how to block unauthorized workstation ???

[pandanvn]

Hi,
-Cho mình hỏi là có cách nào để block 1 worstation không được authorize access vào network không vậy. Ví dụ như một người đem máy ở ngòai vào sẽ không vào được network của công ty,sẽ không thấy được bất cứ network resource hay workstation nào của công ty hết.
-giải pháp dùng switch-port security của cisco sw là phá sản rùi,tại vì bên mình dùng nhiều loại switch từ hi-end cho tới low-end switch đều có hết
Thanks

[ldakvn1]

NAC - Network Access Control. Khối giải pháp, bác chịu khó search trên mạng, có điều chi phí không happy lắm ah vì nó đòi hỏi nhiều solution liên kết lắm.

[vnpro]

Cai to nghi don gian nhat la fix port phan VLAN va dua tren MAC de lam viec...la ok thoi....
Minh dua vao Access List ma security thi se duoc thoi....

Con pac nao co y hay hon cho minh tham khao voi nhe...

-----------------------------------------------
Cai ma the gioi Loai Nguoi luon di tim......do la phai di tim 1 con nguoi
Con toi cang di tim chinh minh ...thi lai cang ko tim thay chinh minh vay nhi??

[camaptrang]

Cai to nghi don gian nhat la fix port phan VLAN va dua tren MAC de lam viec...la ok thoi....
Minh dua vao Access List ma security thi se duoc thoi....

Con pac nao co y hay hon cho minh tham khao voi nhe...

-----------------------------------------------
Cai ma the gioi Loai Nguoi luon di tim......do la phai di tim 1 con nguoi
Con toi cang di tim chinh minh ...thi lai cang ko tim thay chinh minh vay nhi??

Các bác sắp bị đuổi việc rồi, bời tớ vừa "bị một new trên vnpro cho nghĩ việc" vì dựa vào MAC Filter + WPA + Password để bảo vệ cái hệ thống của tớ hu hu hu ... chứ tớ biết dựa vào cái gì khác hơn nhỉ ?
Con chuyện các bác thì tớ cũng nói thật là chỉ còn các làm sao để filter MAC thôi, vì giữa Server và Client nhận nhau qua MAC NIC kia mà.
Còn giải pháp ngoài lề đó là bác viết một program : Server client, khi máy muốn vào đến phần login thì trước tiên phải cài client để trên server nhận dạng, và nhận dạng thông qua thông số HARD mà bác lưu trên server luôn, bởi khi đó bác có thể dựa vào thông số ID CPU để chứng thực cho phép logon vào.

[pandanvn]

-uhm chỉ còn cách sài MAC filter là được nhất nhưng phải thuyết phục sếp đầu tư vào thiết bị. Nhân tiện cho mình hỏi có dòng sản phẩm nào ngòai cisco catalyst có chức năng MAC filter không vậy ??
-Hiện giờ mình đang sài AD. Nhưng nếu mà một ai đó trong cty để lộ AD account và guest của cty biết được acc đó thì dù cho máy của guest ko join vào domain thì vẫn sài được các shared resource.Vậy có giải pháp nào để giải quyết những trường hợp như vậy không (ngọai trừ giải pháp sử dụng MAC filter ở trên).
-Mình đang ngâm kíu giải pháp chứng thực = AAA dùng IAS trong Windows như là 1 RADIUS server. Nhưng mình còn thắc mắc cái vụ này: nếu workstation ko bỏ qua bước chứng thực (bỏ fần cấu hình trong LAN card dùng để chứng thực = IAS) thì WS cũng có thể access vào các WS, shared resource khác trong LAN phải không ???Có bro nào đang triển khai mấy cái vụ này cho em xin ý kiến với.
thanks

[camaptrang]

-uhm chỉ còn cách sài MAC filter là được nhất nhưng phải thuyết phục sếp đầu tư vào thiết bị. Nhân tiện cho mình hỏi có dòng sản phẩm nào ngòai cisco catalyst có chức năng MAC filter không vậy ??
-Hiện giờ mình đang sài AD. Nhưng nếu mà một ai đó trong cty để lộ AD account và guest của cty biết được acc đó thì dù cho máy của guest ko join vào domain thì vẫn sài được các shared resource.Vậy có giải pháp nào để giải quyết những trường hợp như vậy không (ngọai trừ giải pháp sử dụng MAC filter ở trên).
-Mình đang ngâm kíu giải pháp chứng thực = AAA dùng IAS trong Windows như là 1 RADIUS server. Nhưng mình còn thắc mắc cái vụ này: nếu workstation ko bỏ qua bước chứng thực (bỏ fần cấu hình trong LAN card dùng để chứng thực = IAS) thì WS cũng có thể access vào các WS, shared resource khác trong LAN phải không ???Có bro nào đang triển khai mấy cái vụ này cho em xin ý kiến với.
thanks

Mình nghĩ là bạn có thể tìm kiếm các thiết bị này ngoài Cisco được, để mình thử hỏi anh bạn mình chính xác loại nào, mình cũng đang có một thằng nhưng mua cũng 2800 rồi.

[net123]

-uhm chỉ còn cách sài MAC filter là được nhất nhưng phải thuyết phục sếp đầu tư vào thiết bị. Nhân tiện cho mình hỏi có dòng sản phẩm nào ngòai cisco catalyst có chức năng MAC filter không vậy ??
-Hiện giờ mình đang sài AD. Nhưng nếu mà một ai đó trong cty để lộ AD account và guest của cty biết được acc đó thì dù cho máy của guest ko join vào domain thì vẫn sài được các shared resource.Vậy có giải pháp nào để giải quyết những trường hợp như vậy không (ngọai trừ giải pháp sử dụng MAC filter ở trên).
-Mình đang ngâm kíu giải pháp chứng thực = AAA dùng IAS trong Windows như là 1 RADIUS server. Nhưng mình còn thắc mắc cái vụ này: nếu workstation ko bỏ qua bước chứng thực (bỏ fần cấu hình trong LAN card dùng để chứng thực = IAS) thì WS cũng có thể access vào các WS, shared resource khác trong LAN phải không ???Có bro nào đang triển khai mấy cái vụ này cho em xin ý kiến với.
thanks

Mình nghĩ quan trọng là do pilicy thôi. Nếu bạn chỉ cung cấp cho user những quyền cần thiết (không thừa, không thiếu) thì khi có những trường hợp xấu xảy ra sẽ đỡ thiệt hại hơn. (hơi lý thuyết một chút nhưng mình nghĩ nó rất quan trọng phải không? ). Chẳng hạn, bạn chỉ cho user truy cập vào domain với những quyền tối cần thiết (như sử dụng các chương trình ứng dụng, share các tài liệu trong thư mục nào, được phép lưu tài liệu quan trọng vào thư mục nào trên server, không có quyền cài đặt chương trình trên máy local...) và user name & pass trên local thì admin phải là người nắm giữ.Như vậy thì user chỉ được phép làm những việc trong phạm vi quyền hạn của họ thôi. Và điều quan trọng hơn hết theo mình nghĩ là chính sách về con người (cái này là khó nhất ). Chứ thiết bị có tối tân, phần mềm có config tốt cỡ nào mà trong nội bộ nhân viên không ổn thì cũng bó tay!
Đôi dòng chia sẻ, mong mọi người góp thêm ý kiến!

[ldakvn1]

Các bác chịu khó đọc ISO gì ý nhỉ, sẽ thấy cần thiêt phải secure đến tận end physical devices, cho nên mấy phần các bác nêu chỉ giải quyết phần ngọn hà, còn phần gốc chắc chưa đủ.

[kindly_man]

Hi,
-Cho mình hỏi là có cách nào để block 1 worstation không được authorize access vào network không vậy. Ví dụ như một người đem máy ở ngòai vào sẽ không vào được network của công ty,sẽ không thấy được bất cứ network resource hay workstation nào của công ty hết.
-giải pháp dùng switch-port security của cisco sw là phá sản rùi,tại vì bên mình dùng nhiều loại switch từ hi-end cho tới low-end switch đều có hết
Thanks

Nếu LAN dùng domain, default thì WS cũng không làm gì được với tài nguyên của LAN cả, WS chỉ dùng được internnet cũng là ân huệ rồi.

Bạn nào có ISO về quản lý mạng không nhỉ ? share mình xem co gì hay không ?

[net123]

Nếu LAN dùng domain, default thì WS cũng không làm gì được với tài nguyên của LAN cả, WS chỉ dùng được internnet cũng là ân huệ rồi.

Bạn nào có ISO về quản lý mạng không nhỉ ? share mình xem co gì hay không ?

Bạn xem link này nè: http://vnpro.org/forum/showthread.php?t=9916