We hebben een servernetwerk met een Windows 2003 server. Gebruikers kunnen hun eigen computer in de muur inpluggen en van onze internetverbinding gebruik maken (ze krijgen automatisch een dynamisch adres toegewezen). Is het mogelijk om er bijvoorbeeld te zorgen dat externe computers geen ip-adres krijgen. Of op een andere manier te voorkomen dat ze ook maar iets van ons netwerk kunnen gebruiken.
Netwerkbeveiliging tegen externe computers.
- Onderwerp starter Sven19
- Startdatum
- Status
Als je een domain hebt kunnen ze niet zomaar in loggen ze hebben gebruikersnaam en wachtwoord nodig om in t e loggen.
Je zou ook kunnen kijken bij de group policy. een groep gebruikers loggen in jouw domain en hebben internet en andere groop gebruikers kunnen helemaal niet internetten.
Je zou ook kunnen kijken bij de group policy. een groep gebruikers loggen in jouw domain en hebben internet en andere groop gebruikers kunnen helemaal niet internetten.
Daar zijn meerdere oplossingen voor te bedenken.
Je kan bijvoorbeeld een proxy-server inzetten, bijvoorbeeld isa 2004, en laten controleren op een domain-account. Dan kunnen ze wel inloggen, met hun domain-account, dus kan je het al iets beperken. Maar dan kan je wel gaan loggen ... en degene aanspreken die schuldig is, het is dan namelijk zijn/haar account
Ik denk trouwens dat ISA ook wel mogelijkheden biedt om computerniveau te filteren, maar zover ben ik nog niet in het boek
Een andere optie is werken met gereserveerde ip-addressen voor de legitieme pc's, en dan met dhcp een aparte reeks laten toewijzen, dan kunnen ze wel eventueel het netwerk op, maar dan kan je op de internet-verbinding filteren op die ip-reeks. Of desnoods ook met een proxy-server.
Als je ze helemaal niet op je netwerk wilt, dan is het de beste oplossing om meteen ze niet op het netwerk toe te laten. Maar de manieren hoe je dat kan aanpakken zijn verschillend bij verschillende netwerkgroottes
Op een klein netwerk kan je bijvoorbeeld op iedere switchpoort instellen welk mac-adres (welke pc dus) toegang heeft tot die poort. Een andere computer erop krijgt dus geen netwerkverbinding. Dit is iets te vereenvoudigen ... sommige switches laten zich ook instellen dat ze alleen toegang geven tot het eerste mac-adres dat toegang verkrijgt. Moet je natuurlijk wel zorgen dat er geen ongebruikte poorten gepatched zijn, of die in een apart vlan te zetten. (iVirtueel Lan, lijkt het net alsof je meerdere switches hebt op 1 switch)
Voor grotere netwerken kan je gaan werken met vlans, waarbij alleen de mac-addressen van legitieme pc's in de productie-vlans komen. Alle onbekende mac-addressen (dus computers) komen dan in een visitorslan, en dat geef je dan geen toegang tot het internet.
Er zijn vast nog wel meer oplossingen te bedenken, maar dit zijn de meest voor de handliggende.
Succes ermee
Je kan bijvoorbeeld een proxy-server inzetten, bijvoorbeeld isa 2004, en laten controleren op een domain-account. Dan kunnen ze wel inloggen, met hun domain-account, dus kan je het al iets beperken. Maar dan kan je wel gaan loggen ... en degene aanspreken die schuldig is, het is dan namelijk zijn/haar account
Ik denk trouwens dat ISA ook wel mogelijkheden biedt om computerniveau te filteren, maar zover ben ik nog niet in het boek
Een andere optie is werken met gereserveerde ip-addressen voor de legitieme pc's, en dan met dhcp een aparte reeks laten toewijzen, dan kunnen ze wel eventueel het netwerk op, maar dan kan je op de internet-verbinding filteren op die ip-reeks. Of desnoods ook met een proxy-server.
Als je ze helemaal niet op je netwerk wilt, dan is het de beste oplossing om meteen ze niet op het netwerk toe te laten. Maar de manieren hoe je dat kan aanpakken zijn verschillend bij verschillende netwerkgroottes
Op een klein netwerk kan je bijvoorbeeld op iedere switchpoort instellen welk mac-adres (welke pc dus) toegang heeft tot die poort. Een andere computer erop krijgt dus geen netwerkverbinding. Dit is iets te vereenvoudigen ... sommige switches laten zich ook instellen dat ze alleen toegang geven tot het eerste mac-adres dat toegang verkrijgt. Moet je natuurlijk wel zorgen dat er geen ongebruikte poorten gepatched zijn, of die in een apart vlan te zetten. (iVirtueel Lan, lijkt het net alsof je meerdere switches hebt op 1 switch)
Voor grotere netwerken kan je gaan werken met vlans, waarbij alleen de mac-addressen van legitieme pc's in de productie-vlans komen. Alle onbekende mac-addressen (dus computers) komen dan in een visitorslan, en dat geef je dan geen toegang tot het internet.
Er zijn vast nog wel meer oplossingen te bedenken, maar dit zijn de meest voor de handliggende.
Succes ermee
- Status
