+ Responder ao Tópico



  1. #1

    Padrão 3G plugado na rede local: Um grande problema

    Pessoal, o título diz tudo, como controlar o uso da conexão 3G na rede local.

    Vale lembrar que o problema é o da segurança, ou seja, quando alguém pluga um 3G na rede local, existe a possibilidade da comunicação com o "mundo externo" sem passar pelos controles de segurança locais e vice-versa. Dessa forma, é possível por exemplo, um invasor estabelecer uma conexões diretamente nessa estação através do 3G, e após isso ter acesso a rede local.

    Primeiramente gostaria de saber se alguém de vocês passa ou já passou por esse problema, e como resolveu a situção?

    Minha necessidade:

    - Quando ativar 3G, desativar rede local;

    Possibilidades:

    - Active Directoy está implementado na rede, é possível por ele?

    Qualquer comentário e sugestão será bem-vinda.

    Abraço

  2. #2

    Padrão

    Cara, se as tuas máquinas estão em um domínio, tenta ver pelas GPO se bloquear o uso das USB te adianta. Senão, se já for win2003r2 ou superior, tem a tal da NAP que talvez faça isso.



  3. #3

    Padrão

    Citação Postado originalmente por rogfanther Ver Post
    Cara, se as tuas máquinas estão em um domínio, tenta ver pelas GPO se bloquear o uso das USB te adianta. Senão, se já for win2003r2 ou superior, tem a tal da NAP que talvez faça isso.
    Valeu Rogfanther!

    Parece que vai ser necessário primeiro aplicar o EAP-TLS com o IAS para impedir que qualquer máquina desconhecida plugue na rede e já tenha autorização. Desta forma, quando por exemplo um usuário trouxer seu notebook de casa e plugar na rede, somente receberá o IP do DHCP e também permissão para continuar na rede, se realizar a autenticação (AD) que será solicitada.

    Após aplicada a solução acima, precisaremos apenas impedir a instalação e execução de discadores 3G.

    Novas sugestões por ai pessoal ?

    Abraço

  4. #4

    Padrão

    Bom, eu proibiria trazer notebook de casa e ligar na rede da empresa, e também proibiria e faria o povo assinar um termo de responsabilidade de que não usariam modems 3G e discadores nos micros. Infratores seriam punidos. Mas a gente sabe que a gerência sempre quer que o pessoal de TI ache soluções milagrosas pra eles não terem que resolver problemas de comportamento dos funcionários....

    Se o cara traz o notebook dele de casa, não tem muito que você possa fazer pra impedir um discador 3G no notebook, ou o modem 3G... Nos micros que você tem controle, bloqueia a capacidade de instalar programas ( ou os usuários precisam poder instalar coisas ?
    )



  5. #5

    Padrão

    Citação Postado originalmente por rogfanther Ver Post
    Bom, eu proibiria trazer notebook de casa e ligar na rede da empresa, e também proibiria e faria o povo assinar um termo de responsabilidade de que não usariam modems 3G e discadores nos micros. Infratores seriam punidos. Mas a gente sabe que a gerência sempre quer que o pessoal de TI ache soluções milagrosas pra eles não terem que resolver problemas de comportamento dos funcionários....

    Se o cara traz o notebook dele de casa, não tem muito que você possa fazer pra impedir um discador 3G no notebook, ou o modem 3G... Nos micros que você tem controle, bloqueia a capacidade de instalar programas ( ou os usuários precisam poder instalar coisas ?
    )
    Esse seria o mundo ideal, rogfanther...

    No caso em discussão, a empresa comprou os notebooks mais seus respecitivos 3Gs para executar trabalhos móveis específicos. Ou seja, é uma necessidade. Só que essa necessidade e a solução aplicada (não tivemos alternativas) gera uma brecha na segurança caso não sejam aplicadas novas diretivas.

    Possibilidades

    - Vale lembrar que o dispositivo 3G é de fácil conexão e desconexão do USB, ou seja, o usuário pode muito bem pegar seu 3G e conectar até mesmo nos PCs estações de trabalho que também estão conectado na rede local.

    - O usuário também pode trazer seu notebook PESSOAL, conectar o 3G e ainda conectar também na rede local da empresa (seu notebook PESSOAL não possui configurações de domínio).

    Por isso, o primeiro passo é aplicar a solução EAP-TLS com o IAS para que qualquer conexão na rede, que esteja fora do domínio (Active Directory), seja solicitado autenticação para poder receber IP e trafegar normalmente.

    O segundo passo é bloquear a instalação e execução de discadores (respondendo sua pergunta: SIM, Active Directory).

    Ou seja, todo e qualquer computador que conectar um cabo na rede lógica será obrigado a se autenticar no domínio, recebendo as políticas de segurança (inclusive a não instalação e execução dos discadores 3G). Dessa forma, ou o usuário fica fora do domínio, utilizando seu 3G, ou conecta na rede local e fica sem a conexão 3G.

    Abraço

  6. #6

    Padrão

    É, acho que você pode tentar fazer assim.

    Não sei se a sua situação permite, mas não seria possível travar bem os notebooks da empresa, para que os usuários não possam mudar o software nem adicionar coisas, e impedir que micros que não sejam da empresa trafeguem pela rede ? Tipo, algo bloqueado no switch , ou cadastro dos MACs ?



  7. #7

    Padrão

    Citação Postado originalmente por rogfanther Ver Post
    É, acho que você pode tentar fazer assim.

    Não sei se a sua situação permite, mas não seria possível travar bem os notebooks da empresa, para que os usuários não possam mudar o software nem adicionar coisas, e impedir que micros que não sejam da empresa trafeguem pela rede ? Tipo, algo bloqueado no switch , ou cadastro dos MACs ?
    Rogfanther, é exatamente o que te expliquei em diversas linhas na resposta anterior.

    Até.

  8. #8

    Padrão

    Na verdade, você disse que vai fazer autenticação no AD, pra forçar que tenha sido aplicadas as policies pra navegar pela rede. O que eu proponho é que você não permita que máquinas que não pertencem à empresa ( notebook pessoal do sujeito,o celular dele, etc ) acessem a rede, de jeito nenhum, e que as máquinas da empresa sejam draconianamente bloqueadas para que o usuário delas não consiga instalar o discador ou qualquer outro software por falta de permissões.



  9. #9

    Padrão

    Citação Postado originalmente por rogfanther Ver Post
    Na verdade, você disse que vai fazer autenticação no AD, pra forçar que tenha sido aplicadas as policies pra navegar pela rede. O que eu proponho é que você não permita que máquinas que não pertencem à empresa ( notebook pessoal do sujeito,o celular dele, etc ) acessem a rede, de jeito nenhum, e que as máquinas da empresa sejam draconianamente bloqueadas para que o usuário delas não consiga instalar o discador ou qualquer outro software por falta de permissões.
    Obrigado rogfanther.

    Por isso, o primeiro passo é aplicar a solução EAP-TLS com o IAS para que qualquer conexão na rede, que esteja fora do domínio (Active Directory), seja solicitado autenticação para poder receber IP e trafegar normalmente.

    O segundo passo é bloquear a instalação e execução de discadores (respondendo sua pergunta: SIM, Active Directory)
    Outras alternativas serão bem-vindas.