Automatisch MAC blokering

Je kunt het omkeren: alleen toegang als je MAC is geregistreerd. Dan haal je het MACadres weg als de PC geinfecteerd is.

Definieer geïnfecteerd.
Wie of wat bepaalt dat een pc daaraan voldoet?
En hoe wil je dan "ingrijpen"?

Ja het kan. Vanaf Windows Server 2008 kan je met NAP werken (Network Access Protection). Een client die niet healthy is wordt dan in een apart subnet geplaatst en kan dus niet bij de rest van het netwerk. Pas als de client weer healthy is kan hij er weer op. Kijk eens naar https://technet.microsoft...c730902%28v=ws.10%29.aspx.

Als je een Cisco netwerk hebt, kan je nu integreren met Cisco ISE en Sourcefire Firepower. (Bekent van Snort IPS) Detecteert de IPS dat een host geïnfecteerd is, dan wordt de host automatisch in een quarantaine VLAN geplaatst. Verder kan je posture assessment doen (Checken of service packs draaien, AV draait en voorzien is van de laatste signatures, etc.) Verder is gasten toegang tot je netwerk eenvoudig te regelen, doordat gasten eenvoudig zichzelf kunnen zelfregistrerend. Verder kan je integreren met Mobile Device Management (MDM) zoals MobileIron of Citrix XenMobile.

Je kan ook integreren met een Sourcefire AMP desktop client. Dit is een lichtgewicht client die van alle bestanden een hash bijhoudt. Blijkt achteraf dat een bestand malware blijkt te zijn, dan kan je achteraf dit bestand in quarantine plaatsen op alle PC's waar dit bestand voorkomt.

En als je niet de zoveelste zak geld naar Cisco wilt overmaken kun je nog aanmodderen met PacketFence.

Er komen al diverse mogelijke oplossingen voorbij. En er zullen vast meer zijn.

Maar doet TS er niet beter aan eerst goed te bedenken wat hij nu wil bereiken?
Want wie weet had de eventuele infectie al aan de voordeur geblokkeerd kunnen worden.

aZuL2001 schreef op dinsdag 10 februari 2015 @ 15:00:
Er komen al diverse mogelijke oplossingen voorbij. En er zullen vast meer zijn.

Maar doet TS er niet beter aan eerst goed te bedenken wat hij nu wil bereiken?
Want wie weet had de eventuele infectie al aan de voordeur geblokkeerd kunnen worden.

Aan de voordeur blokkeren is lang niet altijd mogelijk. Denk eens aan USB sticks etc.
Overigens is NAP niet alleen voor virussen. Je kan het ook gebruiken om bijvoorbeeld systemen die updates missen (en dus onveilig zouden kunnen zijn) buiten je reguliere netwerk te houden totdat alles geupdate is. Eigenlijk kan je alles wat niet aan jouw eisen voldoet automatisch in een apart netwerk laten plaatsen.

Klopt, maar dat weten we nu nog niet.
Tenminste niet op basis van de summiere info van TS.

Er is inderdaad veel meer info van de TS nodig.

We verwachten hier toch echt wel wat meer eigen inzet en basiskennis.

- Wat is je budget ?
- Hoe ziet je netwerktopologie eruit?
- Hoe bepaal je dat iets geinfecteerd is ? (automatisch, of ga je manueel blacklisten?)
- Wat voor OS platform hebben we hier over ?
- Wat heb je zelf allemaal al gevonden en getest? Wat waren de resultaten hiervan ?