Domandone da mille (cit.) dollari.

Sono un sysadmin, gestisco una rete aziendale, abbiamo un dominio, vari server, switch, firewall ecc.
Antivirus server centralizzato, sempre aggiornato.

Domandona... ma come mi proteggo da chi viene dall' "esterno" ? Tipo un relatore che viene per qualche riunione e prende il suo bel notebook col cavetto di rete e si attacca ad una presa attiva in sala riunioni.
E se sto tizio avesse un pc infetto, magari con un virus nuovissimo ancora non riconosciuto dal mio antivirus aziendale ?

Come blocco questo tipo di accessi, ammesso e concesso che siamo sotto DHCP server ?

Grazie di ogni info, come sempre

Son scappati tutti da sto forum....

ciao,
non saprei aiutarti. Nel caso specifico, abbiamo risolto assegnando ip statici a tutte le macchine del dominio ed abbiamo disattivato il dhcp, così chi si collega non può entrare nella nostra rete.
E' stato un lavoraccio, farlo su quasi 300 postazioni...ma alla fine ne è valsa la pena!

se hai tutti gli switch che supportano l'autenticazione radius questa è la soluzione migliore.
l'ip fisso non penso che ti salvi da accessi non autorizzati.

concordo che l'IP fisso non sia una soluzione, vista però la data del topic forse l'utente ha trovato già una soluzione .
Ad ogni modo, se qualcuno ha un'idea è pur libero di indicarla. Chi sà che non torni utile ad altri.

Se tutte le share che hai nei vari server sono configurate non utilizzando il gruppo Everyone ma Authenticad Users sei abbasta tranquillo, se non conosco le credenziali di un tente di dominio valide non posso accedere a nulla.

Per quanto riguarda la seconda domanda, cioè consentire l'accesso alla rete, solo a quei computer che soddisfano certi requisiti puoi utilizzare la funzionalità NAP (Network Access Protection) che trovi in Windows Server 2008.
http://technet.microsoft.com/en-us/...45879.aspx

Ciao

concordo con gli altri utenti.. riassunto è:
1) le share, minimo Autenticated Users o meglio il gruppo di utenti a cui serve quella share.. everyone inculude proprio tutti tutti..

2) IP fisso non è affatto una soluzione, basta capire un attimo com'è fatta la rete e ci si becca manualmente un ip, magari facendo pure conflitto ip con un server! Meglio un server RADIUS, come già consigliato.. a patto di non avere switch in cascata che non supportino il protocollo

3) utilizzare sistemi NAC di alcuni software house, tra cui Sophos e Symantec, anche centralizzato.. in cui fai anche verifica di altre condizioni,es: se c'è l'antivirus, se è aggiornato, se ci sono tutte le patch di windows etc.. ed eventualmente per farlo accreditare in "rete", adottare sistemi coatti per far si renderlo "compliance".. fino ad allora rimane in un pool di ip che sono fuori segmento della tua rete..

4) non sarai mai sicuro al 100%, ovvio!

ciao!

Buongiorno,
cosa ne pensate di utilizzare delle VLAN per quanto riguarda le connessioni temporanee, che permettano l'accesso ad internet e basta.

Se hai tutti gli apparati (router e switch) che supportano le VLAN puoi usarle tranquillamente.