VLAN Membership Policy thingy vraag

Mijn vraag
ik heb hp 1820 switch en ik wil VLAN Membership Policy meuk doen.
(op basis van Mac adres) ..

Nu zitten er voip telefoons "tussen" die splitsen tussen Vlan A en B .. (nu moet B wijzigen aan de hand van mac v.d client)

Ik heb zelf alles in "eigen beheer". en afhankelijk van de mogelijkheden kan ik een selected aantal poorten van dit voorzien, of uiterraard alles.

De kern vraag is echter:
is dit wijsheid in de praktijk ?

mijn doel is:
een aantal punten in gebouw(en) defineren als management access en een aantal laptops aanwijzen die beheer mogen doen binnen omgevingen op basis van hun vlan. dit is natuurlijk een gedeelte van de beveiliging .. het zou alleen het leven wel makkelijker maken zonder teveel risico te introduceren.
Dit versus RDP naar management server(s) zeg maar.

_{ps dit lijkt me niet een normaal netwerk subject vraag vandaar de vraag hier in profi netwerken}

[ Voor 6% gewijzigd door vso op 14-03-2017 23:11 ]

Predator schreef op woensdag 15 maart 2017 @ 17:24:
Ben je niet een aantal dingen aan het verwarren ?
Je gebruikt de term VLAN Membership Policy, wat deel uitmaakt van het VMPS systeem van systeem.
Dat heeft nooit echt vlucht genomen, en wordt ook niet meer actief ondersteund door Cisco...
Volgens mij ook nooit ondersteund door HP.

Nee haal geen dingen door elkaar maar dit stukje is wat ik "zocht"

Je kan dat wel via 802.1x. Ik denk dat je wat dingen door elkaar haalt ....

Maak het jezelf niet moeilijker dan het is. Maak een aparte vlan aan voor jouw "management" laptops, en gebruik dat subnet in je toegangscontroles. Die paar laptops correct patchen kan het probleem niet zijn.

Tja het kan op diverse wegen, ik vroeg me alleen af hoe die techniek het deed in de praktijk (was immers mijn vraag)

Overgens het is een klein kantoor, dus zo makkelijk kom je niet weg met "correct" patchen,

Ik zag wel leuk configuratie toepassingen, je kan het "wijzigen" van een mac adres ook in eigen voordeel gebruiken. helaas word het niet meer gebruikt.

kwa veiligheid had ik ook niet de illusie van een "kluis" eerder van een trap hekje .. wezelijk verschil

Frogmen schreef op vrijdag 17 maart 2017 @ 11:20:
Krijg voor jezelf eerst en vooral duidelijk waar wil je je tegen beveiligen? Welk risico wil je wegnemen en is dat een reeel risico. Maak dus een eerst een risico analyse. Doe dit bij voorkeur met een multi disciplinair team en ga op basis daarvan aan de de slag. Dat is de enige manier om een effectieve en degelijke beveiliging op te zetten. Je wilt het bovenstaande om de switch configuratie te beschermen? Wat is het risico en de impact van ongecontroleerde toegang (is user password niet voldoende) en hoe groot is de kans?

als het een grote omgeving zou zijn, is dit toepasbaar .
helaas is dat het niet, dus je hele commentaar kan /dev/null (niet lullig bedoeld overgens)

Overgens zie ik dit niet als een security maatregel zoals hier al gezegd word een mac adres is "kloonbaar"
dus je zal er bovenop een extra indentificatie slag op moeten los laten.

Denk bv aan een uniek identificatie middel voor het werkstation zoals een certificaat of zo waarbij je dus resulteert in mac-adres + certificaat + inlog van user = access
Alleen dit klinkt wellicht makkelijker in text dan het uitvoerbaar is in praktijk ..

Frogmen schreef op zaterdag 18 maart 2017 @ 11:31:
Hier ga je dus de mist in, juist in een kleine omgeving is het van toepassing want de grote van het bedrijf maakt niet uit. Uiteindelijk kan uit zo'n sessie van misschien twee uur wel blijken dat waar je nu mee bezig bent niet nodig is en dat het risico ergens anders ligt, wat je nu laat liggen.
Maar jij bent waarschijnlijk de almachtige systeembeheerder die het allemaal weet. Helaas moet je kijken naar de combinatie van alle beveiligingsmaatregelen en procedures de tijd van een scheiding tussen fysieke en IT maatregelen moeten we achter ons laten.

nu ja almachtig genoeg om te weten dat je afdwaalt van het verhaal --> VMPS (beste antwoord) is niet voor niks beste

^{mod van mij mag er een slot erop}

Frogmen schreef op zondag 19 maart 2017 @ 11:25:
Sorry hoor maar het doet mij denken aan een situatie in belgie. Computerzaal goed beveiligd zelfs kogelwerend glas en toegangssluizen echt helemaal top. Alleen de computer en de persoon die de toegang regelt zit ervoor, zonder enige vorm van beveiliging.Punt voor punt ziet het er goed uit en toch is het totaal waardeloos. Succes ermee.

o is dat de enige die je kan bedenken ? ik kan er ongeveer miljoenen van deze aanwijzen. en nog dichter bij huis. Ze zeggen niet voor niks "de beveiliging is zo sterk als de zwakste schakel"
en wat stel je als voorwaarde .. is jou data belangrijker dan het leven van de "bewaker" ? .. daar heb je backups alternatieven voor.

Wat je vergeet is de reden van beveiligen, tegen wie wat en waar beveilig je jezelf ?


dagelijkse praktijk is dat zodra je de lat of beter gezegd "drempel" hoog genoeg maakt dat 90% van de hackers wat primair "kijk wat dit geautmatiseerd tooltje doet" script kiddo's zijn en je dus werkelijk ervaring en skill moet hebben. Houd je ze buiten.
De rest moet je op andere manier beveiligen .. en gewoon rekening houden dat je de gevolgen snel kan herstellen.