Seguridad en la red

[rual69]

Buenas a todos!!

Trabajo en una empresa en la que nos estamos encontrando con un problema, y quizás vosotros ya os habéis encontrado con esto.

Nuestra empresa consta de unos 1000 pc's, los cuáles están divididos por subredes "VLAN's", el problema que tenemos es que hay gente que coge sus pc's de casa y los conecta directamente, con lo cuál, nuestro servidor de DHCP les da ip y la gente se conecta sin tener antivirus corporativo, sin estar en dominio....
El DHCP tiene que estar habilitado en algunas de la subredes ya que los pc's son máquinas virtuales que cogen IP ellas solas.

Alguien sabe algún método, o algún software, para poder controlar la gente que se conecta, o simplemente, que para poder utilizar internet necesiten alguna clave o algo??

Muchas gracias de antemano!!!

Saludos!!

[ThonyMaster]

deberían colocar filtrado de mac address con eso resolvería tu problema solo se podrán conectar las pc cuya mac address este en su base datos de la empresa. eso pueden hacerlo ya que trabaje una ves en una institución universitaria donde había que hacer eso.. y también había una cantidad considerable de pcs..!

[int_0x40]

Por pura curiosidad ¿qué esquema de VLAN usan, dinámico? Además ¿lo que quieres es que no accedan los usuarios mediante sus propios equipos a la red o que de ésta tengan salida? Te lo pregunto poque eso se debió de haber previsto con unas políticas y modelo de control de acceso desde un principio cuando se diseñó. Ahora para mí la opción más viable es que consultes con tus superiores la posibilidad de implementar una nueva política para los accesos vía cable (control de jacks) o vía inalámbrica (control de APs inalámbricos). Si lo que quieres es un control centralizado vía login, la mejor opción podría ser implementar un NOS que se encargue de asignar todos los recursos de la red a las estaciones. Obviamente eso sería mucho trabajo y tal vez sería difícil de realizar. Igual lo de un filtrado mediante direcciones físicas, pues necesitarías identificar de cada uno de los hosts autorizados su MAC y llevar un registro. Otra opción es solo dejar DHCP en los segmentos que realmente se necesite y lo demás asignación estática (UUUG).

¿Qué apoyo tendrías de tus superiores para implementar una política de cero tolerancia?

Saludos.

[hevichu]

Hola.
Has pensado en configurar un NAC en la red?
Antes de autenticarse en la red el sistema puede controlar versión de OS, parches aplicados, versión de Antivirus, etc...y le asigna la VLAN de usuario/invitado.
Es un sistema tán potente como caro  
Otra idea es autenticación 802.1x por dirección mac vía RADIUS, pero es bastante pesado de gestionar, igual que asociar la IP en el DHCP para cada mac.
Lo más sencillo y rápido es bloquear los puertos de red no utilizados y usar seguridad por puerto, aunque eso también depende de la política de seguridad de la empresa y/o dirección.
Los firewalls actuales tienen la función proxy-services por la que solicitan credenciales de acceso cuando una IP intenta establecer una conexión a través de ellos (para determinados tipos de tráfico, de entre ellos http). En caso que no autentique no permite la conexión, pro lo que no navegan.

Saludos.

[xklib8u2r]

En principio configuraría el proxy con autenticación (quiero creer que es algo que ya existe en la red) , ya sea contra el AD o lo que sea.
Después pensaría en implementar 802.1x con asignación de vlans dinámicas, control de políticas corporativas como antivirus, SO, parches, apps varias y demases yerbas.

Filtrar por MAC en una red tan grande es un suicidio, lo mismo que autenticar MACs vía radius.

Slds.