Pessoal, o título diz tudo, como controlar o uso da conexão 3G na rede local.
Vale lembrar que o problema é o da segurança, ou seja, quando alguém pluga um 3G na rede local, existe a possibilidade da comunicação com o "mundo externo" sem passar pelos controles de segurança locais e vice-versa. Dessa forma, é possível por exemplo, um invasor estabelecer uma conexões diretamente nessa estação através do 3G, e após isso ter acesso a rede local.
Primeiramente gostaria de saber se alguém de vocês passa ou já passou por esse problema, e como resolveu a situção?
Minha necessidade:
- Quando ativar 3G, desativar rede local;
Possibilidades:
- Active Directoy está implementado na rede, é possível por ele?
Qualquer comentário e sugestão será bem-vinda.
Abraço
-
11-08-2009, 11:48 #1
- Ingresso
- Sep 2002
- Posts
- 275
3G plugado na rede local: Um grande problema
-
12-08-2009, 09:45 #2
- Ingresso
- Mar 2009
- Localização
- Curitiba - PR
- Posts
- 351
Cara, se as tuas máquinas estão em um domínio, tenta ver pelas GPO se bloquear o uso das USB te adianta. Senão, se já for win2003r2 ou superior, tem a tal da NAP que talvez faça isso.
-
12-08-2009, 10:36 #3
- Ingresso
- Sep 2002
- Posts
- 275
Valeu Rogfanther!
Postado originalmente por rogfanther
Parece que vai ser necessário primeiro aplicar o EAP-TLS com o IAS para impedir que qualquer máquina desconhecida plugue na rede e já tenha autorização. Desta forma, quando por exemplo um usuário trouxer seu notebook de casa e plugar na rede, somente receberá o IP do DHCP e também permissão para continuar na rede, se realizar a autenticação (AD) que será solicitada.
Após aplicada a solução acima, precisaremos apenas impedir a instalação e execução de discadores 3G.
Novas sugestões por ai pessoal ?
Abraço
-
12-08-2009, 22:18 #4
- Ingresso
- Mar 2009
- Localização
- Curitiba - PR
- Posts
- 351
Bom, eu proibiria trazer notebook de casa e ligar na rede da empresa, e também proibiria e faria o povo assinar um termo de responsabilidade de que não usariam modems 3G e discadores nos micros. Infratores seriam punidos. Mas a gente sabe que a gerência sempre quer que o pessoal de TI ache soluções milagrosas pra eles não terem que resolver problemas de comportamento dos funcionários....
Se o cara traz o notebook dele de casa, não tem muito que você possa fazer pra impedir um discador 3G no notebook, ou o modem 3G... Nos micros que você tem controle, bloqueia a capacidade de instalar programas ( ou os usuários precisam poder instalar coisas ?
)
-
12-08-2009, 23:03 #5
- Ingresso
- Sep 2002
- Posts
- 275
Esse seria o mundo ideal, rogfanther... Postado originalmente por rogfanther
No caso em discussão, a empresa comprou os notebooks mais seus respecitivos 3Gs para executar trabalhos móveis específicos. Ou seja, é uma necessidade. Só que essa necessidade e a solução aplicada (não tivemos alternativas) gera uma brecha na segurança caso não sejam aplicadas novas diretivas.
Possibilidades
- Vale lembrar que o dispositivo 3G é de fácil conexão e desconexão do USB, ou seja, o usuário pode muito bem pegar seu 3G e conectar até mesmo nos PCs estações de trabalho que também estão conectado na rede local.
- O usuário também pode trazer seu notebook PESSOAL, conectar o 3G e ainda conectar também na rede local da empresa (seu notebook PESSOAL não possui configurações de domínio).
Por isso, o primeiro passo é aplicar a solução EAP-TLS com o IAS para que qualquer conexão na rede, que esteja fora do domínio (Active Directory), seja solicitado autenticação para poder receber IP e trafegar normalmente.
O segundo passo é bloquear a instalação e execução de discadores (respondendo sua pergunta: SIM, Active Directory).
Ou seja, todo e qualquer computador que conectar um cabo na rede lógica será obrigado a se autenticar no domínio, recebendo as políticas de segurança (inclusive a não instalação e execução dos discadores 3G). Dessa forma, ou o usuário fica fora do domínio, utilizando seu 3G, ou conecta na rede local e fica sem a conexão 3G.
Abraço
-
12-08-2009, 23:47 #6
- Ingresso
- Mar 2009
- Localização
- Curitiba - PR
- Posts
- 351
É, acho que você pode tentar fazer assim.
Não sei se a sua situação permite, mas não seria possível travar bem os notebooks da empresa, para que os usuários não possam mudar o software nem adicionar coisas, e impedir que micros que não sejam da empresa trafeguem pela rede ? Tipo, algo bloqueado no switch , ou cadastro dos MACs ?
-
12-08-2009, 23:53 #7
- Ingresso
- Sep 2002
- Posts
- 275
Rogfanther, é exatamente o que te expliquei em diversas linhas na resposta anterior. Postado originalmente por rogfanther
Até.
-
13-08-2009, 09:16 #8
- Ingresso
- Mar 2009
- Localização
- Curitiba - PR
- Posts
- 351
Na verdade, você disse que vai fazer autenticação no AD, pra forçar que tenha sido aplicadas as policies pra navegar pela rede. O que eu proponho é que você não permita que máquinas que não pertencem à empresa ( notebook pessoal do sujeito,o celular dele, etc ) acessem a rede, de jeito nenhum, e que as máquinas da empresa sejam draconianamente bloqueadas para que o usuário delas não consiga instalar o discador ou qualquer outro software por falta de permissões.
-
13-08-2009, 09:27 #9
- Ingresso
- Sep 2002
- Posts
- 275
Obrigado rogfanther. Postado originalmente por rogfanther
Outras alternativas serão bem-vindas.Por isso, o primeiro passo é aplicar a solução EAP-TLS com o IAS para que qualquer conexão na rede, que esteja fora do domínio (Active Directory), seja solicitado autenticação para poder receber IP e trafegar normalmente.
O segundo passo é bloquear a instalação e execução de discadores (respondendo sua pergunta: SIM, Active Directory)
Citação