Блокировка "левых" ноутов в ЛВСе. КАК?

Для любителей просто поболтать

Блокировка "левых" ноутов в ЛВСе. КАК?

Сообщение Музалёв Николай » 23 июл 2009, 13:19

Уважаемые коллеги!
Если кто вспомнит, что этот вопрос - из серии моих деЖавю, то не ругайте меня сильно: в течении длит. времени у нас происходит борьба бобра с ослом и приходится время от времени возвращаться к одному и тому же.

Дело в след. - начальство наконец плотно село на белого коня: блокируй подключение левых ноутов к корпоративной сети.

(попытки объяснить, что такая организация доступа в нашей богодельне только навредит за счёт существенного усложнения наших внутренних процедур не принимаются.

Судя по всему оно реально готово вложить дурные деньги в неудачную идею.

Тем не менее - задание получено.

Так вот, блокировать доступ им надо не только в NW сети (что в приципе возможно), но блокируй им вообще ВСЮ СЕТЕВУЮ активность .

Потому обращаюсь за помощью:
-если у кого такая блокировка (или аларм, как альтернатива) реализовано, то не откажитесь проконсультировать подробно

- если кто видел форум, на котором обсуждались бы не общие посылки (типа пользуй РАДИУС и тд), а конкретные внедрённые проекты с техническими подробностями - не откажите в ссылке

- если есть какие неожиданные мысли - то и не стесняйтесь.

Спасибо.
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3027
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Сообщение Юрий Беляков » 23 июл 2009, 13:47

По хорошему - http://www.cnews.ru/reviews/free/softwa ... /nac.shtml

Тестировали решения, но до внедрения у клиента не дошло - достаточно дорого.


По простому - контроль портов коммутаторов, привязка по MAC.
Аватара пользователя
Юрий Беляков
 
Сообщения: 628
Зарегистрирован: 31 май 2002, 11:46
Откуда: Екатеринбург

Сообщение Андрей Тр. aka RH » 23 июл 2009, 15:26

Музалёв Николай писал(а):- если кто видел форум, на котором обсуждались бы не общие посылки (типа пользуй РАДИУС и тд), а конкретные внедрённые проекты с техническими подробностями - не откажите в ссылке

Собирался сказать "РАДИУС", но дочитал до нужного места - всё равно теперь скажу РАДИУС ( конечно, как один из вариантов ). У нас в корпоративке на нём основана беспроводная сеть - Smoothwall, Freeradius и OpenSSL заточены напильником ( не мной ) под нужную конфигурацию. На клиентские ноуты ставятся сертификаты, без них не получить IP по DHCP. Сильно подробнее, к сожалению, не расскажу.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Музалёв Николай » 23 июл 2009, 17:53

Спасибо, Юрий.
Спасибо Андрей.

Пока посмотрим, что есть по статье

Про "сертификаты" (реальные или якорные файлы) - была задумка, но такое решение предполагает наём достаточно крутого системного программиста и влезание его на относительно большую глубину системы...

Так что пока этот вариант держится вторым эшелоном.
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3027
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Сообщение Иван Иванов » 24 июл 2009, 03:07

А привязка по макам (например статические АРП таблицы на маршрутизаторе) или блокировка портов по маку на умных свитчиках не подойдет? +контроль сети каким-то сканером в реальном времени для умников меняющих маки.
Иван Иванов
 
Сообщения: 448
Зарегистрирован: 19 апр 2004, 14:02

Сообщение Сергей.М. » 24 июл 2009, 06:11

Николай. Ключевое слово, которое позволит Вам красиво блокировать или предоставлять ограниченный доступ к ресурсам Вашей сети партнеров, заказчиков, гостей и т.д. - NAC. Правда решение очень не бюджетное. Во всяком случаи от Cisco. Начинали заниматься этим вопросом, но все затормозилось, в связи с кризисом. Аналогичные решения есть естественно и у других крупных вендоров, но не думаю, что цены будут сильно отличаться. Так что здесь выбирайте в соответствии с политикой вашей компании.
Аватара пользователя
Сергей.М.
 
Сообщения: 181
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Музалёв Николай » 24 июл 2009, 16:15

блокировка портов по маку на умных свитчиках не подойдет?

Ребята, наверное я был недостаточно чёток, потому повторю: сволота наладилась приносить в богодельню СВОИ ноуты и ставит их НА МЕСТО рабочих ПК. И работает на этих ноутах типа штатно, но на лево

Что и надо заблокировать.

Естественно, что если настроить сеть типа "с этого порта пускать только ПК вот с таким МАКом", то это будет не защита , а филькина грамота: тайну (к чему привязывается защита) удержать не получится --у нас в конторе всё секрет, да ничего не тайна-- и малыши просто начнут устанавливать у своих ноутов такие же МАКи, как и на рабочих машинах.

И "левые работы" будут продолжаться: у нас корпоративное ПО привязано к логину пользователя в Дереве.

А про NAC можно поподробнее ?
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3027
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Сообщение Walery » 25 июл 2009, 00:40

В принципе что-то другое, кроме NAC, тут придумать сложно

Сергей.М. писал(а):Николай. Ключевое слово, которое позволит Вам красиво блокировать или предоставлять ограниченный доступ к ресурсам Вашей сети партнеров, заказчиков, гостей и т.д. - NAC. Правда решение очень не бюджетное.


А вот насчет бюджетности - никто не пробовал вещи типа: http://www.packetfence.org , http://freenac.net или http://netpass.sourceforge.net ?
Walery
 
Сообщения: 64
Зарегистрирован: 17 мар 2005, 15:54
Откуда: Киев

Сообщение Стогов Кирилл » 09 сен 2009, 21:40

Через неделю начну внедрять в одном веселом проекте
Cisco Secure Access Control Server (ACS) 4.2

Ох, конкретный будет $екс, безудержный... еще и два сервера дублирующих друг друга. И почему я такой жадный? Мог ведь отказаться.

Короче, после получения удовлетворения буду готов ответить на вопросы.

Кстати сей софт под серверную Винь можно скачать бесплатно в виде 60-ти дневного триала.
Стогов Кирилл
 
Сообщения: 368
Зарегистрирован: 10 июн 2002, 14:11
Откуда: СПб

Сообщение Timur Kazimirov » 10 сен 2009, 02:59

Стогов Кирилл писал(а):Cisco Secure Access Control Server (ACS) 4.2

Ох... Как вспомню недавние интимные отношения с этим чудом... В общем-то оно работает, но требует железной дисциплины и строжайшей аккуратности при составлении и изменении политик - положить напрочь всю сеть можно шевелением мыши в руках администратора, а вот поднять ее...
Timur Kazimirov
 
Сообщения: 1153
Зарегистрирован: 10 фев 2004, 09:56
Откуда: Южно-Сахалинск

Сообщение Сергей.М. » 10 сен 2009, 06:31

Что то уважаемые коллеги паникуют заранее. Используем пару серверов (основной-резервный) с этим софтом, правда версии 3.2, уже несколько лет. Назанчение - аутентификация/авторизация доступа персонала на активное сетевое оборудование, диалап пользователей, пользователей Remote Access VPN (как с использованием сертификатов, так и по логину/паролю). Разворачивал это все мой коллега, один. В дальнейшем остальные сотрудники отдела используют данную систему без какой либо специальной подготовки. Если честно, то за это время никаких проблем и трудностей не возникало. В силу загруженности другими делами, ну и лени естесственно :-), я даже не удосужился почитать документацию на это ПО. Думали обновиться до последней версии, но в силу всем известных причин, пока отложили до лучших времен.
Аватара пользователя
Сергей.М.
 
Сообщения: 181
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Музалёв Николай » 10 сен 2009, 11:27

внедрять в одном веселом проекте ..... ACS 4.2


А это чистое ПО-решение? или надо ставить доп. аппаратуру?

Для какой платформы? (свичи в большинстве поддерживаются или только для определённого производителя?)
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3027
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Сообщение Сергей.М. » 11 сен 2009, 06:50

Музалёв Николай писал(а):
внедрять в одном веселом проекте ..... ACS 4.2


А это чистое ПО-решение? или надо ставить доп. аппаратуру?

Для какой платформы? (свичи в большинстве поддерживаются или только для определённого производителя?)


Смотря что брать хотите. Есть Cisco Secure Access Control System. Это аппаратно-программный комплекс с версией софта 5.0. А есть Cisco Secure Access Control Server for Windows. Это ПО версии 4.2, которое ставится на windows - сервера.

ПО включает в себя поддержку протоколов TACACS+ и RADIUS, поддержку LDAP и прочие функции применяемые при процедурах ААА. Имеется некоторый встроенный инструментарий анализа мониторинга и аккаунтинга.
Если необходимы более продвинутые функции мониторинга, траблешутинга, планирования и отчетности, то существует дополнительный продукт для этих целей - Cisco Secure Access Control Server View.
Аватара пользователя
Сергей.М.
 
Сообщения: 181
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Музалёв Николай » 14 сен 2009, 14:06

Это ПО версии 4.2, которое ставится на windows - сервера.

А принцип функционирования?
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3027
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Сообщение Мещеряков Андрей » 14 сен 2009, 22:23

Николай, вот читаю и радуюсь.. :) А почему собстно, выполнять левую работу можно только на левом ноутбуке? Руль у них с другой стороны? :D Что помешает этим...э.. малышам заняться этой работой на штатных станциях? Зачем такой сложный огород?
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

След.

Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1