Virus verspreid via WLAN - Privacy en beveiliging

maandag 24 mei 2004 19:20

Acties:

Doet iets met energie

Topicstarter

Ik werk bij een computerbedrijf, het netwerk daar draait op Win2000 en alle machines zijn voorzien van Symantec AntiVirus Corporate 8.0. Tevens is er een WLAN access point/router aanwezig welke gebruikt wordt door enkele werknemers.

Dit bedrijf neemt ook computers in beslag die virussen bevatten om deze te verwijderen, nou wil het geval zo zijn dat er de laatste tijd veel laptops binnen komen (met WLAN functionaliteit) die bijvoorbeeld het Sasser virus bevatten. Zodra deze laptops aangezet worden vinden zij het WLAN en connecten deze automatisch, waarna een eventueel virus vrij spel heeft daar het internet ook via deze WLAN verbinding geroute wordt, dit heeft zelfs al geleid tot het tijdelijk afsluiten van het internet account.

Ik heb er al aan zitten denken om een WEP key op het wireless gedeelte te zetten, dit werkt echter niet lekker voor het gros van de machines die niet geinfecteerd zijn maar gewoon 'even' Windows Update op moeten, het is in ieder geval wel een oplossing.

Mijn vraag is nu dus eigenlijk of iemand van jullie misschien nog een andere oplossing weet.

maandag 24 mei 2004 19:22

Acties:

Gé Brander

MS SQL Server

Ik zou zowiezo een key er op zetten, geen beveiliging is vragen om moeilijkheden nietwaar?
Voorbijgangers kunnen er dus ook zomaar op? Geeft mij geen goed/gevoel over zo een computerzaak...

Vroeger was alles beter... Geniet dan maar van vandaag, morgen is alles nog slechter!

maandag 24 mei 2004 19:25

Acties:

Verwijderd

Als ik het goed begrijp, zijn het jullie eigen laptops die geinfecteerd zijn. Dan heeft het invoeren van een WEP key imo weinig nut, immers die laptop zal toch toegang moeten hebben tot het WLAN.

Lijkt me eerder een kwestie van zorgen dat de viruscanners op de laptops goed bijgehouden worden?

Als het van 3rd party laptops komt.. je kunt overwegen dit te blokkeren idd door beveiliging aan te zetten. Een andere optie is een goede proxy met viruscanner er tussen?

maandag 24 mei 2004 19:25

Acties:

LuCarD

Certified BUFH

Waar word de laptop voorgebruikt?

Als het bijvoorbeeld alleen email en web dingen zijn, dan zou je er een firewall tussen kunnen zetten....

Programmer - an organism that turns coffee into software.

maandag 24 mei 2004 19:27

Acties:

Gé Brander

MS SQL Server

Wellicht dat het boek "Deploying Secure 802.11 Wireless Networks with Microsoft Windows" ISBN 0-7356-1939-5 wat voor je is. Tenminste als het om laptop's van de zaak gaat, zeg maar.

Vroeger was alles beter... Geniet dan maar van vandaag, morgen is alles nog slechter!

maandag 24 mei 2004 19:28

Acties:

soczol

Doet iets met energie

Topicstarter

Het gaat dus om laptops van klanten (had 't niet zo duidelijk geformuleerd, excuses), in principe hoeven deze alleen het 'web' op, maar blocken op poort 80 zou dan meteen betekenen dat alle WLAN clients restricted worden op die poort.

Een WEP is denk ik toch de enigste oplossing op dit moment om er voor te zorgen dat die laptops niet ongecontroleerd connecten naar het internet.

[ Voor 9% gewijzigd door soczol op 24-05-2004 19:29 ]

maandag 24 mei 2004 19:29

Acties:

Gé Brander

MS SQL Server

Als ik jou was, zou ik een apart subnet met toegang tot Internet maken met een Wireless Accesspoint. Dan heb je geen last op je bedrijfsnetwerk. Natuurlijk ook een WEP key om deze enigzins te beveiligen. Maar zeker geen toegang tot andere computers...

[ Voor 28% gewijzigd door Gé Brander op 24-05-2004 19:30 ]

Vroeger was alles beter... Geniet dan maar van vandaag, morgen is alles nog slechter!

maandag 24 mei 2004 19:31

Acties:

Verwijderd

soc schreef op 24 mei 2004 @ 19:28:
Het gaat dus om laptops van klanten (had 't niet zo duidelijk geformuleerd, excuses), in principe hoeven deze alleen het 'web' op, maar blocken op poort 80 zou dan meteen betekenen dat alle WLAN clients restricted worden op die poort.

Een WEP is denk ik toch de enigste oplossing op dit moment om er voor te zorgen dat die laptops niet ongecontroleerd connecten naar het internet.

Het kan aan mij liggen hoor, maar als ik dit zo lees is het de bedoeling dat die laptops 'het internet' op kunnen. Dit verander je niet door WEP te gebruiken, dan moeten ze toch nog steeds 'het internet' op kunnen? Of wil je dat die klanten totaal geen toegang meer krijgen? Dan is WEP idd. een goed begin..

Een firewall en/of proxy lijkt me dan een betere keuze, of ik begrijp je totaal verkeerd.

maandag 24 mei 2004 19:33

Acties:

Verwijderd

Zit er in de router ook MAC-address control? Hiermee hebben alleen laptops toegang waarvan het MAC-address is toegevoegd in de config van de router. Dit levert waarschijnlijk minder 'verbindingsproblemen' op dan WEP/WAP beveiliging.

maandag 24 mei 2004 19:34

Acties:

soczol

Doet iets met energie

Topicstarter

Verwijderd schreef op 24 mei 2004 @ 19:31:
[...]

Het kan aan mij liggen hoor, maar als ik dit zo lees is het de bedoeling dat die laptops 'het internet' op kunnen. Dit verander je niet door WEP te gebruiken, dan moeten ze toch nog steeds 'het internet' op kunnen? Of wil je dat die klanten totaal geen toegang meer krijgen? Dan is WEP idd. een goed begin..

Een firewall en/of proxy lijkt me dan een betere keuze, of ik begrijp je totaal verkeerd.

Wat we in principe willen is dat een laptop die binnen wordt gebracht door een 'klant' omdat er een virus opzit niet direct het internet op kan.

Als we dus een WEP key gebruiken moet deze eerst ingevoerd worden voordat deze laptop dus het internet op kan, dan hebben we alle tijd om het virus rustig te verwijderen.

maandag 24 mei 2004 19:35

Acties:

Gé Brander

MS SQL Server

Inderdaad, en het zou geen verkeerde zet zijn om het LAN voor de klantenpc's te scheiden van het bedrijfslan...

Vroeger was alles beter... Geniet dan maar van vandaag, morgen is alles nog slechter!

maandag 24 mei 2004 19:40

Acties:

Verwijderd

soc schreef op 24 mei 2004 @ 19:34:
Wat we in principe willen is dat een laptop die binnen wordt gebracht door een 'klant' omdat er een virus opzit niet direct het internet op kan.

Als we dus een WEP key gebruiken moet deze eerst ingevoerd worden voordat deze laptop dus het internet op kan, dan hebben we alle tijd om het virus rustig te verwijderen.

In dat geval is een WEP sleutel een leuk begin inderdaad, maar eigenlijk nauwelijks genoeg... WEP is niet echt secure te noemen. Wil je het al meer secure, dan zou ik er een firewall met een vorm van authenticatie tussen zetten.

Inderdaad, en het zou geen verkeerde zet zijn om het LAN voor de klantenpc's te scheiden van het bedrijfslan...

Dat is nooit onverstandig uiteraard, maar lijkt me niet echt nodig.. als ik TS goed begrijp, gaat het er hier om dat klanten laptops inleveren bij het personeel en dat daarna het personeel er mee moet kunnen internetten. Voordat de laptop terug gaat naar de klant haal je 'm uit de lijst met toegestane PC's, en kan de klant dus nooit op het bedrijfslan komen.

Een ander punt is natuurlijk wel dat het niet echt handig is om je bedrijfslan wireless aan te bieden zonder beveiliging (wat nu blijkbaar gebeurd) of met alleen WEP.

[ Voor 38% gewijzigd door Verwijderd op 24-05-2004 19:42 ]

maandag 24 mei 2004 20:15

Acties:

hessel

waarom geen 2 access points...

1. met web en alle poorten open voor het bedrijfs netwerk

2. zonder web en met een router waar alleen de minimale poorten open staan en verder gescheiden van het bedrijfs netwerk.

Grutte Pier fansels

donderdag 27 mei 2004 13:41

Acties:

Verwijderd

Wep & Mac controle is een geinig begin om de security iets op te hogen, maar het is geen (goede) beveiliging. Sterker nog het vraagt ietswat tijd, maar is gewoon hackbaar.

Wat meer beveiliging zou zijn is achter je open Accesspoint een VPN te zetten. Iedereen moet dan een secure verbinding maken om je netwerk op te kunnen. Dat is een goedkope oplossing om je netwerk serieuzer te beveiligen als je niet te veel geld hieraan wilt uitgeven.