...]


Dat is echt achterhaald

waarom mag iemand niet op youtube of op facebook, je ziet wat er nu gebeurt, het lukt ze toch wel!

Misschien omdat dat gevraagd wordt door het HR management...

Er is een wezelijk verschil tussen security-related filtering and HR-related filtering ... (hoewel ze natuurlijk kunnen overlappen ...)

[ Voor 17% gewijzigd door Predator op 15-04-2011 10:50 ]

Er is volgens mij maar een manier en dat is controle krijgen over de 3g verbindingen. Je kunt 3g verbinding tegenwoordig ook een IP-VPN zetten, de devices krijgen een statisch ip en het internetverkeer kan gerouteerd worden. Je krijgt dan het beheer over de verbindingen en kunt de bedrijfspolicy toepassen. Wil je hierover meer weten PM mij even.

Predator schreef op vrijdag 15 april 2011 @ 10:48:
[...]

Misschien omdat dat gevraagd wordt door het HR management...

Er is een wezelijk verschil tussen security-related filtering and HR-related filtering ... (hoewel ze natuurlijk kunnen overlappen ...)

Management / HR Management wil graag dat medewerkers productief zijn en daarom worden social media gefilterd. Hoewel het tegendeel waar blijkt te zijn...

Daarnaast wordt er vanwege security redenen gefilterd. ( Sites die malware verspreiden of bijvoorbeeld phising sites. ) Streaming media ( Uitzendinggemist, Youtube, etc. ) worden vaak gefilterd omdat het veel netwerkverkeer scheelt op de internet verbinding van het bedrijf. Je zou met NBAR, IPS of andere deep packet inspection technieken streaming media kunnen clasificeren en met QoS een lagere prioriteit toekennen aan dit netwerkverkeer. ( Zodat streaming media niet je Internetlijn dicht laat slibben. ) Een ruwere benadering is om Internet verkeer een lagere prioriteit te geven, dan netwerkverkeer wat binnen je eigen MPLS WAN blijft.

Voor de wat grotere vestigingen kan je overwegen om Internetlijnen aan te schaffen, zodat Internet verkeer een lokale break-out heeft. Je belast je MPLS WAN hier dan niet mee. Nadeel is dat je geen controle meer hebt over wie, wat mag bekijken op Internet. Maar dan moet je meten hoeveel Internetverkeer over je WAN loopt en hoeveel verkeer intern verkeer is.

Verwijderd schreef op donderdag 14 april 2011 @ 13:29:
We hebben op dit moment 4 datacenters (waar 90% van de applicaties draaien) waarvan 1 in NL en 3 in Zweden.
In 3 datacenters hebben we connectie naar Internet dmv een firewall.
D.m.v. routing worden subnetten gerouteerd naar 1 van deze 3 firewalls als ze het internet op willen.

We hebben 60 lokale kantoren die dmv MPLS in ons netwerk zitten, op bijna elk kantoor staat een lokale file en print server, dit omdat de lijnen niet voldoende capaciteit hebben om alles centraal op te slaan.

Servers afschermen van de clients wordt op dit moment lastig omdat je ook met een server op elke lokatie zit.
Ik ben op dit moment nog maar een jaar hier werkzaam en houdt het bestaande in de lucht en probeer beetje bij beetje veranderingen in te voeren, wat natuurlijk niet teveel mag kosten.

Waarom hebben jullie 4 datacenters?
( En niet bijvoorbeeld 2 - Primair datacenter + uitwijk. )

Met WAN optimalisatie kan je alle file servers van de verschillende locaties consolideren in één of twee datacenters. Alleen wijzigingen aan bestanden worden over de WAN link gestuurd. Daarnaast doet WAN optimalisatie aan compressie van data en het optimaliseert TCP communicatie. (TCP gaat zich meer UDP gedragen, ondanks de latency van het netwerk.) Applicaties voelen hierdoor minder "stroperig" aan. Meer latency betekent dat je WAN lijnen minder effectief kan vullen, omdat je niet de bandbreedte hebt die je zou verwachten. Door WAN optimalisatie kan je de tijd die een backup nodig heeft om te draaien,voor een groot deel reduceren.
Je kan er ook meer bandbreedte tegenaan gooien, maar dit is geen oplossing voor de effecten van latency op een lange WAN lijn.

Door fileservers te consolideren in één of twee datacenter bespaar je op server hardware (kan je virtualiseren), stroomkosten, en personeel die alle servers lokaal moeten beheren. ( Denk ook aan backuptapes, etc. ) Daarnaast kan je een upgrade in bandbreedte van de WAN lijnen wat langer uitstellen.

Hoe het bij BlueCoat en anderen zit weet ik niet, maar bij Cisco en Riverbed kan je eventueel één of meer servers draaien op hun WAN optimalisatie appliances. Denk dan bijvoorbeeld aan Windows 2008 Server als core geïnstalleerd (zonder GUI). Deze handelt lokaal DHCP, DNS en Active Directory af. File- en andere services worden in het datacenter gehost.

Verder weet ik dat ISP's als BT en Orange Business, WAN optimalisatie als managed services aanbieden.

Verwijderd schreef op donderdag 14 april 2011 @ 14:36:
[...]


Dat is echt achterhaald

waarom mag iemand niet op youtube of op facebook, je ziet wat er nu gebeurt, het lukt ze toch wel!

Waarom is het achterhaald?
bij ons hebben we dit helaas ook moeten blokkeren, of is het normaal dat een paar collega's sneller reageren op een hyves of facebook bericht dan op een belangrijke zakelijke email? helaas kan niet iedereen maat houden, af en toe iets voor jezelf moet kunnen, maar mensen die gewoon 3 uur per dag prive op social media zitten en stipt om 17.00 weer weggaan mag je best enige restricties opleggen.

Powermage schreef op dinsdag 19 april 2011 @ 08:25:
[...]


Waarom is het achterhaald?
bij ons hebben we dit helaas ook moeten blokkeren, of is het normaal dat een paar collega's sneller reageren op een hyves of facebook bericht dan op een belangrijke zakelijke email? helaas kan niet iedereen maat houden, af en toe iets voor jezelf moet kunnen, maar mensen die gewoon 3 uur per dag prive op social media zitten en stipt om 17.00 weer weggaan mag je best enige restricties opleggen.

Mensen waarvan je weet dat zij op een dergelijke wijze functioneren moet je niet beperken, die moet je berispen. Met vrijheid komen verantwoordelijkheden, met beperkingen komen uitdagingen.