Toon posts:

Nas met whitelist op basis van MAC-adres

Pagina: 1
Acties:

dinsdag 23 juni 2015 19:26

Acties:
  • Emrulez
  • Registratie: November 2008
  • Laatst online: 24-06-2024

Emrulez

Topicstarter
Beste tweakers,

Ik vroeg mij af of er NAS systemen zijn waarbij je kan whitelisten op basis van MAC-adres.

Ik ben gevraagd of ik een veilige NAS systeem weet waarbij je dus kan whitelisten op basis van MAC adres.
Maar ik kan zo een twee drie niks bedenken.

Iemand die wat weet?

Alvast Bedankt

dinsdag 23 juni 2015 19:28

Acties:
  • Mijzelf
  • Registratie: September 2004
  • Niet online

Mijzelf

Veilig en whitelisten op MAC hoort niet echt in 1 zin. Je kunt je MAC adres makkelijk aanpassen.

dinsdag 23 juni 2015 19:53

Acties:
  • Emrulez
  • Registratie: November 2008
  • Laatst online: 24-06-2024

Emrulez

Topicstarter
Mijzelf schreef op dinsdag 23 juni 2015 @ 19:28:
Veilig en whitelisten op MAC hoort niet echt in 1 zin. Je kunt je MAC adres makkelijk aanpassen.
Dat idee had ik ook. Maar het is een van de eisen omdat er een paar mac-adressen zijn die toegang kunnen krijgen. En deze apparaten hebben geen vaste ip.

Of iets anders wat veilig is.

dinsdag 23 juni 2015 19:56

Acties:
  • Bastiaan
  • Registratie: November 2002
  • Laatst online: 22:00

Bastiaan

Bas·ti·aan (de, m)

Username en (goed) password is best veilig anders. Waarom zou dat niet volstaan?

dinsdag 23 juni 2015 20:00

Acties:
  • Prulleman
  • Registratie: December 2000
  • Nu online

Prulleman

Bastiaan schreef op dinsdag 23 juni 2015 @ 19:56:
Username en (goed) password is best veilig anders. Waarom zou dat niet volstaan?
Inderdaad, en ook gebruikelijk, makkelijk en uitgebreid te beheren. Je zou het ook nog aan Windows accounts kunnen koppelen

Strava

dinsdag 23 juni 2015 20:11

Acties:
  • Emrulez
  • Registratie: November 2008
  • Laatst online: 24-06-2024

Emrulez

Topicstarter
Bastiaan schreef op dinsdag 23 juni 2015 @ 19:56:
Username en (goed) password is best veilig anders. Waarom zou dat niet volstaan?
Om te voorkomen dat mensen "per ongeluk" deze delen of kwijtraken denk ik. Het idee is om zoveel mogelijk dicht te hebben en alleen bepaalde apparaten toegang te geven lokaal en van buiten. Waarschijnlijk vanwege gevoelige data.
Prulleman schreef op dinsdag 23 juni 2015 @ 20:00:
[...]

Inderdaad, en ook gebruikelijk, makkelijk en uitgebreid te beheren. Je zou het ook nog aan Windows accounts kunnen koppelen
Voor mij zou het ook volstaan maar de vraag die ik kreeg was dus of het kan met whitelisten van mac-adressen. Misschien zijn er nas systemen met two-step-verification.

dinsdag 23 juni 2015 20:16

Acties:
  • DarkSide
  • Registratie: Oktober 2000
  • Laatst online: 21:29

DarkSide

theres no place like ::1

Waarom wil je/ze specifiek MAC filtering?
Denk dat je moet afvragen wat je specifieke doel is. Waarschijnlijk weren van ongeautoriseerde computers/telefoons etc?
Daarbij praten we over een synology oid. Of meer "professional".
Hoe ziet de rest van het netwerk eruit? Je zou kunnen kijken of je op netwerk gebied (switches /firewalls etc) al ongeautoriseerde pc's kunt weren.
En dan verder met usernamen en wachtwoorden de rest dicht zetten.
En kijken naar BV AD integratie.

Verder Als men wachtwoorden kwijt raakt of deelt, dan heb je een groter probleem.
Kans is dan groot dan men dat nu al doet (delen etc) en mensen toegang tot spullen hebben waar ze geen rechten voor hebben.

Als de Data echt gevoelig is zou je verder moeten kijken dan een simpele MAC Filtering.

There are 10 kinds of people in this world..... Those who know binary. And those who don't.

dinsdag 23 juni 2015 20:21

Acties:
  • TweakMDS
  • Registratie: Mei 2002
  • Laatst online: 21:27

TweakMDS

Veilig lijkt het me inderdaad ook niet, en daarnaast waarschijnlijk ook vrij onpraktisch. Op een groter netwerk lijkt dit me ook na de eerste router al niet echt meer bruikbaar.
Gewoonweg domeinaccounts gebruiken zou toch in een normale situatie veilig genoeg zijn.

Een mogelijke oplossing zou zijn om je nas achter een specifieke router/firewall te hangen en daar de nodige filtering op te zetten. Een nog betere oplossing lijkt me om op vertrouwde apparaten een vpn client te installeren en te zorgen dat er alleen via VPN toegang te krijgen is.
Emrulez schreef op dinsdag 23 juni 2015 @ 20:11:
[...]

Voor mij zou het ook volstaan maar de vraag die ik kreeg was dus of het kan met whitelisten van mac-adressen. Misschien zijn er nas systemen met two-step-verification.
Is dit overigens een vraag van een manager die absoluut geen verstand van security heeft? Dan zou een goeie uitleg misschien wat beter op de plaats zijn.

[ Voor 28% gewijzigd door TweakMDS op 23-06-2015 20:23 ]

dinsdag 23 juni 2015 20:31

Acties:
  • DukeBox
  • Registratie: April 2000
  • Nu online

DukeBox

ˆ Heb idd ook niet het idee dat hier goed over nagedacht is.. er zijn prima oplossingen voor maar op basis van MAC adres is daar zeker geen van.
Emrulez schreef op dinsdag 23 juni 2015 @ 20:11:
Om te voorkomen dat mensen "per ongeluk" deze delen of kwijtraken denk ik. Het idee is om zoveel mogelijk dicht te hebben en alleen bepaalde apparaten toegang te geven lokaal en van buiten. Waarschijnlijk vanwege gevoelige dataa
Van buiten kun je hoe dan ook niets met je MAC adres. Dat ben je al kwijt als je buiten het subnet zit.
Er zijn eigenlijk 2 opties,

Middels (non exportable) client certificaten. Hiermee authenticeerd de client (pc/tablet/telefoon etc) zich op je NAS. Er zijn echter niet veel NASsen die dat ondersteunen maar met iets er tussen (firewall, l3 switch) kan je dat wel afvangen.

De andere optie is misschien nog wel het meest eenvoudig maar vereist wel dat de systemen in een AD zitten en dat is authenticeren met het computer account i.p.v. user account, het betreft dan wel een of/of, je kan niet beiden afdwingen.

[ Voor 7% gewijzigd door DukeBox op 23-06-2015 20:32 ]

woensdag 24 juni 2015 20:36

Acties:
  • Emrulez
  • Registratie: November 2008
  • Laatst online: 24-06-2024

Emrulez

Topicstarter
DarkSide schreef op dinsdag 23 juni 2015 @ 20:16:
Waarom wil je/ze specifiek MAC filtering?
Denk dat je moet afvragen wat je specifieke doel is. Waarschijnlijk weren van ongeautoriseerde computers/telefoons etc?
Daarbij praten we over een synology oid. Of meer "professional".
Hoe ziet de rest van het netwerk eruit? Je zou kunnen kijken of je op netwerk gebied (switches /firewalls etc) al ongeautoriseerde pc's kunt weren.
En dan verder met usernamen en wachtwoorden de rest dicht zetten.
En kijken naar BV AD integratie.

Verder Als men wachtwoorden kwijt raakt of deelt, dan heb je een groter probleem.
Kans is dan groot dan men dat nu al doet (delen etc) en mensen toegang tot spullen hebben waar ze geen rechten voor hebben.

Als de Data echt gevoelig is zou je verder moeten kijken dan een simpele MAC Filtering.
Omdat er maar een paar bekende mac-adressen die specifiek toegang zouden mogen. Inlog gegevens alleen zijn blijkbaar niet betrouwbaar genoeg. Dus willen ze een combo van beide als dat kan.

Het doel is inderdaad alles weren op specifieke apparaten na. In ieder geval zo goed mogelijk dicht timmeren.
Het mag alles zijn zolang het de veiligheidsopties heeft.
Denk zelf dat ze inderdaad de boel beter kunnen afschermen met de nodige firewalls en switches.
Maar de wens is een NAS met zoveel mogelijke opties voor beveiliging.
SndBastard schreef op dinsdag 23 juni 2015 @ 20:21:
Veilig lijkt het me inderdaad ook niet, en daarnaast waarschijnlijk ook vrij onpraktisch. Op een groter netwerk lijkt dit me ook na de eerste router al niet echt meer bruikbaar.
Gewoonweg domeinaccounts gebruiken zou toch in een normale situatie veilig genoeg zijn.

Een mogelijke oplossing zou zijn om je nas achter een specifieke router/firewall te hangen en daar de nodige filtering op te zetten. Een nog betere oplossing lijkt me om op vertrouwde apparaten een vpn client te installeren en te zorgen dat er alleen via VPN toegang te krijgen is.


[...]


Is dit overigens een vraag van een manager die absoluut geen verstand van security heeft? Dan zou een goeie uitleg misschien wat beter op de plaats zijn.
Denk zelf dus ook dat het creëren van een aparte veilige netwerk beter is. Dan blijft nog steeds de vraag welke NAS de beste optie zou zijn. En nee vraag komt niet van een manager.
DukeBox schreef op dinsdag 23 juni 2015 @ 20:31:
ˆ Heb idd ook niet het idee dat hier goed over nagedacht is.. er zijn prima oplossingen voor maar op basis van MAC adres is daar zeker geen van.


[...]

Van buiten kun je hoe dan ook niets met je MAC adres. Dat ben je al kwijt als je buiten het subnet zit.
Er zijn eigenlijk 2 opties,

Middels (non exportable) client certificaten. Hiermee authenticeerd de client (pc/tablet/telefoon etc) zich op je NAS. Er zijn echter niet veel NASsen die dat ondersteunen maar met iets er tussen (firewall, l3 switch) kan je dat wel afvangen.

De andere optie is misschien nog wel het meest eenvoudig maar vereist wel dat de systemen in een AD zitten en dat is authenticeren met het computer account i.p.v. user account, het betreft dan wel een of/of, je kan niet beiden afdwingen.
Misschien dat Active Directory inderdaad de beste optie is.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq