Toon posts:

Netwerk beveiling

Pagina: 1
Acties:

zondag 1 april 2012 15:04

Acties:

Verwijderd

Topicstarter
Hoi,

Ik ben bezig met een onderzoekje, mijn werkgever heeft gevraagd om te kijken naar mogelijkheden om het netwerk te beveiligen.

Nu zie ik allerleid NAC, NAP varianten voorbij komen, maar ik kan 1 ding niet duidelijk krijgen.
Mijn leidinggevende heeft de wens om alle onbekende apparaten te kunnen blokkeren by default, totdat wij (IT) anders beslissen.

Met NAC etc kun je doormiddel van een agent de compliancy goed in de gaten houden.
Maar de clou zit hem in voornamelijk de externe gebruikers zoals consultants of accountants die soms ook in het netwerk moeten zijn.
Deze machine's zijn niet in ons beheer en hebben vaak dus ook geen NAC/NAP agent geinstalleerd.
Deze zullen dus in een soort remediation zone vallen, maarja we hebben 60 subnetten, dit betekent evt ook 60 remediation subnetten, als ik het goed begrepen heb.
Hoe kun je het beste hiermee omgaan?

Ander vraagje over NAP, als je op een DHCP gebasseerde oplossing hebt, en iemand vult een static ip adres in? dan omzeil je toch je hele beveiliging?

zondag 1 april 2012 15:09

Acties:
  • Schnor
  • Registratie: Januari 2012
  • Laatst online: 07-02-2013

Schnor

zoek eens op 802.1x voor wired lans.

hier vind je een goede oplossing om apparaten te filteren op je lan, zonder client software. Hetzelfde principe wordt gebruikt voor enterprise wif netwerken.

http://www.google.nl/search?hl=nl&q=802.1x+wired+lan

zondag 1 april 2012 15:20

Acties:
  • webfreakz.nl
  • Registratie: November 2003
  • Laatst online: 01-02 19:30

webfreakz.nl

el-nul-zet-é-er

Verwijderd schreef op zondag 01 april 2012 @ 15:04:
Met NAC etc kun je doormiddel van een agent de compliancy goed in de gaten houden.
Maar de clou zit hem in voornamelijk de externe gebruikers zoals consultants of accountants die soms ook in het netwerk moeten zijn.
Deze machine's zijn niet in ons beheer en hebben vaak dus ook geen NAC/NAP agent geinstalleerd.
Zij moeten óf een NAC agent krijgen óf ze moeten naar je huidige netwerk kunnen verbinden door middel van VPN software als ze eenmaal in het Remediation VLAN zitten. Dit betekent wel dat de consultants software moeten kunnen installeren op hun laptops óf dat hun eigen IT afdeling hieraan meewerkt.
Deze zullen dus in een soort remediation zone vallen, maarja we hebben 60 subnetten, dit betekent evt ook 60 remediation subnetten, als ik het goed begrepen heb.
Hoe kun je het beste hiermee omgaan?
Dit is niet direct waar. Het een en ander is wel afhankel van je huidige netwerk, maar 60 subnets (/VLANs) betekent niet direct ook 60 remediation VLANs.
Ander vraagje over NAP, als je op een DHCP gebasseerde oplossing hebt, en iemand vult een static ip adres in? dan omzeil je toch je hele beveiliging?
Je moet uitgaan zoals de meneer boven mij vertelt van het gebruik van IEEE 802.1x. Dit verplicht élke client tot authenticeren op je netwerk voor het toegang krijgt. Dit kan je in/uit-schakelen via het beheer van je switches. Deze moeten wel 802.1x ondersteunen, maar vrijwel elke bedrijfs switch kan dit wel. De complexiteit van het authenticatie process hangt af van welke 802.1x client en opties je gebruikt.

Welke apparatuur heb je en hoe ziet je netwerk er nu ongeveer uit? Ik heb namelijk meerdere malen een lab-setup gebouwd met Cisco / HP switches inclusief een FreeRADIUS server (Microsoft NAP services @ Win2k8 zou ook moeten voldoen) met daarbij een geauthenticeerd Data VLAN en ongeauthenticeerd Remediation VLAN. Werkte prima en na wat gehobby viel het instellen reuze mee :)

[ Voor 7% gewijzigd door webfreakz.nl op 01-04-2012 15:38 ]

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!

zondag 1 april 2012 20:53

Acties:

Verwijderd

Topicstarter
webfreakz.nl schreef op zondag 01 april 2012 @ 15:20:
[...]

Zij moeten óf een NAC agent krijgen óf ze moeten naar je huidige netwerk kunnen verbinden door middel van VPN software als ze eenmaal in het Remediation VLAN zitten. Dit betekent wel dat de consultants software moeten kunnen installeren op hun laptops óf dat hun eigen IT afdeling hieraan meewerkt.

[...]

Dit is niet direct waar. Het een en ander is wel afhankel van je huidige netwerk, maar 60 subnets (/VLANs) betekent niet direct ook 60 remediation VLANs.


[...]

Je moet uitgaan zoals de meneer boven mij vertelt van het gebruik van IEEE 802.1x. Dit verplicht élke client tot authenticeren op je netwerk voor het toegang krijgt. Dit kan je in/uit-schakelen via het beheer van je switches. Deze moeten wel 802.1x ondersteunen, maar vrijwel elke bedrijfs switch kan dit wel. De complexiteit van het authenticatie process hangt af van welke 802.1x client en opties je gebruikt.

Welke apparatuur heb je en hoe ziet je netwerk er nu ongeveer uit? Ik heb namelijk meerdere malen een lab-setup gebouwd met Cisco / HP switches inclusief een FreeRADIUS server (Microsoft NAP services @ Win2k8 zou ook moeten voldoen) met daarbij een geauthenticeerd Data VLAN en ongeauthenticeerd Remediation VLAN. Werkte prima en na wat gehobby viel het instellen reuze mee :)
De kans dat consultants admin rechten hebben om hun eigen laptop aan te passen is vrij klein. (zijn veel accountants die vaak bij de financiele systemen moeten.

Ik heb een product van Cisco gezien genaamd Identity Services Engine. hiermee kun je elk apparaat beheren en begeleiden op het netwerk.. stel pietje komt in het bedrijf, plugt zijn laptop in, en wordt standaard geblokkeerd (of omgeleid naar het internet).
Pietje belt op dat hij bij systeem X moet kunnen.
Wij zoeken hem op in het systeem en geven toegang, doormiddel van automatische ACL's krijgt hij alleen toegang tot dat systeem.
Je hebt dan volgens mij geen "health" check op het apparaat, maar daarvoor hebben we wel een IPS sensor voor het datacenter staan. mocht er toch een virus opzitten kan deze nog niet naar de servers komen.

Het WAN wordt beheerd door KPN, elk kantoor heeft een eigen subnet, het is niet mogelijk om subnetten over meerdere lokaties te overlappen. Had begrepen van KPN dat je zowiezo een 2e subnet op elke lokatie nodig had. a 500 euro een dure oplossing helaas..

zondag 1 april 2012 21:24

Acties:
  • webfreakz.nl
  • Registratie: November 2003
  • Laatst online: 01-02 19:30

webfreakz.nl

el-nul-zet-é-er

Verwijderd schreef op zondag 01 april 2012 @ 20:53:
[...]
De kans dat consultants admin rechten hebben om hun eigen laptop aan te passen is vrij klein. (zijn veel accountants die vaak bij de financiele systemen moeten.
Hoe dan ook zal je een applicatie moeten hebben op elke PC die kan praten met jouw authenticatie servers. Mocht dat niet werken dan komt de client in het Remediation VLAN waar verbonden kan worden met VPN.

Linksom of rechtsom: op elke client die je aansluit op een switchport waar 802.1x op is geconfigureerd zál aanpassingen moeten krijgen.
Ik heb een product van Cisco gezien genaamd Identity Services Engine. hiermee kun je elk apparaat beheren en begeleiden op het netwerk.. stel pietje komt in het bedrijf, plugt zijn laptop in, en wordt standaard geblokkeerd (of omgeleid naar het internet).
Pietje belt op dat hij bij systeem X moet kunnen.
Wij zoeken hem op in het systeem en geven toegang, doormiddel van automatische ACL's krijgt hij alleen toegang tot dat systeem.
Je hebt dan volgens mij geen "health" check op het apparaat, maar daarvoor hebben we wel een IPS sensor voor het datacenter staan. mocht er toch een virus opzitten kan deze nog niet naar de servers komen.
Ik ben met Cisco ISC niet bekend. Bel ze eens op en vraag hoe zij denken dat het werkt en vraag om een demo ;)
Het WAN wordt beheerd door KPN, elk kantoor heeft een eigen subnet, het is niet mogelijk om subnetten over meerdere lokaties te overlappen. Had begrepen van KPN dat je zowiezo een 2e subnet op elke lokatie nodig had. a 500 euro een dure oplossing helaas..
Hoe groot is het subnet dat je per locatie krijgt? Anders kan je die toch wel verder subnetten? Mag hopen dat ze niet eenmaal een /24 leveren en dat je het daar dan maar mee moet doen 8)7 Tenzij je 500 euro lapt pér subnet wat compleet bezopen is.

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!

maandag 2 april 2012 09:50

Acties:

Verwijderd

Topicstarter
webfreakz.nl schreef op zondag 01 april 2012 @ 21:24:


[...]

Hoe groot is het subnet dat je per locatie krijgt? Anders kan je die toch wel verder subnetten? Mag hopen dat ze niet eenmaal een /24 leveren en dat je het daar dan maar mee moet doen 8)7 Tenzij je 500 euro lapt pér subnet wat compleet bezopen is.
We krijgen een /24 per lokatie.
We kunnen deze opsplitten en zelf de routering op dit LAN doen, maar het WAN is in beheer van KPN en bij een informele vraag hebben we te horen gekregen dat een aanpassing op het WAN ongeveer 500 euro bedraagt. Ook het aanmaken van een nieuw subnet valt hier evt onder..

Als je dit doorrekend naar 60 lokaties ben je 30.000 euro aan changes kwijt.. natuurlijk valt hier nog over te praten, maar ik denk dat we zeker 10-15.000 euro kwijt zullen zijn om het gehele netwerk NAC ready te krijgen

Iemand ook praktijk ervaring met een NAC oplossing? hoeveel beheertijd ben je er ongeveer mee kwijt?

[ Voor 5% gewijzigd door Verwijderd op 02-04-2012 09:51 ]

maandag 2 april 2012 18:40

Acties:
  • webfreakz.nl
  • Registratie: November 2003
  • Laatst online: 01-02 19:30

webfreakz.nl

el-nul-zet-é-er

Maar wat voor verbinding heb je dan van KPN? Een Private WAN verbinding? Wat voor address space krijg je dan? Een address uit de RFC1918 space?

Anders kan je ook een paar adressen uit die /24 die je ontvangt gebruiken met NAT.

Je zou ook een VPN op kunnen zetten tússen je locaties. Dan kan je daarover je routing sturen en dan kan je doen wat je wilt ;)

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!

maandag 2 april 2012 20:41

Acties:

Verwijderd

Topicstarter
webfreakz.nl schreef op maandag 02 april 2012 @ 18:40:
Maar wat voor verbinding heb je dan van KPN? Een Private WAN verbinding? Wat voor address space krijg je dan? Een address uit de RFC1918 space?

Anders kan je ook een paar adressen uit die /24 die je ontvangt gebruiken met NAT.

Je zou ook een VPN op kunnen zetten tússen je locaties. Dan kan je daarover je routing sturen en dan kan je doen wat je wilt ;)
Ik denk dat ik eerst eens een kosten/baten analyse moet gaan uitvoeren.. laatste dagen is me veel duidelijk geworden over de impact en de kosten die hiermee gemoeid gaan.
Alles maar eens naast elkaar zetten en voorleggen aan het management..
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq