IP afgeven op basis van auth

Die VPN kan natuurlijk ook een hardwarematige VPN zijn die meerdere verbindingen tegelijk aan kan.
Naast een dure oplossing als Cisco kun je ook een erg goedkope en prima werkende versie van E-tech kopen. tot ca 20 verbindingen werkt het hier naar tevredenheid.

Switch gebruiken die IEEE 802.1x ondersteunt, koppelen aan een RADIUS server en RADIUS ook aan DHCP koppelen.

Verwijderd schreef op 27 August 2003 @ 11:43:
[...]


Ik heb het hier over minimaal 100 en maximaal 250 verbindingen en daarbij is hardwarematig niet echt lief meer qua prijs

maar als je daardoor stabieler draait is het de prijs wel waard

Verwijderd schreef op 27 August 2003 @ 11:43:
[...]
Ik heb het hier over minimaal 100 en maximaal 250 verbindingen en daarbij is

Misschien handig als je dat dan van te voren meld, en wat je budget is e.d.

Voor een implementatie voor zoveel clients, lijkt me dat je wel wat meer info, eissen enzo kunt geven.

jochemd schreef op 27 August 2003 @ 00:00:
Switch gebruiken die IEEE 802.1x ondersteunt, koppelen aan een RADIUS server en RADIUS ook aan DHCP koppelen.

En hoe wilde je je dan authentiseren

Het opvragen van een IP adres gebeurt @boottime. Ergens voor het laden van een user interface.

Bovendien zal er een verbinding met een protocol aanwezig moeten zijn om je gegevens over te zenden..

Bij een internet provider bel je in met ppp. Das als het ware een IP verbinding over de eerder gemaakte seriele verbinding. En op die seriele verbinding is via pap/chap ge-authentiseerd.

Als je wilt voorkomen dat er ongeautoriseerd personeel op je netwerk gaat inloggen, kan je meerdere zaken dichttimmeren.

Maak op je swich een access-list die alleen verkeer van bepaalde MAC adressen toelaat. Wanneer je een stabiele omgeving hebt, waar niet elke week 10 PC's bijkomen, en dagelijks 5 verdwijnen is dat redenlijk te doen.

Zorg dat alleen de patch aansluitingen die nodig zijn gepatched zijn.

Verbeter je password policy, en verplicht mensen hun password elke maand te wijzigen.

Bouw een extra beveiliging in, met behulp van hardware tokens/smartcards. Welke personsgebonden zijn, en zet daar ook weer een goede pincode op.
Er zijn een heleboel leveranciers van usb tokens / smartcards.
Mijn favoriet: iKey USB token 3000. Maar Rainbow heeft ook goede.
Suc6

LOL mode
Je kan natuurlijk aan het einde van de dag ook alle netwerkkabels weer in laten leveren, en 's morgens weer uitdelen aan de mensen die je kent.. Maar dan heb je security by obscurity

CyberJ schreef op 01 September 2003 @ 09:43:
[...]


En hoe wilde je je dan authentiseren

Ik neem aan dat jij de IEEE 802.1x standaard nog nooit hebt gelezen. Die definieert het hele authenticatieproces. En welk intern mechanism je ervoor gebruikt maakt niet zo veel uit (hoewel ik een fan van EAP-TTLS ben omdat het cross-domain authentication makkelijk maakt).

Het opvragen van een IP adres gebeurt @boottime. Ergens voor het laden van een user interface.

Dat is inderdaad de eerste keer. Zodra je je geauthenticeerd hebt gebeurd dat nog een keer omdat je dan in een ander VLAN zit. (Uitgaande van het bestaan van een default unauthenticated VLAN, maar dat is wel zo handig.)

Bovendien zal er een verbinding met een protocol aanwezig moeten zijn om je gegevens over te zenden..

Dat protocol is EAPOL.

Als je wilt voorkomen dat er ongeautoriseerd personeel op je netwerk gaat inloggen, kan je meerdere zaken dichttimmeren.

Maak op je swich een access-list die alleen verkeer van bepaalde MAC adressen toelaat. Wanneer je een stabiele omgeving hebt, waar niet elke week 10 PC's bijkomen, en dagelijks 5 verdwijnen is dat redenlijk te doen.

Daarmee authenticeer je computers, geen users. Er is niets dat mij ervan weerhoudt om op mijn laptop een MAC adres van een ander systeem in te stellen en die in te pluggen en dan ben ik ongeauthenticeerd online.

@Jochemd
Thanx voor de uitleg.. Nee, ik ben inderdaad niet bekend met de IEEE 802.1X standaard. Ik houd mij daar niet zo mee bezig.

Overigens zijn mijn bovenstaand e voorbeelden alleen maar extra beveiligingen. Ik weet echt dat je een MAC adres kunt spoofen (Eigenlijk is het geen spoofen, maar goed) Maar het is toch weer een extra beveiliging.

Wat ik dus begrijp van het principe wat je beschrijft, is dat je bij het booten in een ander VLAN zit, als dat je productie omgeving zit. En pas na authenticatie zal ja daar naartoe worden gepatched o.i.d.
Is daar dan nog een speciale client voor die geinstalleerd moet worden

Misschien zit ik er helemaal naast, maar:

Kan je niet via VPN's werken zodat de clients een ip krijgen waarmee ze alleen maar op het netwerk kunnen om de VPN te maken en dat er binnen de VPN pas mogelijkheden zijn om de echte toepassingen te draaien?
W2K/NT/XP heeft de mogelijkheid om bij het aanmelden aan het netwerk eerst een inbel verbinding te maken en dan pas te gaan aanmelden.

CyberJ schreef op 01 September 2003 @ 11:51:

Wat ik dus begrijp van het principe wat je beschrijft, is dat je bij het booten in een ander VLAN zit, als dat je productie omgeving zit. En pas na authenticatie zal ja daar naartoe worden gepatched o.i.d.

Dat hangt een beetje van de instellingen af. Je kan bij het booten in een speciaal VLAN zitten, het unauthenticated VLAN, en na authenticatie omgeschakeld worden naar een ander VLAN (middels RADIUS kan je vaak zelfs bepalen welk VLAN, studenten in een ander VLAN dan medewerkers bijvoorbeeld). Het kan ook zijn dat je voordat je geauthenticeeerd bent helemaal geen verkeer kan genereren.

Is daar dan nog een speciale client voor die geinstalleerd moet worden

Dat hangt af van welk authenticatiemechanisme je wil gebruiken. Er zitten een paar authenticatiemechanismen standaard in Windows XP en Windows 2000 SP4 (ik dacht TLS en PEAP), maar voor meer mechanismen (waaronder TTLS) kan je het beste de SecureW2 client van Alfa & Ariss downloaden (gratis). Er is een open source client voor Linux en *BSD, maar ik weet niet hoe stabiel die is.
Daarnaast zijn er verschillende commerciele vendors van clients.