Toon posts:

Interne apparaten automatisch blokkeren bij ongewenst gedrag

Pagina: 1
Acties:

Vraag

maandag 12 juni 2017 14:24

Acties:
  • 0 Henk 'm!
  • Kartmaster93
  • Registratie: Januari 2013
  • Laatst online: 13-07 23:13

Kartmaster93

Topicstarter
Mijn vraag
Bij een groot netwerk (400/500 gebruikers) zit een device tussen die onbewust zelf wellicht een ddos opzet naar een host buiten het internet. Deze gebruikers maken gebruik van een wifi netwerk waar ze op basis van open authenitcatie kunnen verbinden. Op basis van dit gedrag heeft de ISP netwerk geblokkeerd en ook het internet. Nu moeten er maatregelen worden genomen om internet toegang weer te krijgen. Echter luidt de vraag dus: Hoe kan het beste worden opgetreden om interne verkeer te filteren alvorens het na buiten gaat, het liefst willen we filters instellen zoals protocollen zoals torrents zodat deze worden geblokkeerd alvorens ze na buiten gaan.

Relevante software en hardware die ik gebruik
modem -> pfsense router > switches > accespoints

Wat ik al gevonden of geprobeerd heb
Snort

Alle reacties

maandag 12 juni 2017 19:01

Acties:
  • +1 Henk 'm!
  • TommyboyNL
  • Registratie: Januari 2006
  • Niet online

TommyboyNL

Betreft het een BYOD netwerk, of hangen er alleen zakelijke/managed devices aan?
Bij het inrichten van een firewall kan je veel beter denken vanuit de "wat mag men wel" kant, en niet vanuit de "wat mag men niet" kant.
Opzetje:
Alleen DNS verkeer toelaten naar de DNS servers die je via DHCP toewijst
Uitgaand verkeer van je DHCP scope naar alle publieke IPs (non-RFC1918) over de volgende poorten toestaan:
- HTTP; 80
- HTTPS; 443
- POP3; 110, 995
- IMAP; 143, 993
- SMTP; 25, 465
En de rest lekker droppen.

Als je écht iets moois wilt, zal je richting een Fortigate of Check Point firewall moeten gaan. Kost een paar duiten, maar dan heb je ook echt wat. Fatsoenlijke IPS/IDS, application control, rate limiting, fantastische logging en analysemogelijkheden, etc. Zeker de moeite waard bij 400 a 500 gebruikers.

[ Voor 4% gewijzigd door TommyboyNL op 12-06-2017 19:08 ]

maandag 12 juni 2017 19:09

Acties:
  • +1 Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 27-09 22:07

MAX3400

XBL: OctagonQontrol

Vraag me eigenlijk meer af waarom deze vraag hier eindigt en het topicstart ietwat summier is. Als je het netwerk beheert, verwacht ik toch wel iets meer info en inzet dan wat er nu staat. Als je niet de beheerder bent, is het misschien zinvol om de daadwerkelijke beheerder te raadplegen?

Neemt niet weg dat de vraag niet zo simpel is; het bedrijf wordt "verstoord" door ongewenst gedrag van users. Ja, users; die zijn blijkbaar niet voldoende opgeleid om een eenvoudig iets als een laptop te bedienen. Dat houdt in dat alle maatregelen die genomen moeten worden, door de directie moeten worden opgesteld en in principe eerst langs de OR moeten gaan om te beoordelen of hiermee de vastgelegde afspraken in alle contracten niet worden geschonden.

Pas als hier een functionele vraagstelling vanuit de directie door wordt geformuleerd, kan een techneut met alle kennis van zaken een technisch voorstel doen waarin de vraagstelling wordt onderbouwd, inclusief alle voor- en nadelen. Hierna komt er wel/geen goedkeuring en als er uiteindelijk goedkeuring is, zal de afdeling ICT de benodigde middelen (geld, materiaal en personeel) moeten inzetten om de goedkeuring op het technisch ontwerp te realiseren.

/edit: in tegenstelling tot @TommyboyNL zijn er ook oplossingen te vinden die op basis van "user perspectief" kunnen worden ingericht. Zoals de group "directie" heeft in principe voorrang op het netwerk. De groep "everyone" krijgt geen voorrang bij het raadplegen van bepaalde sites en/of protocollen. En de groep "ict" mag unmanaged devices op het netwerk opvoeren. Het denken in puur protocollen is soms achterhaald en niet altijd de beste oplossing voor het probleem.

[ Voor 16% gewijzigd door MAX3400 op 12-06-2017 19:11 ]

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

maandag 12 juni 2017 19:16

Acties:
  • +1 Henk 'm!
  • TommyboyNL
  • Registratie: Januari 2006
  • Niet online

TommyboyNL

MAX3400 schreef op maandag 12 juni 2017 @ 19:09:
/edit: in tegenstelling tot @TommyboyNL zijn er ook oplossingen te vinden die op basis van "user perspectief" kunnen worden ingericht. Zoals de group "directie" heeft in principe voorrang op het netwerk. De groep "everyone" krijgt geen voorrang bij het raadplegen van bepaalde sites en/of protocollen. En de groep "ict" mag unmanaged devices op het netwerk opvoeren. Het denken in puur protocollen is soms achterhaald en niet altijd de beste oplossing voor het probleem.
Vandaar mijn vraag wat voor devices er aan hangen. Als het allemaal managed/geregistreerde devices zijn ,kan je inderdaad aan de slag met identity-awareness achtige zaken. Als het echter bij wijze van spreke een hotspot in een grote nachtclub is (of een publiek netwerk in een bibliotheek, netwerk voor privédevices van werknemers van een groot bedrijf, etc.), is het een heel ander verhaal.

maandag 12 juni 2017 21:57

Acties:
  • 0 Henk 'm!
  • Kartmaster93
  • Registratie: Januari 2013
  • Laatst online: 13-07 23:13

Kartmaster93

Topicstarter
Voor de duidelijkheid het gaat om een netwerk waarbij arbeidsmigranten (polen, roemenen) in korte fases verblijven in huisjes. Deze gebruikers komen een korte periode waarbij iedereen verbindt met een open wifi netwerk. Op basis hiervan zullen ze kunnen internetten, iedere gebruiker krijgt op basis van mac adres 8 mbit toebedeeld. Op het gehele netwerk zitten geen zakelijke gebruikers alleen "gasten" zo gezegd. Deze gasten zijn niet registreert, en worden ook niet geregistreerd. Daarom dacht ik al aan een centrale oplossing zoals een IDS/IPS?

maandag 12 juni 2017 21:59

Acties:
  • 0 Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 27-09 22:07

MAX3400

XBL: OctagonQontrol

@Kartmaster93 Als je het zo schetst, zou ik inderdaad de initiele optie van @TommyboyNL implementeren; basic aantal poorten/protocollen openzetten en daarmee klaar.

Zonder in details te treden, maar is de vraagstelling puur voor jou om op te lossen of zijn er andere partijen (zoals uitzendbureaus) die mogelijk ook baat hebben bij blije werknemers en aanvullende gelden/materialen met jou samen kunnen inzetten om het netwerk veiliger te maken?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

dinsdag 13 juni 2017 09:28

Acties:
  • 0 Henk 'm!
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 13:33

lordgandalf

Of je installeerd een wifi portal als je apperatuur het support ?
Voorkomt dat mensen op je wifi kunnen zonder login.
Een volledig open wifi is vragen om problemen.
Wat als iemand iets minder leuks doet op je wifi dan komen ze toch echt bij jouw

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq